OpenID Connect를 사용하여 Security Center와 Azure Active Directory를 통합하는 방법 - Security Center 5.11

Security Center 관리자 안내서 5.11
Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
안내서 > 관리자 안내서
Language
한국어
Product
Security Center
Version
5.11

Security Center가(이) Azure Active Directory를 사용하여 OpenID Connect로 사용자를 인증하기 전에 Config Tool와(과) Azure Portal에서 설정이 필요합니다.

이 예에서는 OIDC(OpenID Connect)출입통제 토큰을 사용하여 Azure AD(Azure Active Directory)에 타사 인증을 설정하는 데 필요한 단계를 보여줍니다. 해당 절차는 다음과 같은 섹션으로 구성됩니다.

  1. Security Center 준비
  2. Azure AD 준비
  3. Security Center와 Azure AD 통합

타사 인증을 구현하려면 Security Center 및 Azure AD에 관리자 권한이 있어야 합니다.

IMPORTANT: 이 샘플 통합은 사용자의 요구 사항과 다를 수 있으며 Azure Portal이 변경될 수 있습니다. Azure AD를 설정할 때는 특정 상황에 맞게 모든 단계를 조정해야 합니다.

1 - Security Center 준비

  1. Config Tool을 열고 Security Center 메인 서버에 관리자로 연결합니다.
  2. Config Tool에서 시스템 > 역할을 열고 엔터티 추가 > Authentication Service를 클릭합니다.

  3. 역할 생성: Authentication Service 창에서 OpenID를 선택하고 다음을 클릭합니다.

  4. 새 Authentication Service 역할에 사용할 이름과 선택적 설명을 입력하고 다음을 클릭합니다.

    NOTE: 시스템에 여러 개의 파티션이 있는 경우 여기에서 특정 파티션에 새 역할을 추가할 수도 있습니다.
  5. 요약 페이지에서 모든 정보가 올바른지 확인하고 생성을 클릭한 후 종료를 클릭합니다.
  6. 새로 생성한 역할에서 네트워크 끝점 탭을 클릭합니다.
  7. 네트워크 엔드포인트 페이지에서 OIDC 리디렉션로그아웃 URI를 복사합니다. Azure AD를 구성하는 데 필요합니다.
    NOTE: 엔드포인트 URI를 보려면 시스템 작업을 재시작해야 할 수도 있습니다.

2 - Azure AD 준비

Azure Portal에서 이러한 단계를 완료하려면 다음 필수조건을 모두 충족해야 합니다.
  • 도메인을 나타내는 Azure AD가 있습니다.
  • 한 명 이상의 사용자에게 프로비저닝했습니다.
  • Security Center에 대한 접근 권한을 부여하려는 사용자가 포함된 하나 이상의 사용자 그룹에 프로비저닝했습니다.
  1. Azure Portal에서 테넌트의 Azure Active Directory를 엽니다.
  2. 왼쪽 메뉴에서 앱 등록을 선택하고 새 등록을 클릭합니다.

  3. 이름을 입력하고 지원되는 계정 유형에서 단일 테넌트를 선택한 후 등록을 클릭합니다.

  4. 애플리케이션 왼쪽 메뉴에서 인증을 선택하고 플랫폼 추가를 클릭한 후 을 선택합니다.

  5. 웹 구성에서 Security Center의 첫 번째 리디렉션 URI를 리디렉션 URI에 입력하고 구성을 클릭합니다.

    NOTE: OIDC에서는 명시적인 로그아웃 URL이 필요하지 않습니다.
  6. 웹 플랫폼의 URI 리디렉션에서 URI 추가를 클릭하고, Security Center의 나머지 리디렉션로그아웃 URI를 입력한 후 저장을 클릭합니다.

  7. 애플리케이션 왼쪽 메뉴에서 인증서 및 암호를 선택한 후 새 클라이언트 암호를 클릭하여 Security Center에 대한 클라이언트 암호를 생성합니다.

