Windows Azure Pack 에서 FQDN 및 포트 다시 구성

아티클
09/07/2016

적용 대상: Windows Azure Pack

Windows azure Pack for Windows Server는 클레임 기반 인증 시스템을 사용하여 사용자를 인증하고 권한을 부여합니다. 이 인증은 외부 IdP-STS(Identity Provider Security Token Service)에 의해 수행됩니다. 시스템은 IdP-STS를 신뢰하여 사용자의 ID를 확인하고 각 사용자에 대한 신뢰할 수 있는 클레임 집합을 제공합니다. 엔드포인트 변경 내용이 영향을 받는 구성 요소에 올바르게 전달되도록 Azure 팩 구성을 Windows 중에 IdP-STS와 양방향 트러스트 관계를 설정해야 합니다.

이 신뢰 관계를 설정하기 위해 다음 Windows Azure Pack 구성 요소는 메타데이터 정보를 노출합니다.

테넌트용 관리 포털
관리자용 관리 포털
테넌트 인증 사이트
관리 인증 사이트

노출된 데이터에는 다른 구성 요소의 엔드포인트 정보를 포함하여 필요한 모든 트러스트 정보가 포함됩니다. 엔드포인트 정보는 사용자를 IdP-STS로 리디렉션하고 Windows Azure Pack으로 다시 리디렉션하는 데 사용됩니다.

따라서 구성 요소에 대한 엔드포인트 구성이 변경될 때마다 메타데이터 정보를 업데이트해야 하며, 업데이트된 메타데이터를 사용하여 트러스트 관계를 다시 설정해야 합니다.

Windows Azure Pack 설치 및 구성은 노출된 메타데이터 및 엔드포인트 정보에 대한 기본값을 제공합니다. 기본적으로 Windows Azure Pack은 컴퓨터 및 도메인 이름을 각 구성 요소의 FQDN(정규화된 도메인 이름)으로 사용합니다. 또한 각 구성 요소에 대해 미리 정의된 포트 번호를 설정합니다.

예를 들어 테넌트 컴퓨터 호스트 이름이 "mytenantmachine"이고 도메인이 "contoso.com"인 경우 테넌트 포털의 기본 구성은 https://mytenantmachine.contoso.com:30081이 됩니다.

일부 시나리오에서는 기본 엔드포인트 값을 변경해야 합니다. 예를 들면 다음과 같습니다.

구성 요소의 자체 서명된 기본 SSL 인증서를 실제 인증서로 업데이트하는 경우 구성 요소의 FQDN이 인증서 FQDN과 일치해야 합니다.
구성 요소의 여러 인스턴스에서 부하 분산 장치를 사용하는 경우 각 구성 요소 인스턴스의 엔드포인트 대신 부하 분산 장치 엔드포인트를 사용해야 합니다.
미리 정의된 포트를 변경하는 경우 Windows Azure Pack 포트 설정을 업데이트해야 합니다. 예를 들어 기본 HTTPS 포트 443으로 변경하려면 Windows Azure Pack 포트 설정을 업데이트해야 합니다.

이러한 경우 메타데이터 정보를 업데이트해야 하며, 다음 단계에 설명된 대로 트러스트 관계를 다시 설정해야 합니다.

FQDN 및 포트 설정을 업데이트하려면

업데이트하려는 컴퓨터에서 Set-MgmtSvcFqdn cmdlet을 실행합니다.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

