Identity Domain에서 MS Active Directory를 인증서버 IdP로 추가하기

Active Directory 설치하기

Window Server VM 만들기

테스트용 Active Directory를 OCI에 설치합니다.

OCI 콘솔에 로그인합니다
Compute VM을 생성합니다.
- Name: ad-server
- OS Image: Windows Server 2019 Standard
- VCN - Public Subnet 선택
Compute VM이 속한 Subnet의 Security List에 RDP (TCP:3389) 포트를 Ingress 규칙에서 오픈합니다.

Active Directory 설치하기

설치된 Window Server VM에 원격 데스크탑으로 접속합니다.
Server Manager 실행
Manage > Add Roles and Features 클릭
Next 클릭하다가, Server Roles에서 Active Directory Domain Services 선택하고 팝업에서 Add Features 선택
다시 Next 클릭하다가 Confirmation 탭에서 Install을 클릭하여 설치 시작
설치가 완료되면, Promote this server to a domain controller 링크 클릭
Add a new forest를 선택하고, 사용할 Root domain name을 입력후, Next 클릭
Domain Controller Options에서 Directory Services 복구 모드(DSRM) 암호 입력후, Next 클릭
DNS Options에서 나오는 A delegation for this DNS server… 경고는 무시하고 계속 Next를 클릭

Prerequisites Check

체크 실패사항

Verification of prerequisites for Domain Controller promotion failed. The local Administrator account becomes the domain Administrator account when you create a new domain. The new domain cannot be created because the local Administrator account password does not meet requirements.

Currently, the local Administrator password is blank, which might lead to security issues. We recommend that you press Ctrl+Alt+Delete, use the net user command-line tool, or use Local Users and Groups to set a strong password for the local Administrator account before you create the new domain.

=> opc 유저를 사용하다 보니, Administrator 유저 암호가 비어있는 상태인가 봄. Administrator가 도메인 관리자가 되니, 암호 설정이 필요하다는 내용

윈도우 검색아이콘을 사용하여, Compute Management을 검색 후 실행한 후, Administrator 유저의 암호를 설정합니다.

Prerequisites Check 화면으로 다시 돌아와 Rerun prerequisites check를 실행하여 필요조건을 다시 검사합니다.
필요조건 검사가 통과하면 Install을 클릭하여 설치를 시작합니다.
설치과정에 자동으로 재부팅됩니다. 잠시후 원격 데스트탑으로 재접속합니다.
Username은 기존 opc에서 opc@<ROOT-DOMAIN-NAME> 으로 변경하여 로그인해야 합니다.
Server Manager를 다시 실행합니다. Dashboard에서 AD DS 및 DNS 서버가 설치된 것을 확인할 수 있습니다.

Active Directory Federation Services (ADFS) 설치 및 로그인 페이지 활성화하기

IIS 설치하기

먼저 ADFS 사이온 페이지의 웹서버로 사용할 IIS를 설치합니다.

Server Manager를 다시 실행합니다.
Add roles and features 클릭
Next를 클릭하다, Server Roles에서 Web Server(IIS)를 클릭합니다.
팝업이 뜨면 Add Features를 클릭
다시 Next 클릭하다가 Confirm 탭에서 Install을 클릭하여 설치를 시작합니다.
설치가 완료되면, 창을 닫습니다.
브라우저에서 https://localhost로 접속하면, IIS 페이지가 보입니다.
C:\inetpub 폴더 하위에 편의상 ADFS로 사용할 서버명으로 하위 폴더를 만들고, index.html 파일을 만듭니다.
- 폴더명: adfs.thekoguryo.xyz

index.html 파일의 내용은 아래와 같습니다.

<!DOCTYPE html>
<html>
  <head>
    <title>ADFS Site</title>
  </head>
  <body>
    <h1>Hello World</h1>
  </body>
</html>

윈도우 검색아이콘에서 IIS를 검색하여 IIS Manager를 실행합니다.
왼쪽 트리에서 Sites 를 클릭한 후, 오른쪽에서 Add Website…를 클릭합니다.
팝업이 뜨면, 앞서 만든 index.html이 위치한 경로를 지정하고, Host name을 접속시 사용할 주소로 입력합니다.
Domain을 구입한 사이트의 DNS 서버에서 관련 등록 작업을 수행합니다.
브라우저에서 http://adfs.thekoguryo.xyz/ 로 접속합니다. 설정한 페이지가 뜨는 것을 확인할 수 있습니다.

