Security Center에서 WS-Trust 또는 WS-Federation 프로토콜을 사용하여 ADFS 서버의 클레임을 수신하려면 Authentication Service 역할을 생성하고 구성해야 합니다.
시작하기 전에
- 트러스트 체인에 포함된 모든 ADFS 서버가 완전하게 구성되어 있습니다.
- ADFS 그룹이 Security Center 사용자 그룹에 매핑되었습니다.
숙지 사항
Security Center에서 루트 ADFS별로 WS-Trust 또는 WS-Federation에 대해 Authentication Service 역할을 하나씩 생성해야 합니다. 샘플 시나리오에서 로컬 ADFS 서버는 루트 ADFS이므로 하나의 Authentication Service 역할만 있으면 됩니다.
로컬 ADFS 서버는 없지만 Security Center의 ID 제공자 역할을 하는 독립된 타사 ADFS 서버가 여러 대인 경우, 각 서버에 대해 Authentication Service 역할을 생성해야 합니다.
프로시저
-
엔터티 추가(
) > Authentication Service를 클릭합니다.
-
를 클릭합니다.
새 Authentication Service 역할(
)이 생성되었습니다. -
속성 탭을 클릭하고 신뢰 체인(도메인)을 구성합니다.
-
항목 추가()를 클릭하고 로컬 ADFS 서버를 구성한 다음 확인을 클릭합니다.
- 도메인
- 로컬 ADFS 서버의 도메인입니다. 예: YourDomain.com.
- URL
- ADFS 서버의 메타데이터 문서 주소입니다. 항상 adfs.YourCompany.com 형식입니다.
YourCompany.com을 ADFS 서버의 이름으로 바꾸십시오.
- 신뢰 당사자
- Security Center에 대한 신뢰 당사자 신뢰를 추가할 때 신뢰 당사자 식별자로 입력한 식별자입니다.
역할이 다른 서버로 장애 조치되는 경우에도 신뢰 당사자 식별자를 통해 ADFS 서버에서 Security Center를 식별할 수 있습니다.
- 웹 기반 인증(WS-Federation)
- 웹 기반 인증을 사용하도록 설정하려면 이 옵션을 선택합니다(기본값 = OFF).중요: 웹 기반 인증을 활성화하면 감독 대상 사용자 인증을 외부에서 처리하므로 해당 사용자의 로그온이 작동하지 않습니다.
-
항목 추가()를 클릭하고 원격 ADFS 서버를 구성한 다음 확인을 클릭합니다.
- 도메인
- 원격 ADFS 서버의 도메인입니다. 예: CompanyXYZ.com.
- URL
- 원격 ADFS 서버의 메타데이터 문서의 주소입니다. 항상 adfs.CompanyXYZ.com 형식입니다.
CompanyXYZ.com을 원격 ADFS 서버의 이름으로 바꾸십시오.
- 신뢰 당사자 재설정
- (고급 설정) 이 도메인의 클레임 제공자가 신뢰 당사자가 하는 토큰 요청에서 다른 오디언스를 예상하는 경우에 이 옵션을 선택하고 예상하는 값을 입력합니다.
-
항목 추가(
-
Security Center가 수락할 외부 사용자 그룹을 구성합니다.
-
수락된 사용자 그룹 섹션에서 항목 추가()를 클릭합니다.
-
대화 상자가 열리면 원격 ADFS 그룹에 매핑된 사용자 그룹을 선택하고 확인을 클릭합니다.
허용된 사용자 그룹 멤버인 사용자는 시스템에 로그온할 수 있습니다. Security Center는 해당 사용자의 암호를 보관하거나 유효성을 검사하지 않습니다. Security Center는 ADFS가 수락하는 사용자를 인증 사용자로 신뢰합니다.참고: WS-Trust 프로토콜을 사용하여 ADFS를 통해 인증해야 하는 외부 사용자는 Security Center 로그온 화면에서 사용자 이름 뒤에 도메인 이름을 붙여야 합니다(예: Username@CompanyXYZ.com). -
수락된 사용자 그룹 섹션에서 항목 추가(