매개 변수	필수/선택	세부 정보
-ConnectionString	필수	이 매개 변수는 Windows Azure Pack 구성 저장소를 호스트하는 SQL Server 대한 연결 문자열을 정의합니다. 데이터베이스 이름(초기 카탈로그)은 필요하지 않습니다. 문자열에 포함된 자격 증명에 구성 저장소에 대한 쓰기 권한이 있어야 합니다. 예를 들면 다음과 같습니다. `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server – 관리 포털 구성 데이터베이스를 호스트하는 SQL Server 주소입니다. $userId – 관리 포털 구성 데이터베이스에 대한 쓰기 권한이 있는 SQL 사용자입니다. $password – $userId 계정의 암호입니다.
-FQDN	Optional	이 매개 변수는 컴퓨터에 대한 새 FQDN을 지정하는 데 사용됩니다. 프로토콜 접두사를 포함하지 않고 새 FQDN으로 $fqdn을 바꿉니다. 예를 들어 mynewfqdn.contoso.com입니다. FQDN을 변경하지 않는 경우 이 매개 변수를 생략할 수 있습니다.
-Namespace	필수	이 매개 변수는 구성할 구성 요소를 나타내는 데 사용됩니다. 가능한 값: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.
-Port	Optional	이 매개 변수는 새 포트를 정의하는 데 사용됩니다. $port를 새 포트로 바꿉니다. 443). 기본 HTTPS 포트 443을 사용하면 엔드포인트에서 포트 섹션이 제거됩니다. 포트를 변경하지 않는 경우 이 매개 변수를 생략할 수 있습니다.

인터넷 정보 서비스 관리자에서 FQDN 및 포트 값이 업데이트되었는지 확인합니다. 또한 FQDN이 SSL 인증서와 일치하는지 확인합니다.
업데이트된 FQDN 및 포트 값은 궁극적으로 대상 구성 요소로 전파됩니다. 즉시 전파하려면 웹 사이트를 다시 시작합니다.
구성 요소를 호스트하는 모든 컴퓨터에서 2단계와 3단계를 반복합니다.
필요한 경우 적절한 위치로 요청을 전달하도록 DNS를 설정합니다.
다음 섹션에 설명된 대로 영향을 받는 모든 구성 요소 간에 트러스트를 다시 설정합니다.

트러스트 다시 설정

Windows Azure Pack은 토큰 및 클레임을 사용하여 최종 사용자를 인증하고 권한을 부여하는 클레임 인식 애플리케이션입니다. 토큰이 신뢰할 수 있는 키로 서명 등의 일부 조건을 준수하는 한, 이러한 응용 프로그램은 토큰 발급자의 ID를 사용하지 않습니다. 자세한 내용은 클레임 인식 애플리케이션을 참조하세요.

클레임 기반 인증을 사용하는 경우 시스템은 STS를 신뢰하여 해당 토큰을 발급합니다. 그러나 반드시 이 STS가 실제로 사용자 인증을 수행한다는 의미는 아닙니다. STS는 사용자 인증 요청(또는 페더레이션)을 첫 번째 STS에서 신뢰하는 다른 STS로 위임할 수 있습니다. 서로 신뢰하고 요청을 위임하는 이러한 STS 체인은 일반적이며 유연합니다. 트러스트 관계의 가능한 토폴로지는 무한합니다. 시스템 관리자는 비즈니스 요구 사항을 충족하는 가장 적합한 토폴로지를 선택해야 합니다.

예를 들어 AD FS를 신뢰하여 사용자를 인증하도록 Windows Azure Pack 관리 포털을 구성할 수 있습니다. AD FS 구성에 따라 AD FS는 다음 중 하나를 수행할 수 있습니다.

AD FS는 관리 포털 Active Directory 자격 증명을 사용하여 사용자를 직접 인증할 수 있습니다.
AD FS는 요청을 다른 STS로 페더레이션할 수 있습니다.

예를 들어 두 번째 경우에는 Windows Azure Active Directory ACS(액세스 제어 서비스)를 다른 STS로 사용할 수 있습니다. 그러면 ACS가 Windows Live 등의 다른 STS로 요청을 다시 페더레이션할 수 있습니다. 이 경우 Windows Live는 실제로 Windows Live 자격 증명을 사용하여 사용자를 인증합니다. 이는 Windows Azure Pack에서 Windows Live, Google 또는 Facebook 인증을 사용하도록 설정하는 한 가지 방법입니다.

