Outlook Web App 및 EAC에서 AD FS 클레임 기반 인증 사용
적용 대상: Exchange Server 2013 SP1
요약:
온-프레미스 Exchange 2013 SP1(서비스 팩 1) 배포에서 AD FS(Active Directory Federation Services)를 설치 및 구성하면 이제 AD FS 클레임 기반 인증을 사용하여 Outlook Web App 및 EAC에 연결할 수 있습니다. AD FS 및 클레임 기반 인증을 Exchange 2013 SP1과 통합할 수 있습니다. 클레임 기반 인증은 다음과 같은 기존 인증 방법 대신 사용할 수 있습니다.
- Windows 인증
- 폼 인증
- 다이제스트 인증
- 기본 인증
- Active Directory 클라이언트 인증서 인증
인증은 사용자의 ID를 확인하는 프로세스입니다. 인증은 사용자가 자신이 주장하는 사람인지 확인합니다. 클레임 기반 ID는 인증에 대한 또 다른 방법입니다. 클레임 기반 인증은 인증을 중앙 집중화하여 계정을 보다 쉽게 관리할 수 있도록 애플리케이션(이 경우 Outlook Web App 및 EA)에서 인증 관리를 제거합니다. Outlook Web App 및 EAC는 사용자를 인증하거나, 사용자 계정 및 암호를 저장하거나, 사용자 ID 세부 정보를 조회하거나, 다른 ID 시스템과 통합할 책임이 없습니다. 인증을 중앙 집중화하면 나중에 인증 방법으로 쉽게 업그레이드할 수 있습니다.
참고
장치용 OWA에서는 AD FS 클레임 기반 인증을 지원하지 않습니다.
여러 AD FS 버전을 사용할 수 있으며 아래 표에 이러한 버전에 대한 설명이 요약되어 있습니다.
Windows Server 버전 | 설치 | AD FS 버전 |
---|---|---|
Windows Server 2008 R2 | 다운로드 및 설치 추가 기능 Windows 구성 요소인 AD FS 2.0. | AD FS 2.0 |
Windows Server 2012 | 기본 제공 AD FS 서버 역할을 설치합니다. | AD FS 2.1 |
Windows Server 2012 R2 | 기본 제공 AD FS 서버 역할을 설치합니다. | AD FS 3.0 |
여기서 수행하는 작업은 AD FS 역할 서비스가 포함된 Windows Server 2012 R2를 기준으로 합니다.
필요한 단계 개요:
2단계 - AD FS(Active Directory Federation Services) 설치 및 구성
3단계 - Outlook Web App 및 EAC에 대한 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙 만들기
4단계 - 웹 애플리케이션 프록시 역할 서비스 설치(선택 사항)
5단계 - 웹 애플리케이션 프록시 역할 서비스 구성(선택 사항)
6단계 - 웹 애플리케이션 프록시 사용하여 Outlook Web App 및 EAC 게시(선택 사항)
7단계 - AD FS 인증을 사용하도록 Exchange 2013 구성
8단계 - OWA 및 ECP 가상 디렉터리에서 AD FS 인증 사용
9단계 - IIS(인터넷 정보 서비스) 다시 시작 또는 재활용
10단계 - Outlook Web App 및 EAC에 대한 AD FS 클레임 테스트
Additional information you might want to know
시작하기 전에 알아두어야 할 사항
최소한 별도의 Windows Server 2012 R2 서버를 설치해야 합니다. 하나는 Active Directory Domain Services(AD DS), Exchange 2013 서버, 웹 애플리케이션 프록시 서버 및 를 사용하는 도메인 컨트롤러로 설치해야 합니다. Active Directory Federation Services(AD FS) 서버. 모든 업데이트가 설치되어 있는지 확인합니다.
조직에서 적절한 수의 Windows Server 2012 R2 서버에 AD DS를 설치합니다. 서버 관리자>Dashboard의 알림을 사용하여 이 서버를 도메인 컨트롤러로 승격할 수도 있습니다.
조직에 적합한 수의 클라이언트 액세스 서버 및 사서함 서버를 설치합니다. 조직의 모든 Exchange 2013 서버에 SP1을 포함한 모든 업데이트가 설치되어 있는지 확인합니다. SP1을 다운로드하려면 Exchange 2013용 업데이트를 참조하세요.
서버에서 웹 응용 프로그램 프록시를 배포하려면 로컬 관리자 권한이 필요합니다. 조직에서 Windows Server 2012 R2를 실행 중인 서버에 AD FS를 배포해야 웹 응용 프로그램 프록시를 배포할 수 있습니다.
Windows Server 2012 R2에서 AD FS 역할을 설치 및 구성하고 신뢰 당사자 트러스트 및 클레임 규칙을 만듭니다. 이 작업을 수행하려면 Domain Admins, Enterprise Admins 또는 로컬 Administrators 그룹 구성원인 사용자 계정으로 로그인해야 합니다.
기능 사용 권한 을 확인하여 Exchange 2013에 필요한 사용 권한을 결정합니다.
Outlook Web App을 관리하는 데 필요한 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 클라이언트 및 모바일 디바이스 권한 항목의 "Outlook Web App 권한" 항목을 참조하세요.
EAC를 관리하는 데 필요한 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 "Exchange 관리 센터 연결" 항목을 참조하세요.
