중요 애플리케이션에 추가 Multi-Factor Authentication을 사용하여 위험 관리

• Windows Server 2012 R2의 AD FS에 대한 랩 환경 설정

• 연습 가이드: 중요한 애플리케이션에 대한 추가 다단계 인증을 사용하여 위험 관리

• AD FS에 대한 추가 인증 방법 구성

이 가이드의 내용

이 가이드에서는 다음 정보를 제공합니다.

• AD FS 의 인증 메커니즘 - Windows Server 2012 R2의 AD FS(Active Directory Federation Services)에서 사용할 수 있는 인증 메커니즘에 대한 설명

• 시나리오 개요 - AD FS(Active Directory Federation Services)를 사용하여 사용자의 그룹 멤버 자격에 따라 MFA(다단계 인증)를 사용하도록 설정하는 시나리오에 대한 설명입니다.

  참고 항목

  Windows Server 2012 R2의 AD FS에서 네트워크 위치, 디바이스 ID, 사용자 ID 또는 그룹 멤버 자격에 따라 MFA를 사용하도록 설정할 수 있습니다.

  이 시나리오를 구성하고 확인하기 위한 자세한 단계별 연습 지침은 연습 가이드: 중요한 애플리케이션에 대한 추가 다단계 인증을 사용하여 위험 관리 가이드를 참조 하세요.

주요 개념 - AD FS의 인증 메커니즘

AD FS의 인증 메커니즘 이점

Windows Server 2012 R2의 AD FS(Active Directory Federation Services)는 IT 관리자에게 회사 리소스에 액세스하려는 사용자를 인증하기 위한 보다 풍부하고 유연한 도구 집합을 제공합니다. 관리자는 기본 및 추가 인증 방법을 유연하게 제어할 수 있으며, 사용자 인터페이스 및 Windows PowerShell을 통해 인증 정책을 구성하기 위한 풍부한 관리 환경을 제공하고, AD FS로 보호되는 애플리케이션 및 서비스에 액세스하는 최종 사용자의 환경을 향상시킵니다. 다음은 Windows Server 2012 R2에서 AD FS를 사용하여 애플리케이션 및 서비스를 보호하는 몇 가지 이점입니다.

• 글로벌 인증 정책 - IT 관리자가 보호된 리소스에 액세스하는 네트워크 위치에 따라 사용자를 인증하는 데 사용되는 인증 방법을 선택할 수 있는 중앙 관리 기능입니다. 이를 통해 관리자는 다음을 수행할 수 있습니다.

  • 엑스트라넷의 액세스 요청에 더욱 보안이 강화된 인증 방법 사용

  • 연속된 두 번째 단계 인증에 디바이스 인증 사용. 이렇게 하면 사용자의 ID가 리소스에 액세스하는 데 사용되는 등록된 디바이스와 연결되므로 보호된 리소스에 액세스하기 전에 보다 안전한 복합 ID 확인을 제공합니다.

    참고 항목

    디바이스 개체, 디바이스 등록 서비스, 작업 공간 조인 및 디바이스를 원활한 2단계 인증 및 SSO로 사용하는 방법에 대한 자세한 내용은 회사 애플리케이션에서 SSO 및 Seamless Second Factor Authentication을 위해 모든 디바이스에서 Workplace에 조인을 참조 하세요.

  • 모든 엑스트라넷 액세스에 대한 MFA 요구 사항을 설정하거나 사용자의 ID, 네트워크 위치 또는 보호된 리소스에 액세스하는 데 사용되는 디바이스에 따라 조건부로 설정합니다.

• 인증 정책 구성의 유연성 향상: 다양한 비즈니스 값을 사용하여 AD FS 보안 리소스에 대한 사용자 지정 인증 정책을 구성할 수 있습니다. 예를 들어 비즈니스 영향력이 높은 애플리케이션에 MFA를 요구할 수 있습니다.

• 사용 편의성: GUI 기반 AD FS 관리 MMC 스냅인 및 Windows PowerShell cmdlet과 같은 간단하고 직관적인 관리 도구를 사용하면 IT 관리자가 비교적 쉽게 인증 정책을 구성할 수 있습니다. Windows PowerShell을 사용하여 규모에 따라 사용할 솔루션을 스크립팅하고 일반적인 관리 작업을 자동화할 수 있습니다.

• 회사 자산에 대한 더 큰 제어: 관리자로서 AD FS를 사용하여 특정 리소스에 적용되는 인증 정책을 구성할 수 있으므로 회사 리소스의 보안을 더욱 세분화할 수 있습니다. IT 관리자가 지정한 인증 정책을 애플리케이션에서 재정의할 수 없습니다. 중요한 애플리케이션 및 서비스의 경우 리소스에 액세스할 때마다 MFA 요구 사항, 디바이스 인증 및 새로운 인증(선택 사항)을 사용하도록 설정할 수 있습니다.

• 사용자 지정 MFA 공급자 지원: 타사 MFA 방법을 활용하는 조직을 위해 AD FS는 이러한 인증 방법을 원활하게 통합하고 사용하는 기능을 제공합니다.

