타사의 ADFS(Active Directory Federation Services) 서버에서 회사의 Security Center 메인 서버까지 신뢰 체인을 설정하면 ADFS 서버를 Security Center의 ID 제공자로 사용하고 회사 외부의 사용자가 시스템에 로그온하도록 허용할 수 있습니다.
시작하기 전에
숙지 사항
- Company XYZ의 사용자가 사용자의 Security Center 시스템에 액세스해야 합니다.
- Company XYZ 서버는 사용자 서버와 동일한 도메인에 있지 않습니다.
- Company XYZ에 Active Directory를 ID 공급업체로 사용하고 WS-Trust 또는 WS-Federation을 사용 중인 ADFS 서버가 있습니다.
Company XYZ의 외부 사용자가 Security Center에 액세스하려면Company XYZ의 Active Directory에서 Security Center 시스템의 메인 서버까지 신뢰 체인이 설정되어 있어야 합니다.
최상의 방법: 로컬 Active Directory의 보안 그룹을 Security Center 사용자 그룹으로 사용하려면 보안 그룹을 Authentication Service 역할을 통해 페더레이션하는 대신 Active Directory에서 가져오십시오. Active Directory에서 가져오는 경우 모든 표준 필드 동기화(성, 이름, 이메일 주소 등), 사용자 지정 필드 매핑, 역할 동기화 시 모든 사용자 생성 옵션 등 더 많은 기능을 사용할 수 있습니다.
프로시저
- Company XYZ에서 해당 ADFS 서버에 사용자의 ADFS 서버에 대한 신뢰 당사자 신뢰를 추가해야 합니다.
-
로컬 ADFS 서버를 다음과 같이 구성합니다.
- 타사 ADFS 서버에 대한 클레임 제공자 신뢰를 추가합니다.
- 서드파티 클레임 제공자를 위한 클레임 규칙을 구성합니다.
- Security Center에 대한 신뢰 당사자 신뢰를 추가합니다.
- Security Center의 클레임 규칙을 구성합니다.
-
ADFS를 통해 타사 인증을 수행하도록 Security Center를 구성합니다.
- Config Tool을 사용하여 Security Center 시스템에 연결합니다.
- Security Center 사용자 그룹으로 허용하는 각 ADFS 그룹에 대해 사용자 그룹을 생성합니다.
- WS-Trust 또는 WS-Federation을 사용하여 타사 인증에 사용할 Authentication Service 역할을 생성합니다.
결과
참고: WS-Trust 프로토콜을 사용하여 ADFS를 통해 인증해야 하는 외부 사용자는 Security Center 로그온 화면에서 사용자 이름 뒤에 도메인 이름을 붙여야 합니다(예: Username@CompanyXYZ.com).
중요: 로컬 Active Directory 및 ADFS 사용과 관련하여 현재 알려진 문제가 있습니다. 시스템에 ADFS를 통해 인증된 외부 사용자가 있는 경우에도 로컬 Active Directory에서 가져온 모든 사용자는 Security Center 시스템과 동일한 도메인에 속하더라도 정규화된 사용자 이름을 사용해야 합니다.