일부 절차를 수행하려면 셸만 사용해야 할 수 있습니다. 온-프레미스 Exchange 조직에서 셸을 여는 방법을 확인하려면 Open the Shell를 참조하세요.
이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.
팁
문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Server 포럼을 방문하세요.
Step 1 - Review the certificate requirements for AD FS
인증서는 Exchange 2013 SP1 서버, Outlook Web App 등의 웹 클라이언트와 EAC, Windows Server 2012 R2 서버(AD FS(Active Directory Federation Services) 서버 및 웹 응용 프로그램 프록시 서버 포함) 간의 통신을 보호하는 데 핵심적인 역할을 합니다. 인증서의 요구 사항은 설정 중인 항목(AD FS 서버, AD FS 프록시 또는 웹 응용 프로그램 프록시 서버)에 따라 달라집니다. `SSL 및 토큰 서명 인증서를 비롯하여 AD FS 서비스에 사용되는 인증서는 모든 Exchange, AD FS 및 웹 응용 프로그램 프록시 서버의 신뢰 루트 인증 기관 저장소로 가져와야 합니다. 가져오는 인증서의 지문은 Set-OrganizationConfig cmdlet을 사용할 때 Exchange 2013 SP1 서버에서도 사용됩니다.
모든 AD FS 디자인에서는 여러 인증서를 사용하여 AD FS 서버와 인터넷의 사용자 간 통신을 보호해야 합니다. 각 페더레이션 서버에는 서비스 통신 인증서 또는 SSL(Secure Sockets Layer) 인증서와 토큰 서명 인증서가 있어야 AD FS 서버, Active Directory 도메인 컨트롤러 및 Exchange 2013 서버가 통신 및 인증을 할 수 있습니다. 보안 및 예산 요구 사항에 따라 공용 CA 또는 엔터프라이즈 CA를 통해 얻을 인증서를 세심하게 고려하세요. 엔터프라이즈 루트 또는 하위 CA를 설치 및 구성하려면 AD CS(Active Directory 인증서 서비스)를 사용하면 됩니다. AD CS에 대한 자세한 내용은Active Directory 인증서 서비스 개요를 참조하세요.
AD FS에서는 CA가 인증서를 발급하지 않아도 되지만 SSL 인증서, 즉 기본적으로 서비스 통신 인증서로도 사용되는 SSL 인증서를 AD FS 클라이언트가 신뢰해야 합니다. 자체 서명 인증서는 사용하지 않는 것이 좋습니다. 페더레이션 서버는 SSL 인증서를 사용하여 웹 클라이언트 및 페더레이션 서버 프록시와의 SSL 통신에 대한 웹 서비스 트래픽을 보호합니다. 클라이언트 컴퓨터에서 SSL 인증서를 신뢰해야 하므로 신뢰할 수 있는 CA에서 서명한 인증서를 사용하는 것이 좋습니다. 선택하는 모든 인증서에는 해당 개인 키가 있어야 합니다. 엔터프라이즈 또는 공용 CA에서 인증서를 받은 후에는 모든 서버의 신뢰 루트 인증 기관 저장소로 인증서를 가져왔는지 확인하세요. Certificates MMC 스냅인을 사용하여 인증서를 저장소로 가져오거나 Active Directory 인증서 서비스를 사용하여 인증서를 배포할 수 있습니다. 가져온 인증서가 만료되면 다른 유효한 인증서를 수동으로 가져옵니다.
중요
AD FS의 자체 서명된 토큰 서명 인증서를 사용하는 경우에는 모든 Exchange 2013 서버의 신뢰 루트 인증 기관 저장소로 이 인증서를 가져와야 합니다. 자체 서명된 토큰 서명 인증서를 사용하지 않고 웹 응용 프로그램 프록시를 배포하는 경우에는 웹 응용 프로그램 프록시 구성과 모든 AD FS 신뢰 당사자 트러스트에서 공개 키를 업데이트해야 합니다.
Exchange 2013 SP1, AD FS 및 웹 응용 프로그램 프록시를 설정할 때는 다음의 인증서 관련 권장 사항을 따르세요.
사서함 서버: 사서함 서버에 사용되는 인증서는 Exchange 2013이 설치될 때 만들어지는 자체 서명된 인증서입니다. 모든 클라이언트는 Exchange 2013 클라이언트 액세스 서버를 통해 Exchange 2013 사서함 서버에 연결하므로 클라이언트 액세스 서버의 인증서만 관리하면 됩니다.
클라이언트 액세스 서버: 서비스 통신에 사용되는 SSL 인증서가 필요합니다. 신뢰 당사자 트러스트 끝점을 설정하는 데 사용하는 FQDN이 기존 SSL 인증서에 이미 포함되어 있으면 추가 인증서는 필요하지 않습니다.
AD FS: AD FS에는 다음 두 가지 유형의 인증서가 필요합니다.
서비스 통신에 사용되는 SSL 인증서
- 주체 이름: adfs.contoso.com(AD FS 배포 이름)
- SAN(주체 대체 이름): 없음
토큰 서명 인증서
- 주체 이름: tokensigning.contoso.com
- SAN(주체 대체 이름): 없음
참고
AD FS에서 토큰 서명 인증서를 바꿀 때는 새 토큰 서명 인증서를 사용하도록 기존 신뢰 당사자 트러스트를 업데이트해야 합니다.
