안녕하세요!

 

 

이번 포스팅에서는 "Active Directory Federation Services (ADFS) 구성" 에 대해 알아보겠습니다.

 

 

 

 

정상적으로 Active Directory Federation Services (ADFS) 를 구성 및 운영 하기 위해서는 다양한 사전 요구 사항들이 존재 합니다.

하드웨어 부터 네트워크(방화벽, DNS) 등의 인프라 요구사항 부터 인증서, 데이터베이스, 브라우저, 권한 등의 다양한 요구 사항을 사전에 파악후 준비를 해야 합니다.

자세한 요구 사항은 'AD FS 요구 사항' 사이트 내용을 참고 부탁 드립니다.

 

AD FS 2016 요구 사항

Active Directory Federation Services를 설치하기 위한 요구 사항

learn.microsoft.com



참고로 제 테스트 환경은 내부, 외부에서 ADFS 접속을 위한 DNS A Record 생성을 다음과 같이 진행 했습니다.

▶ 내부 DNS


▶ 외부 DNS


그리고 서비스 계정 지정을 하는 단계에서 사용할 ADFS 서비스 계정을 미리 생성하였습니다.



자~ 그럼! 본격적으로 ADFS 구성을 진행해보겠습니다.

 

첫번째로, 공인 인증서 설치 단계 입니다.
페더레이션 서비스를 구성하는 단계에서, 공인 인증서를 요구하는 단계가 있습니다. 이에 사전에 공인 인증서를 서버에 설치 해야 합니다.

실행 창(Windows Key + R Key)에서, 'mmc' 입력 후 '확인' 을 클릭 합니다.


콘솔1 - [콘솔 루트] 창에서, '파일 > 스냅인 추가/제거' 를 클릭 합니다.


스냅인 추가/제거 창에서, '인증서' 클릭 후 '추가' 를 클릭 합니다.


인증서 스냅인 창에서, 컴퓨터 계정 선택 후 '다음' 을 클릭 합니다.


컴퓨터 선택 창에서, '마침' 을 클릭 합니다.


스냅인 추가/제거 창에서, '확인' 을 클릭 합니다.


콘솔1 - [콘솔 루트\인증서(로컬 컴퓨터)] 창에서, '신뢰할 수 있는 루트 인증 기관 > 인증서' 에서 우클릭 후 '모든 작업 > 가져오기' 를 클릭 합니다.


인증서 가져오기 마법사 창의 인증서 가져오기 마법사 시작 화면에서, '다음' 을 클릭 합니다.


가져올 파일 화면에서, '찾아보기' 를 클릭 합니다.


열기 창에서, 공인 인증서가 저장되어 있는 경로로 이동 후, 파일 티입을 'PKCS #7 인증서 (*.spc;*.p7b)' 를 선택 합니다.


공인 인증서가 보이면 '올바른 인증서' 선택 후 '열기' 를 클릭 합니다.


참고로 제가 구매한 공인 인증서의 p7b 파일에는, 아래 스샷과 같이 서버인증서, 체인인증서, 루트인증서가 포함되어 있습니다.


이에 인증서 과정을 한번만 진행 했습니다. 체인 인증서 및 루트 인증서가 별도로 존재하는 경우에는 해당 인증서 추가 과정을 추가로 진행해야 합니다.

'다음' 을 클릭 합니다.


인증서 저장소 화면에서, '다음' 을 클릭 합니다.


인증서 가져오기 마법사 완료 화면에서, '마침' 을 클릭 합니다.


인증서 가져오기 마법사 창에서, '확인' 을 클릭 합니다.


신뢰할 수 있는 루트 인증 기관에 인증서를 정상적으로 가져왔음을 확인할 수 있습니다.



두번째로, ADFS 역할 설치 단계 입니다.
공인 인증서 설치 단계를 정상적으로 마무리 하였다면, 서버 관리자에서 ADFS 역할을 설치 합니다.

실행 창(Windows Key + R Key)에서, 'servermanager' 입력 후 '확인' 을 클릭 합니다.


서버 관리자 창에서, '역할 및 기능 추가' 를 클릭 합니다.


역할 및 기능 추가 마법사 창의 시작하기 전 화면에서, '다음' 을 클릭 합니다.


설치 유형 선택 화면에서, '다음' 을 클릭 합니다.


대상 서버 선택 화면에서, '다음' 을 클릭 합니다.

 

서버 역할 선택 화면에서, 'ADFS(Active Directory Federation Services) 체크 후 '다음' 을 클릭 합니다.


기능 선택 화면에서, '다음' 을 클릭 합니다.


AD FS(Active Directory Federation Services) 화면에서, '다음' 을 클릭 합니다.


설치 선택 확인 화면에서, '설치' 를 클릭 합니다.


설치 진행률 화면에서, 기능 설치가 완료 되었으면 '이 서버에 페더레이션 서비스를 구성하십시오.' 를 클릭 합니다.

 

 

 

 

세번째로, 페더레이션 서비스 구성 단계 입니다.
서버 관리자에서 ADFS 역할 설치가 완료되면, 페더레이션 서비스를 구성 합니다.

ADFS(Active Directory Federaton Services) 구성 마법사 창의 시작 화면에서, '다음' 을 클릭 합니다.
cf) 아래 스샷의 내용과 같이 구성 마법사를 정상적으로 완료 하려면, Active Directory 도메인 관리자 계정과 SSL 서버 인증을 위한 공개적으로 신뢰할 수 있는 인증서인 공인 인증서가 필요 합니다.


Active Directory 도메인 서비스에 연결 화면에서, '다음' 을 클릭 합니다.


서비스 속성 지정 화면에서, '가져오기' 를 클릭 합니다.