SSL 인증서 설치

AFDS 설치시 SSL 인증서가 필요합니다.

별도 구매한 인증서가 있는 경우 해당 인증서를 사용하면 됩니다.

최근에는 무료 인증서 발급 사이트가 많이 사라져, 아래 내용은 Let’s Encrypt 사이트에서 인증서를 발급받는 윈도우기반 클라이언트인 win-acme 툴을 사용하는 방식을 사용하였습니다. 단지 테스트 편의를 위해 진행된 부분입니다.

win-acme 최신 버전을 다운로드 받습니다. 작성일 기준 다음 파일을 다운로드 받습니다.
- https://github.com/win-acme/win-acme/releases/download/v2.2.9.1701/win-acme.v2.2.9.1701.x64.trimmed.zip
압축을 풉니다.
settings.json 파일을 열어 설정을 이후에 생성된 PrivateKey를 익스포트 받을 수 있게, "PrivateKeyExportable": true로 변경합니다.
실행파일 wacs.exe을 관리자 모드로 실행합니다.
실행되면. 선택사항을 고릅니다.
- N 선택: Create certificate (default settings)
- 2 선택: 앞서 설치한 IIS서버 선택
추가 선택사항을 고릅니다.
- A: Pick all bindings 선택
- 이후 yes 3번 선택
- 마지막으로 통지받을 이메일 주소 입력
인증서 발급이 진행됩니다.
브라우저에서 이제 HTTPS 프로토콜로, https://adfs.thekoguryo.xyz/ 로 접속합니다. 인증서가 등록되어 안전한 페이지로 연결되었습니다.
윈도우 검색아이콘에서 IIS를 검색하여 IIS Manager를 실행합니다.
Server Certificate을 클릭
WebHosting Certificate Store에 있는 인증서 더블 클릭
Copy to File 클릭
Yes, export the private key 클릭
암호 입력 후 Next 클릭
지정할 위치 및 파일이름을 입력하여 파일로 저장합니다.

Active Directory Federation Services (ADFS) 설치

Server Manager를 다시 실행합니다.
Add roles and features 클릭
Next를 클릭하다, Server Roles에서 Active Directory Federation Services를 클릭합니다.
다시 Next 클릭하다가 Confirmation 탭에서 Install을 클릭하여 설치
설치가 완료되면, Configure the federation service on this server 클릭
관리자인 administrator 유저로 변경합니다.
앞서 익스포트 받은 PrivateKey를 Import 하고, Display Name을 입력합니다.
- 입력한 Display Name이 로그인 페이지 상단에 표시됩니다.
다음으로 가면 경고가 뜹니다.
Powershell을 우클릭하여, Run as different로 실행하여, ops 유저가 아닌 administrator 유저로 실행합니다.

Powershell에서 다음 명령을 실행합니다.

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

ADFS 설정화면의 리프레쉬를 위해 Previous로 전화면으로 이동후 다시 Next합니다.
경고 문구가 사라졌습니다. Account Name을 administrator로 입력
현재 서버에 데이터베이스 생성하는 첫번째 모드를 선택합니다.
Next로 이동합니다.
사전 조건 검사 통과 확인후 Configure를 클릭하여 설치 구성합니다.
설치가 완료되었습니다.

로그온 페이지 활성화

Powershell을 관리자 모드로 실행합니다.
다음 명령을 실행합니다.
```
Get-AdfsProperties
```
EnableIdpInitiatedSignonPage가 False 인 것을 확인합니다.
Powershell에서 다음명령을 실행하여 True로 변경합니다.
```
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
```
다시 확인 명령을 실행합니다.
```
Get-AdfsProperties
```
EnableIdpInitiatedSignonPage가 True도 변경되었습니다.

ADFS 로그인 페이지 접속 확인

로그온 페이지로 접속합니다.
- https://{ADFS서버주소}/adfs/ls/idpinitiatedsignon
Sign in을 클릭합니다.
앞서 생성해둔 john.doe@test.org 유저로 로그인합니다.
로그인 성공하였습니다.