웹 응용 프로그램 프록시
서비스 통신에 사용되는 SSL 인증서
- 주체 이름: owa.contoso.com
- SAN(주체 대체 이름): 없음
참고
웹 응용 프로그램 프록시 외부 URL이 내부 URL과 같으면 Exchange의 SSL 인증서를 여기서 다시 사용할 수 있습니다.
AD FS 프록시 SSL 인증서
- 주체 이름: adfs.contoso.com(AD FS 배포 이름)
- SAN(주체 대체 이름): 없음
토큰 서명 인증서 - 아래 단계의 일부분으로 AD FS에서 자동으로 복사됩니다. 이 인증서를 사용하는 경우 조직의 Exchange 2013 서버에서 인증서를 신뢰해야 합니다.
인증서에 대한 자세한 내용은 AD FS 요구 사항의 인증서 요구 사항 섹션을 참조하세요.
참고
AD FS용 SSL 인증서가 있어도 Outlook Web App 및 EAC에는 SSL 암호화 인증서가 계속 필요합니다. SSL 인증서는 OWA 및 ECP 가상 디렉터리에서 사용됩니다.
Step 2 - Install and configure Active Directory Federation Services (AD FS)
Windows Server 2012 R2의 AD FS에서는 간소화된 보안 ID 페더레이션 및 웹 SSO(Single Sign-On) 기능이 제공됩니다. AD FS에는 브라우저 기반 웹 SSO, 다단계 및 클레임 기반 인증을 사용할 수 있도록 하는 페더레이션 서비스가 포함되어 있습니다. AD FS는 클레임 기반 인증 및 액세스 권한 부여 메커니즘을 사용하여 응용 프로그램 보안을 유지함으로써 시스템과 응용 프로그램 액세스를 간소화합니다.
Windows Server 2012 R2에서 AD FS를 설치하려면 다음을 수행합니다.
바탕 화면 작업 표시줄의 Server Manager 또는 시작 화면에서 Server Manager를 엽니다. 관리 메뉴에서 역할 및 기능 추가를 클릭합니다.
시작하기 전에 페이지에서 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 후 다음을 클릭합니다.
대상 서버 선택 페이지의 서버 풀에서 서버 선택을 클릭하고 로컬 컴퓨터가 선택되어 있는지 확인한 후에 다음을 클릭합니다.
서버 역할 선택 페이지에서 Active Directory Federation Services를 클릭하고 다음을 클릭합니다.
기능 선택 페이지에서 다음을 클릭합니다. 필요한 필수 구성 요소 또는 기능은 미리 선택되어 있습니다. 다른 기능은 선택할 필요가 없습니다.
AD FS(Active Directory Federation Service) 페이지에서 다음을 클릭합니다.
설치 선택 확인 페이지에서 필요한 경우 자동으로 대상 서버 다시 시작을 선택한 후 설치를 클릭합니다.
참고
설치 프로세스 중에 마법사를 닫지 마세요.
필수 AD FS 서버를 설치하고 필수 인증서를 생성한 후에는 AD FS를 구성하고 AD FS가 정상적으로 작동하는지 테스트해야 합니다. AD FS를 쉽게 설정 및 구성하기 위한 검사 목록: 페더레이션 서버 설정의 검사 목록을 사용할 수도 있습니다.
Active Directory Federation Services를 구성하려면 다음을 수행합니다.
설치 진행률 페이지의 Active Directory Federation Services 아래 창에서 이 서버에 페더레이션 서비스를 구성을 클릭합니다. Active Directory Federation Service 구성 마법사가 열립니다.
시작 페이지에서 페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다. 를 클릭하고 다음을 클릭합니다.
AD DS에 연결 페이지에서 이 컴퓨터가 구독된 올바른 Active Directory 도메인에 대한 도메인 관리자 권한이 있는 계정을 지정하고 다음을 클릭합니다. 다른 사용자를 선택하려면 변경을 클릭합니다.
서비스 속성 지정 페이지에서 다음 작업을 수행하고 다음을 클릭합니다.
이전 단계에서 AD CS 또는 공용 CA로부터 얻은 SSL 인증서를 가져옵니다. 이 인증서가 필수 서비스 인증 인증서입니다. SSL 인증서 위치로 이동합니다. SSL 인증서 만들기 및 가져오기에 대한 자세한 내용은 서버 인증서를 참조하세요.
페더레이션 서비스의 이름을 입력합니다(예: adfs.contoso.com 입력).
페더레이션 서비스에 대한 표시 이름을 제공하려면 조직의 이름(예: Contoso, Ltd.)을 입력합니다.
서비스 계정 지정 페이지에서 기존 도메인 사용자 계정 또는 그룹 관리 서비스 계정 사용을 선택하고 도메인 컨트롤러를 만들 때 만든 GMSA 계정(FsGmsa)을 지정합니다. 계정 암호를 입력하고 다음을 클릭합니다.
참고
GMSA(전역 관리 서비스 계정)는 도메인 컨트롤러를 구성할 때 만들어야 하는 계정입니다. AD FS 설치 및 구성 중에는 GMSA 계정이 필요합니다. 이 계정을 아직 만들지 않았으면 다음 Windows PowerShell 명령을 실행합니다. 이 명령은 contoso.com 도메인 및 AD FS 서버에 대해 계정을 만듭니다.
다음 명령을 실행합니다.
