중요 애플리케이션에 추가 Multi-Factor Authentication을 사용하여 위험 관리
이 가이드의 내용
이 가이드에서는 다음 정보를 제공합니다.
ADFS의 인증 메커니즘 - Windows Server 2012 R2의 ADFS(Active Directory Federation Services)에서 사용할 수 있는 인증 메커니즘에 대한 설명입니다.
시나리오 개요 - 사용자의 그룹 멤버십을 기반으로 멀티팩터 인증(MFA)을 사용하도록 하기 위해 ADFS(Active Directory Federation Services)를 사용하는 시나리오에 대한 설명입니다.
참고 항목
Windows Server 2012 R2의 ADFS에서는 네트워크 위치, 장치 ID, 사용자 ID 또는 그룹 구성원 자격을 기반으로 MFA를 사용하도록 설정할 수 있습니다.
이 시나리오를 구성하고 검증하기 위한 자세한 단계별 안내는 연습하기 가이드를 참조하세요: 민감한 애플리케이션을 위한 추가 다단계 인증으로 위험 관리를 참조하세요.
주요 개념 - AD FS의 인증 메커니즘
AD FS의 인증 메커니즘 이점
Windows Server 2012 R2의 ADFS(Active Directory Federation Services)는 IT 관리자에게 회사 리소스에 액세스하려는 사용자를 인증하기 위한 보다 풍부하고 유연한 도구 세트를 제공합니다. 관리자는 기본 및 추가 인증 방법을 유연하게 제어할 수 있고, 사용자 인터페이스와 Windows PowerShell을 통해 인증 정책을 구성할 수 있는 풍부한 관리 환경을 제공하며, ADFS로 보호되는 애플리케이션 및 서비스에 액세스하는 최종 사용자의 환경을 개선할 수 있습니다. 다음은 Windows Server 2012 R2에서 ADFS를 사용하여 응용 프로그램 및 서비스를 보호할 때 얻을 수 있는 몇 가지 이점입니다:
글로벌 인증 정책 - IT 관리자가 보호된 리소스에 액세스하는 네트워크 위치에 따라 사용자를 인증하는 데 사용할 인증 방법을 선택할 수 있는 중앙 관리 기능입니다. 이를 통해 관리자는 다음을 수행할 수 있습니다.
엑스트라넷의 액세스 요청에 더욱 보안이 강화된 인증 방법 사용
연속된 두 번째 단계 인증에 디바이스 인증 사용. 이렇게 하면 리소스에 액세스하는 데 사용되는 등록된 장치에 사용자의 신원을 연결하여 보호된 리소스에 액세스하기 전에 보다 안전한 복합 신원 확인을 제공합니다.
참고 항목
장치 개체, 장치 등록 서비스, Workplace 가입, 원활한 2단계 인증 및 SSO로서의 장치에 대한 자세한 내용은 회사 애플리케이션 전반에서 SSO 및 원활한 2단계 인증을 위해 모든 장치에서 Workplace에 가입하기를 참조하세요.
모든 엑스트라넷 액세스에 대해 또는 사용자의 ID, 네트워크 위치 또는 보호된 리소스에 액세스하는 데 사용되는 장치에 따라 조건부로 MFA 요구 사항을 설정하세요.
인증 정책 구성의 유연성 향상: 다양한 비즈니스 가치를 가진 ADFS 보안 리소스에 대한 사용자 지정 인증 정책을 구성할 수 있습니다. 예를 들어 비즈니스 영향력이 높은 애플리케이션에 MFA를 요구할 수 있습니다.
사용 편의성: GUI 기반 ADFS 관리 MMC 스냅인 및 Windows PowerShell cmdlet과 같은 간단하고 직관적인 관리 도구를 통해 IT 관리자는 비교적 쉽게 인증 정책을 구성할 수 있습니다. Windows PowerShell을 사용하여 규모에 따라 사용할 솔루션을 스크립팅하고 일반적인 관리 작업을 자동화할 수 있습니다.
회사 자산에 대한 제어력 향상: 관리자는 ADFS를 사용하여 특정 리소스에 적용되는 인증 정책을 구성할 수 있으므로 회사 리소스를 보호하는 방법을 더 잘 제어할 수 있습니다. IT 관리자가 지정한 인증 정책을 애플리케이션에서 재정의할 수 없습니다. 중요한 애플리케이션 및 서비스의 경우 리소스에 액세스할 때마다 MFA 요구 사항, 디바이스 인증 및 새로운 인증(선택 사항)을 사용하도록 설정할 수 있습니다.
사용자 지정 MFA 공급자 지원: 타사 MFA 방법을 활용하는 조직을 위해 ADFS는 이러한 인증 방법을 원활하게 통합하고 사용할 수 있는 기능을 제공합니다.
