Security Token Service 구성(SharePoint Server 2010)

  • 아티클

 

적용 대상: SharePoint Foundation 2010, SharePoint Server 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 Microsoft SharePoint Server 2010 STS(Security Token Service)를 구성하는 데 사용할 수 있는 지침을 제공합니다. STS는 보안 토큰에 대한 요청에 응답하고 ID 관리를 제공하도록 디자인된 특수 웹 서비스입니다. 모든 STS의 핵심 기능은 동일하지만 각 STS에서 수행하는 작업의 특성은 STS가 해당 디자인 내의 다른 STS 웹 서비스와 관련하여 수행하는 역할에 따라 다릅니다.

이 문서의 내용:

  • STS를 사용하는 웹 응용 프로그램의 작동 방식

  • Windows PowerShell을 사용하여 SharePoint 클레임 기반 웹 응용 프로그램 구성

  • 바인딩 편집

  • STS를 사용하는 웹 응용 프로그램 구성

STS를 사용하는 웹 응용 프로그램의 작동 방식

Security Token Service를 사용하는 웹 응용 프로그램은 보안 토큰 발급, 관리 및 확인 요청을 처리합니다. 보안 토큰은 사용자의 이름, 역할 및 익명 식별자와 같은 ID 클레임의 모음으로 구성됩니다. 토큰은 SAML(Security Assertion Markup Language) 토큰 등 다양한 형식으로 발급됩니다. 보안 토큰은 전송 과정에서 토큰의 콘텐츠를 보호하고 신뢰할 수 있는 발급자를 확인할 수 있도록 해 주는 X.509 인증서를 사용하여 보호할 수 있습니다. Security Token Service에 대한 자세한 내용은 인증 방법 계획(SharePoint Server 2010)을 참조하십시오.

IP-STS(ID 공급자-STS)는 신뢰할 수 있는 ID 클레임에 대한 요청을 처리하는 웹 서비스입니다. IP-STS에서는 ID 저장소라는 데이터베이스를 사용하여 ID 및 해당 ID의 연결된 특성을 저장 및 관리합니다. ID 공급자의 ID 저장소는 SQL 데이터베이스 테이블과 같이 단순한 형태일 수 있습니다. IP-STS는 AD DS(Active Directory 도메인 서비스) 또는 AD LDS(Active Directory Lightweight Directory Service)와 같이 복잡한 ID 저장소를 사용할 수도 있습니다.

IP-STS는 ID를 만들고 관리할 클라이언트와 클라이언트에서 제공하는 ID를 확인해야 하는 신뢰 당사자 응용 프로그램에서 사용할 수 있습니다. 각 IP-STS는 페더레이션 파트너 RP-STS(신뢰 당사자 STS) 웹 응용 프로그램과 페더레이션 트러스트 관계가 있으며 해당 웹 응용 프로그램에 토큰을 발급합니다. 클라이언트는 CardSpace와 같은 카드 선택 도구를 사용하여 IP-STS에 등록된 ID를 나타내는 관리 정보 카드를 만들거나 구축할 수 있습니다. 클라이언트는 IP-STS의 ID 저장소에 포함되어 있는 ID를 나타내는 보안 토큰을 요청할 때 IP-STS와 상호 작용합니다. 인증 후 IP-STS는 클라이언트가 신뢰 당사자 응용 프로그램에 제공할 수 있는 신뢰할 수 있는 보안 토큰을 발급합니다. 신뢰 당사자 응용 프로그램은 IP-STS와 트러스트 관계를 설정할 수 있습니다. 따라서 IP-STS에서 발급하는 보안 토큰을 확인할 수 있습니다. 트러스트 관계가 설정된 후 신뢰 당사자 응용 프로그램에서는 클라이언트가 제공하는 보안 토큰을 검사하고 보안 토큰에 포함된 ID 클레임의 유효성을 확인할 수 있습니다.

RP-STS는 신뢰할 수 있는 페더레이션 파트너 IP-STS의 보안 토큰을 받는 STS입니다. 토큰을 받은 RP-STS는 로컬 신뢰 당사자 응용 프로그램에서 사용할 새 보안 토큰을 발급합니다. RP-STS 웹 응용 프로그램과 IP-STS 웹 응용 프로그램을 함께 사용하면 조직에서 파트너 조직의 사용자에게 웹 SSO(Single Sign-On)를 제공할 수 있습니다. 각 조직에서는 고유한 ID 저장소를 계속 관리합니다.

Windows PowerShell을 사용하여 SharePoint 클레임 기반 웹 응용 프로그램 구성

다음 절차에 따라 Windows PowerShell을 사용하여 SharePoint 클레임 기반 웹 응용 프로그램을 구성합니다.

Windows PowerShell을 사용하여 SharePoint 클레임 기반 웹 응용 프로그램을 구성하려면

  1. 다음과 같은 최소 요구 사항을 충족하는지 확인합니다. Add-SPShellAdmin을 참조하십시오.

