다음을 통해 공유


파트너 조직 구성하기

AD FS(Active Directory Federation Services)에 새 파트너 조직을 배포하려면 AD FS 디자인에 따라 검사 목록: 리소스 파트너 조직 구성 또는 검사 목록: 계정 파트너 조직 구성 중 하나에서 작업을 완료합니다.

참고 항목

이러한 검사 목록 중 하나를 사용하는 경우 새로운 파트너 조직을 설정하는 절차를 계속하기 전에 먼저 Windows Server 2012의 AD FS 디자인 가이드에서 계정 파트너 또는 리소스 파트너 계획 지침에 대한 참조를 읽는 것이 좋습니다. 이러한 방식으로 검사 목록을 따르면 계정 파트너 또는 리소스 파트너 조직에 대한 전체 AD FS 디자인 및 배포 스토리를 더욱 잘 이해할 수 있습니다.

계정 파트너 조직 정보

계정 파트너는 AD FS가 지원되는 특성 저장소에 사용자 계정을 실제로 저장하는 페더레이션 트러스트 관계의 조직을 나타냅니다. 계정 파트너는 사용자의 자격 증명을 수집 및 인증하고, 해당 사용자에 대한 클레임을 빌드하고, 클레임을 보안 토큰으로 패키징합니다. 그런 다음, 페더레이션 트러스트를 통해 이러한 토큰을 표시해서 리소스 파트너 조직에 있는 웹 기반 리소스에 액세스할 수 있습니다.

즉, 계정 파트너는 계정 측 페더레이션 서버에서 보안 토큰을 발급하는 사용자를 위한 조직을 나타냅니다. 계정 파트너 조직의 페더레이션 서버는 로컬 사용자를 인증하고 리소스 파트너가 권한 부여를 결정할 때 사용되는 보안 토큰을 만듭니다.

특성 저장소와 관련해서 AD FS의 계정 파트너는 개념적으로 계정이 다른 포리스트에 있는 리소스에 액세스해야 하는 단일 Active Directory 포리스트와 동일합니다. 이 포리스트의 계정은 두 개의 포리스트와 사용자가 액세스하려는 리소스 간에 외부 트러스트 또는 포리스트 트러스트 관계가 있는 경우에만 리소스 포리스트의 리소스에 액세스할 수 있습니다.

리소스 파트너 조직 정보

리소스 파트너는 웹 서버가 있는 AD FS 배포의 조직입니다. 리소스 파트너는 계정 파트너를 신뢰하여 사용자를 인증합니다. 그러므로 권한 부여를 결정하기 위해 리소스 파트너는 계정 파트너의 사용자로부터 제공되는 보안 토큰에 패키지된 클레임을 사용합니다.

즉, 리소스 파트너는 웹 서버가 리소스 측 페더레이션 서버로 보호되는 조직을 나타냅니다. 리소스 파트너의 페더레이션 서버는 계정 파트너가 생성한 보안 토큰을 사용해서 리소스 파트너의 웹 서버에 대한 권한 부여 결정을 내립니다.

AD FS 리소스로 작동하기 위해 리소스 파트너 조직의 웹 서버에 WIF(Windows Identity Foundation)가 설치되어 있거나 AD FS(Active Directory Federation Services) 1.x 클레임 인식 웹 에이전트 역할 서비스가 설치되어 있어야 합니다. AD FS 리소스로 작동하는 웹 서버는 웹 브라우저 기반 또는 웹 서비스 기반 애플리케이션을 호스트할 수 있습니다.