웹용 Outlook AD FS 클레임 기반 인증 사용

  • 아티클

Exchange Server 조직에서 AD FS(Active Directory Federation Services)를 설치하고 구성하면 클라이언트가 AD FS 클레임 기반 인증을 사용하여 웹용 Outlook(이전의 Outlook Web App) 및 Exchange 관리 센터에 연결할 수 있습니다. (EAC). 클레임 기반 ID는 애플리케이션에서 인증 관리를 제거하고 인증을 중앙 집중화하여 계정을 더 쉽게 관리할 수 있도록 하는 인증에 대한 또 다른 방법입니다. 클레임 기반 인증을 사용하도록 설정하면 웹용 Outlook 및 EAC는 사용자를 인증하거나, 사용자 계정 및 암호를 저장하거나, 사용자 ID 세부 정보를 조회하거나, 다른 ID 시스템과 통합할 책임이 없습니다. 인증을 중앙 집중화하면 나중에 인증 방법을 더 쉽게 업그레이드할 수 있습니다.

AD FS 클레임 기반 인증은 웹용 Outlook 및 EAC에 사용할 수 있는 기존 인증 방법을 대체합니다. 예를 들면

  • Active Directory 클라이언트 인증서 인증
  • 기본 인증
  • 다이제스트 인증
  • 폼 인증
  • Windows 인증

웹용 Outlook 및 Exchange Server EAC에 대한 AD FS 클레임 기반 인증을 설정하려면 다음과 같은 추가 서버가 포함됩니다.

  • Windows Server 2012 이상 도메인 컨트롤러(Active Directory Domain Services 서버 역할)

  • Windows Server 2012 이상 AD FS 서버(Active Directory Federation Services 서버 역할) Windows Server 2012는 AD FS 2.1을 사용하고 Windows Server 2012 R2는 AD FS 3.0을 사용합니다. AD FS를 설치하고 AD FS 서버에 필요한 신뢰 당사자 트러스트 및 클레임 규칙을 만들려면 도메인 관리자, 엔터프라이즈 관리자 또는 로컬 관리자 보안 그룹의 구성원이어야 합니다.

  • 필요에 따라 Windows Server 2012 R2 이상 웹 애플리케이션 프록시 서버(원격 액세스 서버 역할, 웹 애플리케이션 프록시 역할 서비스).

    • 웹 애플리케이션 프록시 회사 네트워크 내에 있는 웹 애플리케이션에 대한 역방향 프록시 서버입니다. 웹 애플리케이션 프록시 통해 많은 디바이스의 사용자가 회사 네트워크 외부에서 게시된 웹 애플리케이션에 액세스할 수 있습니다. 자세한 내용은 내부 애플리케이션 게시를 위한 웹 애플리케이션 프록시 설치 및 구성을 참조하세요.

    • 일반적으로 외부 클라이언트에서 AD FS에 액세스할 수 있는 경우 웹 애플리케이션 프록시 권장되지만 웹 애플리케이션 프록시 통해 AD FS 인증을 사용하는 경우 웹용 Outlook 오프라인 액세스가 지원되지 않습니다.

    • Windows Server 2012 R2 서버에 웹 애플리케이션 프록시 설치하려면 로컬 관리자 권한이 필요합니다.

    • 웹 애플리케이션 프록시 서버를 구성하기 전에 AD FS 서버를 배포하고 구성해야 하며, AD FS가 설치된 동일한 서버에 웹 애플리케이션 프록시 설치할 수 없습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 이 절차를 완료하는 예상 시간: 45분.

  • 이 항목의 절차는 Windows Server 2012 R2를 기반으로 합니다.

  • 장치에 대한 웹용 Outlook에서는 AD FS 클레임 기반 인증을 지원하지 않습니다.

  • Exchange organization 절차의 경우 조직 관리 권한이 있어야 합니다.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.

문제가 있습니까? Exchange Server, Exchange Online 또는 Exchange Online Protection. 무슨 작업을 하고 싶으십니까?

1단계: AD FS에 대한 인증서 요구 사항 검토

AD FS에는 다음 두 가지 기본 유형의 인증서가 필요합니다.

  • AD FS 서버, 클라이언트, Exchange 서버 및 선택적 웹 애플리케이션 프록시 서버 간의 암호화된 웹 서비스 트래픽에 대한 서비스 통신 SSL(Secure Sockets Layer) 인증서입니다. 모든 클라이언트가 이 인증서를 신뢰해야 하므로 내부 또는 상용 CA(인증 기관)에서 발급한 인증서를 사용하는 것이 좋습니다.

  • AD FS 서버, Active Directory 도메인 컨트롤러 및 Exchange 서버 간의 암호화된 통신 및 인증을 위한 토큰 서명 인증서입니다. 기본 자체 서명된 AD FS 토큰 서명 인증서를 사용하는 것이 좋습니다.

Windows에서 SSL 인증서를 만들고 가져오는 방법에 대한 자세한 내용은 서버 인증서를 참조하세요.

이 시나리오에서 사용할 인증서의 요약은 다음과 같습니다.

인증서의 CN(일반 이름) (주체, 주체 대체 이름 또는 와일드카드 인증서 일치) 유형 서버에 필요 설명
adfs.contoso.com CA에서 발급 AD FS 서버

웹 애플리케이션 프록시 서버

 클라이언트에 표시되는 호스트 이름이므로 클라이언트는 이 인증서의 발급자를 신뢰해야 합니다.
ADFS Signing - adfs.contoso.com 자체 서명됨 AD FS 서버

Exchange 서버

웹 애플리케이션 프록시 서버

 기본 자체 서명된 인증서는 선택적 웹 애플리케이션 프록시 서버를 구성하는 동안 자동으로 복사되지만 organization 모든 Exchange 서버의 신뢰할 수 있는 루트 인증서 저장소로 수동으로 가져와야 합니다.

기본적으로 자체 서명된 토큰 서명 인증서는 1년 동안 유효합니다. AD FS 서버는 만료되기 전에 자체 서명된 인증서를 자동으로 갱신(대체)하도록 구성되지만 Exchange 서버에서 인증서를 다시 가져와야 합니다.

AD FS 서버 Set-AdfsProperties -CertificateDuration <Days> 의 Windows PowerShell 이 명령을 실행하여 기본 인증서 만료 기간을 늘릴 수 있습니다(기본값은 365). 자세한 내용은 Set-AdfsProperties를 참조하세요.

