AD FS 및 웹 애플리케이션 프록시 사용하여 클라우드 폴더 배포: 2단계, AD FS 구성 후 작업

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목에서는 AD FS(Active Directory Federation Services) 및 웹 애플리케이션 프록시 사용하여 클라우드 폴더를 배포하는 두 번째 단계를 설명합니다. 이 프로세스의 다른 단계는 다음 항목에서 찾을 수 있습니다.

참고

이 섹션에서 설명하는 지침은 Windows Server 2019 또는 Windows Server 2016 환경에 대한 것입니다. Windows Server 2012 R2를 사용하는 경우 Windows Server 2012 R2 지침을 따릅니다.

1단계에서는 AD FS를 설치하고 구성했습니다. 이제 AD FS에 대해 다음 구성 후 단계를 수행해야 합니다.

DNS 항목 구성

AD FS에 대한 두 개의 DNS 항목을 만들어야 합니다. SAN(주체 대체 이름) 인증서를 만들 때 설치 전 단계에서 사용된 것과 동일한 두 항목입니다.

DNS 항목은 다음과 같은 형식입니다.

  • AD FS 서비스 name.domain

  • enterpriseregistration.domain

  • AD FS 서버 name.domain(DNS 항목이 이미 있어야 합니다. 예: 2016-ADFS.contoso.com)

테스트 예제에서 값은 다음과 같습니다.

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

AD FS에 대한 A 및 CNAME 레코드 만들기

AD FS에 대한 A 및 CNAME 레코드를 만들려면 다음 단계를 수행합니다.

  1. 도메인 컨트롤러에서 DNS 관리자를 엽니다.

  2. 정방향 조회 영역 폴더를 확장하고 도메인을 마우스 오른쪽 단추로 클릭한 다음 새 호스트(A)를 선택합니다.

  3. 새 호스트 창이 열립니다. 이름 필드에 AD FS 서비스 이름의 별칭을 입력합니다. 테스트 예제에서 blueadfs입니다.

    별칭은 AD FS에 사용된 인증서의 주체와 동일해야 합니다. 예를 들어 제목이 adfs.contoso.com 경우 여기에 입력된 별칭은 adfs입니다.

    중요

    Windows PowerShell 대신 Windows Server UI(사용자 인터페이스)를 사용하여 AD FS를 설정하는 경우 AD FS에 대한 CNAME 레코드 대신 A 레코드를 만들어야 합니다. 그 이유는 UI를 통해 생성된 SPN(서비스 사용자 이름)에 AD FS 서비스를 호스트로 설정하는 데 사용되는 별칭만 포함하기 때문입니다.

  4. IP 주소에서 AD FS 서버의 IP 주소를 입력합니다. 테스트 예제에서 192.168.0.160입니다. 호스트 추가를 클릭합니다.

  5. 정방향 조회 영역 폴더에서 도메인을 다시 마우스 오른쪽 단추로 클릭하고 새 별칭(CNAME)을 선택합니다.

  6. 새 리소스 레코드 창에서 enterpriseregistration이라는 별칭을 추가하고 AD FS 서버에 대한 FQDN을 입력합니다. 이 별칭은 디바이스 조인에 사용되며 enterpriseregistration이라고 해야 합니다.

  7. 확인을 클릭합니다.

Windows PowerShell 통해 동등한 단계를 수행하려면 다음 명령을 사용합니다. 도메인 컨트롤러에서 명령을 실행해야 합니다.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

클라우드 폴더에 대한 AD FS 신뢰 당사자 트러스트 설정

클라우드 폴더가 아직 설정되지 않았더라도 클라우드 폴더에 대한 신뢰 당사자 트러스트를 설정하고 구성할 수 있습니다. 클라우드 폴더에서 AD FS를 사용할 수 있도록 신뢰 당사자 트러스트를 설정해야 합니다. AD FS를 설정하는 중이므로 이제 이 단계를 수행하는 것이 좋습니다.

신뢰 당사자 트러스트를 설정하려면 다음을 수행합니다.

  1. 서버 관리자 열고 도구 메뉴에서 AD FS 관리를 선택합니다.

  2. 오른쪽 창의 작업에서 신뢰 당사자 트러스트 추가를 클릭합니다.

  3. 시작 페이지에서 클레임 인식을 선택하고 시작을 클릭합니다.

  4. 데이터 원본 선택 페이지에서 신뢰 당사자에 대한 데이터 입력을 수동으로 선택하고 다음을 클릭합니다.

  5. 표시 이름 필드에 WorkFolders를 입력하고 다음을 클릭합니다.

  6. 인증서 구성 페이지에서 다음을 클릭합니다. 토큰 암호화 인증서는 선택 사항이며 테스트 구성에 필요하지 않습니다.

  7. URL 구성 페이지에서 다음을 클릭합니다.

  8. 식별자 구성 페이지에서 다음 식별자를 https://windows-server-work-folders/V1추가합니다. 이 식별자는 클라우드 폴더에서 사용하는 하드 코드된 값이며, AD FS와 통신할 때 클라우드 폴더 서비스에서 전송됩니다. 다음을 클릭합니다.

  9. Access Control 정책 선택 페이지에서 [모두 허용]을 선택하고 다음을 클릭합니다.

  10. 트러스트 추가 준비 페이지에서 다음을 클릭합니다.

  11. 구성이 완료되면 마법사의 마지막 페이지는 구성이 성공했음을 나타냅니다. 클레임 규칙을 편집할 확인란을 선택하고 닫기를 클릭합니다.