인증 범위
Windows Server 2012 R2의 ADFS에서는 ADFS로 보호되는 모든 응용 프로그램 및 서비스에 적용할 수 있는 전역 범위의 인증 정책을 지정할 수 있습니다. 또한 ADFS로 보호되는 특정 애플리케이션 및 서비스(신뢰 당사자 트러스트)에 대한 인증 정책을 설정할 수도 있습니다. 특정 애플리케이션(신뢰 당사자 트러스트별)에 대한 인증 정책을 지정해도 전역 인증 정책은 재정의되지 않습니다. 전역 또는 신뢰 당사자 트러스트별 인증 정책에서 MFA를 요구하는 경우에는 사용자가 이 신뢰 당사자 트러스트에 인증하려고 하면 MFA가 트리거됩니다. 특정 인증 정책을 구성하지 않은 신뢰 당사자 트러스트(애플리케이션 및 서비스)에는 전역 인증 정책이 적용됩니다.
글로벌 인증 정책은 ADFS에 의해 보호되는 모든 신뢰 당사자에게 적용됩니다. 전역 인증 정책의 일부로 다음 설정을 구성할 수 있습니다.
기본 인증에 사용할 인증 방법
MFA에 대한 설정 및 방법
디바이스 인증 사용 여부. 자세한 내용은 참조 SSO 및 원활한 두 번째 단계 인증에서 회사 애플리케이션에 대 한 모든 디바이스에서 작업 공간 가입합니다.
신뢰 당사자 트러스트별 인증 정책은 신뢰 당사자 트러스트(애플리케이션 또는 서비스)에 액세스하려는 경우에 특별히 적용됩니다. 신뢰 당사자 트러스트별 인증 정책의 일부로 다음 설정을 구성할 수 있습니다.
사용자가 로그인할 때마다 자격 증명을 제공해야 하는지 여부
사용자/그룹, 디바이스 등록 및 액세스 요청 위치 데이터에 따른 MFA 설정
기본 및 추가 인증 방법
Windows Server 2012 R2의 ADFS를 사용하면 관리자는 기본 인증 메커니즘 외에도 추가 인증 방법을 구성할 수 있습니다. 기본 인증 방법은 기본 제공되며 사용자의 신원을 확인하기 위한 것입니다. 추가 인증 요소를 구성하여 사용자 신원에 대한 더 많은 정보를 제공하도록 요청하고 결과적으로 더 강력한 인증을 보장할 수 있습니다.
Windows Server 2012 R2의 ADFS에서 주 인증을 사용하면 다음과 같은 옵션이 있습니다.
회사 네트워크 외부에서 액세스할 수 있는 게시된 리소스의 경우 폼 인증이 기본적으로 선택됩니다. 또한 인증서 인증(즉, 스마트 카드 기반 인증 또는 AD DS와 함께 작동하는 사용자 클라이언트 인증서 인증)를 사용할 수도 있습니다.
인트라넷 리소스의 경우 Windows 인증이 기본적으로 선택됩니다. 또한 폼 및/또는 인증서 인증을 사용할 수도 있습니다.
둘 이상의 인증 방법을 선택하여 사용자가 애플리케이션이나 서비스에 대한 로그인 페이지에서 인증 방법을 선택하도록 할 수 있습니다.
또한 연속된 두 번째 단계 인증에 디바이스 인증을 사용할 수 있습니다. 이렇게 하면 리소스에 액세스하는 데 사용되는 등록된 장치에 사용자의 신원을 연결하여 보호된 리소스에 액세스하기 전에 보다 안전한 복합 신원 확인을 제공합니다.
참고 항목
장치 개체, 장치 등록 서비스, Workplace 가입, 원활한 2단계 인증 및 SSO로서의 장치에 대한 자세한 내용은 회사 애플리케이션 전반에서 SSO 및 원활한 2단계 인증을 위해 모든 장치에서 Workplace에 가입하기를 참조하세요.
인트라넷 리소스에 대해 Windows 인증 방법(기본 옵션)을 지정한 경우에는 인증 요청 시 Windows 인증을 지원하는 브라우저에서 이 방법이 연속적으로 실행됩니다.
참고 항목
일부 브라우저에서는 Windows 인증이 지원되지 않습니다. Windows Server 2012 R2의 ADFS의 인증 메커니즘은 사용자의 브라우저 사용자 에이전트를 검색하고 구성 가능한 설정을 사용하여 해당 사용자 에이전트가 Windows 인증을 지원하는지 여부를 결정합니다. 관리자는 Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents
명령을 통해 사용자 에이전트 목록에 이를 추가하여 Windows 인증을 지원하는 브라우저에 대해 다른 사용자 에이전트 문자열을 지정할 수 있습니다. 클라이언트의 사용자 에이전트가 Windows 인증을 지원하지 않는 경우 기본 대체 방법은 양식 인증입니다.