중요

엔드포인트를 사용하여 신뢰 체인의 다음 구성 요소로 사용자를 리디렉션하기 때문에 페더레이션에 성공하려면 모든 구성 요소에서 모든 엔드포인트를 올바르게 구성해야 합니다.

관리 포털 엔드포인트를 변경하는 경우 포털에서 즉시 신뢰하는 STS를 업데이트해야 합니다.

신뢰 당사자 페더레이션 메타데이터 URL에 대한 STS의 FQDN 및 포트 변경 내용을 업데이트한 다음 메타데이터를 새로 고칩니다.

STS 엔드포인트를 변경하는 경우 관리 포털, 다른 STS 등 엔드포인트에서 직접 신뢰하는 모든 구성 요소를 업데이트해야 합니다.

시스템 관리자는 구성 변경 후에 업데이트해야 하는 구성 요소를 이해하기 위해 신뢰 체인에 대해 잘 알고 있어야 합니다.

관리 포털에 대한 트러스트 다시 설정

Windows Azure Pack 관리 포털에서 즉시 신뢰하는 STS 엔드포인트가 변경된 경우 새 엔드포인트 정보로 포털을 업데이트해야 합니다. 이렇게 하려면 관련 컴퓨터에서 Set-MgmtSvcRelyingPartySettings PowerShell cmdlet을 사용합니다.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

매개 변수	필수/선택	세부 정보
대상	필수	이 매개 변수는 업데이트할 구성 요소 집합을 정의합니다. 대상>에 허용되는< 값: 테넌트 - 테넌트를 위한 관리 포털, 테넌트 API 계층 및 관리 API 계층을 구성하려면 사용합니다. 관리 - 관리자를 위한 관리 포털 및 관리 API 계층을 구성하려면 사용합니다. 하나의 대상 또는 대상 배열을 제공할 수 있습니다.
MetadataEndpoint	필수	이 매개 변수는 신뢰할 수 있는 IdP-STS 메타데이터 엔드포인트의 전체 URL을 정의합니다. 메타데이터 엔드포인트 전체 URL>에 허용되는< 값: 유효한 URL입니다. 예를 들면 다음과 같습니다. http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString	필수(PortalConnectionString 및 ManagementConnectionString을 사용하지 않는 경우)	이 매개 변수는 Windows Azure Pack 포털 구성 저장소 및 관리 저장소를 호스트하는 SQL Server 대한 연결 문자열을 정의합니다. 데이터베이스 이름(초기 카탈로그)은 필요하지 않습니다. 포털 구성 저장소 또는 관리 저장소가 다른 SQL Server 인스턴스에서 호스트되거나 기본이 아닌 데이터베이스 이름을 사용하는 경우 PortalConnectionString 및 ManagementConnectionString 매개 변수를 대신 사용합니다.
DisableCertificateValidation	Optional 프로덕션 환경에서는 사용하지 않는 것이 좋습니다.	이 매개 변수는 SSL 인증서 유효성 검사를 사용하지 않도록 설정합니다. 이 매개 변수를 사용하지 않으면 메타데이터 엔드포인트에서 자체 서명된 SSL 인증서를 사용하는 경우 cmdlet이 메타데이터 정보를 검색하지 못합니다.
PortalConnectionString	선택 사항(ConnectionString이 제공된 경우)	이 매개 변수를 사용하여 구성 저장소에 대해서만 기본 연결 문자열을 재정의합니다. 다음과 같은 경우 이 작업을 수행해야 합니다. - 포털 구성 저장소가 다른 SQL 인스턴스에 있습니다. - 포털 구성 저장소는 서로 다른 자격 증명을 사용합니다. - 기본 연결 문자열을 사용하지 않습니다.
ManagementConnectionString	선택 사항(ConnectionString이 제공된 경우)	이 매개 변수를 사용하여 관리 저장소에 대해서만 기본 연결 문자열을 재정의합니다. 다음과 같은 경우 이 작업을 수행해야 합니다. - WAP 관리 저장소는 다른 SQL 인스턴스에 있습니다. - 관리 저장소는 다른 자격 증명을 사용합니다. - 기본 연결 문자열을 사용하지 않습니다.

