ADFS SPN(Service Principal Name)
ADFS에서 IWA를 사용으로 설정하려면 SPN(Service Principal Name)을 만들어 ADFS를 로그인 계정과 연결합니다. SPN을 사용하면 클라이언트가 로그인 계정 이름 없이 인증을 요청할 수 있습니다.
이 태스크 정보
IWA를 이미 사용으로 설정하여 ADFS용 SPN이 이미 있는 경우에는 이 절차를 건너뜁니다.
이 절차에서는 단일 ADFS 서버를 사용한다고 가정합니다. 연합 서버 팜에서 여러 ADFS 서버를 사용하는 경우에는 Microsoft 문서 수동으로 연합 서버 팜의 서비스 계정 구성을 참조하십시오.
프로시저
- Active Directory 도메인 컨트롤러에서 Windows 도메인에 Windows 관리자로 로그인합니다.
-
다음 명령을 실행하여 정규화된 이름과 단축 이름의 두 가지 SPN을 만듭니다.
여기서,setspn -s HTTP/<dns_name> <account_name> setspn -s HTTP/<adfs_server_name> <account_name>
<dns_name>
은 ADFS 서버의 정규화된 이름이고<adfs_server_name>
은 ADFS 시스템의 호스트 이름이고<account_name>
은 로컬 서비스 계정입니다.주: SPN의HTTP/
부분은 HTTPS를 사용하여 서비스에 액세스하는 경우에도 올바릅니다. -
다음 명령을 실행하여 SPN이 올바로 만들어졌는지 확인합니다.
setspn -L <server>$
예
예를 들어 도메인 이름이 us.renovations.com
이면 ADFS 시스템 호스트 이름은 adfs01
이고, 계정 이름은 admin
입니다. 다음 명령은 필요한 SPN을 만듭니다.
setspn -s HTTP/adfs01.us.renovations.com admin
setspn -s HTTP/adfs01 admin
LDAP 브라우저를 사용하여 Active Directory를 보는 경우 컴퓨터
ADFS01
이 표시됩니다. 컴퓨터 계정 이름은 ADFS01$
이고 계정 레코드에 새 Service Principal Name이 표시됩니다.