다음을 통해 공유

단계별 가이드: 조건부 액세스 제어로 위험 관리하기

이 가이드에 대하여

이 연습에서는 Windows Server 2012 R2의 ADFS(Active Directory Federation Services)에서 조건부 액세스 제어 메커니즘을 통해 사용할 수 있는 요소(사용자 데이터) 중 하나를 사용하여 위험을 관리하는 방법에 대해 설명합니다. Windows Server 2012 R2의 ADFS에서 조건부 액세스 제어 및 권한 부여 메커니즘에 대한 자세한 내용은 조건부 액세스 제어로 위험 관리를 참조하세요.

이 안내는 다음 섹션으로 구성됩니다.

1단계: 랩 환경 설정

이 연습을 완료하려면 다음 구성 요소로 구성된 환경이 필요합니다.

  • 테스트 사용자 및 그룹 계정이 있는 Active Directory 도메인, Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012에서 실행되고 스키마가 Windows Server 2012 R2로 업그레이드된 Active Directory 도메인 또는 Windows Server 2012 R2에서 실행되는 Active Directory 도메인입니다.

  • Windows Server 2012 r 2에서 실행 하는 페더레이션 서버

  • 예제 애플리케이션을 호스팅하는 웹 서버

  • 예제 애플리케이션에 액세스할 수 있는 클라이언트 컴퓨터

Warning

프로덕션 환경과 테스트 환경 모두, 서로 다른 컴퓨터를 페더레이션 서버와 웹 서버로 사용하는 것이 좋습니다.

이 환경에서 페더레이션 서버는 사용자가 예제 애플리케이션에 액세스하는 데 필요한 클레임을 발급합니다. 웹 서버는 페더레이션 서버에서 발급된 클레임을 제공하는 사용자를 신뢰할 예제 애플리케이션을 호스팅합니다.

이 환경을 설정 하는 방법에 대 한 지침을 참조 하십시오. Windows Server 2012 r 2에서 AD FS에 대 한 랩 환경 설정합니다.

2단계: 기본 AD FS 액세스 제어 메커니즘 확인

이 단계에서는 사용자가 AD FS 로그인 페이지로 리디렉션된 후 유효한 자격 증명을 제공하면 애플리케이션에 대한 액세스 권한이 부여되는 기본 AD FS 액세스 제어 메커니즘을 확인합니다. You can use the Robert Hatley AD account and the claimapp sample application that you configured in Set up the lab environment for AD FS in Windows Server 2012 R2.

기본 AD FS 액세스 제어 메커니즘을 확인하려면

  1. 클라이언트 컴퓨터에서 브라우저 창을 열고 샘플 애플리케이션으로 이동합니다: https://webserv1.contoso.com/claimapp.

    이 작업을 수행하면 요청이 자동으로 페더레이션 서버로 리디렉션되고 사용자 이름과 암호를 사용하여 로그인하라는 메시지가 표시됩니다.

  2. Type in the credentials of the Robert Hatley AD account that you created in Set up the lab environment for AD FS in Windows Server 2012 R2.

    그러면 애플리케이션에 대한 액세스 권한이 부여됩니다.

3단계: 사용자 데이터에 따라 조건부 액세스 제어 정책 구성

이 단계에서는 사용자 그룹 구성원 자격 데이터를 기반으로 액세스 제어 정책을 설정합니다. 즉, 페더레이션 서버에서 샘플 애플리케이션 claimapp 을 나타내는 신뢰 당사자 트러스트를 사용하도록 발급 권한 부여 규칙을 구성합니다. By this rule's logic, Robert Hatley AD user will be issued claims that are required to access this application because he belongs to a Finance group. You have added the Robert Hatley account to the Finance group in Set up the lab environment for AD FS in Windows Server 2012 R2.

AD FS 관리 콘솔 또는 Windows PowerShell을 통해 이 작업을 완료할 수 있습니다.