AD FS 관리 콘솔에서 인증서를 내보내려면 서비스>인증서> 를 선택하여 토큰 서명 인증서 > 를 마우스 오른쪽 단추로 클릭하고 인증서> 보기를 선택하고 세부 정보 탭 > 에서 파일로 복사를 클릭합니다.
mail.contoso.com CA에서 발급 Exchange 서버

웹 애플리케이션 프록시 서버

 이 인증서는 외부 클라이언트 연결을 웹용 Outlook 암호화하는 데 사용되는 일반적인 인증서입니다(및 다른 Exchange IIS 서비스일 수 있음). 자세한 내용은 Exchange 서비스에 대한 인증서 요구 사항을 참조하세요.

자세한 내용은 AD FS 요구 사항의 "인증서 요구 사항" 섹션을 참조하세요.

참고

SSL(Secure Sockets Layer)은 컴퓨터 시스템 간에 전송되는 데이터를 암호화하는 데 사용되는 프로토콜로 TLS(전송 계층 보안)로 대체됩니다. "SSL" 및 "TLS"(버전 없음)라는 용어가 서로 바꿔서 사용되는 경우가 많습니다. 이러한 유사성 때문에 Exchange topics, Exchange 관리 센터 및 Exchange 관리 셸의 "SSL"에 대한 참조는 종종 SSL 및 TLS 프로토콜을 모두 포괄하는 데 사용되었습니다. 일반적으로 "SSL"은 버전도 제공되는 경우에만 실제 SSL 프로토콜을 나타냅니다(예: SSL 3.0). SSL 프로토콜을 사용하지 않도록 설정하고 TLS로 전환해야 하는 이유를 알아보려면 SSL 3.0 취약성으로부터 보호를 검사.

2단계: AD FS 서버 배포

서버 관리자 또는 Windows PowerShell 사용하여 대상 서버에 Active Directory Federation Services 역할 서비스를 설치할 수 있습니다.

서버 관리자 사용하여 AD FS를 설치하려면 다음 단계를 수행합니다.

  1. 대상 서버에서 서버 관리자 열고 관리를 클릭한 다음 역할 및 기능 추가를 선택합니다.

    서버 관리자 관리를 클릭하여 역할 및 기능 추가로 이동합니다.

  2. 역할 및 기능 추가 마법사가 열립니다. 이전에 기본적으로 이 페이지 건너뛰기를 선택하지 않은 경우 시작하기 전에 페이지에서 시작합니다. 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '시작하기 전에' 페이지입니다.

  3. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치가 선택되어 있는지 확인하고 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '대상 서버 선택' 페이지입니다.

  4. 대상 서버 선택 페이지에서 서버 선택을 확인하고 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '대상 서버 선택' 페이지입니다.

  5. 서버 역할 선택 페이지의 목록에서 Active Directory Federation Services 선택한 다음, 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '서버 역할 선택' 페이지에서 'Active Directory Federation Services'을 선택합니다.

  6. 기능 선택 페이지에서 다음(기본 기능 선택 적용)을 클릭합니다.

    역할 및 기능 추가 마법사의 '기능 선택' 페이지에서 다음을 클릭합니다.

  7. Active Directory Federation Services(AD FS) 페이지에서 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 'Active Directory Federation Services' 페이지입니다.

  8. Windows Server 2012만 해당: 역할 서비스 선택 페이지에서 다음 (기본 역할 서비스 선택 허용)을 클릭합니다.

  9. 설치 선택 확인 페이지에서 설치를 클릭합니다.

    역할 및 기능 추가 마법사의 '설치 선택 확인' 페이지입니다.

  10. 설치 진행률 페이지에서 진행률 표시줄을 watch 설치가 성공했는지 확인할 수 있습니다. 설치가 완료되면 3b단계: AD FS서버 구성에서 이 서버에서 페더레이션 서비스 구성을 클릭할 수 있도록 마법사를 열어 둡니다.

역할 및 기능 추가 마법사의 '설치 진행률' 페이지에서 진행 상황을 확인합니다.

Windows PowerShell 사용하여 AD FS를 설치하려면 다음 명령을 실행합니다.

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

3단계: AD FS 서버 구성 및 테스트

AD FS: 검사 목록: 페더레이션 서버 설정을 구성하는 데 도움이 되도록 이 검사 목록을 참조할 수도 있습니다.

3a단계: 도메인 컨트롤러에서 gMSA 만들기

AD FS 서버를 구성하기 전에 Windows Server 2012 이상 도메인 컨트롤러에서 gMSA(그룹 관리 서비스 계정)를 만들어야 합니다. 도메인 컨트롤러의 관리자 권한 Windows PowerShell 창에서 이 작업을 수행합니다(관리자 권한으로 실행을 선택하여 여는 Windows PowerShell 창).

  1. 다음 명령을 실행합니다.

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

    명령이 성공하면 GUID 값이 반환됩니다. 예를 들면

    Guid
    ----
    2570034b-ab50-461d-eb80-04e73ecf142b

  2. AD FS 서버에 대한 새 gMSA 계정을 만들려면 다음 구문을 사용합니다.

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>

    이 예제에서는 adfs.contoso.com 페더레이션 서비스에 대한 FSgMSA라는 새 gMSA 계정을 만듭니다. 페더레이션 서비스 이름은 클라이언트에 표시되는 값입니다.

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com

3b단계: AD FS 서버 구성

AD FS 서버를 구성하려면 서버 관리자 또는 Windows PowerShell 사용할 수 있습니다.

서버 관리자 사용하려면 다음 단계를 수행합니다.

  1. 2단계: AD FS 서버 배포에서 AD FS 서버에서 역할 및 기능 추가 마법사를 열어 놓은 경우 설치 진행률 페이지에서 이 서버에서 페더레이션 서비스 구성 링크를 클릭할 수 있습니다.

    역할 및 기능 추가 마법사의 '설치 진행률' 페이지에서 '이 서버에서 페더레이션 서비스 구성'을 클릭합니다.

    역할 및 기능 추가 마법사를 닫거나 Windows PowerShell 사용하여 AD FS를 설치한 경우 알림을 클릭한 다음 배포 후 구성 경고에서 이 서버에서 페더레이션 서비스 구성을 클릭하여 서버 관리자 동일한 위치에 도착할 수 있습니다.

    서버 관리자 알림을 클릭하여 이 서버에서 fedration 서비스 구성 링크가 포함된 경고를 확인합니다.

  2. Active Directory Federation Services 마법사가 열립니다. 시작 페이지에서 페더레이션 서버 팜에서 첫 번째 페더레이션 서버 만들기가 선택되어 있는지 확인하고 다음을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 시작 페이지입니다.