OCI Identity Domain에 Identity Provider로 Active Directory 등록하기

ADFS의 다음 주소로 접속하여, 메타데이터 파일을 다운로드 받습니다.
- https://{ADFS서버주소}/FederationMetadata/2007-06/FederationMetadata.xml
OCI Console에 로그인합니다.
본 예시에서는 새 Identity Domain을 만들어 사용하겠습니다. 새 Identity Domain을 Free 타입으로 만듭니다.
생성한 Identity Domain을 클릭합니다.
왼쪽 메뉴에서 Security > Identity providers로 이동합니다.
Add IdP를 클릭하여, SAML IdP를 추가합니다.
이름을 입력합니다.
ADFS에서 다운 받은 메타데이터를 임포트합니다.
AD의 이름을 Identity Domain의 Username에 매핑합니다.
Next로 이동합니다.
설정 리뷰후, Create IdP를 클릭하여 추가 완료합니다.
생성이 되면, 생성된 IdP에서 Export SAML metadata를 클릭합니다.
Metadata file을 다운로드 받습니다. 이후 Active Directory에 가서 OCI Identity Domain을 Service Provider로 등록할 때 사용합니다.

ADFS에 서비스 제공자(Service Provider)로 등록하기

AD가 설치된 윈도우에 접속합니다.
윈도우 검색아이콘에서 AD FS로 검색하여, AD FS Management를 실행합니다.
오른쪽 액션에서 Add Relying Party Trust를 선택합니다.
Claims aware 선택
adfs-domain에서 IdP 등록후 다운로드 받은 메타데이터(Metadata.xml) 파일을 윈도우 서버에 복사후 여기에 경로를 지정합니다.
등록할 이름을 입력
Permit everyone 선택
Ready to Add Trust 탭은 기본값을 사용합니다.
Finish 탭도 기본값을 사용합니다.
생성된 Relying Party Trust를 우클릭하여 Claim 편집합니다.
규칙을 추가합니다.
Send LDAP Attributes as Claims 템플릿 선택
Active Directory 스토어에서 SAM-Account-Name과 Name ID를 매핑합니다.
- AD의 SAMAccountName을 NameID에 매핑해서 OCI에 전달하게 됩니다.
규칙을 하나 더 추가합니다.
Transform an Incoming Claim 템플릿 선택
두 번째 규칙을 추가합니다.
규칙 추가 완료

Powershell을 관리자 모드로 시작하고, 다음명령을 실행합니다.

Set-ADFSRelyingPartyTrust -TargetName "앞서 등록한 이름" -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None

Set-ADFSRelyingPartyTrust -TargetName "OCI Identity Domain - adfs-domain" -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None

테스트용 OU, Group, User 추가하기

Server Manager를 다시 실행합니다.
오른쪽 위 Tools에서 Active Directory Users and Computers 클릭
Root domain name을 우클릭 한 후 New > Organizational Unit 클릭
아래와 같이 Employees OU와 하위 OU를 생성합니다.
Tech OU를 우클릭하여 New > Group를 클릭하여 새 그룹을 생성합니다.
- 예, Tech-Group
Tech OU를 우클릭하여 New > User 를 클릭하여 새 유저를 생성합니다.
암호를 입력합니다. 편의상 User must change password at next login 체크해제합니다.
생성된 유저를 더블 클릭하여 속성 창을 엽니다.
- 이후 OCI IAM User 동기화를 위해 필수항목인 Last name과 E-mail은 반드시 입력합니다.
Member Of 탭을 클릭하여 생성한 Tech-Group에 추가합니다.
View > Advanced Features를 선택합니다.
John Doe 유저를 더블 클릭합니다.
Attribute Editor 탭에서 속성값들을 볼 수 있습니다. 앞서 Ready to Add Trust 등록시 사용한 sAMAccountName로 이 값은 도메인 없이 유저명만 있습니다.
OCI Console로 돌아갑니다.
AD IdP를 등록한 Identity Domain으로 이동합니다.
sAMAccountName과 같은 이름을 Username으로 하는 OCI IAM User를 만듭니다.