예제 cmdlet:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

팁

이 cmdlet은 Windows Azure Pack에 대한 Windows Azure PowerShell 업데이트가 설치된 모든 컴퓨터에서 사용할 수 있습니다.
업데이트된 설정은 궁극적으로 영향을 받는 모든 구성 요소로 전파됩니다. 더 빨리 전파하려면 영향을 받는 구성 요소를 수동으로 다시 시작하여 새 구성 값을 즉시 가져옵니다. 대상이 '테넌트'인 경우 테넌트, 테넌트 API 및 관리 API 구성 요소를 위한 모든 관리 포털을 다시 시작해야 합니다. 대상이 '관리'인 경우 관리자 및 관리 API 구성 요소를 위한 모든 관리 포털을 다시 시작해야 합니다.

인증 사이트에 대한 트러스트 다시 설정

Windows Azure Pack 인증 사이트에서 즉시 신뢰할 수 있는 STS 엔드포인트가 변경된 경우 인증 사이트를 새 엔드포인트 정보로 업데이트해야 합니다. 관련 컴퓨터에서 PowerShell cmdlet Set-MgmtSvcIdentityProviderSettings PowerShell cmdlet을 사용하여 이 작업을 수행할 수 있습니다.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

매개 변수	필수/선택	세부 정보
대상	필수	이 매개 변수는 업데이트할 구성 요소 집합을 정의합니다. 대상>에 허용되는< 값: 멤버 자격 - 테넌트(멤버 자격) 인증 사이트를 구성하려면 사용합니다. Windows - 관리(Windows) 인증 사이트를 구성하려면 사용합니다. 하나의 대상 또는 대상 배열을 제공할 수 있습니다.
MetadataEndpoint	필수	이 매개 변수는 신뢰할 수 있는 구성 요소 메타데이터 엔드포인트의 전체 URL을 정의합니다. 메타데이터 엔드포인트 전체 URL>에 허용되는< 값: 유효한 URL입니다. 예를 들면 다음과 같습니다. http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary	Optional	각 인증 사이트는 최대 두 개의 신뢰할 수 있는 신뢰 당사자를 지원합니다. 기본 신뢰 당사자를 덮어쓰지 않고 두 번째 신뢰 당사자를 구성하려면 이 매개 변수를 포함합니다.
ConnectionString	필수(PortalConnectionString을 사용하지 않는 경우)	이 매개 변수는 Windows Azure Pack 포털 구성 저장소를 호스트하는 SQL Server 대한 연결 문자열을 정의합니다. 데이터베이스 이름(초기 카탈로그)은 필요하지 않습니다. 포털 구성 저장소가 기본이 아닌 데이터베이스 이름을 사용하는 경우 PortalConnectionString 매개 변수를 대신 사용합니다.
DisableCertificateValidation	Optional 프로덕션 환경에서는 사용하지 않는 것이 좋습니다.	이 매개 변수는 SSL 인증서 유효성 검사를 사용하지 않도록 설정합니다. 이 매개 변수를 사용하지 않으면 메타데이터 엔드포인트에서 자체 서명된 SSL 인증서를 사용하는 경우 cmdlet이 메타데이터 정보를 검색하지 못합니다.
PortalConnectionString	선택 사항(ConnectionString이 제공된 경우)	이 매개 변수를 사용하여 구성 저장소에 대해서만 기본 연결 문자열을 재정의합니다. 다음과 같은 경우 이 작업을 수행해야 합니다. - 포털 구성 저장소는 서로 다른 자격 증명을 사용합니다. - 기본 연결 문자열을 사용하지 않습니다.