  3. Active Directory Federation Services 연결 페이지에서 AD FS 서버가 있는 도메인에서 도메인 관리자 계정을 선택합니다(현재 자격 증명은 기본적으로 선택됨). 다른 사용자를 선택하려면 변경을 클릭합니다. 작업을 마친 후 다음을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 AD DS에 연결 페이지입니다.

  4. 서비스 속성 지정 페이지에서 다음 설정을 구성합니다.

    • SSL 인증서: 3a단계: 도메인 컨트롤러에서 gMSA 만들기 (예 adfs.contoso.com: )에서 구성한 페더레이션 서비스 이름이 포함된 SSL 인증서를 가져오거나 선택합니다. 서버에 아직 설치되지 않은 인증서를 가져올 때 .pfx 파일(인증서의 프라이빗 키가 포함된 암호로 보호된 파일)을 가져와야 합니다. 인증서의 주체 필드에 있는 CN(일반 이름) 값이 여기에 표시됩니다.

    • 페더레이션 서비스 이름: 이 필드는 선택하거나 가져오는 SSL 인증서 유형에 따라 자동으로 채워집니다.

      • 단일 주체 인증서: 인증서의 주체 필드의 CN 값이 표시되며 변경할 수 없습니다(예: adfs.contoso.com).

      • SAN 인증서: 인증서에 필요한 페더레이션 서비스 이름이 포함된 경우 해당 값이 표시됩니다(예: adfs.contoso.com). 드롭다운 목록을 사용하여 인증서의 다른 CN 값을 볼 수 있습니다.

      • 와일드카드 인증서: 인증서의 주체 필드의 CN 값(예 *.contoso.com: )이 표시되지만 필요한 페더레이션 서비스 이름(예 adfs.contoso.com: )으로 변경해야 합니다.

      참고: 선택한 인증서에 필요한 페더레이션 서비스 이름이 포함되지 않은 경우( 페더레이션 서비스 이름 필드에 필요한 값이 포함되지 않음) 다음 오류가 표시됩니다.

      The federation service name does not match any of the subject names found in the certificate.

    • 페더레이션 서비스 표시 이름: organization 이름을 입력합니다. 예를 들어 Contoso, Ltd..

    작업을 마친 후 다음을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 서비스 속성 지정 페이지입니다.

  5. 서비스 계정 지정 페이지에서 다음 설정을 구성합니다.

    • 기존 도메인 사용자 계정 또는 그룹 관리 서비스 계정 사용을 선택합니다.

    • 계정 이름: 선택을 클릭하고 3a단계: 도메인 컨트롤러에서 gMSA 만들기 (예 FSgMSA: )에서 만든 gMSA 계정을 입력합니다. 선택한 후 표시되는 값은 (예: CONTOSO\FSgMSA$)입니다 <Domain>\<gMSAAccountName>$ .

    작업을 마친 후 다음을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 서비스 계정 지정 페이지입니다.

  6. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용하여 이 서버에 데이터베이스 만들기가 선택되어 있는지 확인하고 다음을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 구성 데이터베이스 지정 페이지입니다.

  7. 검토 옵션 페이지에서 선택 항목을 확인합니다. 스크립트 보기 단추를 클릭하여 나중에 사용하기 위해 선택한 것과 동일한 Windows PowerShell 복사할 수 있습니다. 작업을 마친 후 다음을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 검토 옵션 페이지입니다.

  8. 필수 구성 요소 검사 페이지에서 모든 필수 구성 요소 검사가 성공적으로 완료되었는지 확인한 다음 구성을 클릭합니다.

    Active Directory Federation Services 구성 마법사의 필수 구성 확인 페이지입니다.

  9. 결과 페이지에서 결과를 검토하고 구성이 성공적으로 완료되었는지 확인합니다. 다음 단계(예: DNS 구성)에 대해 읽으려면 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭할 수 있습니다. 작업을 마쳤으면 닫기를 클릭합니다.

    Active Directory Federation Services 구성 마법사의 결과 페이지입니다.

Windows PowerShell 사용하여 AD FS를 구성하려면 다음 단계를 수행합니다.

  1. AD FS 서버에서 다음 명령을 실행하여 를 포함하는 설치된 인증서의 지문 값을 찾습니다.adfs.contoso.com

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint

  2. 다음 명령을 실행합니다.

    Import-Module ADFS

  3. 다음 구문을 사용합니다.

    Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>

이 예제에서는 다음 설정을 사용하여 AD FS를 구성합니다.

  • 인증서 지문 adfs.contoso.com: *.contoso.com 지문 값 5AE82C737900B29C2BAC3AB6D8C44D249EE05609이 인 인증서입니다.

  • 페더레이션 서비스 이름: adfs.contoso.com

  • 페더레이션 서비스 표시 이름: Contoso, Ltd.

  • 페더레이션 gMSA SAM 계정 이름 및 도메인: 예를 들어 도메인에 contoso.com 명명된 FSgMSA gMSA 계정의 경우 필요한 값은 입니다contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

참고:

  • gMSA $ 를 만들 때 는 Name 값에 자동으로 추가되어 SamAccountName 값을 만듭니다. 이 값은 여기에 필요합니다.

  • SamAccountName의 에 이 $ 스케이프 문자(''')가 필요합니다.

자세한 정보와 구문은 Install-AdfsFarm을 참조하세요.

3c단계: AD FS 서버 테스트

AD FS를 구성한 후 웹 브라우저에서 페더레이션 메타데이터의 URL을 성공적으로 열어 AD FS 서버에서 설치를 확인할 수 있습니다. URL은 구문을 https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml사용합니다. 예를 들면 https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml와 같습니다.

4단계: 웹용 Outlook 및 EAC에 대한 AD FS에서 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙 만들기

  • Exchange 서버에서 웹용 Outlook 라는 owa 가상 디렉터리를 사용하고 EAC는 라는 ecp가상 디렉터리를 사용합니다.

  • 웹용 Outlook 및 EAC URL 값에 사용되는 후행 슬래시(/)는 의도적인 것입니다. AD FS 신뢰 당사자 트러스트와 Exchange 대상 그룹 URI는 동일해야 합니다. 둘 다 URL에서 후행 슬래시를 생략해야 하거나 둘 다 있어야 합니다. 이 섹션의 예제에는 owa 및 ecp URL(owa/ecp/)의 후행 슬래시가 포함됩니다.

