다음을 통해 공유

클레임 기반 인증에 대해 AD FS 서버 구성

  • 아티클

 

게시 날짜: 2017년 1월

적용 대상: Dynamics 365 (on-premises), Dynamics CRM 2016

클레임 기반 인증을 사용하도록 설정한 후 다음 단계는 AD FS에서 클레임 공급자 및 신뢰 당사자 신뢰를 추가하고 구성하는 것입니다.

클레임 공급자 신뢰 구성

Active Directory에서 UPN(사용자 계정 이름) 특성을 가져와서 UPN으로 Microsoft Dynamics 365에 보내는 클레임 규칙을 추가해야 합니다.

UPN LDAP 특성을 신뢰 당사자에게 클레임으로 보내도록 AD FS를 구성합니다.

  1. AD FS를 실행 중인 서버에서 AD FS 관리를 시작합니다.

  2. 탐색 창에서 신뢰 관계를 확장한 후 클레임 공급자 신뢰를 클릭합니다.

  3. 클레임 공급자 신뢰에서 Active Directory를 마우스 오른쪽 단추로 클릭한 후 클레임 규칙 편집을 클릭합니다.

  4. 규칙 편집기에서 규칙 추가를 클릭합니다.

  5. 클레임 규칙 템플릿 목록에서 LDAP 특성을 클레임으로 보내기 템플릿을 선택한 후 다음을 클릭합니다.

  6. 다음 규칙을 만듭니다.

    • 클레임 규칙 이름: UPN 클레임 규칙(또는 다른 설명적인 이름)

    • 다음 매핑을 추가합니다.

      1. 특성 저장소: Active Directory

      2. LDAP 특성: 사용자 계정 이름

      3. 발신 클레임 유형: UPN

  7. 마침을 클릭한 후 확인을 클릭하여 규칙 편집기를 닫습니다.

신뢰 당사자 신뢰 구성

클레임 기반 인증을 사용하도록 설정한 후 Microsoft Dynamics 365 Server를 신뢰 당사자로 구성하여 내부 클레임 액세스 인증에 AD FS의 클레임을 사용해야 합니다.

  1. AD FS를 실행 중인 서버에서 AD FS 관리를 시작합니다.

  2. 탐색 창에서 신뢰 관계를 확장한 후 신뢰 당사자 신뢰를 클릭합니다.

  3. 오른쪽 열에 있는 작업 메뉴에서 신뢰 당사자 신뢰 추가를 클릭합니다.

  4. 신뢰 당사자 신뢰 추가 마법사에서 시작을 클릭합니다.

  5. 데이터 원본 선택 페이지에서 신뢰 당사자 게시 온라인 또는 로컬 네트워크에 대한 데이터 가져오기를 클릭한 후 federationmetadata.xml 파일을 찾도록 URL을 입력합니다.

    이 페더레이션 메타데이터는 클레임 설정 중 만들어집니다.마침을 클릭하기 전에 클레임 기반 인증 구성 마법사의 마지막 페이지에 나열된 URL(예: https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml)을 사용합니다. 인증서 관련 경고가 나타나지 않아야 합니다.

  6. 다음을 클릭합니다.

  7. 표시 이름 지정 페이지에서 Dynamics 365 클레임 신뢰 당사자와 같은 표시 이름을 입력한 후 다음을 클릭합니다.

  8. 지금 다단계 인증 구성 페이지에서 선택하고 다음을 클릭합니다.

  9. 발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 클릭한 후 다음을 클릭합니다.

  10. 신뢰 추가 준비 완료 페이지의 식별자 탭에서 신뢰 당사자 식별자에 다음과 같은 단일 식별자가 있는지 확인합니다.

    식별자가 위의 예제와 다를 경우 신뢰 당사자 신뢰 추가 마법사에서 이전을 클릭하고 페더레이션 메타데이터 주소를 확인합니다.

  11. 다음을 클릭한 후 닫기를 클릭합니다.

  12. 규칙 편집기가 나타나면 규칙 추가를 클릭합니다. 그렇지 않으면 신뢰 당사자 신뢰 목록에서 만든 신뢰 당사자 개체를 마우스 오른쪽 단추로 클릭하고 클레임 규칙 편집을 클릭한 후 규칙 추가를 클릭합니다.

    중요

    발급 변환 규칙 탭이 선택되어 있어야 합니다.

  13. 클레임 규칙 템플릿 목록에서 수신 클레임 통과 또는 필터링 템플릿을 선택한 후 다음을 클릭합니다.

  14. 다음 규칙을 만듭니다.

    • 클레임 규칙 이름: UPN 통과(또는 다른 설명적인 이름)

    • 다음 매핑을 추가합니다.

      1. 수신 클레임 유형: UPN

      2. 모든 클레임 값 통과

  15. 마침을 클릭합니다.

  16. 규칙 편집기에서 규칙 추가를 클릭하고 클레임 규칙 템플릿 목록에서 수신 클레임 통과 또는 필터링 템플릿을 선택한 후 다음을 클릭합니다.

  17. 다음 규칙을 만듭니다.

    • 클레임 규칙 이름: 기본 SID 통과(또는 다른 설명적인 이름)

    • 다음 매핑을 추가합니다.

      1. 수신 클레임 유형: 기본 SID

      2. 모든 클레임 값 통과

  18. 마침을 클릭합니다.

  19. 규칙 편집기에서 규칙 추가를 클릭합니다.

  20. 클레임 규칙 템플릿 목록에서 수신 클레임 변환 템플릿을 선택한 후 다음을 클릭합니다.

  21. 다음 규칙을 만듭니다.

    • 클레임 규칙 이름: Windows 계정 이름 변환(또는 다른 설명적인 이름)

    • 다음 매핑을 추가합니다.

      1. 수신 클레임 유형: Windows 계정 이름

      2. 발신 클레임 유형 이름

      3. 모든 클레임 값 통과

  22. 마침을 클릭하고 규칙을 세 개 모두 만들었으면 확인을 클릭하여 규칙 편집기를 닫습니다.

    Three claims rules

    이 그림은 만든 신뢰 당사자 신뢰 규칙 세 개를 보여 줍니다.

만든 신뢰 당사자 신뢰는 AD FS 페더레이션 서비스가 Microsoft Dynamics 365 신뢰 당사자를 인식하는 방법을 정의하고 신뢰 당사자에게 클레임을 발급합니다.

양식 인증 사용

Windows Server 2012 R2의 AD FS에서 양식 인증은 기본적으로 설정되어 있지 않습니다.

  1. AD FS 서버에 관리자로 로그온합니다.

  2. AD FS 관리 콘솔을 열고 인증 정책을 클릭합니다.

  3. 기본 인증, 전역 설정, 인증 방법에서 편집을 클릭합니다.

  4. 인트라넷에서 양식 인증을 사용하도록 설정한 다음 확인을 클릭합니다.

Enable forms authentication

Windows Server 2016의 경우 cmdlet을 실행합니다.

AD FS 서버가 Windows Server 2016을 실행 중이면 다음 Windows PowerShell cmdlet을 실행합니다.

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: AD FS 클라이언트의 클라이언트 ID. 예: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: 신뢰 당사자의 식별자. 예: https://adventureworkscycle3.crm.crmifd.com/

자세한 내용은 AD FS 응용 프로그램 권한 부여를 참조하십시오.

참고 항목

클레임 기반 인증 구현: 내부 액세스

© 2017 Microsoft. All rights reserved. 저작권 정보