Security Center가(이) Azure Active Directory를 사용하여 OpenID Connect로 사용자를 인증하기 전에 Config Tool와(과) Azure Portal에서 설정이 필요합니다.
이 예에서는 OIDC(OpenID Connect)출입통제 토큰을 사용하여 Azure AD(Azure Active Directory)에 타사 인증을 설정하는 데 필요한 단계를 보여줍니다. 해당 절차는 다음과 같은 섹션으로 구성됩니다.
타사 인증을 구현하려면 Security Center 및 Azure AD에 관리자 권한이 있어야 합니다.
IMPORTANT: 이 샘플 통합은 사용자의 요구 사항과 다를 수 있으며 Azure Portal이 변경될 수 있습니다. Azure AD를 설정할 때는 특정 상황에 맞게 모든 단계를 조정해야 합니다.
1 - Security Center 준비
- Config Tool을 열고 Security Center 메인 서버에 관리자로 연결합니다.
- Config Tool에서 을 열고 를 클릭합니다.
- 역할 생성: Authentication Service 창에서 OpenID를 선택하고 다음을 클릭합니다.
- 새 Authentication Service 역할에 사용할 이름과 선택적 설명을 입력하고 다음을 클릭합니다.
NOTE: 시스템에 여러 개의 파티션이 있는 경우 여기에서 특정 파티션에 새 역할을 추가할 수도 있습니다.
- 요약 페이지에서 모든 정보가 올바른지 확인하고 생성을 클릭한 후 종료를 클릭합니다.
- 새로 생성한 역할에서 네트워크 끝점 탭을 클릭합니다.
- 네트워크 엔드포인트 페이지에서 OIDC 리디렉션 및 로그아웃 URI를 복사합니다. Azure AD를 구성하는 데 필요합니다.NOTE: 엔드포인트 URI를 보려면 시스템 작업을 재시작해야 할 수도 있습니다.
2 - Azure AD 준비
Azure Portal에서 이러한 단계를 완료하려면 다음 필수조건을 모두 충족해야 합니다.
- 도메인을 나타내는 Azure AD가 있습니다.
- 한 명 이상의 사용자에게 프로비저닝했습니다.
- Security Center에 대한 접근 권한을 부여하려는 사용자가 포함된 하나 이상의 사용자 그룹에 프로비저닝했습니다.
- Azure Portal에서 테넌트의 Azure Active Directory를 엽니다.
- 왼쪽 메뉴에서 앱 등록을 선택하고 새 등록을 클릭합니다.
- 이름을 입력하고 지원되는 계정 유형에서 단일 테넌트를 선택한 후 등록을 클릭합니다.
- 애플리케이션 왼쪽 메뉴에서 인증을 선택하고 플랫폼 추가를 클릭한 후 웹을 선택합니다.
- 웹 구성에서 Security Center의 첫 번째 리디렉션 URI를 리디렉션 URI에 입력하고 구성을 클릭합니다.
NOTE: OIDC에서는 명시적인 로그아웃 URL이 필요하지 않습니다.
- 웹 플랫폼의 URI 리디렉션에서 URI 추가를 클릭하고, Security Center의 나머지 리디렉션 및 로그아웃 URI를 입력한 후 저장을 클릭합니다.
- 애플리케이션 왼쪽 메뉴에서 인증서 및 암호를 선택한 후 새 클라이언트 암호를 클릭하여 Security Center에 대한 클라이언트 암호를 생성합니다.
Best Practice: 암호를 생성한 후에는 복사한 후 통합이 완료될 때까지 안전하게 보관합니다. 클라이언트 암호는 Azure AD 구성에서 검색할 수 없습니다. 암호를 분실한 경우 새로 생성해야 합니다.
- 애플리케이션 왼쪽 메뉴에서 토큰 구성을 선택합니다.
- 그룹 클레임 추가를 클릭하여 Security Center에 대한 접근 권한을 부여할 그룹 유형을 선택하고, 접근 권한 토큰 유형의 그룹 ID를 선택한 후 추가를 클릭합니다.
- 선택적 클레임 추가를 클릭하여 접근 권한 토큰 유형을 선택한 다음 UPN 클레임을 선택하고 추가를 클릭합니다.NOTE: Security Center를 사용하려면 고유한 사용자 식별자가 있어야 합니다. UPN을 사용할 수도 있지만 이메일과 같은 다른 선택적 클레임을 대신 사용할 수 있습니다.
- 애플리케이션 왼쪽 메뉴에서 매니페스트를 선택하고 accessTokenAcceptedVersion을 2로 설정한 다음 저장을 클릭합니다.
- 애플리케이션 왼쪽 메뉴에서 API 노출을 선택합니다.
- 애플리케이션 ID URI 옆의 설정을 클릭하여 Security Center 애플리케이션에 전역적으로 고유한 URI를 지정한 후 저장을 클릭합니다.
Azure AD에서 사용 가능한 URI를 자동으로 생성합니다. 기본값을 사용하거나 필요에 따라 변경할 수 있습니다.
- 범위 추가를 클릭하고 필수 필드에 선택한 값을 입력한 후 범위 추가를 클릭합니다.NOTE: 사용자 지정 범위를 사용하면 Azure AD가 Security Center를 대상으로 합니다. 범위로는 무엇이든 지정할 수 있습니다.
3 - Security Center와 Azure AD통합
- Config Tool에서 이전에 생성한 Authentication Service 역할을 열고 속성 탭을 클릭합니다.
- 다음과 같이 속성을 작성합니다.
- 이름 표시
- Security Center에 로그온할 때 타사 인증 옵션은 각각 '<display name>(으)로 로그인'이라는 텍스트가 있는 버튼으로 표시됩니다.
- 발급자
- OpenID Connect 메타데이터 문서를 가리키는 보안 URL(https)입니다. Azure AD 애플리케이션 구성의 엔드포인트에서 복사합니다.
- 도메인 이름
- Azure AD를 사용하여 인증하는 사용자의 도메인 이름(예: genetec.com)입니다. 1개 이상 있어야 합니다.
- 클라이언트 ID
- Azure AD에서 Security Center를 나타내는 고유 식별자입니다. Azure AD 애플리케이션 구성의 개요에서 복사합니다.
- 기밀 클라이언트
- Azure AD에서 클라이언트 암호를 생성하도록 선택한 경우 켜짐으로 전환합니다.
- 클라이언트 암호
- Azure AD에서 생성한 클리이언트 암호를 입력합니다.
- 사용자 이름 클레임
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn을 입력합니다.
- 그룹 클레임
- groups를 입력합니다.
- 범위(고급 설정)
- Azure AD에서 생성한 사용자 지정 범위입니다. Azure AD 애플리케이션 구성의 API 노출에서 복사합니다.
기타 모든 속성은 기본값으로 유지합니다.
- 적용을 클릭합니다.
- Azure Active Directory에서 그룹 목록을 CSV 파일로 대량 다운로드합니다.
- 다운로드한 CSV 파일의 사용자 그룹을 Security Center로 가져옵니다.NOTE: 가져온 그룹의 외부 고유 식별자는 Azure AD에 있는 해당 그룹의 객체 ID와 일치해야 합니다.