AD FS를 사용해 구성

이러한 지침은 사용자가 Microsoft Active Directory Federated Service identity framework(AD FS) 2.0을 사용한다고 가정합니다. 상위 버전을 사용하는 경우에는  인트라넷 양식 인증 을 사용하는지 확인하십시오(인증 정책 > 기본 인증 > 인트라넷 양식 인증).

AD FS 구성

  1. AD FS 관리 콘솔에 로그인합니다.
  2. 왼쪽 탐색 창에서  Relying Party Trust를 선택합니다. 오른쪽 탐색 창에서  Add Replying Party Trust를 클릭합니다.
  3.  Start을 클릭합니다.
  4. Select Data Source에서  Enter data about the relying party manually를 선택합니다.
  5. Specify Display Name에서 생성하는 relying party의 이름(예:  Lifesize Cloud) 을 입력합니다.
  6.  AD FS 2.0 profile을 선택합니다.
  7. 서비스 > 인증서로 이동합니다.
  8. 토큰 서명 인증서를 선택하고 마우스 오른쪽 버튼으로 클릭해 속성을 엽니다. 인증서의 상세정보 창에서 Base-64 CER 파일로 내보냅니다.
  9. Base-64 CER 파일을 텍스트 편집기로 열어 본문을 관리 창의 X.509 인증서 섹션으로 붙여넣고 -시작- 및 -종료- 섹션이 포함되었는지 확인합니다.
  10.  Lifesize X.509 보안 인증서를 복사해 파일 이름  lifesize.crt로 저장합니다.

    -----인증서 시작-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----인증서 끝-----

  11. AD FS > 인증서 구성에서,  Browse  버튼을 사용해 인증서를 찾고 업로드한 다음  Next를 클릭합니다.
  12. URL 구성에서,  SAML 2.0 WebSSO 프로토콜 지원 활성화 를 선택하고 다음 URL을 입력합니다.

    https://login.lifesizecloud.com/ls/?acs

  13. ID 구성에서  Relying party trust identifier 에 다음 URL을 입력합니다(닫는 슬래시 '/'를 포함시켜야 함):

    https://login.lifesizecloud.com/ls/metadata/

  14. 표시 목록에서 ID를 이동하려면  Add 를 클릭하고  Next를 클릭합니다.
  15. Choose Issuance Authorization Rules에서  Permit all users to access this relying party를 선택한 다음  Next를 클릭합니다.
  16. Ready to Add Trust에서, 설정을 검토한 후  다음 을 클릭해 믿을만할 상대를 AD FS 구성 데이터베이스에 추가합니다.

믿을만한 상대(relying party)를 생성하고 정의했습니다. 다음은 이 믿을만한 상대가 Active Directory와 통신하는 방법을 결정하는 클레임 규칙을 만듭니다.

 

클레임 규칙 추가

  1.  Edit Claims Rules  창이 열리지 않으면 생성된 믿을만한 상대를 마우스 오른쪽 버튼으로 클릭하고(Trust Relationships > Relying Party Trusts),  Edit Claim Rules을 선택합니다.
  2.  Issuance Transform Rules  탭을 선택하고  Add Rule를 클릭합니다.
  3. Select Rule Template에서, 클레임 규칙 템플릿 드롭다운 메뉴의  Send LDAP Attributes as Claims  을 선택하고  Next를 클릭합니다.
  4. Configure Rule에서,   Get Email attributes from AD와 같이 목적을 설명하는 이름을 사용해 클레임 규칙 이름을 부여합니다.
  5. 속성 저장소 드롭다운 메뉴에서  Active Directory 를 선택합니다.
  6.  로컬  LDAP Attributes 를 일치하는  Outgoing Claim Types  값 에 매핑합니다.속성 이름 또는 명령문 (이름,  이메일 주소) 은 Lifesize Cloud에서 일치시켜야 합니다.
  7.  Finish를 클릭합니다.
  8.  Edit Claim Rules에서   Issuance Transform Rules  탭을 선택하고  Add Rule을 클릭합니다.
  9. Select Rule Template에서,  Send Claims Using a Custom Rule  를  선택하고  Next를 클릭합니다.
  10. 이름을 지정한 후  Custom rule  필드에 다음 정의를 입력합니다.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11.  Finish를 클릭한 다음,  OK 또는 Apply 를 클릭해 규칙을 저장합니다.
  12. 기본 AD FS 창에서, 왼쪽 탐색 표시줄의  Relying Party Trusts 를 선택합니다.
  13. 방금 추가한  Relying Party Trust 를 마우스 오른쪽 버튼으로 클릭하고  Properties을 선택합니다.
  14.  Signature  탭을 선택하고  Add를 클릭합니다.
  15.  lifesize.crt 를 검색하여이전에 저장한 인증서 파일로 이동하고 AD FS에 업로드합니다.
  16.  Advanced 탭을 선택하고  Secure hash algorithm 을 SHA-1로 설정합니다.
  17. 완료되면  OK 를 클릭합니다.

Lifesize 앱에서 SSO 구성, 테스트 및 사용

Windows 서버에서 AD FS를 설정하면 다음 위치에 자동으로 XML 기반 메타데이터 파일이 생성됩니다.

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

이 메타데이터는 사용자가 인증될 때 AD FS와 Lifesize 앱 간에 교환되어 신뢰 기반을 형성합니다.

먼저 Windows 서버에서  FederationMetadata.xml  파일을 찾습니다.   표준 텍스트 편집기로 파일을 엽니다.

  1.  Lifesize 관리 콘솔에 로그인합니다.
  2. 프로필  이름을 클릭하고 고급 설정을 선택합니다 .
  3.  SSO 통합 > SSO 구성 으로 이동한 후 AD FS 메타데이터 파일의 컨텐츠로 다음 필드를 채웁니다 .
    • 공급업체 발행자 식별:   <entityID> 속성을 메타데이터 파일에서 복사해 URL을 이  필드에 붙여넣습니다.
      예를 들어  <entityID>  속성이 다음과 같은 경우:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      이 필드에 대한 입력은 다음과 같습니다.

      http://your_domain/adfs/services/trust

    • Login URL:   <SingleSignOnService Location> 속성을 메타데이터 파일에서 복사해   URL을 이 필드에 붙여넣습니다.
      예를 들어,  <SingleSignOnService Location> 속성이 다음과 같은 경우:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      이 필드에 대한 입력은 다음과 같습니다.

      https://your_domain/adfs/ls

    • 인증서: 메타데이터 파일의  <Signature>  정의 내에서 X.509 보안 인증서를 복사하여 이 필드에 붙여넣습니다.

    참고:   <KeyDescriptor>  정의에 포함된 인증서는 사용하지 마십시오.

  4.   SAML 속성 매핑에 다음 매핑 속성에 대한 메타데이터 파일의 URI 값을 입력합니다.
    • 이름: 메타데이터 파일에 다음과 같이 이름을  설명하는 클레임 유형이 포함되는 경우:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>이름</auth:DisplayName> <auth:Description>사용자의 이름</auth:Description></auth:ClaimType>

       이름  필드의 입력은 다음과 같습니다.

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • :  동일한 방법으로 성 속성을 찾습니다 . 이 예에서는 다음과 같이 입력합니다.

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • 이메일:  동일한 방법으로 이메일 주소  속성을 찾습니다 . 이 예에서는 다음과 같이 입력합니다.

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5.  AD FS ID 공급자 서버에서 설정 유효성을 검사하려면  Test 를 클릭합니다.
  6. 테스트에 성공하면,  Enable SSO를 선택한 다음  Update를 클릭합니다.
  7.  Save을 클릭합니다.