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
이 예제에서는 adfs.contoso.com 페더레이션 서비스에 대한 FsGmsa라는 새 GMSA 계정을 만듭니다. 페더레이션 서비스 이름은 클라이언트에 표시되는 값입니다.
New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용하여 이 서버에 데이터베이스를 만듭니다. 를 선택하고 다음을 클릭합니다.
옵션 검토 페이지에서 구성 선택을 확인합니다. 원하는 경우 스크립트 보기 단추를 사용하여 추가 AD FS 설치를 자동화할 수 있습니다. 다음을 클릭합니다.
필수 구성 요소 확인 페이지에서 모든 필수 구성 요소 확인이 정상적으로 완료되었는지 확인하고 구성을 클릭합니다.
설치 진행률 페이지에서 모든 항목이 정상적으로 설치되었는지 확인하고 닫기를 클릭합니다.
결과 페이지에서 결과를 검토하여 구성이 정상적으로 완료되었는지 확인한 후에 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭합니다.
다음 Windows PowerShell 명령은 이전 단계와 동일한 작업을 수행합니다.
Import-Module ADFS
Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"
자세한 정보와 구문은 Install-AdfsFarm을 참조하세요.
설치를 확인하려면 AD FS 서버에서 웹 브라우저를 연 다음 페더레이션 메타데이터의 URL(예: https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
)으로 이동합니다.
3단계 - Outlook Web App 및 EAC에 대한 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙 만들기
웹 애플리케이션 프록시 통해 게시하려는 모든 애플리케이션 및 서비스의 경우 AD FS 서버에서 신뢰 당사자 트러스트를 구성해야 합니다. 여러 Active Directory 사이트가 서로 다른 네임스페이스를 사용하는 배포의 경우에는 각 네임스페이스에 대해 Outlook Web App 및 EAC용 신뢰 당사자 트러스트를 추가해야 합니다.
EAC는 ECP 가상 디렉터리를 사용합니다.
Get-EcpVirtualDirectory 및 Set-EcpVirtualDirectory cmdlet을 사용하여 EAC에 대한 설정을 확인하거나 구성할 수 있습니다. EAC에 액세스하려면 웹 브라우저를 통해 http://server1.contoso.com/ecp
로 이동해야 합니다.
참고
아래 표시된 URL 예제에 후행 슬래시 / 를 포함하는 것은 의도적인 것입니다. AD FS 신뢰 당사자 트러스트와 Exchange 대상 그룹 URI가 모두 동일한지 확인하는 것이 중요합니다. 즉, AD FS 신뢰 당사자 트러스트 및 Exchange 대상 URI의 URL에 후행 슬래시가 있거나 둘 다내보내 야 합니다. 이 섹션의 예제에는 "owa"( /owa/) 또는 "ecp"(/ecp/)로 끝나는 URL 뒤에 후행 /이 포함됩니다.
Outlook Web App의 경우 Windows Server 2012 R2에서 AD FS 관리 스냅인을 사용하여 신뢰 당사자 트러스트를 만들려면 다음을 수행합니다.
Server Manager에서 도구를 클릭하고 AD FS 관리를 선택합니다.
AD FS 스냅인의 AD FS\트러스트 관계에서 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭하고 신뢰 당사자 트러스트 추가를 클릭하여 신뢰 당사자 트러스트 추가 마법사를 엽니다.
시작 페이지에서 시작을 클릭합니다.
데이터 원본 선택 페이지에서 신뢰 당사자에 대한 데이터를 수동으로 입력을 클릭하고 다음을 클릭합니다.
표시 이름 지정 페이지의 표시 이름 상자에 Outlook Web App 입력한 다음 메모에서 이 신뢰 당사자 트러스트에 대한 설명(예: 에 대한 https://mail.contoso.com/owa/신뢰)을 입력하고 다음을 클릭합니다.
프로필 선택 페이지에서 AD FS 프로필을 클릭하고 다음을 클릭합니다.
인증서 구성 페이지에서 다음을 클릭합니다.
URL 구성 페이지에서 WS-Federation 수동 프로토콜 지원 사용을 클릭하고 신뢰 당사자 WS-Federation 수동 프로토콜 URL에 type
https://mail.contoso.com/owa/
를 입력한 후에 다음을 클릭합니다.식별자 구성 페이지에서 이 신뢰 당사자에 대한 식별자를 하나 이상 지정하고 추가를 클릭하여 식별자를 목록에 추가한 후에 다음을 클릭합니다.
지금 다단계 인증을 구성하시겠습니까? 페이지에서 이 신뢰 당사자 트러스트에 대해 다단계 인증 설정 구성을 선택합니다.
다단계 인증 구성 페이지에서 지금 이 신뢰 당사자 트러스트에 대해 다단계 인증 설정을 구성하지 않음이 선택되어 있는지 확인한 후에 다음을 클릭합니다.
발급 권한 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 선택한 후 다음을 클릭합니다.
트러스트 추가 준비 페이지에서 설정을 검토한 후 다음을 클릭하여 신뢰 당사자 트러스트 정보를 저장합니다.
마침 페이지에서 마법사를 닫을 때 이 신뢰 당사자 트러스트에 대한 클레임 규칙 편집 대화 상자 열기가 선택되어 있지 않은지 확인한 후 닫기를 클릭합니다.
