Office 365. ADFS 구성(1)
아래의 글은 현재기준에는 맞지 않을 수 있습니다. 최근 버전으로 다시 작성하였으므로, 비교해서 확인하시기 바랍니다.
2021.06.23 - [Office 365] - M365. 테스트 환경 구축(4). ADFS 구성
2021.06.23 - [Office 365] - M365. 테스트 환경 구축(5). WAP 구성
2021.06.23 - [Office 365] - M365. 테스트 환경 구축(6). Azure AD Connector 설치
조직 내에 이미 AD 가 구성된 환경에서 Single Sign On 으로 구성해야 한다면 ADFS 를 구성해야 합니다.
ADFS가 하는 역할에 대해서는 아래 블로그의 자료를 참고하시면 이해하는데 도움이 될 것입니다.
Windows Server의 ADFS(Active Directory Federation Service), IDentity 처리에 대한 고려 및 클라우드 시대를 위한 확장
TEST 환경
OS: Windows Server 2012 R2 (최신 업데이트)
NAT(공유기): IPTIME
만약 자체 NS 를 운영한다면 총 4개의 VM이 필요합니다.
VM
NS1.limcm.xyz (External DNS) 192.168.5.100
DC00.limcm.xyz (Domain Controller)(Internal DNS) 192.168.5.2
FS00.limcm.xyz (Active Directory Federation Service) 192.168.5.5
PR00.limxm.xyz (Web Application Proxy) 192.168.5.6
여기까지 구성하는데 고정된 공인 IP가 1개 필요하며 추후 Exchange Hybrid 까지 구성한다면 추가로 1개가 더 필요합니다.
아무것도 구성되지 않았으며, Office 365 기업용 계정도 만들지 않았다는 가정하에서 순서는 아래와 같이 진행합니다.
- Office 365 기업용 체험판 신청하기
- Name Server VM 구성
- Domain Controller VM 구성
- ADFS VM 구성
- Web Application Proxy 구성
- 도메인 등록 과정진행 (Name Server 에 기록)
- AD Sync
대략 7 단계로 나뉩니다.
1~3 단계 관련 이전 포스팅
2016/02/18 - [Office 365] - Office 365. 기업용 체험판 신청 방법
2016/03/20 - [Windows Server 2012 R2] - 네임서버(Name Server) 구성
2015/02/20 - [Windows Server 2012 R2] - Windows Server 2012 R2 AD 구성
1~3번 단계는 이미 지난 포스팅에 다뤘기 때문에 ADFS VM 구성 부터 다루도록 하겠습니다.
먼저 VM 은 기본적으로 최신 업데이트를 진행한 뒤 AD에 조인합니다.
[단계1] 서버 역할 추가
재부팅 후 대시 보드에서 ADFS, IIS 기능을 추가합니다.
사실 IIS는 추가 안해도 상관없지만, 인증서를 편리하게 가져오기 위해서 추가한 것입니다.
쭉 다음 버튼 을 누른 뒤 설치를 진행합니다.
설치가 완료된 뒤, 이 서버에 페더레이션 서비스를 구성하십시오. 를 클릭합니다.
다음을 클릭합니다.
인증서 선택 화면이 나타납니다.
인증서는 반드시 3rd Party 공인 SSL 이어야 하며, limcm.xyz 도메인의 경우 제가 Wildcard 인증서를 보유한게 없기 때문에 https://gogetssl.com 에서 Trial 3개월 단일 인증서로 진행하도록 하겠습니다.
(WildCard도 사용가능 합니다.)
[단계2] 인증서 발급
인증서가 있는 경우 아래 과정은 패스
IIS 관리자 - 서버 인증서 메뉴로 이동합니다.
인증서 요청만들기를 클릭합니다.
여기서 중요한 것은 인증서 이름입니다.
인증서 이름은 PC 이름인 FS00.limcm.xyz 가 아닌 팜 서비스 이름인 sts.limcm.xyz 로 지정합니다.
(일반적으로 sts 라는 이름으로 많이 사용하고 있습니다.)
비트 길이를 2048로 변경한 뒤, 다음을 클릭합니다.
인증서 요청 파일 생성작업을 진행합니다.
생성된 파일을 이용하여 인증서 발급 홈페이지로 이동하여 신청작업을 진행합니다.
인증서 신청작업은 Exchange Server 2013 구축 관련 블로그를 참고하시면 됩니다.
인증서를 다운로드 받았다면 인증서 요청 완료 버튼을 클릭합니다.
인증서 가져오기 작업을 마칩니다.
[단계3]세부 설정
ADFS 서버에서 파워쉘을 실행한 뒤 아래와 같이 명령어 를 입력합니다.
Add-KdsRootKey -EffectiveTime (Get-Date).Addhours(-10)
구성마법사 화면에서 인증서를 지정한 뒤 페더레이션 서비스 표시 이름을 지정합니다.
관리자 계정을 지정합니다.
다음을 클릭합니다.
다음을 클릭합니다.
구성을 클릭합니다.
닫기를 클릭합니다.
Domain Controller(DC) VM 에서 DNS 관리자 를 실행합니다.
해당 DNS 메뉴에서 우클릭 - 새 호스트 추가를 클릭합니다.
이름 항목에 sts 를 입력한 뒤 ADFS 의 내부 IP 를 입력합니다.
내부적으로 ADFS 가 올바르게 구성되어 있는지는 내부망에서 아래와 같이 주소를 접속한 뒤 로그인을 시도합니다.
https://adfsname.domain.com/adfs/ls/IdpInitiatedSignon.aspx
여기서 adfsname.domain.com 은 추가한 ADFS 의 PC 이름이 아닌 서비스 주소입니다.
Ex) https://sts.limcm.xyz/adfs/ls/idpinitiatedsignon
로그인이 올바르게 된다면 내부망 구성은 완료된 것입니다.