WIA(Windows 통합 인증)를 지원하지 않는 디바이스에 대한 인트라넷 양식 기반 인증 구성
기본적으로 WIA(Windows 통합 인증)는 인증에 브라우저를 사용하는 모든 애플리케이션에 대해 조직의 내부 네트워크(인트라넷) 내에서 발생하는 인증 요청에 대해 Windows Server의 AD FS(Active Directory Federation Services)에서 사용하도록 설정됩니다. 예를 들어 애플리케이션은 WS-Federation 또는 SAML 프로토콜과 OAuth 프로토콜을 사용하는 풍부한 애플리케이션을 사용하는 브라우저 기반일 수 있습니다. WIA 수동으로 자격 증명을 입력 하지 않고도 최종 사용자가 애플리케이션에 원활 하 게 로그온을 제공 합니다. 그러나 일부 디바이스 및 브라우저 WIA를 지원할 수 있습니다. 및 결과적으로 이러한 디바이스에서 인증 요청 실패 합니다. 또한, NTLM을 협상 하는 특정 브라우저에서 경험은 바람직하지 않습니다. 권장되는 방법은 이러한 디바이스 및 브라우저에 대한 양식 기반 인증으로 되돌리는 것입니다.
Windows Server 2016 및 Windows Server 2012 r 2에서 AD FS 폼 기반 인증에 대 한 대체 (fallback)를 지 원하는 사용자 에이전트 목록을 구성 하는 기능으로는 관리자를 제공 합니다. 두 구성에 의해 대체가 이루어집니다.
- WIASupportedUserAgentStrings 의 속성은
Set-ADFSPropertiescommandlet - commandlet의
Set-AdfsGlobalAuthenticationPolicyWindowsIntegratedFallbackEnabled 속성
WIASupportedUserAgentStrings는 WIA를 지원하는 사용자 에이전트를 정의합니다. AD FS는 브라우저 컨트롤 또는 브라우저에서 로그인을 수행할 때 사용자 에이전트 문자열을 분석 합니다. 사용자 에이전트 문자열의 구성 요소에 구성 된 사용자 에이전트 문자열의 구성 요소 중 하나라도 일치 하지 않는 WIASupportedUserAgentStrings 속성, AD FS로 대체 됩니다 제공 하는 폼 기반 인증을 제공 하는 WindowsIntegratedFallbackEnabled 플래그가 True로 설정 됩니다.
기본적으로 새 AD FS 설치의 집합이 생성 하는 사용자 에이전트 문자열 일치 합니다. 그러나 이러한 될 수 있습니다 최신 브라우저 및 디바이스 변경 내용을 기반으로 합니다. 특히, Windows 디바이스 조금씩와 유사한 사용자 에이전트 문자열을 토큰에 있습니다. 다음 Windows PowerShell 예에서는 현재 집합을 원활 하 게 WIA를 지원 합니다. 현재 시중에는 디바이스에 대 한 최상의 지침을 제공 합니다.
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
위의 명령을 AD FS만 설명 되어 있는 다음 사용 사례 wia 확인 됩니다.
| 사용자 에이전트 | 사용 사례 |
|---|---|
| MSIE 6.0 | IE 6.0 |
| 7.0; MSIE Windows NT | IE 7, IE 인트라넷 영역에 있습니다. "Windows NT" 조각은 데스크톱 운영 시스템에서 전송됩니다. |
| MSIE 8.0 | IE 8.0 (디바이스가 없으면이 전송, 보다 구체적인 해야 하므로) |
| MSIE 9.0 | IE 9.0 (디바이스가 보내기이 더 해야이 더 구체적인) |
| 10.0; MSIE Windows NT 6 | Windows XP용 IE 10.0 및 최신 버전의 데스크톱 운영 체제 Windows 전화 8.0 디바이스(기본 설정이 모바일로 설정됨)는 User-Agent: Mozilla/5.0(호환 가능; MSIE 10.0; Windows 전화 8.0; Trident/6.0; IEMobile/10.0; 팔; 터치; 노키아; 루미아 920) |
| Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Windows 8.1 데스크톱 운영 체제, 다양한 플랫폼 |
| Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Windows 8 데스크톱 운영 체제를 서로 다른 플랫폼 |
| Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Windows 7 데스크톱 운영 체제, 다양한 플랫폼 |
| MSIPC | Microsoft 정보 보호 및 제어 클라이언트 |
| Windows Rights Management 클라이언트 | Windows Rights Management 클라이언트 |
WIASupportedUserAgents 문자열에 멘션 이외의 사용자 에이전트에 대한 양식 기반 인증으로 대체하려면 WindowsIntegratedFallbackEnabled 플래그를 true로 설정합니다.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
또한 인트라넷에 대해 양식 기반 인증이 사용하도록 설정되어 있는지 확인합니다.
WIA Chrome에 대 한 구성
Chrome 또는 다른 사용자 에이전트를 지 원하는 WIA AD FS 구성에 추가할 수 있습니다. 이 통해 AD FS에서 보호 되는 리소스에 액세스할 때 자격 증명을 수동으로 입력 하지 않고도 애플리케이션에 로그온 합니다. 크롬에서 WIA를 사용 하도록 설정 하려면 다음 단계를 수행 합니다.
AD FS 구성에서 Windows 기반 플랫폼에서 Chrome에 대한 사용자 에이전트 문자열을 추가합니다.
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Apple macOS의 Chrome에서도 마찬가지로 AD FS 구성에 다음 사용자 에이전트 문자열을 추가합니다.
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
이제 Chrome의 사용자 에이전트 문자열이 AD FS 속성에 설정되어 있는지 확인합니다.
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
참고 항목
새 브라우저 및 디바이스가 릴리스되면 해당 사용자 에이전트의 기능을 조정하고 그에 따라 AD FS 구성을 업데이트하여 해당 브라우저 및 디바이스를 사용할 때 사용자의 인증 환경을 최적화하는 것이 좋습니다. 구체적으로 말하면, 것이 좋습니다 다시 평가 하는 WIASupportedUserAgents wia 지원 매트릭스에 새 디바이스 또는 브라우저 종류를 추가 하는 경우 AD FS에서 설정 합니다.