  • 별도의 네임스페이스(예eu.contoso.com: 및 na.contoso.com)를 사용하는 여러 Active Directory 사이트가 있는 조직에서는 웹용 Outlook 및 EAC 모두에 대해 각 네임스페이스에 대한 신뢰 당사자 트러스트를 구성해야 합니다.

4a단계: 웹용 Outlook 및 EAC에 대한 AD FS에서 신뢰 당사자 트러스트 만들기

AD FS 서버에서 신뢰 당사자 트러스트를 만들려면 AD FS 관리 콘솔 또는 Windows PowerShell 사용할 수 있습니다.

AD FS 관리 콘솔을 사용하여 신뢰 당사자 트러스트를 만들려면 다음 단계를 수행합니다.

참고: 이러한 단계를 두 번 수행해야 합니다. 웹용 Outlook 한 번, EAC의 경우 한 번 진행해야 합니다. 유일한 차이점은 5단계와 8단계에서 입력한 값입니다(마법사에서 표시 이름 지정URL 구성 페이지).

  1. Server Manager에서 도구를 클릭하고 AD FS 관리를 선택합니다.

    서버 관리자 도구 > AD FS 관리를 선택합니다.

  2. AD FS 관리 콘솔에서 트러스트 관계를 확장한 다음 신뢰 당사자 트러스트를 선택합니다. 작업 창에서 신뢰 당사자 트러스트 추가를 선택합니다.

    AD FS 관리 콘솔에서 트러스트 관계를 확장하고 작업 창에서 신뢰 당사자 트러스트 추가를 선택합니다.

  3. 신뢰 당사자 트러스트 추가 마법사가 열립니다. 시작 페이지에서 시작을 클릭합니다.

    신뢰 당사자 트러스트 추가 마법사의 시작 페이지입니다.

  4. 데이터 원본 선택 페이지에서 신뢰 당사자에 대한 데이터 입력을 수동으로 선택하고 다음을 클릭합니다.

    신뢰 당사자 트러스트 추가 마법사의 데이터 원본 선택 페이지에서 웹용 Outlook 대한 세부 정보입니다.

  5. 표시 이름 지정 페이지에서 다음 설정을 구성합니다.

    • 웹용 Outlook 경우:

    • 표시 이름: 웹용 Outlook 입력합니다.

    • 참고: 설명을 입력합니다. 예를 들어 에 대한 https://mail.contoso.com/owa/신뢰입니다.

      신뢰 당사자 트러스트 추가 마법사의 표시 이름 지정 페이지입니다.

    • EAC의 경우:

    • 표시 이름: EAC를 입력합니다.

    • 참고: 설명을 입력합니다. 예를 들어 에 대한 https://mail.contoso.com/ecp/신뢰입니다.

    신뢰 당사자 트러스트 추가 마법사의 데이터 원본 선택 페이지에서 EAC에 대한 세부 정보입니다.

    작업을 마친 후 다음을 클릭합니다.

  6. 프로필 선택 페이지에서 AD FS 프로필이 선택되어 있는지 확인하고 다음을 클릭합니다.

    신뢰 당사자 트러스트 추가 마법사의 프로필 선택 페이지.

  7. 인증서 구성 페이지에서 다음을 클릭합니다(선택적 토큰 암호화 인증서를 지정하지 않음).

    신뢰 당사자 트러스트 추가 마법사의 인증서 구성 페이지입니다.

  8. URL 구성 페이지에서 WS-Federation 수동 프로토콜에 대한 지원 사용을 선택하고 신뢰 당사자 WS-Federation 수동 프로토콜 URL에서 다음 정보를 입력합니다.

    작업을 마친 후 다음을 클릭합니다.

    신뢰 당사자 트러스트 추가 마법사의 URL 구성 페이지에서 EAC에 대한 설정입니다.

  9. 식별자 구성 페이지에서 다음을 클릭합니다(이전 단계의 URL은 신뢰 당사자 트러스트 식별자에 나열됨).

    신뢰 당사자 트러스트 추가 마법사의 식별자 구성 페이지에서 웹용 Outlook 대한 설정입니다.

  10. 다단계 인증 지금 구성? 페이지에서 현재 이 신뢰 당사자 트러스트에 대한 다단계 인증 설정을 구성하지 않으려는지 확인한 후 다음을 클릭합니다.

    다단계 인증 지금 구성? 신뢰 당사자 트러스트 추가 마법사의 페이지

  11. 발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용이 선택되어 있는지 확인하고 다음을 클릭합니다.

    신뢰 당사자 트러스트 추가 마법사의 발급 권한 부여 규칙 선택 페이지.

  12. 트러스트 추가 준비 페이지에서 설정을 검토한 후 다음을 클릭하여 신뢰 당사자 트러스트 정보를 저장합니다.

    신뢰 당사자 트러스트 추가 마법사의 신뢰 추가 준비 페이지입니다.

  13. 마침 페이지에서 마법사가 닫히면 이 신뢰 당사자 트러스트에 대한 클레임 규칙 편집 대화 상자 열기를 선택 취소한 다음 닫기를 클릭합니다.

    신뢰 당사자 트러스트 추가 마법사의 마침 페이지입니다.

Windows PowerShell 프롬프트를 사용하여 신뢰 당사자 트러스트를 만들려면 다음 단계를 수행합니다.

  1. 관리자 권한 Windows PowerShell 창에서 다음 명령을 실행합니다.

    Import-Module ADFS

  2. 다음 구문을 사용합니다.

    Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

이 예제에서는 다음 값을 사용하여 웹용 Outlook 대한 신뢰 당사자 트러스트를 만듭니다.

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

이 예제에서는 다음 값을 사용하여 EAC에 대한 신뢰 당사자 트러스트를 만듭니다.

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

4b단계: 웹용 Outlook 및 EAC에 대한 AD FS에서 사용자 지정 클레임 규칙 만들기

웹용 Outlook 및 EAC 모두에 대해 두 개의 클레임 규칙을 만들어야 합니다.

  • Active Directory 사용자 SID

  • Active Directory UPN

AD FS 서버에서 클레임 규칙을 만들려면 AD FS 관리 콘솔 또는 Windows PowerShell 사용할 수 있습니다.

AD FS 관리 콘솔을 사용하여 클레임 규칙을 만들려면 다음 단계를 수행합니다.

참고: 이러한 단계를 두 번 수행해야 합니다. 웹용 Outlook 한 번, EAC의 경우 한 번 진행해야 합니다. 유일한 차이점은 첫 번째 단계에서 선택한 신뢰 당사자 트러스트입니다. 프로시저의 다른 모든 값은 동일합니다.

