다음을 통해 공유

방법: 규칙을 사용하여 토큰 변환 논리 구현

  • 아티클

업데이트: 2015년 6월 19일

Azure에 적용합니다.

적용 대상

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

요약

이 항목에서는 ACS 관리 포털을 사용하여 입력 클레임을 출력 클레임으로 변환하는 규칙을 만드는 방법을 설명합니다.

콘텐츠

  • 목표

  • 개요

  • 단계 요약

  • 1단계 - 관리 포털의 규칙 그룹 페이지로 이동

  • 2단계 - 새 규칙 자동 생성

  • 3단계 - 통과 규칙 만들기

  • 4단계 - 고급 변환 규칙 만들기

  • 5단계 - 사용 가능한 규칙 그룹 검토

  • 6단계 - 특정 규칙 그룹에 사용할 신뢰 당사자 구성

목표

  • 클레임 변환 규칙과 관련된 액세스 제어 관리 포털 섹션을 파악합니다.

  • 기본 규칙을 만듭니다.

  • 고급 규칙을 만듭니다.

  • ID 공급자 클레임을 기반으로 규칙을 만듭니다.

  • ACS 클레임을 기반으로 규칙을 만듭니다.

개요

클레임 규칙은 ACS 입력 클레임을 출력 클레임으로 변환하기 위한 논리를 설명합니다. 규칙은 신뢰 당사자 응용 프로그램과 연결된 규칙 그룹에 포함되며, 규칙은 신뢰 당사자 애플리케이션에 대한 토큰이 ACS에 발급될 때마다 실행됩니다. 규칙 그룹에 규칙이 없는 경우 ACS는 신뢰 당사자 애플리케이션에 토큰을 발급하지 않습니다.

단계 요약

토큰 클레임 변환에 대한 규칙을 만들려면 다음 단계를 수행합니다. 특정 시나리오의 경우 일부 단계는 선택 사항일 수 있습니다.

  • 1단계 - 관리 포털의 규칙 그룹 페이지로 이동

  • 2단계 - 새 규칙 자동 생성

  • 3단계 - 통과 규칙 만들기

  • 4단계 - 고급 변환 규칙 만들기

  • 5단계 - 사용 가능한 규칙 그룹 검토

  • 6단계 - 특정 규칙 그룹에 사용할 신뢰 당사자 구성

1단계 - 관리 포털의 규칙 그룹 페이지로 이동

이 단계에서는 규칙을 만들어 규칙 그룹에 추가하는 관리 포털의 규칙 그룹 페이지로 이동하는 방법을 보여 줍니다.

관리 포털의 규칙 그룹 페이지로 이동하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 만들려면 새로 만들기, App Services, Access Control, 빨리 만들기를 차례로 클릭합니다. 또는 새로 만들기를 클릭하기 전에 Access Control 네임스페이스를 클릭합니다.

  3. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  4. Access Control Service 페이지에서 규칙 그룹을 클릭합니다.

2단계 - 새 규칙 자동 생성

이 단계에서는 기본 규칙을 생성하는 방법을 보여 줍니다.

기본 규칙을 자동 생성하려면

  1. 규칙 그룹을 클릭합니다.

  2. 새 규칙 그룹을 만들려면 규칙 그룹 페이지에서 추가를 클릭합니다.

  3. 새 규칙 그룹의 이름을 입력하고 저장을 클릭합니다.

  4. 기본 규칙을 자동 생성하려면 규칙 생성을 클릭합니다.

  5. 규칙 생성 페이지에서 생성할 규칙 옆에 있는 확인란을 통해 ID 공급자를 지정한 다음 생성을 클릭합니다.

  6. 자동으로 생성된 규칙을 검토합니다. 예를 들어 Google 및 Windows Live ID(Microsoft 계정)에 대해 자동으로 생성되는 규칙은 다음 표의 결과와 유사합니다. ID 공급자가 표시되면 저장을 클릭합니다.

    출력 클레임 클레임 발급자 규칙 설명

    emailaddress

    Google

    Google의 "emailaddress"를 "emailaddress"로 통과시킵니다.

    name

    Google

    Google의 "name"을 "name"으로 통과시킵니다.

    nameidentifier

    Google

    Google의 "nameidentifier"를 "nameidentifier"로 통과시킵니다.

    nameidentifier

    Windows Live ID

    Windows Live ID의 "nameidentifier"를 "nameidentifier"로 통과시킵니다.

  7. 원하는 ID 공급자가 표시되지 않는 경우에는 관리 포털의 ID 공급자 페이지로 돌아가서 ID 공급자를 지정해야 합니다.

