TheKoguryo's 기술 블로그

 Version 2024-11-29

Identity Domain에서 MS Active Directory를 인증서버 IdP로 추가하기

Active Directory 설치하기

Window Server VM 만들기

테스트용 Active Directory를 OCI에 설치합니다.

  1. OCI 콘솔에 로그인합니다
  2. Compute VM을 생성합니다.
    • Name: ad-server
    • OS Image: Windows Server 2019 Standard
    • VCN - Public Subnet 선택
  3. Compute VM이 속한 Subnet의 Security List에 RDP (TCP:3389) 포트를 Ingress 규칙에서 오픈합니다.

Active Directory 설치하기

  1. 설치된 Window Server VM에 원격 데스크탑으로 접속합니다.

  2. Server Manager 실행

    image-20240618175426740

  3. Manage > Add Roles and Features 클릭

    image-20240618175536523

  4. Next 클릭하다가, Server Roles에서 Active Directory Domain Services 선택하고 팝업에서 Add Features 선택

    image-20240618175639473

  5. 다시 Next 클릭하다가 Confirmation 탭에서 Install을 클릭하여 설치 시작

    image-20240618175812711

  6. 설치가 완료되면, Promote this server to a domain controller 링크 클릭

    image-20240618180037695

  7. Add a new forest를 선택하고, 사용할 Root domain name을 입력후, Next 클릭

    image-20240618180216369

  8. Domain Controller Options에서 Directory Services 복구 모드(DSRM) 암호 입력후, Next 클릭

    image-20240618180556403

  9. DNS Options에서 나오는 A delegation for this DNS server… 경고는 무시하고 계속 Next를 클릭

  10. Prerequisites Check

    image-20240618181341659

    • 체크 실패사항

      Verification of prerequisites for Domain Controller promotion failed. The local Administrator account becomes the domain Administrator account when you create a new domain. The new domain cannot be created because the local Administrator account password does not meet requirements.
      
      Currently, the local Administrator password is blank, which might lead to security issues. We recommend that you press Ctrl+Alt+Delete, use the net user command-line tool, or use Local Users and Groups to set a strong password for the local Administrator account before you create the new domain.
      

      => opc 유저를 사용하다 보니, Administrator 유저 암호가 비어있는 상태인가 봄. Administrator가 도메인 관리자가 되니, 암호 설정이 필요하다는 내용

    • 윈도우 검색아이콘을 사용하여, Compute Management을 검색 후 실행한 후, Administrator 유저의 암호를 설정합니다.

      image-20240618181712273

  11. Prerequisites Check 화면으로 다시 돌아와 Rerun prerequisites check를 실행하여 필요조건을 다시 검사합니다.

  12. 필요조건 검사가 통과하면 Install을 클릭하여 설치를 시작합니다.

    image-20240618182105576

  13. 설치과정에 자동으로 재부팅됩니다. 잠시후 원격 데스트탑으로 재접속합니다.

  14. Username은 기존 opc에서 opc@<ROOT-DOMAIN-NAME> 으로 변경하여 로그인해야 합니다.

    image-20240618184230373

  15. Server Manager를 다시 실행합니다. Dashboard에서 AD DSDNS 서버가 설치된 것을 확인할 수 있습니다.

    image-20240618184620181

Active Directory Federation Services (ADFS) 설치 및 로그인 페이지 활성화하기

IIS 설치하기

먼저 ADFS 사이온 페이지의 웹서버로 사용할 IIS를 설치합니다.

  1. Server Manager를 다시 실행합니다.

  2. Add roles and features 클릭

    image-20240618203304499

  3. Next를 클릭하다, Server Roles에서 Web Server(IIS)를 클릭합니다.

  4. 팝업이 뜨면 Add Features를 클릭

  5. 다시 Next 클릭하다가 Confirm 탭에서 Install을 클릭하여 설치를 시작합니다.

  6. 설치가 완료되면, 창을 닫습니다.

  7. 브라우저에서 https://localhost로 접속하면, IIS 페이지가 보입니다.

    image-20240618204119528

  8. C:\inetpub 폴더 하위에 편의상 ADFS로 사용할 서버명으로 하위 폴더를 만들고, index.html 파일을 만듭니다.

    • 폴더명: adfs.thekoguryo.xyz

    image-20240618205620679

  9. index.html 파일의 내용은 아래와 같습니다.

