다음을 통해 공유


페더레이션 서버 배포

AD FS(Active Directory Federation Services)에서 페더레이션 서버를 배포하려면 검사 목록: 페더레이션 서버 설정의 각 작업을 완료합니다.

참고 항목

이 검사 목록을 사용하는 경우 서버 구성 절차를 시작하기 전에 먼저 Windows 2012의 AD FS 디자인 가이드에서 페더레이션 서버 계획에 대한 참조를 읽는 것이 좋습니다. 이러한 방식으로 검사 목록을 따르면 페더레이션 서버에 대한 디자인 및 배포 프로세스를 더욱 잘 이해할 수 있습니다.

페더레이션 서버 정보

페더레이션 서버는 페더레이션 서버 역할에서 작동하도록 구성된 AD FS 소프트웨어가 설치된 Windows Server 2008을 실행하는 컴퓨터입니다. 페더레이션 서버에서는 다른 조직의 사용자 계정 및 인터넷의 어디에나 위치할 수 있는 클라이언트 컴퓨터에서 요청을 인증하거나 라우팅합니다.

컴퓨터에 AD FS 소프트웨어를 설치하고 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할에 대해 구성하면 해당 컴퓨터가 페더레이션 서버로 만들어집니다. 또한 다음을 지정할 수 있도록 시작\관리 도구\ 메뉴의 해당 컴퓨터에서 AD FS 관리 스냅인을 사용할 수 있습니다.

  • 파트너 조직 및 애플리케이션이 토큰 요청 및 응답을 전송할 AD FS 호스트 이름

  • 파트너 조직 및 애플리케이션이 조직의 고유한 이름 또는 위치를 식별하는 데 사용할 AD FS 식별자

  • 서버 팜의 모든 페더레이션 서버가 토큰을 발급하고 서명하는 데 사용할 토큰 서명 인증서

  • 클라이언트 환경을 향상할 클라이언트 로그온, 로그오프 및 계정 파트너 검색을 위해 사용자 지정된 ASP.NET 웹 페이지의 위치

    참고 항목

    이러한 핵심 UI(사용자 인터페이스) 설정의 대부분은 각 페더레이션 서버의 web.config 파일에 포함되어 있습니다. AD FS 호스트 이름 및 AD FS 식별자 값은 web.config 파일에 지정되지 않습니다.

페더레이션 서버는 제공된 자격 증명(예: 사용자 이름 및 암호)에 따라 토큰을 발급하는 클레임 발급 엔진을 호스트합니다. 보안 토큰은 하나 이상의 클레임을 표현하는 암호화 서명된 데이터 단위입니다. 클레임은 서버가 클라이언트에 대해 만드는 문(예: 이름, ID, 키, 그룹, 권한 또는 기능)입니다. 사용자 로그온 프로세스를 통해 페더레이션 서버에서 자격 증명이 확인되면 지정된 특성 저장소에 저장된 사용자 특성을 검사해서 사용자에 대한 클레임이 수집됩니다.

페더레이션된 웹 SSO(Single Sign-On) 디자인(둘 이상의 조직이 참여하는 AD FS 디자인)에서 특정 신뢰 당사자에 대한 클레임 규칙에 따라 클레임을 수정할 수 있습니다. 클레임은 리소스 파트너 조직의 페더레이션 서버로 전송되는 토큰에 기본으로 제공됩니다. 리소스 파트너의 페더레이션 서버가 들어오는 클레임으로 클레임을 수신한 후 클레임 발급 엔진을 실행해서 클레임을 필터링, 통과 또는 변환하는 클레임 규칙 집합을 실행합니다. 그런 다음 클레임은 리소스 파트너의 웹 서버로 전송되는 새 토큰에 기본으로 제공됩니다.

웹 SSO 디자인(하나의 조직만 참여하는 AD FS 디자인)에서는 직원이 한 번 로그온하고 여러 애플리케이션에 계속해서 액세스할 수 있도록 단일 페더레이션 서버를 사용할 수 있습니다.