AD FS 관리 콘솔을 통해 사용자 데이터에 따라 조건부 액세스 제어 정책을 구성하려면

  1. In the AD FS Management Console, navigate to Trust Relationships, and then Relying Party Trusts.

  2. Select the relying party trust that represents your sample application (claimapp), and then either in the Actions pane or by right-clicking this relying party trust, select Edit Claim Rules.

  3. Edit Claim Rules for claimapp(claimapp에 대한 클레임 규칙 편집) 창에서 Issuance Authorization Rules(발급 권한 부여 규칙) 탭을 클릭하고 Add Rule(규칙 추가)을 클릭합니다.

  4. Add Issuance Authorization Claim Rule Wizard(발급 권한 부여 클레임 규칙 추가 마법사)Select Rule Template(규칙 템플릿 선택)페이지에서 Permit or Deny Users Based on an Incoming Claim(들어오는 클레임에 따라 사용자 허용 또는 거부) 클레임 규칙 템플릿을 선택하고 Next(다음)를 클릭합니다.

  5. On the Configure Rule page, do all of the following and then click Finish:

    1. Enter a name for the claim rule, for example TestRule.

    2. Select Group SID as Incoming claim type.

    3. Click Browse, type in Finance for the name of your AD test group, and resolve it for the Incoming claim value field.

    4. Deny access to users with this incoming claim(이 들어오는 클레임을 가진 사용자에 대한 액세스 거부) 옵션을 선택합니다.

  6. Edit Claim Rules for claimapp(claimapp에 대한 클레임 규칙 편집) 창에서 이 신뢰 당사자 트러스트를 만들 때 기본적으로 생성된 Permit Access to All Users(모든 사용자에 대한 액세스 허용) 규칙을 삭제해야 합니다.

Windows PowerShell을 통해 사용자 데이터에 따라 조건부 액세스 제어 정책을 구성하려면

  1. 페더레이션 서버에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다.
$rp = Get-AdfsRelyingPartyTrust -Name claimapp
  1. 동일한 Windows PowerShell 명령 창에서 다음 명령을 실행합니다.
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Note

Make sure to replace <group_SID> with the value of the SID of your AD Finance group.

4단계: 조건부 액세스 제어 메커니즘 확인

이 단계에서는 이전 단계에서 설정한 조건부 액세스 제어 정책을 확인합니다. You can use the following procedure to verify that Robert Hatley AD user can access your sample application because he belongs to the Finance group and AD users who do not belong to the Finance group cannot access the sample application.

  1. 클라이언트 컴퓨터에서 브라우저 창을 열고 샘플 애플리케이션으로 이동합니다: https://webserv1.contoso.com/claimapp

    이 작업을 수행하면 요청이 자동으로 페더레이션 서버로 리디렉션되고 사용자 이름과 암호를 사용하여 로그인하라는 메시지가 표시됩니다.

  2. Type in the credentials of the Robert Hatley AD account that you created in Set up the lab environment for AD FS in Windows Server 2012 R2.

    그러면 애플리케이션에 대한 액세스 권한이 부여됩니다.

  3. Type in the credentials of another AD user that does NOT belong to the Finance group. (AD에서 사용자 계정을 만드는 방법에 대한 자세한 내용은 https://technet.microsoft.com/library/cc7833232.aspx을 참조하세요.

    At this point, because of the access control policy that you set up in the previous step, an 'access denied' message is displayed for this AD user that does NOT belong to the Finance group. 기본 메시지 텍스트는 귀하는 이 사이트에 액세스할 권한이 없습니다. 여기를 클릭하여 로그아웃했다가 다시 로그인하거나 관리자에게 권한을 문의하세요. 그러나 이 텍스트는 완전히 사용자 지정할 수 있습니다. 로그인 환경을 사용자 지정하는 방법에 대한 자세한 내용은 Customizing the AD FS Sign-in Pages을 참조하세요.

See Also

조건부 액세스 제어로 위험 관리하기 Windows Server 2012 R2에서 ADFS를 위한 랩 환경 설정하기