계정 파트너 추가 마법사를 통해 수동으로 또는 정책 파일을 가져와서 새 계정 파트너를 추가할 수 있습니다. 이 작업을 수행하면 계정 파트너에 있는 사용자 계정이 이 페더레이션 서비스가 보호하는 웹 응용 프로그램에 액세스할 수 있습니다. 이 ADFS(Active Directory Federation Services) 버전의 향상된 가져오기 기능에 대한 자세한 내용은 Windows Server 2008 ADFS의 새로운 기능(https://go.microsoft.com/fwlink/?LinkID=85684(페이지는 영문일 수 있음))을 참조하십시오.

이 절차를 완료하려면 최소한 Administrators 로컬 그룹 또는 이와 동등한 그룹의 구성원이어야 합니다. https://go.microsoft.com/fwlink/?LinkId=83477(페이지는 영문일 수 있음)에서 적절한 계정 및 그룹 구성원 자격 이용에 관한 자세한 내용을 검토하십시오.

수동으로 계정 파트너 추가

다음 절차에 따라 계정 파트너를 수동으로 추가할 수 있습니다.

계정 파트너를 수동으로 추가하려면
  1. 시작을 클릭하고 관리 도구를 가리킨 다음 ADFS(Active Directory Federation Services)를 클릭합니다.

  2. 콘솔 트리에서 페더레이션 서비스, 트러스트 정책파트너 조직을 차례로 두 번 클릭합니다.

  3. 계정 파트너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 계정 파트너를 클릭합니다.

  4. 계정 파트너 추가 마법사 시작 페이지에서 다음을 클릭합니다.

  5. 정책 파일 가져오기 페이지에서 아니요, 다음을 차례로 클릭합니다.

  6. 계정 파트너 정보 페이지에서 다음을 수행하고 다음을 클릭합니다.

    • 표시 이름에 계정 파트너의 표시 이름을 입력합니다.

    • 페더레이션 서비스 URI에 페더레이션 서비스의 URI(Uniform Resource Identifier)를 입력합니다.

    • 페더레이션 서비스 끝점 URL에 페더레이션 서비스의 URL(Uniform Resource Locator)을 입력합니다.

  7. 계정 파트너 확인 인증서 페이지에서 확인 인증서의 경로를 입력하거나 찾고 다음을 클릭합니다.

  8. 페더레이션 시나리오 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 다른 조직과 페더레이션 트러스트를 설정한 상태이거나 기존 포리스트 트러스트를 사용하지 않으려는 경우에는 페더레이션된 웹 SSO를 클릭하고 10단계로 이동합니다.

    • 양쪽이 이미 포리스트 트러스트를 공유하고 있을 때 같은 조직 내에서 페더레이션 트러스트를 설정하는 경우에는 포리스트 트러스트와 페더레이션된 웹 SSO를 클릭합니다.

  9. 포리스트 트러스트와 페더레이션된 웹 SSO 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 계정 파트너가 트러스트하는 모든 도메인의 사용자를 허용하려면 모든 AD DS 도메인 및 포리스트를 클릭합니다. 계정 파트너에 인증될 수 있는 모든 사용자가 허용됩니다.

    • 계정 파트너가 트러스트하는 일부 도메인에 있는 사용자 계정을 허용하려면 다음 AD DS 도메인 및 포리스트를 클릭합니다. 그런 다음 트러스트된 새 AD DS 도메인 또는 포리스트에 도메인 또는 포리스트의 이름을 입력하고 추가를 클릭합니다. 지정된 도메인의 사용자만 허용됩니다.

  10. 계정 파트너 ID 클레임 페이지에서 리소스 파트너와 공유할 ID 클레임을 하나 이상 선택하고 다음을 클릭합니다.

    • 리소스 파트너가 권한 부여 결정을 하는 데 UPN(사용자 계정 이름) 클레임이 필요한 경우 UPN 클레임 확인란을 선택합니다.

    중요

    권한 부여 결정에 UPN 클레임 또는 전자 메일 클레임을 사용하는 경우에는 각 계정 파트너에 고유한 UPN 접미사 또는 전자 메일 접미사가 있어야 합니다. 두 계정 파트너가 동일한 UPN 접미사 또는 전자 메일 접미사를 사용하는 경우에는 사용자를 고유하게 식별하지 못할 수도 있습니다. 이러한 상황이 발생하면 한 계정 파트너의 사용자가 다른 계정 파트너의 사용자에게 주어진 사용 권한을 얻을 수도 있습니다. 또한 관리자가 사용자 계정을 고의로 만들어서 다른 계정 파트너의 사용자를 가장할 수 있기 때문에 심각한 보안 취약점이 발생합니다.