    <!DOCTYPE html>
    <html>
      <head>
        <title>ADFS Site</title>
      </head>
      <body>
        <h1>Hello World</h1>
      </body>
    </html>
    
  10. 윈도우 검색아이콘에서 IIS를 검색하여 IIS Manager를 실행합니다.

    image-20240620120434805

  11. 왼쪽 트리에서 Sites 를 클릭한 후, 오른쪽에서 Add Website…를 클릭합니다.

    image-20240618210022130

  12. 팝업이 뜨면, 앞서 만든 index.html이 위치한 경로를 지정하고, Host name을 접속시 사용할 주소로 입력합니다.

    image-20240618210147583

  13. Domain을 구입한 사이트의 DNS 서버에서 관련 등록 작업을 수행합니다.

  14. 브라우저에서 http://adfs.thekoguryo.xyz/ 로 접속합니다. 설정한 페이지가 뜨는 것을 확인할 수 있습니다.

    image-20240618210443407

SSL 인증서 설치

AFDS 설치시 SSL 인증서가 필요합니다.

별도 구매한 인증서가 있는 경우 해당 인증서를 사용하면 됩니다.

최근에는 무료 인증서 발급 사이트가 많이 사라져, 아래 내용은 Let’s Encrypt 사이트에서 인증서를 발급받는 윈도우기반 클라이언트인 win-acme 툴을 사용하는 방식을 사용하였습니다. 단지 테스트 편의를 위해 진행된 부분입니다.

  1. win-acme 최신 버전을 다운로드 받습니다. 작성일 기준 다음 파일을 다운로드 받습니다.

  2. 압축을 풉니다.

  3. settings.json 파일을 열어 설정을 이후에 생성된 PrivateKey를 익스포트 받을 수 있게, "PrivateKeyExportable": true로 변경합니다.

  4. 실행파일 wacs.exe을 관리자 모드로 실행합니다.

  5. 실행되면. 선택사항을 고릅니다.

    • N 선택: Create certificate (default settings)
    • 2 선택: 앞서 설치한 IIS서버 선택

    image-20240618212204029

  6. 추가 선택사항을 고릅니다.

    • A: Pick all bindings 선택
    • 이후 yes 3번 선택
    • 마지막으로 통지받을 이메일 주소 입력

    image-20240618212507210

  7. 인증서 발급이 진행됩니다.

    image-20240618212748097

  8. 브라우저에서 이제 HTTPS 프로토콜로, https://adfs.thekoguryo.xyz/ 로 접속합니다. 인증서가 등록되어 안전한 페이지로 연결되었습니다.

    image-20240618212953904

  9. 윈도우 검색아이콘에서 IIS를 검색하여 IIS Manager를 실행합니다.

  10. Server Certificate을 클릭

    image-20240618223100090

  11. WebHosting Certificate Store에 있는 인증서 더블 클릭

    image-20240620120726945

  12. Copy to File 클릭

    image-20240618223256522

  13. Yes, export the private key 클릭

    image-20240618223341468

  14. 암호 입력 후 Next 클릭

    image-20240618223438336

  15. 지정할 위치 및 파일이름을 입력하여 파일로 저장합니다.

    image-20240618223549398

Active Directory Federation Services (ADFS) 설치

  1. Server Manager를 다시 실행합니다.

  2. Add roles and features 클릭

  3. Next를 클릭하다, Server Roles에서 Active Directory Federation Services를 클릭합니다.

    image-20240618213500711

  4. 다시 Next 클릭하다가 Confirmation 탭에서 Install을 클릭하여 설치

  5. 설치가 완료되면, Configure the federation service on this server 클릭

    image-20240618213807011

  6. 관리자인 administrator 유저로 변경합니다.

    image-20240618223842561

  7. 앞서 익스포트 받은 PrivateKey를 Import 하고, Display Name을 입력합니다.

    image-20240618223915723

    • 입력한 Display Name이 로그인 페이지 상단에 표시됩니다.

      image-20240620121728702

  8. 다음으로 가면 경고가 뜹니다.

    image-20240618224128083

  9. Powershell을 우클릭하여, Run as different로 실행하여, ops 유저가 아닌 administrator 유저로 실행합니다.

  10. Powershell에서 다음 명령을 실행합니다.

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    

    image-20240618224700298

  11. ADFS 설정화면의 리프레쉬를 위해 Previous로 전화면으로 이동후 다시 Next합니다.

  12. 경고 문구가 사라졌습니다. Account Name을 administrator로 입력

    image-20240618225024824

  13. 현재 서버에 데이터베이스 생성하는 첫번째 모드를 선택합니다.

    image-20240618225125449

  14. Next로 이동합니다.

  15. 사전 조건 검사 통과 확인후 Configure를 클릭하여 설치 구성합니다.

    image-20240618225330201

  16. 설치가 완료되었습니다.

    image-20240618225511124

로그온 페이지 활성화

  1. Powershell을 관리자 모드로 실행합니다.

  2. 다음 명령을 실행합니다.

