ADFS 구성

안녕하세요. 춘사미 입니다.

 

오늘은 저번시간에 이어 ADFS를 구성 해보도록 하겠습니다.

 

ADFS 구성은 필수는 아니며, 해당 기능을 사용하는 기업도 있지만, 사용하지 않는 기업도 있습니다.

ADFS(Active Directory Federation Service)는 Windows Server 운영 체제 사용자에게 SSO(Single Sign-On) 인증 서비스를 제공하기 위해 Microsoft에서 개발한 소프트웨어 구성 요소입니다. 

 

해당 ADFS를 설치 운영하기 위해서는 사전 요구 사항이 존재하며 해당 요구 사항은 AD FS 요구사항을 확인하여 주시면 감사하겠습니다.​

 

 

인증서 가져오기

먼저 메인 DC에서 CS를 통해 내보냈었던 인증서를 FS서버로 가져와야 합니다.

 

​

​

인증서 서버 (본 가이드 기준 DC01 서버)에서 내보내기 했던 웹 인증서 파일을 아래와 같이 FS서버의 원하는 위치에 복사해옵니다.

 

fsadmin 사용자 추가

fsadmin 사용자를 추가하여 주기 위해 Active Direectory 사용자 및 컴퓨터를 클릭하여 줍니다.

(해당 계정은 DB 작업시에도 필요)

​

 

새사용자를 클릭후 fsadmin을 추가하여줍니다.

​

 

 

이후 생성한 사용자를 관리자 그룹에 추가하여 줍니다. 속성을 클릭하여줍니다.

 

속성 창에서 소속 그룹 탭을 눌러 추가를 클릭하고 개체 이름에 Administrators를 입력하고 이름 확인을 클릭합니다.

개체 이름에 밑줄이 정상적으로 그어졌다면 확인을 클릭합니다.

 

 

 

관리자 그룹에 소속된 것을 확인 후 확인을 클릭하여 FS서버 관리자 계정 생성을 마칩니다.

 

ADFS 설치

서버 관리자에서 ‘역할 및 기능 추가’를 클릭합니다.

​​

마법사창이 열리면 서버 역할 선택에서 ADFS를 체크 후 다음을 클릭합니다.

 

기능 선택에서 기본 값으로 다음을 클릭합니다.

​

​

​

다음을 클릭합니다.

 

​

​

설치 선택 확인에서 설치를 클릭해 설치를 진행합니다.

 

​

​

설치가 끝났다면 이 서버에 페더레이션 서비스를 구성하십시오.가 활성화됩니다.

해당 문구를 클릭합니다.

 

​

​

구성 마법사창이 열리면 기본 값으로 다음을 클릭합니다.

​

 

기본값을 선택 하셔도 무방 하지만 저는 admin 계정으로 자격증명을 바꿔주었습니다.

변경을 클릭하여 계정 정보를 입력한뒤 다음을 클릭합니다.

​

​

 

서비스 속성 지정에서 SSL 인증서의 가져오기를 클릭합니다.

​

​

 

위 과정에서 복사해온 인증서를 선택하고 열기를 클릭합니다.

​

​

 

앞서 CA가이드에서 설정했던 인증서 암호를 입력하고 확인을 클릭합니다.

​

​

 

페더레이션 서비스 표시 이름을 입력하고 다음을 클릭합니다.

페더레이션 서비스 역할을 하는 웹 페이지의 상단에 표시되는 이름이며 이후 변경이 가능하니 적당한 이름을 입력해도 무방합니다.

​

​

 

서비스 계정 지정에서 계정 이름의 선택을 클릭합니다.

​

​

 

앞서 생성했던 FS 서버 관리자 계정을 입력하고 이름 확인을 클릭합니다.

아래 화면과 같이 입력한 계정명에 밑줄이 그어졌다면 정상적으로 검색된 것입니다.

확인을 클릭합니다.

​

 

구성 데이터베이스 지정에서 SQL Server 데이터베이스의 위치를 지정합니다.를 선택 후 데이터베이스 서버 호스트 이름을 입력합니다.

DB 서버 구성 과정에서 언급했듯이, DB 서버를 별도로 구성하지 않았다면 Windows 내부 데이터베이스를 ~ 항목을 체크하여 내부 데이터베이스를 사용하여도 무방합니다.

​

​

​

검토 옵션에서 지금까지 선택한 사항들을 확인한 후 다음을 클릭합니다.

​

​

​

필수 조건 확인에서 구성을 눌러 ADFS를 구성합니다.

​

성공적으로 구성이 완료됐다면 ‘닫기’를 눌러 마칩니다.

 

​

​

 

시작 아이콘을 누르고 Windows 관리 도구에서 AD FS 관리를 클릭합니다.

 

​

​

​

왼쪽에서 서비스 항목을 더블 클릭하여 메뉴를 확장하고 인증 방법 폴더를 클릭한 후 기본 인증 방법에서 편집을 클릭합니다.

 

​

​

 

인증 방법 편집에서 Windows 인증을 체크 해제한 후 확인을 클릭합니다.

​

​

​

시작 버튼 오른쪽의 돋보기 마크를 클릭한 후 Powershell을 검색하여 Windows PowerShell을 실행합니다.

​

​

 

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true 를 입력하고 엔터 키를 누릅니다.

​

​

​

그 다음 Get-AdfsProperties를 입력하고 엔터 키를 누릅니다.

위에서 입력한 명령어가 잘 적용되었는지 확인하는 절차입니다.

​

​

 

EnableIdpinitiatedSignonPage 항목이true로 표시되면 정상입니다.

​

​

​

DC서버에서 DNS 관리자를 실행합니다. (메인/서브 어느 쪽에서 진행해도 무방합니다.)

​

​

 

도메인 항목을 선택하고 마우스 우 클릭 후 새 호스트(A또는 AAAA)를 클릭합니다.

 

​

​

​

새 호스트 창이 뜨면 이름에 웹 인증서 발급 시 주체/대체 이름에 입력했던 값 (본 과정에서는 sts를 입력하였습니다.)를 입력하고 IP주소에 FS서버의 IP를 입력한 후 호스트 추가를 클릭합니다.

​

​

 

DNS 관리자 메뉴에서 도메인 항목을 선택하면 오른쪽에 sts 호스트가 추가된 것을 확인할 수 있습니다.

 

​

​

로그인 테스트

2022년6월 17일부로 MS가Internet Explorer의 지원을 완전히 중단한 관계로 로그인 테스트는 구글 크롬 또는 MS엣지에서 진행합니다.

https://sts.도메인주소/adfs/ls/idpinitiatedsignon.aspx 를 주소창에 입력합니다.

아래와 같이 정상적으로 로그인 페이지가 실행되면 로그인을 클릭합니다.

 

​

​

FS 서버 관리자 계정과 암호를 입력하고 로그인을 클릭합니다.

(사전에 다른 사용자 계정을 생성하였다면 해당 계정들을 사용해도 무방합니다.)​

​

아래와 같이 정상적으로 로그인 된 것을 확인할 수 있습니다.

 

​

​

​

​이것으로 Active Directory Federation Services 구성 작업이 완료되었습니다.

수고하셨습니다.