필요한 클레임 규칙을 추가하려면 다음을 수행합니다.

  1. AD FS 관리 콘솔에서 신뢰 관계를 확장하여 신뢰 당사자 트러스트를 선택한 다음, 웹용 Outlook 또는 EAC 신뢰 당사자 트러스트를 선택합니다. 작업 창에서 클레임 규칙 편집을 선택합니다.

    AD FS 관리 콘솔에서 트러스트 관계를 확장하고 신뢰 당사자 트러스트를 선택하고 신뢰 당사자 트러스트를 선택한 다음 작업 창에서 클레임 규칙 편집을 클릭합니다.

  2. 열리는 RuleName>에 대한 <클레임 규칙 편집 창에서 발급 변환 규칙 탭이 선택되어 있는지 확인한 다음 규칙 추가를 클릭합니다.

    클레임 규칙 편집 창의 발급 변환 규칙 탭에서 규칙 추가를 선택합니다.

  3. 변환 클레임 규칙 추가 마법사가 열립니다. 규칙 템플릿 선택 페이지에서 클레임 규칙 템플릿 드롭다운을 클릭한 다음 사용자 지정 규칙을 사용하여 클레임 보내기를 선택합니다. 작업을 마친 후 다음을 클릭합니다.

    변환 클레임 규칙 추가 마법사의 규칙 템플릿 선택 페이지에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택합니다.

  4. 규칙 구성 페이지에서 다음 정보를 입력합니다.

    • 클레임 규칙 이름: 클레임 규칙의 설명이 포함된 이름을 입력합니다. 예를 들어 ActiveDirectoryUserSID입니다.

    • 사용자 지정 규칙: 다음 텍스트를 복사하여 붙여넣습니다.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

    변환 클레임 규칙 추가 마법사의 규칙 구성 페이지에서 Active Directory 사용자 SID에 대한 클레임 규칙 설정을 구성합니다.

    완료되면 마침을 클릭합니다.

  5. RuleName>에 대한 <클레임 규칙 편집 창으로 돌아가서 발급 변환 규칙 탭이 선택되어 있는지 확인한 다음 규칙 추가를 클릭합니다.

    클레임 규칙 편집 창의 발급 변환 규칙 탭에서 규칙 추가를 선택합니다.

  6. 변환 클레임 규칙 추가 마법사가 열립니다. 규칙 템플릿 선택 페이지에서 클레임 규칙 템플릿 드롭다운을 클릭한 다음 사용자 지정 규칙을 사용하여 클레임 보내기를 선택합니다. 작업을 마친 후 다음을 클릭합니다.

    변환 클레임 규칙 추가 마법사의 규칙 템플릿 선택 페이지에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택합니다.

  7. 규칙 구성 페이지에서 다음 정보를 입력합니다.

    • 클레임 규칙 이름: 클레임 규칙의 설명이 포함된 이름을 입력합니다. 예를 들어 ActiveDirectoryUPN입니다.

    • 사용자 지정 규칙: 다음 텍스트를 복사하여 붙여넣습니다.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

    변환 클레임 규칙 추가 마법사의 규칙 구성 페이지에서 Active Directory UPN에 대한 클레임 규칙 설정을 구성합니다.

    완료되면 마침을 클릭합니다.

  8. RuleName에 대한 <클레임 규칙 편집 창으로> 돌아가서 확인을 클릭합니다.

    클레임 규칙 추가가 완료되면 확인을 클릭합니다.

Windows PowerShell 사용하여 사용자 지정 클레임 규칙을 만들려면 다음 단계를 수행합니다.

  1. 관리자 권한 Windows PowerShell 창을 열고 다음 명령을 실행합니다.

    Import-Module ADFS

  2. 다음 구문을 사용합니다.

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

웹용 Outlook 라는 기존 신뢰 당사자 트러스트에서 사용자 지정 클레임 규칙을 만들려면 다음 명령을 실행합니다.

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

EAC라는 기존 신뢰 당사자 트러스트에서 사용자 지정 클레임 규칙을 만들려면 다음 명령을 실행합니다.

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

5단계: (선택 사항) Windows Server 2012 R2 웹 애플리케이션 프록시 서버 배포 및 구성

이 섹션의 단계는 웹 애플리케이션 프록시 사용하여 웹용 Outlook 및 EAC를 게시하고 웹 애플리케이션 프록시 AD FS 인증을 수행하려는 경우에만 필요합니다. 중요:

  • 웹 애플리케이션 프록시 통해 AD FS 인증을 사용하는 경우 웹용 Outlook 오프라인 액세스를 사용할 수 없습니다.

  • AD FS가 설치된 동일한 서버에 웹 애플리케이션 프록시 설치할 수 없습니다.

웹 애플리케이션 프록시 사용하지 않 않으면 6단계로 건너뜁니다.

5a단계: 웹 애플리케이션 프록시 설치

서버 관리자 사용하여 웹 애플리케이션 프록시 설치하려면 다음 단계를 수행합니다.

  1. 대상 서버에서 서버 관리자 열고 관리를 클릭한 다음 역할 및 기능 추가를 선택합니다.

    서버 관리자 관리를 클릭하여 역할 및 기능 추가로 이동합니다.

  2. 역할 및 기능 추가 마법사가 열립니다. 이전에 기본적으로 이 페이지 건너뛰기를 선택하지 않은 경우 시작하기 전에 페이지에서 시작합니다. 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '시작하기 전에' 페이지입니다.

  3. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치가 선택되어 있는지 확인하고 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '대상 서버 선택' 페이지입니다.

  4. 대상 서버 선택 페이지에서 서버 선택을 확인하고 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '대상 서버 선택' 페이지입니다.

  5. 서버 역할 선택 페이지의 역할 목록에서 원격 액세스를 선택하고 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '서버 역할 선택' 페이지에서 '원격 액세스'를 선택합니다.

  6. 기능 페이지에서 다음을 클릭합니다(기본 기능 선택 적용).

    역할 및 기능 추가 마법사의 '기능 선택' 페이지

  7. 원격 액세스 페이지에서 정보를 확인하고 다음을 클릭합니다.

    역할 및 기능 추가 마법사의 '원격 액세스' 페이지에서 정보를 읽습니다.

  8. 역할 서비스 선택 페이지에서 웹 애플리케이션 프록시 선택합니다. 열리는 기능 추가 대화 상자에서 기능 추가 를 클릭하여 기본값을 적용하고 대화 상자를 닫습니다. 역할 서비스 선택 페이지에서 다음을 클릭합니다.

