다음을 통해 공유

방법: Google을 ID 공급자로 구성

  • 아티클

업데이트: 2015년 6월 19일

Azure에 적용합니다.

중요

2014년 5월 19일 현재 새 ACS 네임스페이스에서 Google을 ID 공급자로 사용할 수 없습니다. Google을 사용하되 이 날짜보다 이전에 등록된 ACS 네임스페이스는 영향을 받지 않습니다. 자세한 내용은 릴리스 정보를 참조하세요.

적용 대상

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

요약

이 방법에서는 Google을 ID 공급자 ACS로 구성하는 방법을 설명합니다. ASP.NET 웹 응용 프로그램에 대해 Google을 ID 공급자로 구성하면 사용자들이 Google 계정에 로그온하여 ASP.NET 웹 응용 프로그램에 인증할 수 있습니다.

콘텐츠

  • 목표

  • 개요

  • 단계 요약

  • 1단계 – 네임스페이스 만들기

  • 2단계 - Google을 ID 공급자로 구성

  • 3단계 - 신뢰 당사자와의 트러스트 구성

  • 4단계 - 토큰 변환 규칙 구성

  • 5단계 - 네임스페이스에서 표시하는 엔드포인트 검토

목표

  • Microsoft Azure 프로젝트 및 네임스페이스를 만듭니다.

  • Google을 ID 공급자로 사용하도록 네임스페이스를 구성합니다.

  • 트러스트 및 토큰 변환 규칙을 구성합니다.

  • 엔드포인트 참조, 서비스 목록 및 메타데이터 엔드포인트를 파악합니다.

개요

Google을 ID 공급자로 구성하면 인증 및 ID 관리 메커니즘을 만들고 관리할 필요가 없습니다. 따라서 익숙한 인증 절차가 있는 경우 최종 사용자 환경을 간단하게 유지할 수 있습니다. ACS를 사용하면 애플리케이션에서 이를 쉽게 사용하고 최종 사용자에게 이러한 기능을 제공할 수 있는 구성을 쉽게 설정할 수 있습니다. 이 방법 문서에서는 이러한 작업을 수행하는 방법을 설명합니다. 다음 다이어그램에서는 사용할 ACS 신뢰 당사자를 구성하는 전체 흐름을 보여 줍니다.

ACS v2 Workflow

단계 요약

Google을 응용 프로그램의 ID 공급자로 구성하려면 다음 단계를 수행합니다.

  • 1단계 – 네임스페이스 만들기

  • 2단계 - Google을 ID 공급자로 구성

  • 3단계 - 신뢰 당사자와의 트러스트 구성

  • 4단계 - 토큰 변환 규칙 구성

  • 5단계 - 네임스페이스에서 표시하는 엔드포인트 검토

1단계 – 네임스페이스 만들기

이 단계에서는 Azure 프로젝트에 Access Control 네임스페이스를 만듭니다. Google을 기존 네임스페이스의 ID 공급자로 구성하려는 경우에는 이 단계를 건너뛸 수 있습니다.

Azure 프로젝트에서 Access Control 네임스페이스를 만들려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 만들려면 새로 만들기, App Services, Access Control, 빨리 만들기를 차례로 클릭합니다. 또는 새로 만들기를 클릭하기 전에 Access Control 네임스페이스를 클릭합니다.

2단계 - Google을 ID 공급자로 구성

이 단계에서는 Google을 기존 네임스페이스의 ID 공급자로 구성하는 방법을 보여 줍니다.

Google을 기존 네임스페이스의 ID 공급자로 구성하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. ACS 포털에서 ID 공급자를 클릭합니다.

  4. ID 공급자 추가 페이지에서 추가를 클릭한 후 Google을 선택합니다.

  5. Google ID 공급자 추가 페이지에서 저장을 클릭합니다.

3단계 - 신뢰 당사자와의 트러스트 구성

이 단계에서는 신뢰 당사자라고 하는 애플리케이션과 ACS 간에 트러스트 구성하는 방법을 보여 줍니다.

트러스트를 구성하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. ACS 포털에서 신뢰 당사자 애플리케이션을 클릭한 다음 추가를 클릭합니다.

  4. 신뢰 당사자 응용 프로그램 추가 페이지에서 다음 필드에 대해 다음 값을 지정합니다.

