Microsoft Azure AD(Active Directory)는 SAML(Security Assertion Markup Language)을 준수하는 ID 공급자(IDP)입니다. 이를 온-프레미스나 클라우드에서 Portal for ArcGIS의 엔터프라이즈 로그인 IDP로 구성할 수 있습니다. 구성 절차는 ArcGIS Enterprise 포털에 Azure AD 등록 및 Azure AD 포털에 Portal for ArcGIS 등록의 두 가지 주요 단계로 구성됩니다.
ArcGIS Enterprise에 Azure AD를 구성하려면 프리미엄 Azure AD 구독이 필요합니다.
필수 정보
Portal for ArcGIS 사용자가 엔터프라이즈 로그인을 사용하여 로그인할 때에는 IDP로부터 특정 속성 정보를 받아야 합니다. NameID 속성은 Portal for ArcGIS 작업과 페더레이션하기 위해 SAML 응답에서 IDP가 보내야 하는 필수 속성입니다. Portal for ArcGIS에서는 NameID 값을 사용하여 기명 사용자를 식별하므로 사용자를 고유하게 식별하는 상수 값을 사용하는 것이 좋습니다. IDP의 사용자가 로그인하면 Portal for ArcGIS에서 해당 사용자 저장소에 사용자 이름이 NameID인 새 사용자를 생성합니다. NameID에서 보내는 값에 사용할 수 있는 문자는 영숫자, _(밑줄), .(점), 그리고 @ 기호입니다. 다른 모든 문자는 Portal for ArcGIS에서 생성한 사용자 이름에서 밑줄로 변경됩니다.
Portal for ArcGIS 은 엔터프라이즈 IDP에서 엔터프라이즈 로그인의 givenName 및 email address 속성 내부 흐름을 지원합니다. 사용자가 엔터프라이즈 로그인을 사용하여 로그인하고 Portal for ArcGIS이 givenname 및 email 또는 mail(이)라는 이름의 속성을 받을 경우(어떤 속성이든) Portal for ArcGIS은 IDP에게 받은 값으로 사용자 계정의 전체 이름과 이메일 주소를 채웁니다. 사용자가 알림을 받을 수 있도록 엔터프라이즈 IDP의 email address를 전달하는 것이 좋습니다.
포털의 엔터프라이즈 IDP로 Azure AD 등록
- 포털 웹사이트에 기관의 기본 관리자 역할 구성원으로 로그인하여 기관 > 설정 편집 > 보안을 클릭합니다.
- SAML을 통해 엔터프라이즈 로그인 섹션에서 단일 아이덴티티 공급자 옵션을 선택하고 엔터프라이즈 로그인 설정 버튼을 클릭한 다음, 창이 나타나면 기관의 이름을 입력합니다(예시: City of Redlands). 사용자가 포털 웹사이트에 접근하는 경우 이 텍스트가 SAML 로그인 옵션의 일부로 나타납니다(예시: City of Redlands 계정 사용).
- 사용자를 기관에 자동으로 추가할 지 포털에 계정을 추가할 지 여부를 선택합니다. 자동으로 옵션을 선택하면 사용자가 관리자의 개입 없이 엔터프라이즈 로그인으로 기관에 로그인할 수 있습니다. 사용자의 계정은 처음 로그인할 때 기관에 자동으로 기관에 등록됩니다. 관리자가 계정을 포털에 추가한 후 옵션을 사용하려면 관리자가 명령줄 유틸리티 또는 Python 스크립트 샘플을 사용하여 필요한 계정을 기관에 등록해야 합니다. 계정이 등록되고 나면 사용자는 기관에 로그인할 수 있게 됩니다.
팁:
하나 이상의 엔터프라이즈 계정을 포털의 관리자로 지정하고 초기 관리자 계정을 삭제하거나 수준을 내리는 것이 좋습니다. 또한 사용자가 자신의 계정을 생성하지 못하도록 포털에서 계정 생성 버튼 및 등록 페이지(signup.html)를 비활성화하는 것을 권장합니다. 자세한 지침은 포털에서 SAML을 준수하는 ID 공급자 구성을 참고하세요.