  2. 시작 메뉴에서 모든 프로그램을 클릭합니다.

  3. Microsoft SharePoint 2010 Products를 클릭합니다.

  4. SharePoint 2010 관리 셸을 클릭합니다.

  5. Windows PowerShell 명령 프롬프트(즉, PS C:\>)에서 다음 예와 같이 x509Certificate2 개체를 만듭니다.

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. 다음 예와 같이 인증 공급자에서 사용할 클레임 유형 매핑을 만듭니다.

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. 다음 예와 같이 realm 매개 변수에 대한 값을 처음으로 만들어 신뢰할 수 있는 로그인 공급자를 만듭니다.

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. 다음 예와 같이 웹 응용 프로그램을 가리키는 signinurl 매개 변수의 값을 만듭니다.

    $signinurl = "https://test-2/FederationPassive/"

  9. 다음 예와 같이 클레임 매핑($map1.InputClaimType)에서와 동일한 IdentifierClaim 값을 사용하여 신뢰할 수 있는 로그인 공급자를 만듭니다.

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. 다음 예와 같이 웹 응용 프로그램 풀 계정(현재 사용자용)에 대한 값을 처음으로 만들어 웹 응용 프로그램을 만듭니다.

    $account = "DOMAIN\" + $env:UserName

    참고

    응용 프로그램 풀 계정은 관리되는 계정이어야 합니다. 관리되는 계정을 만들려면 New-SPManagedAccount를 사용합니다.

  11. 다음 예와 같이 웹 응용 프로그램 URL에 대한 값($webappurl = "https://" + $env:ComputerName)을 만듭니다.

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. 다음 예와 같이 클레임 개체를 처음으로 만들어 사이트를 만듭니다.

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. 다음 예와 같이 사이트를 만듭니다.

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

바인딩 편집

SharePoint 클레임 기반 웹 응용 프로그램을 구성한 후 바인딩을 편집합니다.

바인딩을 편집하려면

  1. 명령 프롬프트에서 INETMGR를 입력하여 IIS를 시작합니다.

  2. IIS의 클레임 웹 응용 프로그램 사이트로 이동합니다.

  3. 왼쪽 창에서 클레임 웹 응용 프로그램을 마우스 오른쪽 단추로 클릭하고 바인딩 편집을 선택합니다.

  4. https를 선택하고 편집을 클릭합니다.

  5. SSL 인증서에서 나열되는 임의의 인증서를 선택합니다.

STS를 사용하는 웹 응용 프로그램 구성

SharePoint Server 2010 클레임 기반 웹 응용 프로그램을 구성하고, 바인딩을 편집하고, Web.Config 파일을 구성한 후에는 이 섹션의 절차에 따라 Security Token Service 웹 응용 프로그램을 구성할 수 있습니다.

STS를 사용하는 웹 응용 프로그램을 구성하려면

  1. AD FS(Active Directory Federation Services) 2.0 관리 콘솔을 엽니다.

  2. 왼쪽 창에서 정책을 확장하고 신뢰 당사자를 선택합니다.

  3. 오른쪽 창에서 신뢰 당사자 추가를 클릭합니다. 그러면 AD FS(Active Directory Federation Services) 2.0 구성 마법사가 열립니다.

  4. 마법사의 첫 번째 페이지에서 시작을 클릭합니다.

  5. 신뢰 당사자 구성 수동으로 입력을 클릭하고 다음을 클릭합니다.

  6. 신뢰 당사자 이름을 입력하고 다음을 클릭합니다.

  7. AD FS(Active Directory Federation Services) 2.0 서버 프로필이 선택되었는지 확인하고 다음을 클릭합니다.

  8. 암호화 인증서를 사용하지 않으려는 경우 다음을 클릭합니다.

  9. 웹 브라우저 기반 ID 페더레이션 지원 사용을 선택합니다.

  10. 웹 응용 프로그램 URL의 이름을 입력하고 /_trust/ 를 추가합니다(예: https://서버 이름/_trust/). 다음을 클릭합니다.

  11. 식별자를 입력하고 추가를 클릭합니다. 다음을 클릭합니다.

  12. 요약 페이지에서 다음을 클릭하고 닫기를 클릭합니다. 그러면 규칙 편집기 관리 콘솔이 열립니다. 이 콘솔을 사용하여 LDAP 웹 응용 프로그램에서 SharePoint로 클레임 매핑을 구성합니다.

  13. 왼쪽 창에서 새 규칙을 확장하고 미리 정의된 규칙을 선택합니다.

  14. LDAP 특성 저장소에서 클레임 만들기를 선택합니다.

  15. 오른쪽 창의 특성 저장소 드롭다운 목록에서 엔터프라이즈 Active Directory 사용자 계정 저장소를 선택합니다.

  16. LDAP 특성에서 sAMAccountName을 선택합니다.

  17. 나가는 클레임 유형에서 전자 메일 주소를 선택합니다.

  18. 왼쪽 창에서 저장을 클릭합니다.