SharePoint 2013에서 AD 가져오기를 사용하여 SAML 사용자에 대한 사용자 프로필 매핑

최초 문서 게시일: 2012년 8월 8일 수요일

이는 SharePoint 2013에서 매우 중요해진 항목으로서 이를 통해 사용자는 완전히 채워진 사용자 프로필 응용 프로그램을 갖게 됩니다. SharePoint 2013의 사용자 프로필 시스템은 OAuth 인프라에서 중요한 역할을 합니다. 이 인프라에서는 다른 응용 프로그램이 사용자를 대신하여 작업하도록 허용하여 신뢰할 수 있는 특정 응용 프로그램 시나리오가 성공할 수 있도록 합니다. 하지만 응용 프로그램에서 사용자가 수행할 수 있는 작업에 대해 "알려면" 적절한 보안 조정 규칙을 적용할 수 있도록 해당 사용자에 대한 특성 목록을 캡처해야 합니다. 이는 엄청나게 긴 목록이므로 사용자 프로필, 동기화, 다른 인증 옵션에 미치는 영향 등에 대해서는 이후 블로그에서 자세히 설명하겠습니다.

지금은 이 항목의 중요성과 필요성을 아는 것만으로 충분합니다. 이러한 중요성 때문에 SharePoint 2010과 관련하여 이에 대해 작성한 Bryan Porter의 미완성 게시물이 그의 블로그 이동으로 사라졌기 때문에 제가 이 항목을 다시 다루고자 합니다. 다행인 것은 이 게시물에서 다룰 Active Directory에서 가져올 경우 그리 복잡하지 않다는 점입니다. 

먼저 프로필 가져오기 특성을 구성하기 전에 SPTrustedIdentityTokenIssuer를 만들어야 합니다. 그런 다음 브라우저를 열고 UPA 관리 페이지로 이동합니다. 동기화 연결 구성 링크를 클릭한 다음 새 연결을 만듭니다. 링크를 클릭합니다. 여기서 AD에 대한 다른 프로필 연결과 비교하여 다른 점은 인증 공급자 유형(Authentication Provider Type) 드롭다운뿐입니다. 이 드롭다운에서 신뢰할 수 있는 클레임 공급자 인증(Trusted Claims Provider Authentication)을 선택하려고 합니다. 그러면 아래의 인증 공급자 인스턴스(Authentication Provider Instance) 드롭다운에 사용자가 만든 모든 SPTrustedIdentityTokenProviders 목록이 채워집니다. 이 프로필 연결에서 사용할 항목을 선택하고 AD에서 가져오기 위해 평상시와 같은 방법으로 모든 다른 연결 속성을 채우고 저장합니다. 다음은 제 작업 화면을 보여주는 스크린샷입니다.

 

이제 SharePoint에서 가져올 필드에 대해 알고 사용자가 ID 클레임으로 사용할 값을 포함하도록 속성 매핑을 업데이트해야 합니다. 이렇게 하려면 UPA 관리 페이지로 돌아가서 사용자 속성 관리 링크를 클릭합니다. 아래로 스크롤하여 클레임 사용자 식별자 속성을 찾은 다음 편집합니다. 동기화에서 속성 매핑 값이 이미 있는 경우 해당 값을 삭제합니다. AD에서 가져올 속성을 매핑하는 새 값을 ID 클레임 값으로 추가합니다. 제 경우 전자 메일 주소를 ID 클레임으로 사용합니다. AD에서 사용자의 전자 메일 주소는 "mail" AD 특성에 저장됩니다. 위에서 만든 프로필 연결을 선택하므로 특성(Attribute) 편집 상자에 "mail"을 입력하고 추가(Add) 단추를 클릭합니다. 결과는 다음과 같습니다.

작업을 완료한 이후의 모양은 다음과 같습니다.

클레임 공급자 식별자(Claim Provider Identifier) 및 클레임 공급자 유형(Claim Provider Type)은 프로필 가져오기 연결을 구성할 때 자동으로 설정됩니다.

이상입니다. 이제 프로필 가져오기를 수행할 수 있습니다. 프로필 가져오기를 수행하면 ID 클레임 값이 프로필 시스템의 계정 이름 속성에 자동으로 매핑됩니다. 다음은 프로필 가져오기를 실행한 이후의 모양을 보여주는 예입니다. 계정 이름으로 domain\user를 사용하는 대신 전자 메일 주소가 있는 SAML 클레임 형식을 계정 이름으로 표시합니다.

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013을 참조하십시오.