    웹 애플리케이션 프록시 선택하면 '웹 응용 프로그램 프록시에 필요한 기능 추가?' 대화 상자가 나타납니다.

    '역할 서비스 선택' 페이지에서 웹 애플리케이션 프록시 선택합니다.

  9. 설치 선택 확인 페이지에서 설치를 클릭합니다.

    X.

  10. 설치 진행률 페이지에서 진행률 표시줄을 watch 설치가 성공했는지 확인합니다. 설치가 완료되면 다음 단계(5b)에서 웹 애플리케이션 프록시 마법사 열기를 클릭할 수 있도록 마법사를 열어 둡니다.

    역할 및 기능 추가 마법사의 '설치 진행률' 페이지에서 '웹 애플리케이션 프록시 마법사 열기'를 클릭합니다.

Windows PowerShell 사용하여 웹 애플리케이션 프록시 설치하려면 다음 명령을 실행합니다.

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

5b단계: 웹 애플리케이션 프록시 서버 구성

웹 애플리케이션 프록시 서버를 배포한 후 다음 웹 애플리케이션 프록시 설정을 구성해야 합니다.

  • 페더레이션 서비스 이름: 예를 들어 입니다 adfs.contoso.com.

  • 페더레이션 서비스 신뢰 자격 증명: AD FS 서버의 로컬 관리자 계정의 사용자 이름 및 암호입니다.

  • AD FS 프록시 인증서: 웹 애플리케이션 프록시 서버에 설치되어 페더레이션 서비스의 프록시로 클라이언트에 서버를 식별하므로 페더레이션 서비스 이름(예adfs.contoso.com: )이 포함된 인증서입니다. 또한 페더레이션 서비스 이름은 웹 애플리케이션 프록시 서버(DNS에서 확인 가능)에 액세스할 수 있어야 합니다.

서버 관리자 또는 Windows PowerShell 사용하여 웹 애플리케이션 프록시 서버를 구성할 수 있습니다.

서버 관리자 사용하여 웹 애플리케이션 프록시 구성하려면 다음 단계를 수행합니다.

  1. 이전 단계의 웹 애플리케이션 프록시 서버에서 역할 및 기능 추가 마법사를 연 경우 설치 진행률 페이지에서 웹 애플리케이션 프록시 마법사 열기 링크를 클릭할 수 있습니다.

    역할 및 기능 추가 마법사의 '설치 진행률' 페이지에서 '웹 애플리케이션 프록시 마법사 열기'를 선택합니다.

    역할 및 기능 추가 마법사를 닫거나 Windows PowerShell 사용하여 웹 애플리케이션 프록시 설치한 경우 알림을 클릭한 다음 배포 후 구성 경고에서 웹 애플리케이션 프록시 마법사 열기를 클릭하여 동일한 위치로 이동합니다.

    서버 관리자 알림을 클릭하여 웹 애플리케이션 프록시 열기 마법사에 대한 링크가 포함된 경고를 확인합니다.

  2. 웹 애플리케이션 프록시 구성 마법사가 열립니다. 시작 페이지에서 다음을 클릭합니다.

    웹 애플리케이션 프록시 구성 마법사의 시작 페이지입니다.

  3. 페더레이션 서버 페이지에서 다음 정보를 입력합니다.

    • 페더레이션 서비스 이름: 예를 들어 입니다 adfs.contoso.com.

    • 사용자 이름암호: AD FS 서버에서 로컬 관리자 계정의 자격 증명을 입력합니다.

    작업을 마친 후 다음을 클릭합니다.

    웹 애플리케이션 프록시 구성 마법사의 페더레이션 서버 페이지에서 AD FS 서버에 대한 자격 증명을 입력합니다.

  4. AD FS 프록시 인증서 페이지에서 페더레이션 서비스 이름(예adfs.contoso.com: )이 포함된 설치된 인증서를 선택합니다. 드롭다운 목록에서 인증서를 선택한 다음세부 정보보기를> 클릭하여 인증서에 대한 자세한 정보를 볼 수 있습니다. 작업을 마친 후 다음을 클릭합니다.

    AD FS 프록시 구성 마법사의 AD FS 프록시 인증서 페이지에서 AD FS 프록시 인증서를 선택합니다.

  5. 확인 페이지에서 설정을 검토합니다. Windows PowerShell 명령을 복사하여 추가 설치(특히 인증서 지문 값)를 자동화할 수 있습니다. 완료되면 구성을 클릭합니다.

    웹 애플리케이션 프록시 구성 마법사의 확인 페이지입니다.

  6. 결과 페이지에서 구성이 성공했는지 확인한 다음 닫기를 클릭합니다.

    웹 애플리케이션 프록시 구성 마법사의 결과 페이지입니다.

Windows PowerShell 사용하여 웹 애플리케이션 프록시 구성하려면 다음 단계를 수행합니다.

  1. 웹 애플리케이션 프록시 서버에서 다음 명령을 실행하여 를 포함하는 설치된 인증서의 지문 값을 찾습니다.adfs.contoso.com

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint

  2. 다음 명령을 실행하고 AD FS 서버에서 로컬 관리자 계정의 사용자 이름 및 암호를 입력합니다.

    $ADFSServerCred = Get-Credential

  3. 다음 구문을 사용합니다.

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>

    이 예제에서는 다음 설정을 사용하여 웹 애플리케이션 프록시 서버를 구성합니다.

    • 페더레이션 서비스 이름: adfs.contoso.com

    • AD FS SSL 인증서 지문: *.contoso.com 지문 값 5AE82C737900B29C2BAC3AB6D8C44D249EE05609이 인 인증서입니다.

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609

5c단계: 웹 애플리케이션 프록시 웹용 Outlook 및 EAC에 대한 클레임 신뢰 당사자 트러스트 게시

웹 애플리케이션 프록시 신뢰 당사자 트러스트를 게시하려면 원격 액세스 관리 콘솔 또는 Windows PowerShell 사용할 수 있습니다.

원격 액세스 관리 콘솔을 사용하려면 다음 단계를 수행합니다.

참고: 이러한 단계를 두 번 수행해야 합니다. 웹용 Outlook 한 번, EAC의 경우 한 번 진행해야 합니다. 필요한 설정은 프로시저에 설명되어 있습니다.

  1. 웹 애플리케이션 프록시 서버에서 원격 액세스 관리 콘솔을 엽니다. 서버 관리자 도구>원격 액세스 관리를 클릭합니다.

  2. 원격 액세스 관리 콘솔의 구성에서 웹 애플리케이션 프록시 클릭한 다음 작업 창에서 게시를 클릭합니다.