  8. ID 공급자를 추가하려면 다음의 방법 항목에 설명된 단계를 따릅니다.

3단계 - 통과 규칙 만들기

이 단계에서는 통과 규칙을 만드는 방법을 보여 줍니다. 통과 규칙은 나가는 클레임이 들어오는 클레임과 정확히 같은 규칙입니다.

통과 규칙을 만들려면

  1. 규칙 그룹을 클릭합니다.

  2. 규칙 그룹 페이지에서 원하는 규칙 그룹을 클릭한 다음 추가를 클릭합니다.

  3. 클레임 규칙 추가 페이지에서 다음 특성을 지정합니다.

    • 클레임 발급자 - 드롭다운 목록에서 원하는 ID 공급자(예: Google 또는 Windows Live ID)를 선택하거나 액세스 제어 서비스 라디오 단추를 클릭합니다.

    • (및) 입력 클레임 유형 - 모든 들어오는 클레임에 대해 임의를 지정하거나 드롭다운 목록에서 특정 클레임 유형을 선택합니다.

    • (및) 입력 클레임 값 - 통과시킬 모든 클레임 값에 대해 임의를 지정하거나, 지정한 값 하나만 통과시키려면 값 입력 상자에 특정 클레임 값을 지정합니다.

    • 출력 클레임 유형 - 통과 입력 클레임 유형 라디오 단추를 선택하여 특정 클레임 유형을 지정합니다.

    • 출력 클레임 값 - 통과 입력 클레임 값 라디오 단추를 선택하여 특정 클레임 값을 지정합니다.

    • 선택적으로 규칙의 설명을 추가하고 저장을 클릭할 수 있습니다(권장).

4단계 - 고급 변환 규칙 만들기

이 단계에서는 자동 생성 규칙과 통과 규칙이 아닌 고급 변환 규칙을 만드는 방법을 보여 줍니다.

고급 변환 규칙을 만들려면

  1. 규칙 그룹을 클릭합니다.

  2. 규칙 그룹 페이지에서 원하는 규칙 그룹을 클릭한 다음 추가를 클릭합니다.

  3. 클레임 규칙 추가 페이지에서 다음 특성을 지정합니다.

    • 클레임 발급자 - Windows Live ID, Google, Facebook, Yahoo! 등의 ID 공급자에서 받은 클레임을 변환하려면 특정 ID 공급자 라디오 단추를 선택합니다. 다른 규칙에서 출력된 클레임 또는 서비스 ID(여기서는 웹 서비스)의 클레임을 변환하려면 액세스 제어 서비스를 선택합니다.

    • (및) 입력 클레임 유형 - 드롭다운 상자에서 변환할 클레임 유형을 선택하거나, 원하는 유형이 없으면 유형 입력 텍스트 상자에 클레임 유형을 입력합니다.

    • (및) 입력 클레임 값 - 특정 값과 일치하는 클레임만 변환하려면 값 입력 텍스트 상자에 해당 값을 지정합니다.

    • 출력 클레임 유형 - 들어오는 클레임에 매핑할 출력 클레임 유형을 선택하거나, 원하는 유형이 없으면 유형 입력 텍스트 상자에 클레임 유형을 입력합니다.

    • 출력 클레임 값 - 출력 클레임에 상수 값을 생성하려면 값 입력 텍스트 상자에 해당 값을 지정합니다.

5단계 - 사용 가능한 규칙 그룹 검토

이 단계에서는 클레임 변환 규칙을 포함하는 규칙 그룹을 검토하는 방법을 보여 줍니다. 규칙 그룹은 신뢰 당사자 응용 프로그램과 직접 연결됩니다. 하나의 규칙 그룹을 여러 신뢰 당사자 응용 프로그램에서 사용할 수 있으며, 하나의 신뢰 당사자 응용 프로그램에서 여러 규칙 그룹을 참조할 수 있습니다. 사용 가능한 규칙 그룹을 검토하려면 1단계에서 설명한 단계를 수행합니다. 관리 포털의 규칙 그룹 페이지로 이동합니다.

6단계 - 특정 규칙 그룹에 사용할 신뢰 당사자 구성

이 단계에서는 신뢰 당사자(웹 응용 프로그램 또는 RESTful 웹 서비스)에 대해 특정 규칙 그룹을 설정하는 방법을 보여 줍니다.

특정 규칙 그룹에 사용할 신뢰 당사자를 구성하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. 신뢰 당사자 응용 프로그램을 클릭합니다.

  4. 신뢰 당사자 응용 프로그램 페이지에서 원하는 신뢰 당사자를 클릭합니다.

  5. 아래의 규칙 그룹 섹션으로 스크롤한 다음 해당 신뢰 당사자에 적용할 모든 규칙 그룹을 선택합니다.

  6. 저장을 클릭합니다.