이 항목에서는 활성 디렉터리 페더레이션 서비스(Active Directory Federation Services, AD FS) 및 웹 애플리케이션 프록시를 사용해 클라우드 폴더를 배포하는 두 번째 단계를 설명합니다. 다음 항목에서 이 프로세스의 다른 단계를 찾을 수 있습니다.
Note
이 섹션은 Windows Server 2019 또는 Windows Server 2016 환경에 대한 지침을 다룹니다. Windows Server 2012 R2를 사용하는 경우 Windows Server 2012 R2 지침을 따르세요.
1단계에서는 AD FS를 설치 및 구성합니다. 이제 AD FS에 대해 다음 구성 후 단계를 수행해야 합니다.
DNS 항목 구성
AD FS에 대한 두 개의 DNS 항목을 생성해야 합니다. 주체 대체 이름(Subject Alternative Name, SAN) 인증서를 생성할 때 설치 전 단계에서 사용한 것과 같은 두 항목입니다.
DNS 항목의 형식은 다음과 같습니다.
AD FS 서비스 name.domain
enterpriseregistration.domain
AD FS 서버 name.domain(DNS 항목이 이미 있어야 함. 예: 2016-ADFS.contoso.com)
테스트 예제에서 값은 다음과 같습니다.
blueadfs.contoso.com
enterpriseregistration.contoso.com
AD FS에 대한 A 및 CNAME 레코드 만들기
AD FS에 대한 A 및 CNAME 레코드를 생성하려면 다음 단계를 따르세요.
도메인 컨트롤러에서 DNS 관리자를 엽니다.
정방향 조회 영역 폴더를 확장하고 마우스 오른쪽 버튼으로 도메인을 클릭한 다음 새 호스트(A)를 선택합니다.
새 호스트 창이 열립니다. 이름 필드에 AD FS 서비스 이름의 별칭을 입력합니다. 테스트 예제에서는 blueadfs입니다.
별칭은 AD FS에 사용된 인증서의 주체와 같아야 합니다. 예를 들어 제목이 adfs.contoso.com 경우 여기에 입력된 별칭은 adfs입니다.
Important
Windows PowerShell 대신 Windows Server UI(사용자 인터페이스)로 AD FS를 설정하는 경우 AD FS에 대한 CNAME 레코드 대신 A 레코드를 만들어야 합니다. 이는 UI를 통해 생성된 서비스 주체 이름(Service Principal Name, SPN)에 AD FS 서비스를 호스트로 설정하는 데 사용되는 별칭만 포함하기 때문입니다.
IP 주소에 AD FS 서버의 IP 주소를 입력합니다. 테스트 예제에서는 192.168.0.160입니다. 호스트 추가를 클릭합니다.
정방향 조회 영역 폴더에서 도메인을 다시 마우스 오른쪽 버튼으로 클릭한 다음 새 별칭(CNAME)을 선택합니다.
새 리소스 레코드 창에서 별칭 이름 enterpriseregistration을 추가하고 AD FS 서버에 대한 FQDN을 입력합니다. 이 별칭은 디바이스 조인에 사용되며 enterpriseregistration이라고 해야 합니다.
OK를 클릭합니다.
Windows PowerShell을 통해 동일한 단계를 수행하려면 다음 명령을 따르세요. 도메인 컨트롤러에서 명령을 실행해야 합니다.
Add-DnsServerResourceRecord -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord -ZoneName "contoso.com" -Name enterpriseregistration -CName -HostNameAlias 2016-ADFS.contoso.com
작업 폴더에 대한 AD FS 신뢰 당사자 설정
Work Folders가 아직 설정되지 않았더라도, Work Folders에 대한 의존 당사자 신뢰를 설정 및 구성할 수 있습니다. 클라우드 폴더에서 AD FS를 사용할 수 있도록 신뢰 당사자 신뢰를 설정해야 합니다. AD FS를 설정하는 중이므로 이제 이 단계를 수행하는 것이 좋습니다.
신뢰 당사자 신뢰를 설정하려면 다음과 같이 합니다.
서버 관리자를 열고 도구 메뉴에서 AD FS 관리를 선택합니다.
오른쪽 창의 작업에서 신뢰 관계 추가를 클릭합니다.
환영 페이지에서 클레임 인식을 선택하고 시작을 클릭합니다.
데이터 원본 선택 페이지에서 수동으로 신뢰 당사자 신뢰 데이터 입력을 선택한 후 다음을 클릭합니다.
표시 이름 필드에 WorkFolders를 입력하고 다음을 클릭합니다.
인증서 구성 페이지에서 다음을 클릭합니다. 토큰 암호화 인증서는 선택 사항이며 테스트 구성에 필요하지 않습니다.
URL 구성 페이지에서 다음을 클릭합니다.
식별자 구성 페이지에서 다음 식별자를
https://windows-server-work-folders/V1추가합니다. 이 식별자는 AD FS와 통신할 때 클라우드 폴더 서비스에서 전송되며, 클라우드 폴더에서 사용하는 하드 코드된 값입니다. 다음을 클릭합니다.액세스 제어 정책 선택 페이지에서 모든 사용자 허용을 선택하고 다음을 클릭합니다.
트러스트 추가 준비 페이지에서 다음을 클릭합니다.
구성이 완료되면 마법사의 마지막 페이지는 구성이 성공했음을 나타냅니다. 클레임 규칙을 편집할 확인란을 선택하고 닫기를 클릭합니다.
AD FS 스냅인에서 WorkFolders 신뢰 당사자 트러스트를 선택하고 작업에서 클레임 발급 정책 편집 을 클릭합니다.
WorkFolders에 대한 클레임 발급 정책 편집 창이 열립니다. 규칙 추가를 클릭합니다.