EAC에 대해 신뢰 당사자 트러스트를 만들려면 위의 단계를 다시 수행하여 두 번째 신뢰 당사자 트러스트를 만들되 표시 이름으로 Outlook Web App이 아닌 EAC를 입력해야 합니다. 설명에 대해 Exchange 관리 센터에 대한 트러스트이고 신뢰 당사자 WS-Federation 수동 프로토콜 URL 은 을 입력합니다 https://mail.contoso.com/ecp
.
클레임 기반 ID 모델에서 페더레이션 서비스로서의 AD FS(Active Directory Federation Services) 기능은 클레임 집합이 포함된 토큰을 발급하는 것입니다. 클레임 규칙은 AD FS에서 발급하는 클레임과 관련한 결정을 관리합니다. 클레임 규칙 및 모든 서버 구성 데이터는 AD FS 구성 데이터베이스에 저장됩니다.
두 개의 클레임 규칙을 만들어야 합니다.
- Active Directory 사용자 SID
- Active Directory UPN
필요한 클레임 규칙을 추가하려면 다음을 수행합니다.
Server Manager에서 도구를 클릭하고 AD FS 관리를 클릭합니다.
콘솔 트리의 AD FS\트러스트 관계에서 클레임 공급자 트러스트 또는 신뢰 당사자 트러스트를 클릭한 다음 Outlook Web App에 대한 신뢰 당사자 트러스트를 클릭합니다.
신뢰 당사자 트러스트 창에서 Outlook Web App 트러스트를 마우스 오른쪽 단추로 클릭한 다음 클레임 규칙 편집을 클릭합니다.
클레임 규칙 편집 창의 발급 변환 규칙 탭에서 규칙 추가를 클릭하여 변환 클레임 규칙 추가 마법사를 시작합니다.
규칙 서식 파일 선택 페이지의 클레임 규칙 서식 파일에 있는 목록에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택한 후 다음을 클릭합니다.
규칙 구성 페이지의 규칙 유형 선택 단계에서 클레임 규칙 이름 아래에 클레임 규칙의 이름을 입력합니다. 클레임 규칙의 설명이 포함된 이름(예: ActiveDirectoryUserSID)을 사용합니다. 사용자 지정 규칙에 이 규칙에 대한 다음 클레임 규칙 언어 구문을 입력합니다.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
규칙 구성 페이지에서 마침을 클릭합니다.
클레임 규칙 편집 창의 발급 변환 규칙 탭에서 규칙 추가를 클릭하여 변환 클레임 규칙 추가 마법사를 시작합니다.
규칙 서식 파일 선택 페이지의 클레임 규칙 서식 파일에 있는 목록에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택한 후 다음을 클릭합니다.
규칙 구성 페이지의 규칙 유형 선택 단계에서 클레임 규칙 이름 아래에 클레임 규칙의 이름을 입력합니다. 클레임 규칙의 설명이 포함된 이름(예: ActiveDirectoryUPN)을 사용합니다. 사용자 지정 규칙에 이 규칙에 대한 다음 클레임 규칙 언어 구문을 입력합니다.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
마침을 클릭합니다.
클레임 규칙 편집 창에서 적용과 확인을 차례로 클릭합니다.
EAC 신뢰 당사자 트러스트에 대해 이 절차의 3-12단계를 반복합니다.
또는 Windows PowerShell 사용하여 릴레이 파티 트러스트 및 클레임 규칙을 만들 수 있습니다.
.txt 파일 두 개(IssuanceAuthorizationRules.txt 및 IssuanceTransformRules.txt)를 만듭니다.
파일의 내용을 두 변수로 가져옵니다.
다음의 두 cmdlet을 실행하여 신뢰 당사자 트러스트를 만듭니다. 이 예에서는 cmdlet을 실행하면 클레임 규칙도 구성됩니다.
IssuanceAuthorizationRules.txt에는 다음 내용이 포함되어 있습니다.
@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
IssuanceTransformRules.txt에는 다음 내용이 포함되어 있습니다.
@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
다음의 명령을 실행합니다.
[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt
[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt
Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules
Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules
4단계 - 웹 애플리케이션 프록시 역할 서비스 설치(선택 사항)
참고
4단계, 5단계 및 6단계는 웹 애플리케이션 프록시 사용하여 Exchange OWA 및 ECP를 게시하고 웹 애플리케이션 프록시 AD FS 인증을 수행하려는 사용자를 위한 것입니다. 그러나 웹 애플리케이션 프록시 사용하여 Exchange를 게시할 필요는 없으므로 웹 애플리케이션 프록시 사용하지 않고 Exchange에서 AD FS 인증 자체를 수행하려는 경우 7단계로 건너뛸 수 있습니다.
웹 애플리케이션 프록시 Windows Server 2012 R2의 새로운 원격 액세스 역할 서비스입니다. 웹 애플리케이션 프록시 회사 네트워크 내의 웹 애플리케이션에 대한 역방향 프록시 기능을 제공하여 많은 디바이스의 사용자가 회사 네트워크 외부에서 액세스할 수 있도록 합니다. 웹 애플리케이션 프록시 AD FS(Active Directory Federation Services)를 사용하여 웹 애플리케이션에 대한 액세스를 사전 인증하고 AD FS 프록시로도 작동합니다. 웹 애플리케이션 프록시 필요하지는 않지만 외부 클라이언트에서 AD FS에 액세스할 수 있는 경우 사용하는 것이 좋습니다. 그러나 웹 애플리케이션 프록시 통해 AD FS 인증을 사용하는 경우 Outlook Web App 오프라인 액세스는 지원되지 않습니다. 웹 애플리케이션 프록시 통합에 대한 자세한 내용은 내부 애플리케이션 게시를 위한 웹 애플리케이션 프록시 설치 및 구성을 참조하세요.