열기 창에서, 공인 인증서가 저장되어 있는 경로로 이동 후 '공인 인증서' 선택 후 '열기' 를 클릭 합니다.


인증서 암호 입력 창에서, 공인 인증서 발급시 제공 받은 '암호' 입력 후 '확인' 을 클릭 합니다.


'페더레이션 서비스 이름' 입력 후 '페더레이션 서비스 표시 이름' 입력 후 '다음' 을 클릭 합니다.


서비스 계정 지정 화면에서, '선택' 을 클릭 합니다.


사용자 또는 서비스 계정 선택 창에서, 미리 생성해 놓은 '서비스 계정' 입력 후 '이름 확인' 을 클릭 합니다.


서비스 계정이 정상적으로 확인되면, '확인' 을 클릭 합니다.


서비스 계정의 '암호' 입력 후 '다음' 을 클릭 합니다.


구성 데이터베이스 지정 화면에서, '다음' 을 클릭 합니다.
cf) 본 포스팅에서는 Windows 내부 데이터베이스를 사용하여 ADFS 서버에 데이터베이스를 생성하는 옵션을 선택했습니다. 조직 내부에 SQL Server가 존재한다면 해당 서버를 지정해도 됩니다.


검토 옵션 화면에서, '다음' 을 클릭 합니다.


필수 조건 확인 화면에서, '구성' 을 클릭 합니다.


결과 화면에서, '닫기' 를 클릭 합니다.


실행 창(Windows Key + R Key)에서, 'shutdown -r -t 0' 입력 후 '확인' 을 클릭하여 페더레이션 서버를 재부팅 합니다.

cf) Active Directory Federation Services 가 정상적으로 구성 되었으니, 이제 페더레이션 서버라고 부르겠습니다.



네번째로, ADFS 구성 후 점검 단계 입니다.
페더레이션 서버가 재부팅 되면, 클라이언트와 페더레이션 서버 (이벤트 뷰어, WID, ADFS 관리 콘솔, PowerShell) 에서 ADFS 가 정상적으로 구성 되었음을 확인 합니다.

 

페더레이션 서버와 같은 포리스트에 있는 클라이언트의 웹브라우저에서, 다음 사이트에 접속 후 XML로 표시된 서비스 설명 문서가 출력되는지 확인 합니다.

https://adfs.hope.pe.kr/adfs/fs/federationserverservice.asmx

위 페이지가 나타나면 페더레이션 서버에서 IIS가 정상적으로 작동하고 있는 것입니다.

 

페더레이션 서버의 실행 창(Windows Key + R Key)에서, 'eventvwr' 입력 후 '확인' 을 클릭 합니다.


이벤트 뷰어 창에서, '사용자 지정 보기 > 서버 역할 > Active Directory Federation Services' 에서, 'Event ID 100' 이벤트로 ADFS 구성이 정상적으로 완료 되어 페더레이션 서비스 시작 되었음을 확인 합니다.

 

파일 탐색기를 실행하여, 'C:\Windows\WID' 경로에 Windows 내부 데이터베이스가 정상적으로 생성되었는지 확인 합니다.


'시작 > Windows 관리 도구 > AD FS 관리' 에서 우클릭 후 '자세히 > 관리자 권한으로 실행' 을 클릭 합니다.


AD FS 관리 콘솔이 정상적으로 실행 됩니다.


PowerShell 창에서, 'Get-AdfsProperties' 명령어로 ADFS 가 정상적으로 구성되었음을 확인 합니다.

 

 

마지막으로, 클라이언트 로그인 테스트 단계 입니다.
ADFS 구성 및 점검이 완료 되었으면, 클라이언트에서 ADFS 로그인 페이지에 정상적으로 접속 가능한지 테스트를 진행 합니다.

ADFS 로그인 페이지 (https://adfs.hope.pe.kr/adfs/ls/idpinitiatedsignon.aspx) 에 접속하면, 다음과 같이 '오류 발생 - 액세스하려는 리소스를 사용할 수 없습니다. 자세한 내용은 관리자에게 문의하십시오.' 메세지가 발생 합니다. '오류 정보' 를 클릭 합니다.

 

자세한 오류 메세지를 확인할 수 있습니다.

 

기본적으로 ADFS 로그인 페이지는 활성화 되어 있지 않습니다. 이에 PowerShell 명령어를 통해 활성화를 진행해야 합니다.

 

‘Windows PowerSehll’을 관리자 권한으로 실행 후 다음 cmdlet를 입력하면, ‘EnableIdpInitiatedSignonPage’ 속성값이 ‘False’임을 확인할 수 있습니다.

Get-AdfsProperties | Select-Object EnableIdpInitiatedSignonPage

 

다음 cmdlet 명령어로 ‘EnableIdpInitiatedSignonPage’ 속성값을 ‘True’로 변경합니다.

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

 

‘EnableIdpInitiatedSignonPage’ 속성값이 ‘True’로 변경 되었음을 확인 합니다.

 

ADFS 로그인 페이지에서 '새로고침' 후 정상적으로 ‘로그인’ 버튼이 표시됨을 확인 후 ‘로그인’을 클릭 합니다.

 

'계정', '암호' 입력 후 '로그인' 을 클릭 합니다.

 

'로그인되었습니다.' 메세지로 ADFS 로그인 페이지에 정상적으로 로그인이 진행되었음을 확인할 수 있습니다.

 

 

참고: 페더레이션 서버 팜 배포

 

Windows Server 2012 R2 AD FS용 페더레이션 서버 팜 배포

자세한 정보: 페더레이션 서버 팜 배포

learn.microsoft.com

 

 

 

 

이상으로 "Active Directory Federation Services (ADFS) 구성" 에 대해 알아보았습니다.

 

 

감사합니다.

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

TistoryWhaleSkin3.4">