AD FS 서버에 필수 특성 UID 수동 추가

소개

이 문서에서는 구문을 사용하여 ADFS 신뢰 당사자 트러스트에서 특성 UID를 수동으로 추가하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

• AD FS 서버
• 컨트롤 허브

사용되는 구성 요소

• AD FS 서버
• Cisco Webex 컨트롤 허브
• 온프레미스 AD

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

이는 기존 특성으로 인해 AD FS에서 특성 클레임을 추가하는 데 문제가 있을 경우 유용합니다.

시나리오 1

UID 또는 Uid라는 특성으로 생성한 클레임 규칙이 있는 기존의 신뢰 당사자 트러스트가 있습니다.

Webex(SP)는 필수 특성에 대해 대/소문자를 구분하며 uid여야 하며 SAML 응답에서 사용자의 emailAddress를 전달해야 하므로 인증에 실패합니다.

시나리오 2

uid라는 특성을 전달하지만 필요한 특성(emailAddress/UserPrincipalName)과 AD의 다른 특성과 연결된 클레임 규칙이 있는 당사자 트러스트가 있습니다. 이렇게 하면 문제가 발생합니다.

설정

Cisco Webex 가이드에 따른 이상적인 컨피그레이션에서는 AD FS 컨피그레이션이 다음과 같아야 합니다.

ADFS 관리자는 Relying Party Trust(신뢰 당사자 Trust)-> Trust(Webex에 대해 생성한 신뢰 당사자 Trust) -> Edit Claim Issuance Policy(클레임 발급 정책 수정) -> Edit Rule(규칙 수정) -> Attributes(특성) -> View Rule Language(규칙 언어 보기)에서 이 페이지를 방문할 수 있습니다.

일반 텍스트의 규칙 언어는 다음과 같습니다.

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("uid"), query = ";userPrincipalName;{0}", param = c.Value);

컨피그레이션이 제대로 표시되지 않으므로 규칙 언어의 일반 텍스트를 사용하여 이 규칙을 수동으로 생성합니다.

AD FS 서버의 Webex Relying Party Trust 아래에 사용자 지정 클레임 규칙 추가

이 규칙을 생성하는 단계

1. 기본 ADFS 창에서 생성한 트러스트 관계를 선택한 다음 클레임 규칙 편집을 선택합니다. Issuance Transform Rules(발급 변환 규칙) 탭에서 Add Rule(규칙 추가)을 선택합니다.
2. Send Claims Using a Custom Rule(사용자 지정 규칙을 사용하여 클레임 보내기)을 선택한 후 Next(다음)를 선택합니다.
3. 텍스트 편집기에서 규칙을 복사하여(c:부터 시작) ADFS 서버의 사용자 지정 규칙 상자에 붙여넣습니다.

다음과 같이 표시되어야 합니다.

이렇게 하면 Control Hub에서 SSO를 테스트할 수 있으며, 이 작업은 예상대로 수행되어야 합니다.