ADFS를 IdP로 사용하여 Drupal에 대한 SAML SSO(Single Sign-On)

Drupal SAML 통합은 다음을 사용합니다. miniOrange SAML SP 모듈은 ADFS와 Drupal 사이트 간에 원활한 SSO를 설정합니다. 사용자는 ADFS 자격 증명을 사용하여 Drupal 사이트에 로그인할 수 있습니다. 이 문서에서는 서비스 공급자(SP)인 Drupal과 ID 공급자(IdP)인 ADFS 간에 Single Sign-On - SSO를 구성하는 단계를 안내합니다. 이 모듈은 Drupal 7, Drupal 8, Drupal 9 및 Drupal 10과 호환됩니다.

Drupal SAML SP 메타데이터

• Drupal 사이트에 모듈을 설치한 후 행정실 메뉴, 탐색 구성 → 사람 → miniOrange SAML 로그인 구성. (/admin/config/people/miniorange_saml/idp_setup)

• 로 이동 서비스 제공업체 메타데이터 그리고 메타데이터를 다운로드하세요. (ADFS를 SAML IdP로 구성하는 데 필요합니다.)

SAML Single Sign-On 애플리케이션 구성

• In 서버 관리자, 클릭 도구 다음을 선택하십시오. ADFS 관리.

• 오른쪽 패널에서 선택 신뢰 당사자 트러스트 추가 아래 ADFS 섹션에 있어야 합니다.

• 계속하려면 스타트 시작 화면의 버튼을 클릭하세요.

• 선택 파일에서 신뢰 당사자에 대한 데이터 가져오기 옵션. 다음에서 SP 메타데이터 파일을 업로드합니다. 드루팔. 온 클릭 다음 보기 버튼을 계속합니다.

• . 표시 이름, 애플리케이션 이름을 입력한 후 다음 보기 버튼을 클릭합니다.

• 선택 모두 허용 액세스 제어 정책 선택 페이지에서 다음을 클릭합니다. 다음 보기 버튼을 클릭합니다.

• 신뢰 추가 준비 페이지에서 다음 버튼을 클릭합니다.

• 마침 페이지에서 옆에 있는 확인란이 선택되어 있는지 확인하세요. 이 애플리케이션에 대한 클레임 발급 정책 구성 를 선택한 다음 닫기.

• 아래에서 애플리케이션을 찾을 수 있습니다. 중계당 신탁 생성된 후 ADFS에서.
• 오른쪽 패널에서 클레임 발행 정책 수정 ADFS에서 만든 응용 프로그램(이 경우 DrupalSAML)의 드롭다운 메뉴에서

• 클릭 규칙 추가 온 버튼 발급 변환 규칙 탭.

• 에 규칙 템플릿 선택 페이지 클릭 다음 보기 버튼을 클릭합니다.

• 규칙 구성 페이지에 제공된 정보를 입력합니다.

  클레임 규칙 이름	클레임 규칙 이름(any)을 입력합니다(예: 속성).
  속성 저장소	드롭다운의 Active Directory

• 발신 LDAP 속성을 다음과 같이 매핑합니다.

  LDAP 속성(더 추가하려면 선택하거나 입력하세요)	나가는 청구 유형(더 추가하려면 선택하거나 입력하세요)
  이메일 주소	이름 아이디
  이름 표시하기	성함

• 계속하려면 마감재 버튼을 클릭합니다.

• 에 발급 변환 규칙 탭에서 신청다음을 클릭합니다 OK 계속합니다.

• 아래 이미지와 같이 선택하세요. 페더레이션 서비스 속성 편집 AD FS 드롭다운에서

ADFS의 메타데이터를 가져옵니다.

• 에 페더레이션 서비스 속성 창으로 이동 일반 탭을 누르고 복사하세요. 페더레이션 서비스 이름입니다.

• 바꾸다 " " URL에 https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xm> 실제 "페더레이션 서비스 이름"으로 변경하세요. 예를 들어 페더레이션 서비스 이름이 "example.com"인 경우 업데이트된 메타데이터 URL은 다음과 같아야 합니다. https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xml.
• 다음으로 다음 형식의 "ADFS IdP 메타데이터 URL"을 복사하면 됩니다. https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xml. (이는 Drupal의 추가 구성에 필요합니다.)

Drupal을 SAML 서비스 공급자로 구성합니다.

• Drupal 사이트를 엽니다. 모듈의 서비스 공급자 설정 탭으로 이동합니다.
• 를 클릭하십시오 IDP 메타데이터 업로드 섹션
• 이제 메타데이터 URL을 붙여넣으세요. ADFS IdP.

• 클릭 Test Drupal과 ADFS 간의 연결을 확인하는 링크입니다.

• 구성이 올바른 경우 테스트 구성 창에서 SAML 응답 속성이 포함된 성공 메시지가 나타납니다. 그렇지 않으면 추가 문제 해결 지침이 포함된 오류 메시지가 나타납니다. 클릭 선택한다

축하해요! ADFS를 ID 공급자로, Drupal을 서비스 공급자로 성공적으로 구성했습니다.

SAML SSO 로그인은 어떻게 작동하나요?

• 새 브라우저/개인 창을 열고 Drupal 사이트 로그인 페이지로 이동합니다.
• 클릭 ADFS(ID 공급자)를 사용하여 로그인 링크를 클릭하십시오.
• ADFS 로그인 페이지로 리디렉션됩니다. ADFS 자격 증명을 입력합니다. 인증에 성공하면 사용자는 Drupal 사이트로 다시 리디렉션됩니다.

윈도우 SSO

 Windows 인증을 위해 ADFS를 구성하는 단계

• ADFS 서버에서 관리자 권한 명령 프롬프트를 열고 다음 명령을 실행합니다.

setspn -a HTTP/##ADFS 서버 FQDN## ##도메인 서비스 계정##

FQDN은 정규화된 도메인 이름입니다(예: adfs4.example.com).

도메인 서비스 계정은 AD 계정의 사용자 이름입니다.

예: setspn -a HTTP/adfs.example.com 사용자 이름/도메인

• AD FS 관리 콘솔을 열고 인증 정책 섹션으로 이동하여 글로벌 인증 정책을 편집합니다. 인트라넷 영역에서 Windows 인증을 확인하세요.

• 인터넷 익스플로러를 엽니다. 인터넷 옵션의 보안 탭으로 이동합니다.
• 로컬 인트라넷의 사이트 목록에 AD FS의 FQDN을 추가하고 브라우저를 다시 시작합니다.
• 보안 영역에 대해 사용자 지정 수준을 선택합니다. 옵션 목록에서 인트라넷 영역에서만 자동 로그온을 선택합니다.

• Powershell을 열고 다음 두 명령을 실행하여 Chrome 브라우저에서 Windows 인증을 활성화합니다.

Set-AdfsProperties -WIASupportedUserAgents((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | -ExpandProperty WIASupportedUserAgents를 선택하세요.

• Windows 인증을 위해 ADFS를 구성했습니다. 이제 Drupal에 대한 신뢰 당사자를 추가하려면 다음 단계를 따르세요.