클레임 규칙 템플릿 드롭 다운 목록에서 LDAP 특성을 클레임으로 보내기를 선택한 후 다음을 클릭합니다.
클레임 규칙 구성 페이지의 클레임 규칙 이름 필드에 WorkFolders를 입력합니다.
특성 저장소 드롭다운 목록에서 Active Directory를 선택합니다.
매핑 테이블에서 다음 값을 입력하세요.
사용자 주체 이름: UPN
표시 이름: 이름
성(姓): 성
이름 (Given Name)
마침을 클릭합니다. 발급 변환 규칙 탭에 나열된 WorkFolders 규칙이 표시되고 확인을 클릭합니다.
신뢰 당사자 신뢰 옵션 설정
신뢰 당사자 신뢰가 AD FS에 대해 설정된 후에는 Windows PowerShell에서 5개의 명령을 실행하여 구성을 완료해야 합니다. 이러한 명령은 클라우드 폴더가 AD FS와 성공적으로 통신하는 데 필요한 옵션을 설정하며, UI를 통해서는 설정할 수 없습니다. 이러한 옵션은 다음과 같습니다.
JSON 웹 토큰(JSON web tokens, JWT) 활성화
암호화된 클레임 비활성화
자동 업데이트 사용
Oauth 새로 고침 토큰 발급을 모든 디바이스로 설정합니다.
클라이언트에 신뢰 당사자 신뢰에 대한 액세스 권한 부여
이러한 옵션을 설정하려면 다음 명령을 따르세요.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile
작업 장소 연결 활성화
작업 공간 연결을 활성화하는 것은 선택 사항이지만, 사용자가 개인 디바이스를 사용해 작업 공간 리소스에 액세스할 수 있도록 하려는 경우에는 유용할 수 있습니다.
작업 공간 연결에 디바이스 등록을 활성화하려면 디바이스 등록을 구성하고 전역 인증 정책을 설정하는 다음 Windows PowerShell 명령을 실행해야 합니다.
Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true
AD FS 인증서 내보내기
다음으로, 테스트 환경의 다음 머신에 설치할 수 있도록 자체 서명된 AD FS 인증서를 내보냅니다.
작업 폴더에 사용되는 서버
웹 애플리케이션 프록시에 사용되는 서버
도메인에 가입된 Windows 클라이언트
도메인에 가입되어 있지 않은 Windows 클라이언트
인증서를 내보내려면 다음 단계를 따르세요.
시작을 클릭한 다음 실행을 클릭합니다.
MMC를 입력합니다.
파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 클릭합니다. 인증서 스냅인 마법사가 시작됩니다.
컴퓨터 계정을 선택한 다음 다음을 클릭합니다.
로컬 컴퓨터: (이 콘솔이 실행되고 있는 컴퓨터)를 선택한 다음 마침을 클릭합니다.
OK를 클릭합니다.
Console Root\Certificates(로컬 컴퓨터)\Personal\Certificates 폴더를 확장합니다.
AD FS 인증서를 마우스 오른쪽 버튼으로 클릭하고 모든 작업, 내보내기...를 차례로 클릭합니다.
인증서 내보내기 마법사가 열립니다. 예, 프라이빗 키를 내보냅니다를 선택합니다.
내보내기 파일 형식 페이지에서 기본 옵션을 선택한 상태로 두고 다음을 클릭합니다.
인증서의 암호를 만듭니다. 이는 추후 인증서를 다른 디바이스로 가져올 때 사용할 암호입니다. 다음을 클릭합니다.
인증서의 위치와 이름을 입력한 다음 마침을 클릭합니다.
인증서 설치에 대해서는 배포 절차의 뒷부분에서 다룹니다.
프라이빗 키 설정 관리
새 인증서의 개인 키에 액세스할 수 있는 권한을 AD FS 서비스 계정에 부여해야 합니다. 통신 인증서가 만료된 후 교체할 경우 이 권한을 다시 부여해야 합니다. 권한을 부여하려면 다음 단계를 따르세요.
시작을 클릭한 다음 실행을 클릭합니다.
MMC를 입력합니다.
파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 클릭합니다. 인증서 스냅인 마법사가 시작됩니다.
컴퓨터 계정을 선택한 다음 다음을 클릭합니다.
로컬 컴퓨터: (이 콘솔이 실행되고 있는 컴퓨터)를 선택한 다음 마침을 클릭합니다.
OK를 클릭합니다.
Console Root\Certificates(로컬 컴퓨터)\Personal\Certificates 폴더를 확장합니다.
마우스 오른쪽 버튼으로 AD FS 인증서를 클릭하고, 모든 작업, 프라이빗 키 관리를 차례로 클릭합니다.
사용 권한 창에서 추가를 클릭합니다.
개체 유형 창에서 서비스 계정을 선택한 다음 확인을 클릭합니다.
AD FS를 실행하는 계정의 이름을 입력하세요. 이 테스트 예제에서 이것은 ADFSService입니다. OK를 클릭합니다.
사용 권한 창에서 계정에 최소한 읽기 권한을 부여하고 확인을 클릭합니다.
프라이빗 키를 관리하는 옵션이 없는 경우 certutil -repairstore my * 명령을 실행해야 할 수도 있습니다.
AD FS이 작동하는지 확인
AD FS가 작동하는지 확인하려면 브라우저 창을 열고 https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml(으)로 이동하여 사용자 환경에 맞는 URL로 변경합니다.
브라우저 창에 어떠한 서식 없이 페더레이션 서버 메타데이터가 표시됩니다. SSL 오류나 경고 없이 데이터를 볼 수 있다면 페더레이션 서버가 작동하고 있는 것입니다.
다음 단계: AD FS 및 웹 애플리케이션 프록시를 사용한 클라우드 폴더 배포: 3단계, 클라우드 폴더 설정