    Get-AdfsProperties
    
  3. EnableIdpInitiatedSignonPageFalse 인 것을 확인합니다.

    image-20240618230703369

  4. Powershell에서 다음명령을 실행하여 True로 변경합니다.

    Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
    

    image-20240618230847170

  5. 다시 확인 명령을 실행합니다.

    Get-AdfsProperties
    
  6. EnableIdpInitiatedSignonPageTrue도 변경되었습니다.

    image-20240618230953920

ADFS 로그인 페이지 접속 확인

  1. 로그온 페이지로 접속합니다.

    • https://{ADFS서버주소}/adfs/ls/idpinitiatedsignon

    image-20240618231336493

  2. Sign in을 클릭합니다.

  3. 앞서 생성해둔 opc@test.org 유저로 로그인합니다.

    image-20240620123448059

  4. 로그인 성공하였습니다.

    image-20240618231608673

OCI Identity Domain에 Identity Provider로 Active Directory 등록하기
  1. ADFS의 다음 주소로 접속하여, 메타데이터 파일을 다운로드 받습니다.

    • https://{ADFS서버주소}/FederationMetadata/2007-06/FederationMetadata.xml

      image-20240618232256597

  2. OCI Console에 로그인합니다.

  3. 본 예시에서는 새 Identity Domain을 만들어 사용하겠습니다. 새 Identity Domain을 Free 타입으로 만듭니다.

    image-20240618232805325

  4. 생성한 Identity Domain을 클릭합니다.

  5. 왼쪽 메뉴에서 Security > Identity providers로 이동합니다.

  6. Add IdP를 클릭하여, SAML IdP를 추가합니다.

    image-20240618233313737

  7. 이름을 입력합니다.

    image-20240618233936698

  8. ADFS에서 다운 받은 메타데이터를 임포트합니다.

    image-20240618234018164

  9. AD의 이름을 Identity Domain의 Username에 매핑합니다.

    image-20240618234127201

  10. Next로 이동합니다.

  11. 설정 리뷰후, Create IdP를 클릭하여 추가 완료합니다.

  12. 생성이 되면, 생성된 IdP에서 Export SAML metadata를 클릭합니다.

    image-20240618234624469

  13. Metadata file을 다운로드 받습니다. 이후 Active Directory에 가서 OCI Identity Domain을 Service Provider로 등록할 때 사용합니다.

    image-20240618234758286

ADFS에 서비스 제공자(Service Provider)로 등록하기
  1. AD가 설치된 윈도우에 접속합니다.

  2. 윈도우 검색아이콘에서 AD FS로 검색하여, AD FS Management를 실행합니다.

  3. 오른쪽 액션에서 Add Relying Party Trust를 선택합니다.

    image-20240618235508290

  4. Claims aware 선택

    image-20240618235558179

  5. adfs-domain에서 IdP 등록후 다운로드 받은 메타데이터(Metadata.xml) 파일을 윈도우 서버에 복사후 여기에 경로를 지정합니다.

    image-20240618235627989

  6. 등록할 이름을 입력

    image-20240618235655180

  7. Permit everyone 선택

    image-20240618235723649

  8. Ready to Add Trust 탭은 기본값을 사용합니다.

  9. Finish 탭도 기본값을 사용합니다.

    image-20240618235827586

  10. 생성된 Relying Party Trust를 우클릭하여 Claim 편집합니다.

    image-20240619001011783

  11. 규칙을 추가합니다.

    image-20240619001057043

  12. Send LDAP Attributes as Claims 템플릿 선택

    image-20240619001125679

  13. Active Directory 스토어에서 SAM-Account-NameName ID를 매핑합니다.

    • AD의 SAMAccountName을 NameID에 매핑해서 OCI에 전달하게 됩니다.

    image-20240619001243215

  14. 규칙을 하나 더 추가합니다.

