다른 조직의 사용자에게 클레임 인식 애플리케이션 및 서비스에 대한 액세스 제공
AD FS(Active Directory Federation Services)에서 리소스 파트너 조직의 관리자가 다른 조직(계정 파트너 조직)의 사용자이고 페더레이션된 액세스 권한을 사용자 조직(리소스 파트너 조직)에 위치한 클레임 인식 애플리케이션이나 웹 기반 서비스에 제공해야 하는 배포 목표가 있는 경우 다음을 수행합니다.
조직과 조직(계정 파트너 조직)에 대한 페더레이션 트러스트를 구성한 조직 양쪽에 관계된 페더레이션 사용자는 조직에서 호스트된 서비스 또는 AD FS 보안 애플리케이션에 액세스할 수 있습니다. 자세한 내용은 Federated Web SSO Design를 참조하세요.
예를 들어, Fabrikam이 자기 회사 네트워크 직원에게 Contoso에서 호스트되는 웹 서비스에 대해 페더레이션 액세스 권한을 갖게 하고 싶을 수 있습니다.
신뢰할 수 있는 조직과 직접적인 관련이 없으면서(예: 개별 고객) 경계 네트워크에서 호스트되는 특성 저장소에 로그온한 페더레이션 사용자는 인터넷에 있는 클라이언트 컴퓨터에서 한 번 로그온하여, 경계 네트워크에서도 호스트되는 여러 AD FS 보안 애플리케이션에 액세스할 수 있습니다. 즉, 고객 계정이 경계 네트워크의 애플리케이션 또는 서비스에 액세스할 수 있도록 호스트하는 경우 특성 저장소에서 호스트하는 고객은 한 번 로그인하기만 하면 경계 네트워크에서 하나 이상의 애플리케이션 또는 서비스에 액세스할 수 있습니다. 자세한 내용은 Web SSO Design를 참조하세요.
예를 들어, Fabrikam이 자기 고객에게 경계 네트워크에서 호스트되는 여러 애플리케이션 또는 웹 서비스에 대해 SSO(single-sign-on) 액세스 권한을 갖게 하고 싶을 수 있습니다.
이 배포 목표를 달성하려면 다음 구성 요소가필요 합니다.
Active Directory 도메인 서비스 AD DS: 리소스 파트너 페더레이션 서버가 Active Directory 도메인에 가입되어 있어야 합니다.
경계 DNS:클라이언트 컴퓨터가 리소스 파트너 페더레이션 서버와 웹 서버를 찾을 수 있도록 단순한 호스트 (A) 리소스 레코드가 DNS(도메인 이름 시스템)에 포함되어야 합니다. DNS 서버는 경계 네트워크에서도 필요한 다른 DNS 레코드를 호스트할 수 있습니다. 자세한 내용은 참조 페더레이션 서버에 대 한 이름 확인 요구 사항합니다.
리소스 파트너 페더레이션 서버: 리소스 파트너 페더레이션 서버는 계정 파트너 송신 하는 AD FS 토큰의 유효성을 검사 합니다. 계정 파트너 검색이 페더레이션 서버를 통해 수행 됩니다. 자세한 내용은 Review the Role of the Federation Server in the Resource Partner를 참조하세요.
웹 서버: 웹 서버는 웹 애플리케이션 또는 웹 서비스를 호스트할 수 있습니다. 웹 서버는 보호된 웹 애플리케이션 또는 웹 서비스에 대한 액세스를 허용하기 전에 페더레이션 사용자에게서 유효한 AD FS 토큰을 받는지 확인합니다.
Windows Identity Foundation(WIF)을 사용하면, 사용자 이름과 암호 같은 표준 로그인 방법으로 하는 페더레이션된 로그온 요청을 수락하도록 웹 애플리케이션이나 서비스를 개발할 수 있습니다.
연결 된 항목의 정보를 검토 한 후 시작할 수 있습니다이 목표의 단계를 수행 하 여 배포 검사 목록: 페더레이션된 웹 SSO 디자인 구현 및 검사 목록: 웹 SSO 디자인 구현합니다.
다음 그림에서는이 AD FS 배포 목표에 대 한 필수 구성 요소 각각을 보여 줍니다.