MFA 구성
Windows Server 2012 R2의 ADFS에서 MFA를 구성하는 방법에는 MFA가 필요한 조건을 지정하는 것과 추가 인증 방법을 선택하는 두 가지 부분이 있습니다. 추가 인증 방법에 대한 자세한 내용은 ADFS에 대한 추가 인증 방법 구성을 참조하세요.
MFA 설정
다음 옵션을 MFA 설정(MFA를 요구할 조건)에 사용할 수 있습니다.
페더레이션 서버가 가입된 AD 도메인의 특정 사용자 및 그룹에 MFA를 요구할 수 있습니다.
등록된 디바이스(작업 공간에 연결된 디바이스) 또는 등록되지 않은 디바이스(작업 공간에 연결되지 않은 디바이스)에 MFA를 요구할 수 있습니다.
Windows Server 2012 R2는 장치 개체가 사용자@장치와 회사 간의 관계를 나타내는 최신 장치에 대한 사용자 중심 접근 방식을 취합니다. 장치 개체는 응용 프로그램 및 서비스에 대한 액세스를 제공할 때 복합 ID를 제공하는 데 사용할 수 있는 Windows Server 2012 R2의 AD에 있는 새로운 클래스입니다. AD FS의 새 구성 요소인 DRS(디바이스 등록 서비스)는 Active Directory에서 디바이스 ID를 프로비전하고 소비자 디바이스에서 디바이스 ID를 나타내는 데 사용할 인증서를 설정합니다. 그런 다음 이 디바이스 ID를 사용하여 디바이스를 작업 공간에 연결할 수 있습니다. 즉, 개인 디바이스를 작업 공간의 Active Directory에 연결할 수 있습니다. 개인 디바이스를 작업 공간에 연결한 경우 해당 디바이스는 알려진 디바이스가 되며, 보호된 리소스 및 애플리케이션에 대한 연속된 두 번째 단계 인증을 제공합니다. 즉, 디바이스가 직장에 가입된 후에는 사용자의 신원이 이 디바이스에 연결되며 보호된 리소스에 액세스하기 전에 원활한 복합 신원 확인을 위해 사용할 수 있습니다.
워크플레이스 가입 및 퇴사에 대한 자세한 내용은 모든 장치에서 워크플레이스에 가입하여 회사 애플리케이션 전반에서 SSO 및 원활한 2단계 인증을 참조하세요.
엑스트라넷 또는 인트라넷에서 보호된 리소스에 대한 액세스를 요청한 경우 MFA를 요구할 수 있습니다.
시나리오 개요
이 시나리오에서는 특정 애플리케이션에 대한 사용자의 그룹 멤버십 데이터를 기반으로 MFA를 사용하도록 설정합니다. 즉, 특정 그룹에 속한 사용자가 웹 서버에서 호스팅되는 특정 애플리케이션에 대한 액세스를 요청할 때 페더레이션 서버에서 MFA를 요구하는 인증 정책을 설정합니다.
구체적으로, 이 시나리오에서는 클레임 기반 테스트 애플리케이션 claimapp에 대한 인증 정책을 설정합니다. 여기서 AD 사용자 Robert Hatley 는 AD 그룹 Finance에 속해 있으므로 MFA를 진행해야 합니다.
이 시나리오를 설정하고 검증하는 단계별 지침은 연습하기 가이드: 민감한 애플리케이션을 위한 추가 멀티팩터 인증으로 위험 관리하기에서 확인할 수 있습니다. 이 연습의 단계를 완료하려면 실습 환경을 설정하고 Windows Server 2012 R2에서 ADFS의 실습 환경 설정의 단계를 따라야 합니다.
ADFS에서 MFA를 사용하도록 설정하는 다른 시나리오는 다음과 같습니다:
엑스트라넷에서 액세스를 요청한 경우 MFA를 사용합니다. 연습하기 가이드: 민감한 애플리케이션을 위한 추가 다단계 인증으로 위험 관리를 참조하여 “MFA 정책 설정” 섹션에 제시된 코드를 수정할 수 있습니다.
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
작업 공간에 연결되지 않은 디바이스에서 액세스를 요청한 경우 MFA를 사용합니다. 연습하기 가이드: 민감한 애플리케이션을 위한 추가 다단계 인증으로 위험 관리를 참조하여 “MFA 정책 설정” 섹션에 제시된 코드를 수정할 수 있습니다.
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
작업 공간에 연결되어 있지만 해당 사용자에 등록되지 않은 디바이스의 사용자가 액세스하는 경우 MFA를 사용합니다. 연습하기 가이드: 민감한 애플리케이션을 위한 추가 다단계 인증으로 위험 관리를 참조하여 “MFA 정책 설정” 섹션에 제시된 코드를 수정할 수 있습니다.
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
참고 항목
연습하기 가이드: 민감한 애플리케이션을 위한 추가 다단계 인증으로 위험 관리Windows Server 2012 R2에서 AD FS를 위한 실습 환경 설정