SharePoint 2010 클레임 인증에서 까다로운 세션을 수행해야 하는 이유

최초 문서 게시일: 2011년 10월 28일 금요일

여러분, 이번 게시물에서는 개인적으로 클레임 인증을 사용하면서 경험한 문제에 대해 말씀드리겠습니다. 여러분께는 같은 문제가 발생하지 않도록, 클레임 인증을 배포하는 과정에서 발생한 기본적인 문제에 대한 설명을 제공하고자 합니다. 

간단하게 말씀드리자면, 클레임 인증을 사용하는 경우 부하 분산 솔루션에서 선호도를 반드시 사용해야 합니다. TechNet에는 여기에 대해 자세히 설명하는 문서는 없지만 간단한 참고 사항으로 언급되어 있는 문서는 있습니다(크게 설득력은 없지만요). 이 문서는 https://technet.microsoft.com/ko-kr/library/cc288475.aspx이며, 관련 내용은 다음과 같습니다.

참고: 여러 웹 서버가 부하 분산된 구성으로 포함되어 있는 SharePoint Foundation 2010 팜에서 AD FS에 SAML 토큰 기반 인증을 사용하는 경우 클라이언트 웹 페이지 보기의 성능과 기능에 대한 영향이 있을 수 있습니다. AD FS에서 클라이언트에 인증 토큰을 제공할 때는 권한이 제한된 각 페이지 요소에 대해 해당 토큰이 SharePoint Foundation 2010으로 전송됩니다. 부하 분산된 솔루션에서 선호도를 사용하지 않는 경우에는 보안된 각 요소가 둘 이상의 SharePoint Foundation 2010 서버에 인증되어 토큰이 거부될 수 있습니다. 토큰이 거부되면 SharePoint Foundation 2010은 AD FS 서버에서 다시 인증을 받도록 클라이언트를 리디렉션합니다. 그런 다음에는 AD FS 서버가 짧은 시간 동안 여러 요청을 거부할 수 있습니다. 이 동작은 서비스 거부 공격을 방지하기 위한 정상적인 동작입니다. 성능이 저하되거나 페이지가 완전히 로드되지 않는 경우 네트워크 부하 분산을 단일 선호도로 설정할 수 있습니다. 그러면 SAML 토큰에 대한 요청이 단일 웹 서버로 격리됩니다.

이 블로그에서는 위의 내용을 자세히 부연 설명하기보다는 애매하게 설명되어 있는 점을 명확하게 짚고 넘어가고자 합니다. 위에서 설명이 명확하지 않은 부분이 기울임꼴과 노란색으로 표시되어 있는데요. 이 설명 부분은 참고 사항이 아닌 중요한 설명(크고 굵은 문자)으로 포함되어야 할 것입니다. 위 내용을 풀어 설명하자면, 선호도를 사용하지 않는 경우 다음과 같은 종류의 문제 중 일부가 발생합니다.

• 로그인 페이지로 다시 임의 리디렉션될 수 있습니다.
• 위의 참고 사항에 나와 있는 것처럼 DOS(서비스 거부) 공격이 감지되어 인증 루프로 인해 AD FS에서 요청을 중지할 수 있습니다.
• 활동 추적을 보면 SharePoint에서 fedauth 쿠키를 만료된 값으로 설정한 다음 다시 AD FS에 대해 요청을 시작하는 과정을 확인할 수 있습니다. 그 이후에는(아직 저도 이유를 잘 모르겠지만) 만료되지 않은 쿠키가 발급되지 않거나, SharePoint에서 쿠키를 확인하여 만료된 쿠키로 변환합니다. 그러면 위에서 언급한 DOS 주기가 시작됩니다. 지금 생각해 보면 예전에도 이러한 현상이 발생한다는 얘기를 동료들로부터 들은 적이 몇 번 있는데, 아마 필수 세션을 수행하지 않았기 때문이었던 것 같습니다.

앞으로는 더 이상 이러한 문제와 관련된 혼선이 발생하지 않도록 마지막으로 다시 한 번 말씀드립니다. 클레임 인증을 사용하려는 경우에는 부하 분산 장치에서 선호도를 반드시 사용하시기 바랍니다.

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 Make Sure You Know This About SharePoint 2010 Claims Authentication - Sticky Sessions Are REQUIRED를 참조하십시오.