    원격 액세스 관리 콘솔의 작업 창에서 게시를 선택합니다.

  3. 새 애플리케이션 게시 마법사가 열립니다. 시작 페이지에서 다음을 클릭합니다.

    웹 애플리케이션 프록시 서버에 새 애플리케이션 게시 마법사의 시작 페이지입니다.

  4. 사전 인증 페이지에서 Active Directory Federation Services(AD FS)가 선택되어 있는지 확인하고 다음을 클릭합니다.

    웹 애플리케이션 프록시 서버에 새 애플리케이션 게시 마법사의 사전 인증 페이지입니다.

  5. 신뢰 당사자 페이지에서 4단계: AD FS에서 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙 만들기에서 AD FS 서버에서 만든 신뢰 당사자를 웹용 Outlook 및 EAC를 선택합니다.

    웹 애플리케이션 프록시 서버의 새 애플리케이션 게시 마법사에서 신뢰 당사자 페이지에서 신뢰 당사자를 선택합니다.

    • 웹용 Outlook: 웹용 Outlook 선택합니다.

    • EAC: EAC를 선택합니다.

    작업을 마친 후 다음을 클릭합니다.

  6. 게시 설정 페이지에서 다음 정보를 입력합니다.

    • 웹용 Outlook

      • 이름: 예를 들어 입니다 Outlook on the web. 이 이름은 원격 액세스 관리 콘솔에서만 볼 수 있습니다.

      • 외부 URL: 예를 들어 입니다 https://mail.contoso.com/owa/.

      • 외부 인증서: 웹용 Outlook 외부 URL의 호스트 이름이 포함된 설치된 인증서를 선택합니다(예: mail.contoso.com). 드롭다운 목록에서 인증서를 선택한 다음세부 정보보기를> 클릭하여 인증서에 대한 자세한 정보를 볼 수 있습니다.

      • 백 엔드 서버 URL: 이 값은 외부 URL로 자동으로 채워집니다. 백 엔드 서버 URL이 외부 URL과 다른 경우에만 변경하면 됩니다. 예를 들면 https://server01.contoso.com/owa/와 같습니다. 외부 URL 및 백 엔드 서버 URL의 경로는 (/owa/)와 일치해야 하지만 호스트 이름 값은 다를 수 있습니다(예: mail.contoso.comserver01.contoso.com).

      웹 애플리케이션 프록시 서버에 새 애플리케이션 게시 마법사의 신뢰 당사자 페이지에 웹용 Outlook 대한 게시 설정입니다.

    • EAC의 경우

      • 이름: 예를 들어 입니다 EAC. 이 이름은 원격 액세스 관리 콘솔에서만 볼 수 있습니다.

      • 외부 URL: EAC의 외부 URL입니다. 예를 들면 https://mail.contoso.com/ecp/와 같습니다.

      • 외부 인증서: EAC에 대한 외부 URL의 호스트 이름을 포함하는 설치된 인증서를 선택합니다(예: mail.contoso.com). 인증서는 와일드카드 인증서 또는 SAN 인증서일 수 있습니다. 드롭다운 목록에서 인증서를 선택한 다음세부 정보보기를> 클릭하여 인증서에 대한 자세한 정보를 볼 수 있습니다.

      • 백 엔드 서버 URL: 이 값은 외부 URL로 자동으로 채워집니다. 백 엔드 서버 URL이 외부 URL과 다른 경우에만 변경하면 됩니다. 예를 들면 https://server01.contoso.com/ecp/와 같습니다. 외부 URL 및 백 엔드 서버 URL의 경로는 (/ecp/)와 일치해야 하지만 호스트 이름 값은 다를 수 있습니다(예: mail.contoso.comserver01.contoso.com).

    작업을 마친 후 다음을 클릭합니다.

    웹 애플리케이션 프록시 서버에 새 애플리케이션 게시 마법사의 신뢰 당사자 페이지에 EAC에 대한 게시 설정입니다.

  7. 확인 페이지에서 설정을 검토합니다. Windows PowerShell 명령을 복사하여 추가 설치(특히 인증서 지문 값)를 자동화할 수 있습니다. 완료되면 게시를 클릭합니다.

    웹 애플리케이션 프록시 서버에 새 애플리케이션 게시 마법사의 확인 페이지입니다.

  8. 결과 페이지에서 애플리케이션이 성공적으로 게시되었는지 확인한 다음 닫기를 클릭합니다.

    웹 애플리케이션 프록시 서버에 새 애플리케이션 게시 마법사의 결과 페이지입니다.

Windows PowerShell 사용하여 신뢰 당사자 트러스트를 게시하려면 다음 단계를 수행합니다.

  1. 웹 애플리케이션 프록시 서버에서 다음 명령을 실행하여 웹용 Outlook 및 EAC URL의 호스트 이름(예mail.contoso.com: )이 포함된 설치된 인증서의 지문을 찾습니다.

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint

  2. 다음 구문을 사용합니다.

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>

    이 예제에서는 다음 설정을 사용하여 웹 애플리케이션 프록시 웹용 Outlook 게시합니다.

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/

    이 예제에서는 다음 설정을 사용하여 웹 애플리케이션 프록시 EAC를 게시합니다.

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/

참고: 웹 애플리케이션 프록시 통해 게시하려는 모든 AD FS 엔드포인트는 프록시를 사용하도록 설정해야 합니다. 서비스>엔드포인트의 AD FS 관리 콘솔에서 이 작업을 수행합니다(프록시 사용이 지정된 엔드포인트에 대해 인지 확인).

6단계: AD FS 인증을 사용하도록 Exchange organization 구성

AD FS 인증을 사용하도록 Exchange organization 구성하려면 Exchange 관리 셸을 사용해야 합니다. 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.

  1. 다음 명령을 실행하여 가져온 AD FS 토큰 서명 인증서의 지문 값을 찾습니다.

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject

    제목 값 CN=ADFS Signing - <FederationServiceName> (예: )을 CN=ADFS Signing - adfs.contoso.com찾습니다.

    명령을 실행한 다음 명령을 Import-Module ADFS실행Get-AdfsCertificate -CertificateType Token-Signing하여 관리자 권한 Windows PowerShell 창의 AD FS 서버에서 이 지문 값을 확인할 수 있습니다.

  2. 다음 구문을 사용합니다.

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"

    이 예제에서는 다음 값을 사용합니다.

