Active Directory Federation Services 개요
Windows Server® 2008 및 Windows Server 2008 R2 운영 체제에서 ADFS(Active Directory® Federation Services) 서버 역할을 사용하여 Windows 및 비 Windows 환경을 비롯한 여러 플랫폼에서 작동할 수 있는 뛰어난 확장성, 인터넷 확장성 및 보안을 갖춘 ID 액세스 솔루션을 만들 수 있습니다.
다음 섹션에서는 기술 개요를 포함한 ADFS에 대한 정의와 ADFS를 설치 및 관리하는 방법에 대해 자세히 알아봅니다.
ADFS란?
ADFS는 사용자 계정 및 응용 프로그램이 완전히 다른 네트워크나 조직에 있는 경우에도 하나 이상의 보호된 인터넷 연결 응용 프로그램에 대한 완벽한 "단일 프롬프트" 액세스를 가진 브라우저 기반 클라이언트(네트워크 내부 또는 외부)를 제공하는 ID 액세스 솔루션입니다.
응용 프로그램이 한 네트워크에 있고 사용자 계정이 다른 네트워크에 있을 경우 일반적으로 사용자가 응용 프로그램에 액세스하려고 할 때 보조 자격 증명을 묻는 메시지가 표시됩니다. 이러한 보조 자격 증명은 응용 프로그램이 상주하는 영역의 사용자 ID를 나타냅니다. 일반적으로 응용 프로그램을 호스팅하는 웹 서버에서 가장 적절한 권한 부여 결정을 내리는 데 이러한 자격 증명이 필요합니다.
ADFS는 트러스트된 파트너에 대한 사용자의 디지털 ID 및 액세스 권한을 보호하는 데 사용할 수 있는 트러스트 관계를 제공함으로써 보조 계정 및 해당 자격 증명을 불필요하게 만듭니다. 페더레이션 환경에서 각 조직은 계속해서 자신의 고유한 ID를 관리하지만 다른 조직의 ID도 안전하게 반영하고 수락할 수 있습니다.
또한 트러스트된 파트너 조직 간에 B2B(business-to-business) 트랜잭션을 보다 쉽게 이용하도록 페더레이션 서버를 여러 조직에 배포할 수 있습니다. 페더레이션 B2B 파트너 관계는 비즈니스 파트너를 다음 조직 유형 중 하나로 인식합니다.
리소스 조직: 인터넷에서 액세스할 수 있는 리소스를 소유 및 관리하는 조직은 트러스트된 파트너용 보호된 리소스에 대한 액세스를 관리하는 ADFS 페더레이션 서버 및 ADFS 사용 웹 서버를 배포할 수 있습니다. 이러한 트러스트된 파트너에는 외부의 제3자, 동일한 조직의 다른 부서나 자회사가 포함될 수 있습니다.
계정 조직: 사용자 계정을 소유 및 관리하는 조직은 로컬 사용자를 인증하고 나중에 리소스 조직의 페더레이션 서버에서 권한 부여 결정을 내리는 데 사용할 보안 토큰을 만드는 ADFS 페더레이션 서버를 배포할 수 있습니다.
사용자의 반복된 로그온 작업 부담 없이 한 네트워크에 대해 인증되는 동시에 다른 네트워크의 리소스에 액세스할 수 있는 프로세스를 SSO(Single Sign-On)라고 합니다. ADFS는 단일 브라우저 세션이 유지되는 동안 여러 웹 응용 프로그램에 대해 사용자를 인증하는 웹 기반의 SSO 솔루션을 제공합니다.
ADFS 역할 서비스
ADFS 서버 역할에는 페더레이션 서비스, 프록시 서비스 및 웹 에이전트 서비스가 포함됩니다. 웹 SSO를 사용하고 웹 기반 리소스를 페더레이션하며 액세스 환경을 사용자 지정하고 응용 프로그램에 액세스하는 권한을 기존 사용자에게 부여하는 방법을 관리하기 위해 이러한 서비스를 구성합니다.
조직의 요구 사항에 따라 다음 ADFS 역할 서비스 중 하나를 실행하는 서버를 배포할 수 있습니다.
페더레이션 서비스: 페더레이션 서비스는 공통된 트러스트 정책을 공유하는 하나 이상의 페더레이션 서버로 구성됩니다. 페더레이션 서버를 사용하여 다른 조직의 사용자 계정이나 인터넷의 임의 위치에 있는 클라이언트의 인증 요청을 라우팅합니다.
페더레이션 서비스 프록시: 페더레이션 서비스 프록시는 경계 네트워크(완충 지역 및 스크린된 서브넷이라고도 함)에 있는 페더레이션 서비스에 대한 프록시입니다. 페더레이션 서비스 프록시는 WS-F PRP(WS-Federation Passive Requester Profile) 프로토콜을 사용하여 브라우저 클라이언트로부터 사용자 자격 증명 정보를 수집하고 브라우저 클라이언트를 대신하여 페더레이션 서비스에 사용자 자격 증명 정보를 보냅니다.
클레임 인식 에이전트: ADFS 보안 토큰 클레임의 쿼리를 허용하기 위해 클레임 인식 응용 프로그램을 호스팅하는 웹 서버에서 클레임 인식 에이전트를 사용합니다. 클레임 인식 응용 프로그램은 권한 부여 결정을 내리고 응용 프로그램을 개인 설정하기 위해 ADFS 보안 토큰에 존재하는 클레임을 사용하는 Microsoft ASP.NET 응용 프로그램입니다.
Windows 토큰 기반 에이전트: ADFS 보안 토큰에서 가장 수준 Windows NT 액세스 토큰으로의 변환을 지원하기 위해 Windows NT 토큰 기반 응용 프로그램을 호스트하는 웹 서버에서 Windows 토큰 기반 에이전트를 사용합니다. Windows NT 토큰 기반 응용 프로그램은 Windows 기반 권한 부여 메커니즘을 사용하는 응용 프로그램입니다.
ADFS 역할 설치
운영 체제 설치를 끝내면 초기 구성 작업 목록이 표시됩니다. ADFS를 설치하려면 작업 목록에서 역할 추가를 클릭한 다음 Active Directory Federation Services를 클릭합니다.
ADFS 테스트 랩 환경을 설치 및 구성하는 방법에 대한 자세한 내용은 Windows Server 2008 R2의 ADFS 단계별 가이드(http://go.microsoft.com/fwlink/?LinkID=133009(페이지는 영문일 수 있음))를 참조하십시오.
ADFS 역할 관리
MMC(Microsoft Management Console) 스냅인을 사용하여 서버 역할을 관리할 수 있습니다. ADFS를 설치한 후 Active Directory Federation Services 스냅인을 사용하여 페더레이션 서비스 및 페더레이션 서비스 프록시 역할 서비스를 모두 관리할 수 있습니다. 이 스냅인을 열려면 시작, 관리 도구, Active Directory Federation Services를 차례로 클릭합니다.
Windows 토큰 기반 에이전트를 관리하려면 시작, 관리 도구, IIS(인터넷 정보 서비스) 관리자, 로컬 호스트에 연결을 차례로 클릭합니다.