    참고

    포리스트 트러스트와 페더레이션된 웹 SSO 시나리오를 선택한 경우에는 UPN 클레임 옵션이 선택되며 구성이 불가능합니다. 이 시나리오에 UPN 클레임이 필요하기 때문입니다.

    • 리소스 파트너가 권한 부여 결정을 하는 데 전자 메일 클레임이 필요한 경우 전자 메일 클레임 확인란을 선택합니다.

    • 리소스 파트너가 권한 부여 결정을 하는 데 일반 이름 클레임이 필요한 경우 일반 이름 클레임 확인란을 선택합니다.

  11. ID 클레임으로 UPN 클레임을 선택한 경우 수락된 UPN 접미사 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 포리스트 트러스트와 페더레이션된 웹 SSO 옵션을 선택한 경우 모든 UPN 접미사를 클릭하거나 다음 목록의 접미사만을 클릭하고 수락된 접미사를 입력한 후 추가를 클릭합니다.

    • 페더레이션된 웹 SSO 옵션을 선택한 경우 새 접미사 추가에서 수락된 접미사를 입력한 후 추가를 클릭합니다.

  12. ID 클레임으로 전자 메일 클레임을 선택한 경우 수락된 전자 메일 접미사 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 포리스트 트러스트와 페더레이션된 웹 SSO 옵션을 선택한 경우 모든 전자 메일 접미사를 클릭하거나 다음 목록의 접미사만을 클릭하고 수락된 접미사를 입력한 후 추가를 클릭합니다.

    • 페더레이션된 웹 SSO 옵션을 선택한 경우 새 접미사 추가에서 수락된 접미사를 입력한 후 추가를 클릭합니다.

    참고

    일반 이름 클레임에는 추가 정보가 필요하지 않습니다.

  13. 이 계정 파트너 사용 페이지에서 지금 계정 파트너를 사용하지 않으려면 이 계정 파트너 사용 확인란의 선택을 취소하고 다음을 클릭합니다.

  14. 새 계정 파트너를 추가하고 마법사를 닫으려면 마침을 클릭합니다.

정책 파일을 가져와서 계정 파트너 추가

다음 절차에 따라 정책 파일을 가져와서 계정 파트너를 추가할 수 있습니다.

정책 파일을 가져와서 계정 파트너를 추가하려면
  1. 시작을 클릭하고 관리 도구를 가리킨 다음 ADFS(Active Directory Federation Services)를 클릭합니다.

  2. 콘솔 트리에서 페더레이션 서비스, 트러스트 정책파트너 조직을 차례로 두 번 클릭합니다.

  3. 계정 파트너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 계정 파트너를 클릭합니다.

  4. 계정 파트너 추가 마법사 시작 페이지에서 다음을 클릭합니다.

  5. 정책 파일 가져오기 페이지에서 다음을 수행하고 다음을 클릭합니다.

    • 를 클릭합니다.

    • 파트너 상호 운용성 정책 파일에서 계정 파트너 정책 파일의 위치를 찾아보거나 입력합니다.

  6. 계정 파트너 정보 페이지의 표시 이름 아래에 계정 파트너의 표시 이름을 입력하고 추가로 가져온 파트너 설정이 올바른지 확인한 후 다음을 클릭합니다.

  7. 계정 파트너 확인 인증서 페이지에서 다음 중 하나를 수행한 후 다음을 클릭합니다.

    • 가져오기 정책 파일의 확인 인증서 사용을 클릭합니다.

    • 다른 확인 인증서 사용을 클릭한 후 인증서의 위치를 입력하거나 찾아보기를 클릭합니다.

  8. 페더레이션 시나리오 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 다른 조직과 페더레이션 트러스트를 설정한 상태이거나 기존 포리스트 트러스트를 사용하지 않으려는 경우에는 페더레이션된 웹 SSO를 클릭하고 10단계로 이동합니다.

    • 양쪽이 이미 포리스트 트러스트를 공유하고 있을 때 같은 조직 내에서 페더레이션 트러스트를 설정하는 경우에는 포리스트 트러스트와 페더레이션된 웹 SSO를 클릭합니다.