인증 범위

Windows Server 2012 R2의 AD FS에서 AD FS로 보호되는 모든 애플리케이션 및 서비스에 적용할 수 있는 전역 범위에서 인증 정책을 지정할 수 있습니다. AD FS로 보호되는 특정 애플리케이션 및 서비스(신뢰 당사자 트러스트)에 대한 인증 정책을 설정할 수도 있습니다. 특정 애플리케이션(신뢰 당사자 트러스트별)에 대한 인증 정책을 지정해도 전역 인증 정책은 재정의되지 않습니다. 전역 또는 신뢰 당사자 트러스트별 인증 정책에서 MFA를 요구하는 경우에는 사용자가 이 신뢰 당사자 트러스트에 인증하려고 하면 MFA가 트리거됩니다. 특정 인증 정책을 구성하지 않은 신뢰 당사자 트러스트(애플리케이션 및 서비스)에는 전역 인증 정책이 적용됩니다.

전역 인증 정책은 AD FS로 보호되는 모든 신뢰 당사자에게 적용됩니다. 전역 인증 정책의 일부로 다음 설정을 구성할 수 있습니다.

• 기본 인증에 사용할 인증 방법

• MFA에 대한 설정 및 방법

• 디바이스 인증 사용 여부. 자세한 내용은 참조 SSO 및 원활한 두 번째 단계 인증에서 회사 애플리케이션에 대 한 모든 디바이스에서 작업 공간 가입합니다.

신뢰 당사자 트러스트별 인증 정책은 신뢰 당사자 트러스트(애플리케이션 또는 서비스)에 액세스하려는 경우에 특별히 적용됩니다. 신뢰 당사자 트러스트별 인증 정책의 일부로 다음 설정을 구성할 수 있습니다.

• 사용자가 로그인할 때마다 자격 증명을 제공해야 하는지 여부

• 사용자/그룹, 디바이스 등록 및 액세스 요청 위치 데이터에 따른 MFA 설정

기본 및 추가 인증 방법

Windows Server 2012 R2의 AD FS를 사용하면 기본 인증 메커니즘 외에도 관리자가 추가 인증 방법을 구성할 수 있습니다. 기본 인증 방법은 기본 제공되며 사용자 ID의 유효성을 검사하기 위한 것입니다. 추가 인증 요소를 구성하여 사용자 ID에 대한 자세한 정보를 제공하고 결과적으로 더 강력한 인증을 보장하도록 요청할 수 있습니다.

Windows Server 2012 R2의 AD FS에서 기본 인증을 사용하는 경우 다음과 같은 옵션이 있습니다.

• 회사 네트워크 외부에서 액세스할 수 있는 게시된 리소스의 경우 폼 인증이 기본적으로 선택됩니다. 또한 인증서 인증(즉, 스마트 카드 기반 인증 또는 AD DS와 함께 작동하는 사용자 클라이언트 인증서 인증)를 사용할 수도 있습니다.

• 인트라넷 리소스의 경우 Windows 인증이 기본적으로 선택됩니다. 또한 폼 및/또는 인증서 인증을 사용할 수도 있습니다.

둘 이상의 인증 방법을 선택하여 사용자가 애플리케이션이나 서비스에 대한 로그인 페이지에서 인증 방법을 선택하도록 할 수 있습니다.

또한 연속된 두 번째 단계 인증에 디바이스 인증을 사용할 수 있습니다. 이렇게 하면 사용자의 ID가 리소스에 액세스하는 데 사용되는 등록된 디바이스와 연결되므로 보호된 리소스에 액세스하기 전에 보다 안전한 복합 ID 확인을 제공합니다.

참고 항목

디바이스 개체, 디바이스 등록 서비스, 작업 공간 조인 및 디바이스를 원활한 2단계 인증 및 SSO로 사용하는 방법에 대한 자세한 내용은 회사 애플리케이션에서 SSO 및 Seamless Second Factor Authentication을 위해 모든 디바이스에서 Workplace에 조인을 참조 하세요.

인트라넷 리소스에 대해 Windows 인증 방법(기본 옵션)을 지정한 경우에는 인증 요청 시 Windows 인증을 지원하는 브라우저에서 이 방법이 연속적으로 실행됩니다.

참고 항목

일부 브라우저에서는 Windows 인증이 지원되지 않습니다. Windows Server 2012 R2의 AD FS 인증 메커니즘은 사용자의 브라우저 사용자 에이전트를 검색하고 구성 가능한 설정을 사용하여 해당 사용자 에이전트가 Windows 인증을 지원하는지 여부를 확인합니다. 관리자는 Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents 명령을 통해 사용자 에이전트 목록에 이를 추가하여 Windows 인증을 지원하는 브라우저에 대해 다른 사용자 에이전트 문자열을 지정할 수 있습니다. 클라이언트의 사용자 에이전트가 Windows 인증을 지원하지 않는 경우 기본 대체 방법은 Forms 인증입니다.