  12. AD FS 스냅인에서 WorkFolders 신뢰 당사자 트러스트를 선택하고 작업에서 클레임 발급 정책 편집 을 클릭합니다.

  13. WorkFolders에 대한 클레임 발급 정책 편집 창이 열립니다. 규칙 추가를 클릭합니다.

  14. 클레임 규칙 템플릿 드롭다운 목록에서 클레임으로 LDAP 특성 보내기를 선택하고 다음을 클릭합니다.

  15. 클레임 규칙 구성 페이지의 클레임 규칙 이름 필드에 WorkFolders를 입력합니다.

  16. 특성 저장소 드롭다운 목록에서 Active Directory를 선택합니다.

  17. 매핑 테이블에서 다음 값을 입력합니다.

    • 사용자-보안 주체 이름: UPN

    • 표시 이름: 이름

    • 성: 성

    • 지정된 이름: 지정된 이름

  18. Finish를 클릭합니다. 발급 변환 규칙 탭에 나열된 WorkFolders 규칙이 표시되고 확인을 클릭합니다.

신뢰 부분 신뢰 옵션 설정

AD FS에 대한 신뢰 당사자 트러스트가 설정된 후에는 Windows PowerShell 5개의 명령을 실행하여 구성을 완료해야 합니다. 이러한 명령은 클라우드 폴더가 AD FS와 성공적으로 통신하는 데 필요한 옵션을 설정하며 UI를 통해 설정할 수 없습니다. 이러한 옵션은 다음과 같습니다.

  • JSON 웹 토큰 사용(JWT) 사용

  • 암호화된 클레임 사용 안 함

  • 자동 업데이트 사용

  • Oauth 새로 고침 토큰 발급을 모든 디바이스로 설정합니다.

  • 클라이언트에 신뢰 당사자 트러스트에 대한 액세스 권한 부여

이러한 옵션을 설정하려면 다음 명령을 사용합니다.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

작업 공간 조인 사용

Workplace Join을 사용하도록 설정하는 것은 선택 사항이지만 사용자가 개인 디바이스를 사용하여 작업 공간 리소스에 액세스할 수 있게 하려는 경우에 유용할 수 있습니다.

Workplace Join에 디바이스 등록을 사용하도록 설정하려면 디바이스 등록을 구성하고 전역 인증 정책을 설정하는 다음 Windows PowerShell 명령을 실행해야 합니다.

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

AD FS 인증서 내보내기

다음으로, 테스트 환경의 다음 컴퓨터에 설치할 수 있도록 자체 서명된 AD FS 인증서를 내보냅니다.

  • 클라우드 폴더에 사용되는 서버

  • 웹 애플리케이션 프록시 사용되는 서버

  • 도메인에 가입된 Windows 클라이언트

  • 도메인에 가입되지 않은 Windows 클라이언트

인증서를 내보내려면 다음 단계를 수행합니다.

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. MMC를 입력합니다.

  3. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.

  4. 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 클릭합니다. 인증서 스냅인 마법사가 시작됩니다.

  5. 컴퓨터 계정을 선택한 다음 다음을 클릭합니다.

  6. 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택한 다음 마침을 클릭합니다.

  7. 확인을 클릭합니다.

  8. 콘솔 루트\인증서(로컬 컴퓨터)\Personal\Certificates 폴더를 확장합니다.

  9. AD FS 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 내보내기를 클릭합니다.

  10. 인증서 내보내기 마법사가 열립니다. 예를 선택하고 프라이빗 키를 내보냅니다.

  11. 파일 형식 내보내기 페이지에서 기본 옵션을 선택한 상태로 두고 다음을 클릭합니다.

  12. 인증서에 대한 암호를 만듭니다. 나중에 인증서를 다른 디바이스로 가져올 때 사용할 암호입니다. 다음을 클릭합니다.

  13. 인증서의 위치와 이름을 입력한 다음 마침을 클릭합니다.

인증서 설치는 배포 절차의 뒷부분에서 다룹니다.

프라이빗 키 설정 관리

새 인증서의 프라이빗 키에 액세스하려면 AD FS 서비스 계정에 권한을 부여해야 합니다. 통신 인증서가 만료된 후 교체할 때 이 권한을 다시 부여해야 합니다. 권한을 부여하려면 다음 단계를 수행합니다.

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. MMC를 입력합니다.

  3. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.

  4. 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 클릭합니다. 인증서 스냅인 마법사가 시작됩니다.

  5. 컴퓨터 계정을 선택한 다음 다음을 클릭합니다.

  6. 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택한 다음 마침을 클릭합니다.

  7. 확인을 클릭합니다.

  8. 콘솔 루트\인증서(로컬 컴퓨터)\Personal\Certificates 폴더를 확장합니다.

  9. AD FS 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 프라이빗 키 관리를 클릭합니다.

  10. 사용 권한 창에서 추가를 클릭합니다.

  11. 개체 유형 창에서 서비스 계정을 선택한 다음 확인을 클릭합니다.

  12. AD FS를 실행하는 계정의 이름을 입력합니다. 테스트 예제에서 ADFSService입니다. 확인을 클릭합니다.

  13. 사용 권한 창에서 계정에 최소한 읽기 권한을 부여하고 확인을 클릭합니다.

프라이빗 키를 관리하는 옵션이 없는 경우 다음 명령을 실행해야 할 수 있습니다. certutil -repairstore my *

AD FS가 작동하는지 확인

AD FS가 작동하는지 확인하려면 브라우저 창을 열고 환경과 https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml일치하도록 URL을 변경합니다.

브라우저 창에는 서식 없이 페더레이션 서버 메타데이터가 표시됩니다. SSL 오류 또는 경고 없이 데이터를 볼 수 있는 경우 페더레이션 서버가 작동합니다.

다음 단계: AD FS 및 웹 애플리케이션 프록시 사용하여 클라우드 폴더 배포: 3단계, 클라우드 폴더 설정

참고 항목

클라우드 폴더 개요