경고
AD FS가 설치되어 있는 것과 같은 서버에는 웹 응용 프로그램 프록시를 설치할 수 없습니다.
웹 응용 프로그램 프록시를 배포하려면 웹 응용 프로그램 프록시 서버로 사용할 서버에 웹 응용 프로그램 프록시 역할 서비스가 포함된 원격 액세스 서버 역할을 설치해야 합니다. 웹 응용 프로그램 프록시 역할 서비스를 설치하려면 다음을 수행합니다.
웹 응용 프로그램 프록시 서버의 Server Manager에서 관리와 역할 및 기능 추가를 차례로 클릭합니다.
역할 및 기능 추가 마법사에서 다음을 세 번 클릭하여 서버 역할 페이지로 이동합니다.
서버 역할 페이지의 목록에서 원격 액세스를 선택하고 다음을 클릭합니다.
기능 페이지에서 다음을 클릭합니다.
원격 액세스 페이지에서 정보를 확인하고 다음을 클릭합니다.
역할 서비스 페이지에서 웹 응용 프로그램 프록시를 선택합니다. 그런 다음 역할 및 기능 추가 마법사 창에서 기능 추가와 다음을 차례로 클릭합니다.
확인 창에서 설치를 클릭합니다. 필요한 경우 자동으로 대상 서버 다시 시작을 선택할 수도 있습니다.
설치 진행률 대화 상자에서 설치가 정상적으로 수행되었는지 확인한 후 닫기를 클릭합니다.
다음 Windows PowerShell cmdlet은 위의 단계와 동일한 작업을 수행합니다.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
5단계 - 웹 애플리케이션 프록시 역할 서비스 구성(선택 사항)
AD FS 서버에 연결하도록 웹 응용 프로그램 프록시를 구성해야 합니다. 웹 응용 프로그램 프록시 서버로 배포할 모든 서버에 대해 이 절차를 반복합니다.
웹 응용 프로그램 역할 서비스를 구성하려면 다음을 수행합니다.
웹 응용 프로그램 프록시 서버의 Server Manager에서 도구와 원격 액세스 관리를 차례로 클릭합니다.
구성 창에서 웹 응용 프로그램 프록시를 클릭합니다.
원격 액세스 관리 콘솔의 가운데 창에서 웹 응용 프로그램 프록시 구성 마법사 실행을 클릭합니다.
웹 응용 프로그램 프록시 구성 마법사의 시작 대화 상자에서 다음을 클릭합니다.
페더레이션 서버 페이지에서 다음 작업을 수행한 후 다음을 클릭합니다.
페더레이션 서비스 이름 상자에 AD FS 서버의 FQDN(정규화된 도메인 이름)을 입력합니다(예: adfs.contoso.com).
사용자 이름 및 암호 상자에 AD FS 서버의 로컬 관리자 계정 자격 증명을 입력합니다.
AD FS 프록시 인증서 대화 상자의 웹 응용 프로그램 프록시 서버에 현재 설치되어 있는 인증서 목록에서 AD FS 프록시 기능을 위해 웹 응용 프로그램 프록시에서 사용하도록 할 인증서를 선택하고 다음을 클릭합니다. 여기서 선택하는 인증서는 페더레이션 서비스 이름(예: adfs.contoso.com)의 주체인 인증서여야 합니다.
확인 대화 상자에서 설정을 검토합니다. 필요한 경우 Windows PowerShell cmdlet을 복사하여 추가 설치를 자동화할 수 있습니다. 구성을 클릭합니다.
결과 대화 상자에서 구성이 정상적으로 완료되었는지 확인한 후 닫기를 클릭합니다.
다음 Windows PowerShell cmdlet은 위의 단계와 동일한 작업을 수행합니다.
Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com
6단계 - 웹 애플리케이션 프록시 사용하여 Outlook Web App 및 EAC 게시(선택 사항)
3단계에서는 Outlook Web App 및 EAC에 대한 클레임 릴레이 파티 트러스트를 만들었으며 이제 두 애플리케이션을 모두 게시해야 합니다. 그러나 이 작업을 수행하기 전에 신뢰 당사자 트러스트가 생성되었는지 확인하고 웹 애플리케이션 프록시 서버에 Outlook Web App 및 EAC에 적합한 인증서가 있는지 확인합니다. 웹 애플리케이션 프록시 게시해야 하는 모든 AD FS 엔드포인트의 경우 AD FS 관리 콘솔에서 엔드포인트를 프록시 사용으로 설정해야 합니다.
웹 응용 프로그램 프록시를 사용하여 Outlook Web App을 게시하려면 다음 단계를 수행합니다. EAC에 대해서도 이러한 단계를 반복합니다. EAC를 게시할 때는 이름, 외부 URL, 외부 인증서 및 백 엔드 URL을 변경해야 합니다.
웹 응용 프로그램 프록시를 사용하여 Outlook Web App 및 EAC를 게시하려면 다음을 수행합니다.
웹 응용 프로그램 프록시 서버의 원격 액세스 관리 콘솔 탐색 창에서 웹 응용 프로그램 프록시를 클릭하고 작업 창에서 게시를 클릭합니다.