  15. Transform an Incoming Claim 템플릿 선택

    image-20240619001359446

  16. 두 번째 규칙을 추가합니다.

    image-20240619001500258

  17. 규칙 추가 완료

    image-20240619001530693

  18. Powershell을 관리자 모드로 시작하고, 다음명령을 실행합니다.

    Set-ADFSRelyingPartyTrust -TargetName "앞서 등록한 이름" -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None
    
    Set-ADFSRelyingPartyTrust -TargetName "OCI Identity Domain - adfs-domain" -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None
    

    image-20240619001812954

테스트용 OU, Group, User 추가하기
  1. Server Manager를 다시 실행합니다.

  2. 오른쪽 위 Tools에서 Active Directory Users and Computers 클릭

    image-20240618190256339

  3. Root domain name을 우클릭 한 후 New > Organizational Unit 클릭

    image-20240618190539583

  4. 아래와 같이 Employees OU와 하위 OU를 생성합니다.

    image-20240618190704148

  5. Tech OU를 우클릭하여 New > Group를 클릭하여 새 그룹을 생성합니다.

    • 예, Tech-Group
  6. Tech OU를 우클릭하여 New > User 를 클릭하여 새 유저를 생성합니다.

    image-20240618191632800

  7. 암호를 입력합니다. 편의상 User must change password at next login 체크해제합니다.

    image-20240618191718658

  8. 생성된 유저를 더블 클릭하여 속성 창을 엽니다.

    • 이후 OCI IAM User 동기화를 위해 필수항목인 Last name과 E-mail은 반드시 입력합니다.

    image-20240618191843969

  9. Member Of 탭을 클릭하여 생성한 Tech-Group에 추가합니다.

    image-20240618192112307

  10. View > Advanced Features를 선택합니다.

    image-20240619020454139

  11. John Doe 유저를 더블 클릭합니다.

  12. Attribute Editor 탭에서 속성값들을 볼 수 있습니다. 앞서 Ready to Add Trust 등록시 사용한 sAMAccountName로 이 값은 도메인 없이 유저명만 있습니다.

    image-20240619020743315

  13. OCI Console로 돌아갑니다.

  14. AD IdP를 등록한 Identity Domain으로 이동합니다.

  15. sAMAccountName과 같은 이름을 Username으로 하는 OCI IAM User를 만듭니다.

    image-20240619021117514

등록한 Identity Provider 활성화 및 규칙 설정
  1. AD IdP를 등록한 Identity Domain으로 이동합니다.

  2. Security > Identity providers로 이동한후 앞서 등록한 IdP의 상세화면으로 이동합니다.

  3. More actions에서 Test login을 클릭합니다.

    image-20240619013634282

  4. ADFS 로그인 페이지가 뜨면 테스트할 유저로 로그인합니다. 여기서는 Domain Name까지 포함하여 로그인합니다.

    image-20240619013721188

  5. 테스트가 성공하였습니다.

    image-20240619013820963

  6. 창을 닫고, OCI Console로 돌아갑니다.

  7. Activate IdP를 클릭합니다. 다시 한번 클릭합니다.

    image-20240619014332334

  8. 상위 메뉴로 가서 IdP policies에서 Default Identity Provider Policy를 클릭합니다.

    image-20240619014411455

  9. Add IdP rule을 클릭합니다.

  10. 새 규칙의 identity providers에 Username-Password는 물론, 추가한 ActiveDirectory-IdP 도 추가합니다.

    image-20240619014646598

  11. 우선 순위를 조정하여, 추가한 All IdP Rule이 일순위로 변경합니다.

    image-20240619014813461

AD 인증을 통한 로그인 테스트
  1. OCI Console에서 로그아웃합니다.

  2. OCI Console에 다시 접속합니다.

  3. 도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.

  4. 화면 아래에 추가한 ActiveDirectory-IdP로 로그인하는 버튼이 생겼습니다. 클릭합니다.

    image-20240619015413765

  5. 테스트할 유저로 AD에 로그인합니다.

    image-20240619015630052

  6. 인증이 성공하면 OCI Console에 로그인이 됩니다. 첫 로그인인 경우, MFA 등록화면이 뜹니다. MFA를 등록합니다.