  9. 포리스트 트러스트가 있는 페더레이션 웹 SSO 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 계정 파트너가 트러스트하는 모든 도메인의 사용자를 허용하려면 모든 AD DS 도메인 및 포리스트를 클릭합니다. 계정 파트너에 인증될 수 있는 모든 사용자가 허용됩니다.

    • 계정 파트너가 트러스트하는 일부 도메인에 있는 사용자 계정을 허용하려면 다음 AD DS 도메인 및 포리스트를 클릭합니다. 그런 다음 트러스트된 새 AD DS 도메인 또는 포리스트에 도메인 또는 포리스트의 이름을 입력하고 추가를 클릭합니다. 지정된 도메인의 사용자만 허용됩니다.

  10. 계정 파트너 ID 클레임 페이지에서 이 파트너가 제공할 ID 클레임을 하나 이상 선택하고 다음을 클릭합니다.

    • 리소스 파트너가 권한 부여 결정을 하는 데 UPN 클레임이 필요한 경우 UPN 클레임 확인란을 선택합니다.

    중요

    권한 부여 결정에 UPN 클레임 또는 전자 메일 클레임을 사용하는 경우에는 각 계정 파트너에 고유한 UPN 접미사 또는 전자 메일 접미사가 있어야 합니다. 두 계정 파트너가 동일한 UPN 접미사 또는 전자 메일 접미사를 사용하는 경우에는 사용자를 고유하게 식별하지 못할 수도 있습니다. 이러한 상황이 발생하면 한 계정 파트너의 사용자가 다른 계정 파트너의 사용자에게 주어진 사용 권한을 얻을 수도 있습니다. 또한 관리자가 사용자 계정을 고의로 만들어서 다른 계정 파트너의 사용자를 가장할 수 있기 때문에 심각한 보안 취약점이 발생합니다.

    참고

    포리스트 트러스트와 페더레이션된 웹 SSO 시나리오를 선택한 경우에는 UPN 클레임 옵션이 선택되며 구성이 불가능합니다. 이 시나리오에 UPN 클레임이 필요하기 때문입니다.

    • 리소스 파트너가 권한 부여 결정을 하는 데 전자 메일 클레임이 필요한 경우 전자 메일 클레임 확인란을 선택합니다.

    • 리소스 파트너가 권한 부여 결정을 하는 데 일반 이름 클레임이 필요한 경우 일반 이름 클레임 확인란을 선택합니다.

  11. ID 클레임으로 UPN 클레임을 선택한 경우 수락된 UPN 접미사 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 포리스트 트러스트와 페더레이션된 웹 SSO 옵션을 선택한 경우 모든 UPN 접미사를 클릭하거나 다음 목록의 접미사만을 클릭하고 수락된 접미사를 입력한 후 추가를 클릭합니다.

    • 페더레이션된 웹 SSO 옵션을 선택한 경우 새 접미사 추가에서 수락된 접미사를 입력한 후 추가를 클릭합니다.

  12. ID 클레임으로 전자 메일 클레임을 선택한 경우 수락된 전자 메일 접미사 페이지에서 다음 중 하나를 수행하고 다음을 클릭합니다.

    • 포리스트 트러스트와 페더레이션된 웹 SSO 옵션을 선택한 경우 모든 전자 메일 접미사를 클릭하거나 다음 목록의 접미사만을 클릭하고 수락된 접미사를 입력한 후 추가를 클릭합니다.

    • 페더레이션된 웹 SSO 옵션을 선택한 경우 새 접미사 추가에서 수락된 접미사를 입력한 후 추가를 클릭합니다.

  13. 이 계정 파트너 사용 페이지에서 지금 계정 파트너를 사용하지 않으려면 이 계정 파트너 사용 확인란의 선택을 취소하고 다음을 클릭합니다.

  14. 새 계정 파트너를 추가하고 마법사를 닫으려면 마침을 클릭합니다.

가져온 계정 파트너의 이름 바꾸기

다음 절차에 따라 가져온 계정 파트너의 이름을 바꿀 수 있습니다.

가져온 계정 파트너의 이름을 바꾸려면
  1. 시작을 클릭하고 관리 도구를 가리킨 다음 ADFS(Active Directory Federation Services)를 클릭합니다.

  2. 콘솔 트리에서 페더레이션 서비스, 트러스트 정책, 파트너 조직계정 파트너를 차례로 두 번 클릭합니다.

  3. 계정 파트너를 마우스 오른쪽 단추로 클릭하고 이름 바꾸기를 클릭합니다.

  4. 계정 파트너의 새 이름을 입력합니다.


목차