MFA 구성

Windows Server 2012 R2의 AD FS에서 MFA를 구성하는 데는 MFA가 필요한 조건을 지정하고 추가 인증 방법을 선택하는 두 가지 부분이 있습니다. 추가 인증 방법에 대한 자세한 내용은 AD FS에 대한 추가 인증 방법 구성을 참조 하세요.

MFA 설정

다음 옵션을 MFA 설정(MFA를 요구할 조건)에 사용할 수 있습니다.

• 페더레이션 서버가 가입된 AD 도메인의 특정 사용자 및 그룹에 MFA를 요구할 수 있습니다.

• 등록된 디바이스(작업 공간에 연결된 디바이스) 또는 등록되지 않은 디바이스(작업 공간에 연결되지 않은 디바이스)에 MFA를 요구할 수 있습니다.

  Windows Server 2012 R2는 디바이스 개체가 user@device 회사 간의 관계를 나타내는 최신 디바이스에 대한 사용자 중심 접근 방식을 사용합니다. 디바이스 개체는 애플리케이션 및 서비스에 대한 액세스를 제공할 때 복합 ID를 제공하는 데 사용할 수 있는 Windows Server 2012 R2의 AD의 새로운 클래스입니다. AD FS의 새 구성 요소인 DRS(디바이스 등록 서비스)는 Active Directory에서 디바이스 ID를 프로비전하고 소비자 디바이스에서 디바이스 ID를 나타내는 데 사용할 인증서를 설정합니다. 그런 다음 이 디바이스 ID를 사용하여 디바이스를 작업 공간에 연결할 수 있습니다. 즉, 개인 디바이스를 작업 공간의 Active Directory에 연결할 수 있습니다. 개인 디바이스를 작업 공간에 연결한 경우 해당 디바이스는 알려진 디바이스가 되며, 보호된 리소스 및 애플리케이션에 대한 연속된 두 번째 단계 인증을 제공합니다. 즉, 디바이스가 작업 공간에 조인된 후 사용자의 ID는 이 디바이스에 연결되며 보호된 리소스에 액세스하기 전에 원활한 복합 ID 확인에 사용할 수 있습니다.

  작업 공간 가입 및 퇴사에 대한 자세한 내용은 회사 애플리케이션에서 SSO 및 Seamless Second Factor Authentication을 위한 모든 디바이스에서 Workplace에 조인을 참조 하세요.

• 엑스트라넷 또는 인트라넷에서 보호된 리소스에 대한 액세스를 요청한 경우 MFA를 요구할 수 있습니다.

시나리오 개요

이 시나리오에서는 특정 애플리케이션에 대한 사용자의 그룹 멤버 자격 데이터를 기반으로 MFA를 사용하도록 설정합니다. 즉, 특정 그룹에 속한 사용자가 웹 서버에서 호스팅되는 특정 애플리케이션에 대한 액세스를 요청할 때 페더레이션 서버에서 MFA를 요구하는 인증 정책을 설정합니다.

구체적으로, 이 시나리오에서는 클레임 기반 테스트 애플리케이션 claimapp에 대한 인증 정책을 설정합니다. 여기서 AD 사용자 Robert Hatley 는 AD 그룹 Finance에 속해 있으므로 MFA를 진행해야 합니다.

이 시나리오를 설정하고 확인하는 단계별 지침은 연습 가이드: 중요한 애플리케이션에 대한 추가 다단계 인증을 사용하여 위험 관리 가이드에 제공됩니다. 이 연습의 단계를 완료하려면 랩 환경을 설정하고 Windows Server 2012 R2에서 AD FS에 대한 랩 환경 설정의 단계를 따라야 합니다.

AD FS에서 MFA를 사용하도록 설정하는 다른 시나리오는 다음과 같습니다.

• 엑스트라넷에서 액세스를 요청한 경우 MFA를 사용합니다. 연습 가이드의 "MFA 정책 설정" 섹션 에 표시된 코드를 수정할 수 있습니다. 중요한 애플리케이션 에 대한 추가 다단계 인증을 사용하여 위험 관리:

  'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
  

• 작업 공간에 연결되지 않은 디바이스에서 액세스를 요청한 경우 MFA를 사용합니다. 연습 가이드의 "MFA 정책 설정" 섹션 에 표시된 코드를 수정할 수 있습니다. 중요한 애플리케이션 에 대한 추가 다단계 인증을 사용하여 위험 관리:

  'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

• 작업 공간에 연결되어 있지만 해당 사용자에 등록되지 않은 디바이스의 사용자가 액세스하는 경우 MFA를 사용합니다. 연습 가이드의 "MFA 정책 설정" 섹션 에 표시된 코드를 수정할 수 있습니다. 중요한 애플리케이션 에 대한 추가 다단계 인증을 사용하여 위험 관리:

  'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

참고 항목

연습 가이드: 중요한 애플리케이션에 대한 추가 다단계 인증을 사용하여 위험 관리 Windows Server 2012 R2에서 AD FS에 대한 랩 환경 설정