새 응용 프로그램 게시 마법사의 시작 페이지에서 다음을 클릭합니다.
사전 인증 페이지에서 AD FS(Active Directory Federation Services) 를 클릭하고 다음을 클릭합니다.
신뢰 당사자 페이지의 신뢰 당사자 목록에서 게시할 응용 프로그램의 신뢰 당사자를 선택하고 다음을 클릭합니다.
게시 설정 페이지에서 다음 작업을 수행한 후 다음을 클릭합니다.
이름 상자에 응용 프로그램의 이름을 입력합니다. 이 이름은 원격 액세스 관리 콘솔의 게시된 응용 프로그램 목록에서만 사용됩니다. 이름으로 OWA 및 EAC를 사용할 수 있습니다.
외부 URL 상자에 이 애플리케이션의 외부 URL(예
https://external.contoso.com/owa/
: Outlook Web App 및https://external.contoso.com/ecp/
EAC의 경우)을 입력합니다.외부 인증서 목록에서 주체 이름이 외부 URL의 호스트 이름과 일치하는 인증서를 선택합니다.
백 엔드 서버 URL 상자에 백 엔드 서버의 URL을 입력합니다. 이 값은 외부 URL을 입력할 때 자동으로 입력되며 백 엔드 서버 URL이 다른 경우에만 변경해야 합니다(예
https://mail.contoso.com/owa/
: Outlook Web App 및https://mail.contoso.com/ecp/
EAC의 경우).
참고
웹 응용 프로그램 프록시는 URL의 호스트 이름은 변환할 수 있지만 경로는 변환할 수 없습니다. 따라서 다른 호스트 이름을 입력할 수는 있지만 경로는 동일하게 입력해야 합니다. 예를 들어 의 외부 URL과 의
https://external.contoso.com/app1/
백 엔드 서버 URLhttps://mail.contoso.com/app1/
을 입력할 수 있습니다. 그러나 의 외부 URL과 의https://external.contoso.com/app1/
백 엔드 서버 URLhttps://mail.contoso.com/internal-app1/
을 입력할 수 없습니다.확인 페이지에서 설정을 검토하고 게시를 클릭합니다. Windows PowerShell 명령을 복사하여 게시되는 응용 프로그램을 추가로 설정할 수 있습니다.
결과 페이지에서 응용 프로그램이 정상적으로 게시되었는지 확인하고 닫기를 클릭합니다.
다음 Windows PowerShell cmdlet은 위의 Outlook Web App용 절차와 동일한 작업을 수행합니다.
Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'
다음 Windows PowerShell cmdlet은 위의 EAC용 절차와 동일한 작업을 수행합니다.
Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'
이러한 단계를 완료하면 웹 애플리케이션 프록시 Outlook Web App 및 EAC 클라이언트에 대해 AD FS 인증을 수행하고 대신 Exchange에 대한 연결을 프록시합니다. AD FS 인증을 위해 Exchange 자체를 구성할 필요가 없으므로 10단계를 진행하여 구성을 테스트합니다.
7단계 - AD FS 인증을 사용하도록 Exchange 2013 구성
Exchange 2013에서 Outlook Web App 및 EAC에 대해 클레임 기반 인증에 사용되도록 AD FS를 구성할 때는 Exchange 조직에 대해 AD FS를 사용하도록 설정해야 합니다. Set-OrganizationConfig cmdlet을 사용하여 조직의 AD FS 설정을 구성해야 합니다.
AD FS 발급자를
https://adfs.contoso.com/adfs/ls/
로 설정합니다.AD FS URI를
https://mail.contoso.com/owa/
및https://mail.contoso.com/ecp/
로 설정합니다.AD FS 서버에서 Windows PowerShell 사용하여 를 입력
Get-ADFSCertificate -CertificateType "Token-signing"
하여 AD FS 토큰 서명 인증서 지문을 찾습니다. 그런 다음 발견된 토큰 서명 인증서 지문을 할당합니다. AD FS 토큰 서명 인증서가 만료된 경우에는 Set-OrganizationConfig cmdlet을 사용하여 새 AD FS 토큰 서명 인증서의 지문을 업데이트해야 합니다.
Exchange 관리 셸에서 다음 명령을 실행합니다.
$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
참고
-AdfsEncryptCertificateThumbprint 매개 변수는 이러한 시나리오에서 지원되지 않습니다.
자세한 내용 및 구문은 Set-OrganizationConfig 및 Get-ADFSCertificate를 참조하세요.
8단계 - OWA 및 ECP 가상 디렉터리에서 AD FS 인증 사용
OWA 및 ECP 가상 디렉터리에 대해 유일한 인증 방법으로 AD FS 인증을 사용하도록 설정하고 기타 모든 인증 형식은 사용하지 않도록 설정합니다.
경고
OWA 가상 디렉터리를 구성하기 전에 ECP 가상 디렉터리를 구성해야 합니다.
Exchange 관리 셸을 사용하여 ECP 가상 디렉터리를 구성합니다. 셸 창에서 다음 명령을 실행합니다.
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
Exchange 관리 셸을 사용하여 OWA 가상 디렉터리를 구성합니다. 셸 창에서 다음 명령을 실행합니다.