등록한 Identity Provider 활성화 및 규칙 설정

AD IdP를 등록한 Identity Domain으로 이동합니다.
Security > Identity providers로 이동한후 앞서 등록한 IdP의 상세화면으로 이동합니다.
More actions에서 Test login을 클릭합니다.
ADFS 로그인 페이지가 뜨면 테스트할 유저로 로그인합니다. 여기서는 Domain Name까지 포함하여 로그인합니다.
테스트가 성공하였습니다.
창을 닫고, OCI Console로 돌아갑니다.
Activate IdP를 클릭합니다. 다시 한번 클릭합니다.
상위 메뉴로 가서 IdP policies에서 Default Identity Provider Policy를 클릭합니다.
Add IdP rule을 클릭합니다.
새 규칙의 identity providers에 Username-Password는 물론, 추가한 ActiveDirectory-IdP 도 추가합니다.
우선 순위를 조정하여, 추가한 All IdP Rule이 일순위로 변경합니다.

AD 인증을 통한 로그인 테스트

OCI Console에서 로그아웃합니다.
OCI Console에 다시 접속합니다.
도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.
화면 아래에 추가한 ActiveDirectory-IdP로 로그인하는 버튼이 생겼습니다. 클릭합니다.
테스트할 유저로 AD에 로그인합니다.
인증이 성공하면 OCI Console에 로그인이 됩니다. 첫 로그인인 경우, MFA 등록화면이 뜹니다. MFA를 등록합니다.
로그인이 완료되고 유저 프로파일을 확인하면, 그림과 같이 로그인 된 것을 볼 수 있습니다.
Active Directory를 연계하여, OCI Console에 로그인에 성공하였습니다.

AD Bridge 설치

위 예제에서는 AD 상에 있는 유저를 OCI Identit Domain에 수작업으로 생성해 주었습니다. AD 상에 유저, 그룹이 생성, 업데이트, 삭제가 빈번하게 발생하면, 매번 수작업으로 할 수 없기에 변경사항 발생시 OCI에 자동으로 반영해 주는 것이 필요합니다. OCI에서는 AD Bridge를 제공합니다. 이를 통해 변경사항 반영을 자동화하는 과정입니다.

OCI Console로 돌아갑니다.
AD IdP를 등록한 Identity Domain으로 이동합니다.
Settings > Directory integrations로 이동합니다.
Add를 클릭합니다.
팝업이 뜨면, ad-id-bridge 설치 파일을 다운로드 받습니다. 설치에 필요한 URL, Client ID, Client Secret로 복사해 기록해 둡니다.
AD가 설치된 윈도우 서버에서 다운받은 AD Bridge 설치파일을 실행합니다.
Next를 클릭하여 이동합니다.
Specify Proxy Server에서 OCI Idenity Domain을 연결시 Proxy Server를 통하는 경우에만 설정합니다.
Specify Identity Cloud Service Credentials에서 앞서 복사해둔 설치 정보를 입력하고, Test를 클릭하여, 연결을 테스트합니다.
AD 접속시 사용할 유저, 암호를 입력하고, Test를 클릭하여 연결을 테스트합니다.
설치완료
설치된 AD Bridge 프로그램으로 시작/종료, 연결 정보 변경 등을 할 수 있습니다.

Directory integration 설정

OCI Console로 돌아갑니다.
도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.
Security > Directory integration로 이동하면, AD Bridge 에서 전달된 AD 구성정보가 보입니다.
생성된 Directory integration을 클릭합니다.
나머지 설정을 위해 Edit configuration을 클릭합니다.
동기화할 유저가 있는 OU를 선택합니다.
동기화할 그룹이 있는 OU를 선택합니다.
동기화할 주기를 설정할 수 있습니다. 기본은 1시간 간격입니다. attribute mapping을 보면, AD 속성과 Identity Domain의 속성 매핑이 기본적으로 되어 있습니다. 필요시 수정합니다.
아직 동기화가 실행되지 않았습니다. Import users를 클릭하여, 수동으로 실행할 수 있습니다.
Import users를 클릭하여, 실행합니다. 팝업이 뜨는 기본 증분 임포트로 실행합니다.
Refresh를 클릭합니다. 동기화가 완료되었습니다.
임포트된 그룹을 확인해 봅니다. Tech-Group이 추가되고, john.doe 유저가 그룹에 속해 있습니다.
AD가 설치된 윈도우 서버로 이동합니다.
윈도우 검색아이콘에서 Active Directory Users and Computers를 찾아 실행합니다.
Sales OU에 Sales-Group과 해당 그룹에 속한 Jane Doe 유저를 생성합니다.
- OCI IAM User는 Last Name과 Email이 필수항목이기 때문에 AD에서 생성하는 유저도 해당 항목을 필수로 입력합니다.
OCI Console로 돌아갑니다.
앞서 구성한 Directory integration으로 이동합니다.
Resource > Import로 이동하여, Import users를 클릭하여 동기화를 실행합니다.
실행완료
임포트된 그룹을 확인해 봅니다. Sales-Group이 추가되고, jane.doe 유저가 그룹에 속해 있습니다.
OCI Console을 로그아웃합니다.
OCI Console에 다시 접속합니다. adfs-domain Identity Domain을 선택합니다.
화면 아래에 추가한 ActiveDirectory-IdP로 로그인 버튼을 클릭합니다.
OCI에서 직접 생성하지 않고, AD Bridge를 통해 동기화되어 생성된 jane.doe 유저로 로그인합니다.
OCI Console에 로그인이 됩니다. MFA 등록화면이 뜹니다. MFA를 등록합니다.
로그인이 완료되고 유저 프로파일을 확인하면, 그림과 같이 로그인 된 것을 볼 수 있습니다.
이 처럼 이후에 AD에 발생하는 변경사항은 AD Bridge에서 설정한 주기에 따라 동기화되고, 동기화 이후에 해당 유저로 OCI에 로그인할 수 있게 됩니다.