    Best Practice: 암호를 생성한 후에는 복사한 후 통합이 완료될 때까지 안전하게 보관합니다. 클라이언트 암호는 Azure AD 구성에서 검색할 수 없습니다. 암호를 분실한 경우 새로 생성해야 합니다.
  8. 애플리케이션 왼쪽 메뉴에서 토큰 구성을 선택합니다.
  9. 그룹 클레임 추가를 클릭하여 Security Center에 대한 접근 권한을 부여할 그룹 유형을 선택하고, 접근 권한 토큰 유형의 그룹 ID를 선택한 후 추가를 클릭합니다.

  10. 선택적 클레임 추가를 클릭하여 접근 권한 토큰 유형을 선택한 다음 UPN 클레임을 선택하고 추가를 클릭합니다.
    NOTE: Security Center를 사용하려면 고유한 사용자 식별자가 있어야 합니다. UPN을 사용할 수도 있지만 이메일과 같은 다른 선택적 클레임을 대신 사용할 수 있습니다.

  11. 애플리케이션 왼쪽 메뉴에서 매니페스트를 선택하고 accessTokenAcceptedVersion2로 설정한 다음 저장을 클릭합니다.

  12. 애플리케이션 왼쪽 메뉴에서 API 노출을 선택합니다.
  13. 애플리케이션 ID URI 옆의 설정을 클릭하여 Security Center 애플리케이션에 전역적으로 고유한 URI를 지정한 후 저장을 클릭합니다.

    Azure AD에서 사용 가능한 URI를 자동으로 생성합니다. 기본값을 사용하거나 필요에 따라 변경할 수 있습니다.

  14. 범위 추가를 클릭하고 필수 필드에 선택한 값을 입력한 후 범위 추가를 클릭합니다.
    NOTE: 사용자 지정 범위를 사용하면 Azure AD가 Security Center를 대상으로 합니다. 범위로는 무엇이든 지정할 수 있습니다.

3 - Security Center와 Azure AD통합

  1. Config Tool에서 이전에 생성한 Authentication Service 역할을 열고 속성 탭을 클릭합니다.
  2. 다음과 같이 속성을 작성합니다.
    이름 표시
    Security Center에 로그온할 때 타사 인증 옵션은 각각 '<display name>(으)로 로그인'이라는 텍스트가 있는 버튼으로 표시됩니다.
    발급자
    OpenID Connect 메타데이터 문서를 가리키는 보안 URL(https)입니다. Azure AD 애플리케이션 구성의 엔드포인트에서 복사합니다.

    도메인 이름
    Azure AD를 사용하여 인증하는 사용자의 도메인 이름(예: genetec.com)입니다. 1개 이상 있어야 합니다.
    클라이언트 ID
    Azure AD에서 Security Center를 나타내는 고유 식별자입니다. Azure AD 애플리케이션 구성의 개요에서 복사합니다.

    기밀 클라이언트
    Azure AD에서 클라이언트 암호를 생성하도록 선택한 경우 켜짐으로 전환합니다.
    클라이언트 암호
    Azure AD에서 생성한 클리이언트 암호를 입력합니다.
    사용자 이름 클레임
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn을 입력합니다.
    그룹 클레임
    groups를 입력합니다.
    범위(고급 설정)
    Azure AD에서 생성한 사용자 지정 범위입니다. Azure AD 애플리케이션 구성의 API 노출에서 복사합니다.

    기타 모든 속성은 기본값으로 유지합니다.

  3. 적용을 클릭합니다.
  4. Azure Active Directory에서 그룹 목록을 CSV 파일로 대량 다운로드합니다.
  5. 다운로드한 CSV 파일의 사용자 그룹을 Security Center로 가져옵니다.
    NOTE: 가져온 그룹의 외부 고유 식별자는 Azure AD에 있는 해당 그룹의 객체 ID와 일치해야 합니다.
Parent topic: OpenID Connect를 사용한 타사 인증의 통합 개요