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false
참고
위의 Exchange 관리 셸 명령은 조직의 모든 클라이언트 액세스 서버에서 OWA 및 ECP 가상 디렉터리를 구성합니다. 이러한 설정을 모든 클라이언트 액세스 서버에 적용하지 않으려면 -Identity 매개 변수를 사용하고 클라이언트 액세스 서버를 지정합니다. 조직에서 인터넷에 연결되는 클라이언트 액세스 서버에만 이러한 설정을 적용하면 됩니다.
자세한 내용과 구문은 Get-OwaVirtualDirectory 및 Set-OwaVirtualDirectory 또는 Get-EcpVirtualDirectory 및 Set-EcpVirtualDirectory를 참조하세요.
9단계 - IIS(인터넷 정보 서비스) 다시 시작 또는 재활용
Exchange 가상 디렉터리 변경을 비롯하여 필수 단계를 모두 완료한 후에는 인터넷 정보 서비스를 다시 시작해야 합니다. 이렇게 하려면 다음 방법 중 하나를 사용하면 됩니다.
Windows PowerShell 사용:
Restart-Service W3SVC,WAS -force
명령줄 사용: 시작을 클릭하고 실행을 클릭하고 를 입력
IISReset /noforce
한 다음 확인을 클릭합니다.IIS(인터넷 정보 서버) 관리자 사용: 서버 관리자>IIS에서 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다. IIS(인터넷 정보 서비스) 관리자 창의 작업 창에 있는 서버 관리에서 다시 시작을 클릭합니다.
10단계 - Outlook Web App 및 EAC에 대한 AD FS 클레임 테스트
Outlook Web App에 대해 AD FS 클레임을 테스트하려면 다음을 수행합니다.
웹 브라우저에서 Outlook Web App(예:
https://mail.contoso.com/owa
)에 로그인합니다.브라우저 창에서 인증서 오류가 표시되어도 Outlook Web App 웹 사이트로 계속해서 이동합니다. 자격 증명에 대한 ADFS 로그인 페이지 또는 ADFS 프롬프트로 리디렉션되어야 합니다.
사용자 이름(domain\user) 및 암호를 입력한 다음 로그인을 클릭합니다.
Outlook Web App 창에 로드됩니다.
EAC에 대해 AD FS 클레임을 테스트하려면 다음을 수행합니다.
웹 브라우저에서
https://mail.contoso.com/ecp
로 이동합니다.브라우저 창에서 인증서 오류가 표시되어도 ECP 웹 사이트로 계속 이동합니다. 자격 증명에 대한 ADFS 로그인 페이지 또는 ADFS 프롬프트로 리디렉션되어야 합니다.
사용자 이름(domain\user) 및 암호를 입력한 다음 로그인을 클릭합니다.
EAC가 창에 로드됩니다.
알고 있으면 유용한 추가 정보
다단계 인증
온-프레미스 Exchange 2013 SP1 배포의 경우 클레임을 사용하여 AD FS(Active Directory Federation Services) 2.0을 배포 및 구성하면 Exchange 2013 SP1의 Outlook Web App 및 EAC가 인증서 기반 인증, 인증 또는 보안 토큰, 지문 인증 등의 다단계 인증 방법을 지원할 수 있습니다. 2단계 인증을 다른 인증 형식과 혼동하는 경우가 많습니다. 다단계 인증을 사용하려면 세 가지 인증 단계 중 두 가지를 사용해야 합니다. 이러한 단계는 다음과 같습니다.
암호, PIN, 패턴 등 사용자만 알고 있는 요소
ATM 카드, 보안 토큰, 스마트 카드, 휴대폰 등 사용자만 가지고 있는 요소
지문 등의 생체 인식 특성과 같이 사용자에게만 있는 요소
Windows Server 2012 R2의 다단계 인증에 대한 자세한 내용은 개요: 추가 Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리 및 연습 가이드: Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리를 참조하세요.
Windows Server 2012 R2 AD FS 역할 서비스에서 페더레이션 서비스는 보안 토큰 서비스로 작동하고 클레임에 사용되는 보안 토큰을 제공하며 다단계 인증 지원 기능을 제공합니다. 페더레이션 서비스는 제공되는 자격 증명을 기준으로 토큰을 발급합니다. 계정 저장소에서 사용자 자격 증명을 확인하면 트러스트 정책의 규칙에 따라 사용자에 대한 클레임이 생성되어 클라이언트에게 발급된 보안 토큰에 추가됩니다. 클레임에 대한 자세한 내용은 클레임 이해를 참조하세요.
다른 버전의 Exchange와 Co-Existing
조직에 둘 이상의 Exchange 버전이 배포된 경우 Outlook Web App 및 EAC에 AD FS 인증을 사용할 수 있습니다. 이 시나리오는 Exchange 2010 및 Exchange 2013 배포에 대해서만 지원되며 모든 클라이언트가 Exchange 2013 서버를 통해 연결 되고 해당 Exchange 2013 서버가 AD FS 인증을 위해 구성된 경우에만 지원됩니다.
Exchange 2010 Server에 사서함이 있는 사용자는 AD FS 인증을 위해 구성된 Exchange 2013 서버를 통해 사서함에 액세스할 수 있습니다. Exchange 2013 서버에 대한 초기 클라이언트 연결은 AD FS 인증을 사용합니다. 그러나 Exchange 2010 서버에 대한 프록시 연결은 Kerberos를 사용합니다. 직접 AD FS 인증을 위해 Exchange Server 2010을 구성하는 방법은 지원되지 않습니다.