추가 참고사항

SAMAccountName 대신 userPrincipalName 사용하기

john.doe와 같이 SAMAccountName이 아니고, john.doe@test.org와 같이 ADFS 및 윈도우에 로그인할때 이름 형식으로 OCI IAM 유저를 생성하고자 하는 경우 다음과 같이 변경합니다.

AD가 설치된 윈도우에 접속합니다.
윈도우 검색아이콘에서 검색하여 Active Directory Users and Computers 클릭
대상 유저를 더블클릭합니다.
SAMAccountName 말고 userPrincipalName에서 원하는 값을 확인할 수 있습니다.
윈도우 검색아이콘에서 AD FS로 검색하여, AD FS Management를 실행합니다.
생성된 Relying Party Trust를 우클릭하여 Claim 편집합니다.
기존 SAMAccountName의 규칙을 User-Principal-Name을 대신 사용하도록 아래와 같이 변경합니다.
변경한 Claim을 Apply를 클릭하여 적용합니다.
OCI Console로 돌아갑니다.
도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.
Security > Directory integration로 이동하여, 앞서 생성된 구성정보(test.org)를 클릭합니다.
이동하면, AD Bridge 에서 전달된 AD 구성정보가 보입니다.
수정을 위해 Edit configuration을 클릭합니다.
AD to Identity Domain 설정
- sAMAccoutName 대신 User Principal Name이 IAM User의 User Name에 매핑이 되게 변경합니다.
Identity Domain to AD 설정
- sAMAccoutName으로 가는 첫 번째 행 삭제
- Add attribute를 클릭하여 새 행을 추가한 다음, IAM User Name을 AD User Principal Name에 매핑되도록 변경
- Save를 클릭하여 변경사항을 저장합니다.
- sAMAccoutName이 매핑된 것이 없어, 오류 가능성이 있어 보이지만, 당장은 Identity Domain에서 AD 방향으로 동기화되는 것이 아니기 때문에 큰 문제는 없어 보입니다.
Identity Domain에서 AD로 부터 동기화된 유저들을 삭제합니다. 예, john.doe, jane.doe
앞서 구성한 Directory integration으로 이동합니다.
Resource > Import로 이동하여, Import users를 클릭하여 동기화를 실행합니다.
Full import 타입으로해서 실행합니다.
유저 목록에서 유저명을 확인합니다. 아래와 같이 User Principal Name으로 User Name이 생성된 것을 볼 수 있습니다.
동기화된 유저로 다시 로그인해 봅니다.

메일 통지 수정

Directory Integration에 의해 스케줄된 AD 동기화가 실행되면, 관리자에게 통지 메일이 발생됩니다. 실행 주기당 매번 발송으로 성가신 경우, 아래에 변경합니다.

OCI Console로 돌아갑니다.
도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.
왼쪽 메뉴에서 Notifications을 클릭합니다.
동기화할 건이 0인 경우도 성공하면 메일이 발송되므로, 성공시 메일발송은 요건에 따라 체크 해제하고 저장합니다. 필요에 따라 실패시 발송 되는 설정은 유지합니다.

참고 문서

이 글은 개인으로서, 개인의 시간을 할애하여 작성된 글입니다. 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.