    • 이름 - 선택한 임의의 이름입니다.

    • 영역 - 영역은 ACS에서 발급한 토큰이 유효한 URI입니다.

    • 반환 URL - 반환 URL은 ACS가 지정된 신뢰 당사자 애플리케이션에 대해 발급된 토큰을 게시하는 URL을 정의합니다.

    • 토큰 형식 - 토큰 형식은 신뢰 당사자 애플리케이션에 대한 토큰 ACS 문제의 유형을 정의합니다.

    • 토큰 암호화 정책 - 선택적으로 ACS는 신뢰 당사자 애플리케이션에 발급된 SAML 1.1 또는 SAML 2.0 토큰을 암호화할 수 있습니다.

    • 토큰 수명 - 토큰 수명은 ACS에서 신뢰 당사자 애플리케이션에 발급한 토큰의 TTL(Time to Live)을 지정합니다.

    • ID 공급자 - 이 필드에서는 신뢰 당사자 응용 프로그램에 사용할 ID 공급자를 지정할 수 있습니다. Google이 선택되어 있는지 확인합니다.

    • 규칙 그룹 - ID 공급자에서 신뢰 당사자 응용 프로그램에서 전달되는 사용자 ID 클레임을 정의하는 규칙이 포함되어 있습니다.

    • 토큰 서명 - ACS는 X.509 인증서(프라이빗 키 포함) 또는 256비트 대칭 키를 사용하여 발급하는 모든 보안 토큰에 서명합니다.

    각 필드에 대한 자세한 내용은 신뢰 당사자 애플리케이션을 참조하세요.

  5. 저장을 클릭합니다.

4단계 - 토큰 변환 규칙 구성

이 단계에서는 ACS에서 신뢰 당사자 애플리케이션으로 보낼 클레임을 구성하는 방법을 보여 줍니다. 예를 들어 Google은 기본적으로 사용자 메일을 보내지 않습니다. 따라서 원하는 클레임을 응용 프로그램에 제공하는 ID 공급자와 클레임 변환 방법을 구성해야 합니다. 다음 절차에서는 응용 프로그램에서 사용할 수 있도록 토큰에서 메일 주소를 통과시키는 규칙을 추가하는 방법을 간략하게 설명합니다.

토큰 클레임 변환 규칙을 구성하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. ACS 포털에서 규칙 그룹을 클릭한 다음 추가를 클릭합니다. 또는 기존의 규칙 그룹을 편집할 수 있습니다.

  4. 새 그룹의 이름을 지정하고 저장을 클릭합니다.

  5. 규칙 그룹 편집에서 추가를 클릭합니다.

  6. 클레임 규칙 추가 페이지에서 다음 값을 지정합니다.

    • 클레임 발급자: ID 공급자Google을 선택합니다.

    • 입력 클레임 유형: 선택 유형https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • 입력 클레임 값: 원하는 값을 선택합니다.

    • 출력 클레임 유형: 입력 클레임 형식 통과를 선택합니다.

    • 출력 클레임 값: 입력 클레임 값 통과를 선택합니다.

    • 원하는 경우 설명에 규칙에 대한 설명을 추가합니다.

  7. 규칙 그룹 편집 페이지에서 저장을 클릭합니다.

  8. 원하는 신뢰 당사자 응용 프로그램을 클릭합니다.

  9. 아래쪽의 규칙 그룹 섹션으로 스크롤하여 새 규칙 그룹을 선택한 후 저장을 클릭합니다.

5단계 - 네임스페이스에서 표시하는 엔드포인트 검토

이 단계에서는 ACS에서 노출하는 엔드포인트에 대해 잘 알고 있습니다. 예를 들어 ACS는 페더레이션 인증을 위해 ASP.NET 웹 애플리케이션을 구성할 때 FedUtil에서 사용하는 WS-Federation 메타데이터 엔드포인트를 노출합니다.

ACS에서 표시하는 엔드포인트를 검토하려면

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. ACS 포털에서 애플리케이션 통합을 클릭합니다.

  4. 엔드포인트 참조 표를 검토합니다. 예를 들어 URL을 통해 표시되는 WS-Federation 메타데이터는 다음과 같습니다(네임스페이스는 다름).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml

참고 항목

개념

ACS 사용 방법