Umbrella 대시보드에서 AD FS 구성

소개

이 문서에서는 이메일 주소로 로그인을 허용하도록 Cisco Umbrella Dashboard에서 AD FS를 구성하는 방법에 대해 설명합니다.

개요

이 문서는 Cisco Umbrella Dashboard와 AD FS(Active Directory Federated Services) 간의 SSO(Single Sign-On) 인증을 구성하려는 사용자에게 적용됩니다. 이 문서는 SAML을 사용하여 AD FS(Active Directory Federation Services) 버전 3.0을 사용하는 Cisco Umbrella를 구성하는 방법에 대한 가이드에서 기본 AD FS 지침에 대한 부록입니다.

이 문서에서는 이메일 주소로 로그인할 수 있도록 AD FS를 구성하는 예도 제공합니다.

구성

기본적으로 AD FS는 UPN(User Principal Name)을 기반으로 사용자를 인증합니다. 이 UPN은 사용자의 전자 메일 주소와 Umbrella 계정 전자 메일 주소를 모두 일치하므로 별도의 작업이 필요하지 않습니다.

그러나 경우에 따라 사용자의 이메일 주소가 UPN과 다르며, 이러한 추가 단계가 필요합니다.

참고: 이 예는 작업 중인 AD FS 환경을 기반으로 '있는 그대로' 제공됩니다. Umbrella Support는 개별 AD FS 환경의 컨피그레이션을 지원할 수 없습니다.

1단계. 전자 메일 주소 로그인 허용(선택 사항)

PowerShell 명령은 메일 특성을 로그인 ID로 사용할 수 있도록 AD FS를 구성합니다. <Domain>을 Active Directory 도메인 이름으로 바꿉니다.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests <Domain>

이렇게 하면 최종 사용자가 두 시스템에 동일한 사용자 이름을 사용할 수 있으므로 혼동을 피할 수 있습니다. 이 변경 후 사용자는 다음과 같이 로그인할 수 있습니다.

• Umbrella 사용자 이름(예: email@domain.tld)을 입력합니다.
• AD FS 사용자 이름으로 email@domain.tld 또는 upn@domain.tld을 입력합니다

이 단계를 따르지 않을 경우 최종 사용자는 두 시스템에 대해 다른 사용자 이름을 사용해야 할 수 있습니다.

• Umbrella 사용자 이름(예: email@domain.tld)을 입력합니다.
• AD FS 사용자 이름으로 upn@domain.tld을 입력합니다

2단계. 클레임 규칙 수정(필수)

SAML을 사용하여 AD FS(Active Directory Federation Services) 버전 3.0을 사용하는 Cisco Umbrella를 구성하는 방법에 대한 설명서의 AD FS 지침에 있는 정보를 검토합니다. 클레임 규칙 userPrincipalName to Email 주소는 삭제하고 mail to Email 주소라는 규칙으로 대체해야 합니다.

이렇게 하면 AD FS가 SAML 응답에 메일 특성을 포함하도록 지시합니다.

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);

클레임 규칙은 첫 번째 규칙으로 메일-이메일 주소를 올바른 순서로 구성해야 합니다.

360024534972