- 다음 옵션 중 하나를 사용하여 IDP에 대한 메타데이터 정보를 제공합니다.
- 파일 - 파일 옵션을 사용하여 Azure AD 메타데이터 파일을 다운로드하고 해당 파일을 Portal for ArcGIS에 업로드할 수 있습니다.
참고 사항:
서비스 공급자를 Azure AD에 처음 등록하는 경우 Portal for ArcGIS를 Azure AD에 등록한 후 메타데이터 파일을 가져와야 합니다. - 매개변수 - URL 또는 페더레이션 메타데이터 파일에 접근할 수 없는 경우 이 옵션을 선택합니다. 값을 수동으로 입력하고 요청을 받은 매개변수인 로그인 URL과 인증서를 BASE 64 형식으로 인코딩하여 제공합니다. Azure AD 관리자에게 이러한 매개변수를 확인할 수 있습니다.
- 파일 - 파일 옵션을 사용하여 Azure AD 메타데이터 파일을 다운로드하고 해당 파일을 Portal for ArcGIS에 업로드할 수 있습니다.
- 다음과 같은 고급 설정을 적절히 구성합니다.
- 어설션 암호화 - 이 옵션을 선택하면 Azure AD의 SAML 어설션 응답이 암호화됩니다.
- 서명한 요청 활성화 - 이 옵션을 선택하면 Azure AD에 보낸 SAML 인증 요청이 Portal for ArcGIS에 의해 서명됩니다.
- 아이덴티티 공급자에 로그아웃 전파 - 이 옵션을 선택하면 Portal for ArcGIS가 로그아웃 URL을 사용하여 사용자를 Azure AD에서 로그아웃시킵니다. 로그아웃 URL 설정에서 사용할 URL을 입력합니다. IDP의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화를 선택합니다.
- 로그인 시 프로필 업데이트 - 이 옵션을 선택하면 Portal for ArcGIS에서 사용자의 givenName 및 email address 속성이 업데이트됩니다(마지막 로그인 이후 속성이 변경된 경우).
- 로그아웃 URL - 현재 로그인되어 있는 사용자를 로그아웃시키는 데 사용되는 IDP URL입니다.
- 엔티티 ID - 새 엔티티 ID를 사용하여 포털을 Azure AD에 고유하게 식별하려면 이 값을 업데이트합니다.
어설션 암호화 및 서명한 요청 활성화 설정에는 포털 KeyStore의 samlcert인증서가 사용됩니다. 새 인증서를 사용하려면 samlcert 인증서를 삭제하고 포털로 인증서 가져오기의 단계에 따라 동일한 별칭(samlcert)의 새 인증서를 생성한 다음 포털을 다시 시작합니다.
- 작업을 마쳤으면 ID 공급자 업데이트를 클릭합니다.
- 서비스 공급자 가져오기를 클릭하여 포털의 메타데이터 파일을 다운로드합니다. 이 파일의 정보는 포털을 신뢰할 수 있는 서비스 공급자로 Azure AD에 등록하는 데 사용됩니다.
Azure AD에 신뢰할 수 있는 서비스 공급자로 Portal for ArcGIS 등록
- 관리 권한이 있는 구성원으로 Azure 포털에 로그인합니다.
- Azure 설명서에 나와 있는 단계에 따라 Portal for ArcGIS를 비갤러리 응용프로그램으로 Azure AD에 추가하고 Single Sign-On을 구성합니다. Portal for ArcGIS에서 다운로드한 Metadata.xml 파일을 제공해야 합니다.
Azure AD의 엔터프라이즈 응용프로그램 목록에 Portal for ArcGIS가 나타납니다.
- 필요에 따라 사용자를 응용프로그램에 추가하고 할당합니다.
- 필요한 경우 ArcGIS Enterprise에 전달되는 SAML 클레임을 구성하고 사용자 정의합니다. SAML 응답의 관심 속성은 givenName과 emailaddress입니다.