    • AD FS URL: https://adfs.contoso.com/adfs/ls/

    • 웹용 Outlook URL:https://mail.contoso.com/owa/

    • EAC URL: https://mail.contoso.com/ecp/

    • AD FS 토큰 서명 인증서 지문: ADFS Signing - adfs.contoso.com 지문 값 88970C64278A15D642934DC2961D9CCA5E28DA6B이 인 인증서입니다.

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

    참고: AdfsEncryptCertificateThumbprint 매개 변수는 이러한 시나리오에서 지원되지 않습니다.

7단계: 웹용 Outlook 및 EAC 가상 디렉터리에서 AD FS 인증 구성

웹용 Outlook 및 EAC 가상 디렉터리에서는 다른 모든 인증 방법을 사용하지 않도록 설정하여 AD FS 인증을 사용 가능한 유일한 인증 방법으로 구성해야 합니다.

  • 웹용 Outlook 가상 디렉터리를 구성하기 전에 EAC 가상 디렉터리를 구성해야 합니다.

  • 클라이언트가 웹용 Outlook 및 EAC에 연결하는 데 사용하는 인터넷 연결 Exchange 서버에서만 AD FS 인증을 구성할 수 있습니다.

  • 기본적으로 웹용 Outlook 및 EAC 가상 디렉터리에 대해 Basic 및 Forms 인증만 사용하도록 설정됩니다.

Exchange Management Shell을 사용하여 AD FS 인증만 허용하도록 EAC 또는 웹용 Outlook 가상 디렉터리를 구성하려면 다음 구문을 사용합니다.

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

다음은 Mailbox01 서버의 기본 웹 사이트에서 EAC 가상 디렉터리를 구성하는 예제입니다.

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

다음은 Mailbox01이라는 서버의 기본 사이트인 웹용 Outlook 가상 디렉터리를 구성하는 예제입니다.

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

참고: organization 모든 Exchange 서버에서 모든 EAC 및 웹용 Outlook 가상 디렉터리를 구성하려면 다음 명령을 실행합니다.

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

8단계: Exchange 서버에서 IIS 다시 시작

  1. Exchange 서버에서 IIS 관리자를 엽니다. Windows Server 2012 이상에서 이 작업을 수행하는 쉬운 방법은 Windows 키 + Q를 누르고, inetmgr을 입력하고, 결과에서 IIS(인터넷 정보 서비스) 관리자 를 선택하는 것입니다.

  2. IIS 관리자에서 서버를 선택합니다.

  3. 작업 창에서 다시 시작을 클릭합니다.

    IIS 관리자에서 서버를 선택하고 작업 창에서 다시 시작을 클릭합니다.

참고: 명령줄에서 이 절차를 수행하려면 Exchange 서버에서 관리자 권한 명령 프롬프트( 관리자 권한으로 실행을 선택하여 여는 명령 프롬프트 창)를 열고 다음 명령을 실행합니다.

net stop w3svc /y

net start w3svc

작동 여부는 어떻게 확인하나요?

웹용 Outlook 대한 AD FS 클레임을 테스트하려면 다음을 수행합니다.

  1. 웹 브라우저에서 웹용 Outlook(예: https://mail.contoso.com/owa)를 엽니다.

  2. 웹 브라우저에서 인증서 오류가 발생하면 웹용 Outlook 사이트로 계속 진행합니다. 자격 증명에 대한 AD FS 로그인 페이지 또는 AD FS 프롬프트로 리디렉션되어야 합니다.

  3. 사용자 이름(domain\user) 및 암호를 입력한 다음 로그인을 클릭합니다.

  4. 웹용 Outlook 창에 로드됩니다.

EAC에 대해 AD FS 클레임을 테스트하려면 다음을 수행합니다.

  1. 웹 브라우저에서 EAC(예: https://mail.contoso.com/ecp)를 엽니다.

  2. 웹 브라우저에서 인증서 오류가 발생하면 EAC 웹 사이트로 계속 진행합니다. 자격 증명에 대한 AD FS 로그인 페이지 또는 AD FS 프롬프트로 리디렉션되어야 합니다.

  3. 사용자 이름(domain\user) 및 암호를 입력한 다음 로그인을 클릭합니다.

  4. EAC는 창에 로드됩니다.

추가 고려 사항

다단계 인증

클레임 기반 인증을 위해 AD FS를 배포하고 구성하면 웹용 Outlook 및 EAC에서 인증서 기반 인증, 인증 또는 보안 토큰, 지문 인증과 같은 다단계 인증을 지원할 수 있습니다. 다단계 인증에는 다음 세 가지 인증 요소 중 두 가지가 필요합니다.

  • 사용자만 알 수 있는 항목(예: 암호, PIN 또는 패턴).

  • 사용자에게만 있는 항목(예: ATM 카드, 보안 토큰, 스마트 카드 또는 휴대폰).

  • 사용자만 있는 항목입니다(예: 지문과 같은 생체 인식 특성).

예를 들어 휴대폰으로 전송되는 암호 및 보안 코드 또는 PIN 및 지문이 있습니다.

Windows Server 2012 R2의 다단계 인증에 대한 자세한 내용은 개요: 추가 Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리연습 가이드: Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리를 참조하세요.

AD FS 서버에서 페더레이션 서비스는 보안 토큰 서비스로 작동하며 클레임과 함께 사용되는 보안 토큰을 제공합니다. 페더레이션 서비스는 제공되는 자격 증명을 기준으로 토큰을 발급합니다. 계정 저장소에서 사용자 자격 증명을 확인하면 트러스트 정책의 규칙에 따라 사용자에 대한 클레임이 생성되어 클라이언트에게 발급된 보안 토큰에 추가됩니다. 클레임에 대한 자세한 내용은 클레임 이해를 참조하세요.

다른 버전의 Exchange와 공존

organization 둘 이상의 Exchange 버전이 배포된 경우 웹용 Outlook 및 EAC에 AD FS 인증을 사용할 수 있습니다. 이 시나리오는 모든 클라이언트가 Exchange 서버를 통해 연결 되고 모든 서버가 AD FS 인증을 위해 구성된 경우에만 지원됩니다.

Exchange 2016 조직에서 Exchange 2010 서버에 사서함이 있는 사용자는 AD FS 인증을 위해 구성된 Exchange 2016 서버를 통해 사서함에 액세스할 수 있습니다. Exchange 2016 서버에 대한 초기 클라이언트 연결은 AD FS 인증을 사용합니다. 그러나 Exchange 2010에 대한 프록시 연결은 Kerberos를 사용합니다. 직접 AD FS 인증을 위해 Exchange 2010을 구성하는 방법은 지원되지 않습니다.