  7. 로그인이 완료되고 유저 프로파일을 확인하면, 그림과 같이 로그인 된 것을 볼 수 있습니다.

    image-20240619020024324

  8. Active Directory를 연계하여, OCI Console에 로그인에 성공하였습니다.

AD Bridge 설치

위 예제에서는 AD 상에 있는 유저를 OCI Identit Domain에 수작업으로 생성해 주었습니다. AD 상에 유저, 그룹이 생성, 업데이트, 삭제가 빈번하게 발생하면, 매번 수작업으로 할 수 없기에 변경사항 발생시 OCI에 자동으로 반영해 주는 것이 필요합니다. OCI에서는 AD Bridge를 제공합니다. 이를 통해 변경사항 반영을 자동화하는 과정입니다.

  1. OCI Console로 돌아갑니다.

  2. AD IdP를 등록한 Identity Domain으로 이동합니다.

  3. Settings > Directory integrations로 이동합니다.

  4. Add를 클릭합니다.

  5. 팝업이 뜨면, ad-id-bridge 설치 파일을 다운로드 받습니다. 설치에 필요한 URL, Client ID, Client Secret로 복사해 기록해 둡니다.

    image-20240619021858022

  6. AD가 설치된 윈도우 서버에서 다운받은 AD Bridge 설치파일을 실행합니다.

    image-20240619022206874

  7. Next를 클릭하여 이동합니다.

  8. Specify Proxy Server에서 OCI Idenity Domain을 연결시 Proxy Server를 통하는 경우에만 설정합니다.

  9. Specify Identity Cloud Service Credentials에서 앞서 복사해둔 설치 정보를 입력하고, Test를 클릭하여, 연결을 테스트합니다.

    image-20240619022554336

  10. AD 접속시 사용할 유저, 암호를 입력하고, Test를 클릭하여 연결을 테스트합니다.

    image-20240619023103544

  11. 설치완료

    image-20240619023141601

  12. 설치된 AD Bridge 프로그램으로 시작/종료, 연결 정보 변경 등을 할 수 있습니다.

    image-20240619023443655

Directory integration 설정
  1. OCI Console로 돌아갑니다.

  2. 도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.

  3. Security > Directory integration로 이동하면, AD Bridge 에서 전달된 AD 구성정보가 보입니다.

    image-20240619023846029

  4. 생성된 Directory integration을 클릭합니다.

  5. 나머지 설정을 위해 Edit configuration을 클릭합니다.

  6. 동기화할 유저가 있는 OU를 선택합니다.

    image-20240619024420946

  7. 동기화할 그룹이 있는 OU를 선택합니다.

    image-20240619024507523

  8. 동기화할 주기를 설정할 수 있습니다. 기본은 1시간 간격입니다. attribute mapping을 보면, AD 속성과 Identity Domain의 속성 매핑이 기본적으로 되어 있습니다. 필요시 수정합니다.

    image-20240619024600963

  9. 아직 동기화가 실행되지 않았습니다. Import users를 클릭하여, 수동으로 실행할 수 있습니다.

    image-20240619024959469

  10. Import users를 클릭하여, 실행합니다. 팝업이 뜨는 기본 증분 임포트로 실행합니다.

    image-20240619025111749

  11. Refresh를 클릭합니다. 동기화가 완료되었습니다.

    image-20240619025306098

  12. 임포트된 그룹을 확인해 봅니다. Tech-Group이 추가되고, john.doe 유저가 그룹에 속해 있습니다.

    image-20240619025551778

  13. AD가 설치된 윈도우 서버로 이동합니다.

  14. 윈도우 검색아이콘에서 Active Directory Users and Computers를 찾아 실행합니다.

  15. Sales OU에 Sales-Group과 해당 그룹에 속한 Jane Doe 유저를 생성합니다.

    • OCI IAM User는 Last NameEmail이 필수항목이기 때문에 AD에서 생성하는 유저도 해당 항목을 필수로 입력합니다.

    image-20240619030817933

  16. OCI Console로 돌아갑니다.

  17. 앞서 구성한 Directory integration으로 이동합니다.

  18. Resource > Import로 이동하여, Import users를 클릭하여 동기화를 실행합니다.

  19. 실행완료

    image-20240619031339295

  20. 임포트된 그룹을 확인해 봅니다. Sales-Group이 추가되고, jane.doe 유저가 그룹에 속해 있습니다.

    image-20240619031507440

  21. OCI Console을 로그아웃합니다.

  22. OCI Console에 다시 접속합니다. adfs-domain Identity Domain을 선택합니다.

  23. 화면 아래에 추가한 ActiveDirectory-IdP로 로그인 버튼을 클릭합니다.

