개요
AD FS(Active Directory Federation Services)는 해당 토큰을 Microsoft Entra ID에 서명하여 변조할 수 없도록 합니다. 이 서명은 SHA1 또는 SHA256을 기반으로 할 수 있습니다. 이제 Microsoft Entra ID는 SHA256 알고리즘으로 서명된 토큰을 지원하며, 최고 수준의 보안을 위해 토큰 서명 알고리즘을 SHA256으로 설정하는 것이 좋습니다. 이 문서에서는 토큰 서명 알고리즘을 보다 안전한 SHA256 수준으로 설정하는 데 필요한 단계를 설명합니다.
메모
SHA1보다 더 안전하지만 SHA1은 여전히 지원되는 옵션으로 남아 있으므로 토큰 서명 알고리즘으로 SHA256을 사용하는 것이 좋습니다.
토큰 서명 알고리즘 변경
아래 두 프로세스 중 하나를 사용하여 서명 알고리즘을 설정한 후 AD FS는 SHA256을 사용하여 Microsoft 365 신뢰 당사자 트러스트에 대한 토큰에 서명합니다. 추가 구성을 변경할 필요가 없으며, 이 변경 내용은 Microsoft 365 또는 기타 Microsoft Entra 애플리케이션에 액세스하는 기능에 영향을 주지 않습니다.
AD FS 관리 콘솔
- 기본 AD FS 서버에서 AD FS 관리 콘솔을 엽니다.
- AD FS 노드를 확장하고 신뢰 당사자 트러스트을 클릭합니다.
- Microsoft 365/Azure 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭하고 속성선택합니다.
- 고급 탭을 선택하고 보안 해시 알고리즘 SHA256을 선택합니다.
- 확인을 클릭합니다.
AD FS PowerShell cmdlet들
AD FS 서버에서 관리자 권한으로 PowerShell을 엽니다.
Set-AdfsRelyingPartyTrust cmdlet을 사용하여 보안 해시 알고리즘을 설정합니다.
Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'