  24. OCI에서 직접 생성하지 않고, AD Bridge를 통해 동기화되어 생성된 jane.doe 유저로 로그인합니다.

    image-20240619032148345

  25. OCI Console에 로그인이 됩니다. MFA 등록화면이 뜹니다. MFA를 등록합니다.

  26. 로그인이 완료되고 유저 프로파일을 확인하면, 그림과 같이 로그인 된 것을 볼 수 있습니다.

    image-20240619032257265

  27. 이 처럼 이후에 AD에 발생하는 변경사항은 AD Bridge에서 설정한 주기에 따라 동기화되고, 동기화 이후에 해당 유저로 OCI에 로그인할 수 있게 됩니다.

추가 참고사항

SAMAccountName 대신 userPrincipalName 사용하기

john.doe와 같이 SAMAccountName이 아니고, john.doe@test.org와 같이 ADFS 및 윈도우에 로그인할때 이름 형식으로 OCI IAM 유저를 생성하고자 하는 경우 다음과 같이 변경합니다.

  1. AD가 설치된 윈도우에 접속합니다.

  2. 윈도우 검색아이콘에서 검색하여 Active Directory Users and Computers 클릭

  3. 대상 유저를 더블클릭합니다.

  4. SAMAccountName 말고 userPrincipalName에서 원하는 값을 확인할 수 있습니다.

    image-20240620135703415

  5. 윈도우 검색아이콘에서 AD FS로 검색하여, AD FS Management를 실행합니다.

  6. 생성된 Relying Party Trust를 우클릭하여 Claim 편집합니다.

  7. 기존 SAMAccountName의 규칙을 User-Principal-Name을 대신 사용하도록 아래와 같이 변경합니다.

    image-20240620140111526

  8. 변경한 Claim을 Apply를 클릭하여 적용합니다.

  9. OCI Console로 돌아갑니다.

  10. 도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.

  11. Security > Directory integration로 이동하여, 앞서 생성된 구성정보(test.org)를 클릭합니다.

  12. 이동하면, AD Bridge 에서 전달된 AD 구성정보가 보입니다.

  13. 수정을 위해 Edit configuration을 클릭합니다.

    image-20240620141754624

  14. AD to Identity Domain 설정

    • sAMAccoutName 대신 User Principal Name이 IAM User의 User Name에 매핑이 되게 변경합니다.

    image-20240620141833495

  15. Identity Domain to AD 설정

    • sAMAccoutName으로 가는 첫 번째 행 삭제

    image-20240620142005849

    • Add attribute를 클릭하여 새 행을 추가한 다음, IAM User Name을 AD User Principal Name에 매핑되도록 변경

      image-20240620142126063

    • Save를 클릭하여 변경사항을 저장합니다.

    • sAMAccoutName이 매핑된 것이 없어, 오류 가능성이 있어 보이지만, 당장은 Identity Domain에서 AD 방향으로 동기화되는 것이 아니기 때문에 큰 문제는 없어 보입니다.

  16. Identity Domain에서 AD로 부터 동기화된 유저들을 삭제합니다. 예, john.doe, jane.doe

  17. 앞서 구성한 Directory integration으로 이동합니다.

  18. Resource > Import로 이동하여, Import users를 클릭하여 동기화를 실행합니다.

  19. Full import 타입으로해서 실행합니다.

  20. 유저 목록에서 유저명을 확인합니다. 아래와 같이 User Principal Name으로 User Name이 생성된 것을 볼 수 있습니다.

    image-20240620143323717

  21. 동기화된 유저로 다시 로그인해 봅니다.

    image-20240620143614417

    image-20240620144007488

메일 통지 수정

Directory Integration에 의해 스케줄된 AD 동기화가 실행되면, 관리자에게 통지 메일이 발생됩니다. 실행 주기당 매번 발송으로 성가신 경우, 아래에 변경합니다.

  1. OCI Console로 돌아갑니다.

  2. 도메인 선택화면에서 AD IdP를 추가한, adfs-domain을 선택합니다.

  3. 왼쪽 메뉴에서 Notifications을 클릭합니다.

  4. 동기화할 건이 0인 경우도 성공하면 메일이 발송되므로, 성공시 메일발송은 요건에 따라 체크 해제하고 저장합니다. 필요에 따라 실패시 발송 되는 설정은 유지합니다.

    image-20240621131708496

참고 문서


이 글은 개인으로서, 개인의 시간을 할애하여 작성된 글입니다. 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.