Active Directory 사용자에게 다른 조직의 애플리케이션 및 서비스에 대한 액세스 제공
이 AD FS(Active Directory Federation Services) 배포 목표는 액세스 클레임 인식 애플리케이션 및 서비스에 대한 Active Directory 사용자 액세스 권한 제공의 목표에 기반합니다.
계정 파트너 조직의 관리자이고 직원들에게 다른 조직의 호스트된 리소스에 대한 페더레이션 액세스 권한을 제공하려는 배포 목표가 있는 경우:
회사 네트워크의 Active Directory 도메인에 로그온하는 직원은 해당 애플리케이션이나 서비스가 다른 조직에 있는 경우 SSO(Single-Sign-On) 기능을 사용하여 AD FS로 보호되는 여러 웹 기반 애플리케이션 또는 서비스에 액세스할 수 있습니다. 자세한 내용은 Federated Web SSO Design를 참조하세요.
예를 들어 Fabrikam이 회사 네트워크 직원에게 Contoso에서 호스트된 웹 서비스에 대해 페더레이션 액세스 권한을 갖게 하고 싶을 수 있습니다.
Active Directory 도메인에 로그온되어 있는 원격 직원이 다른 조직에서 호스팅되는 AD FS 보안 기반의 애플리케이션이나 서비스에 대해 페더레이션된 액세스 권한을 얻기 위해 사용자 조직의 페더레이션 서버에서 AD FS 토콘을 가져올 수 있습니다.
예를 들어 Fabrikam 원격 직원은 Fabrikam 직원이 Fabrikam 회사 네트워크에 있는 것을 요구 하지 않고, Contoso에서 호스트 되는 AD FS 보안 서비스에 대 한 액세스를 페더레이션 하는 경우가 있습니다.
에 설명 된 기본적인 구성 요소 외에도 제공 Your Active Directory 사용자에 대 한 액세스 클레임 인식 애플리케이션 및 서비스 하 고 다음 그림에 회색으로 표시 하는, 다음 구성 요소가이 배포 목표에 대해 필요 합니다.
파트너 페더레이션 서버 프록시 계정: 인터넷에서 페더레이션된 서비스 또는 애플리케이션에 액세스 하는 직원 인증을 수행 하도록이 AD FS 구성 요소를 사용할 수 있습니다. 기본적으로 이 구성 요소는 폼 인증을 수행하지만 또한 기본 인증도 수행할 수 있습니다. 또한 조직의 직원에게 제공할 인증서가 있는 경우 SSL(Secure Sockets Layer) 클라이언트 인증을 수행하도록 이 구성 요소를 구성할 수 있습니다. 자세한 내용은 페더레이션 서버 프록시를 배치할 위치를 참조하세요.
경계 DNS: 이 DNS(Domain Name System) 구현은 경계 네트워크에 대해 호스트 이름을 제공합니다. 페더레이션 서버 프록시에 대 한 경계 DNS를 구성 하는 방법에 대 한 자세한 내용은 참조 페더레이션 서버 프록시에 대 한 이름 확인 요구 사항합니다.
원격 직원: 원격 직원은 인터넷을 사용하는 오프사이트 상태에서 회사 네트워크의 유효한 자격 증명을 사용하여 웹 기반 애플리케이션(지원되는 웹 브라우저를 통해) 또는 웹 기반 서비스(애플리케이션을 통해)에 액세스합니다. 직원의 클라이언트 컴퓨터는 원격 위치에서 토큰을 생성 하 고 애플리케이션이 나 서비스에 인증 하는 페더레이션 서버 프록시가와 직접 통신 합니다.
링크된 항목의 정보를 검토한 후 Checklist: Implementing a Federated Web SSO Design의 단계를 따라 이 목표 배포를 시작할 수 있습니다.
다음 그림에서는이 AD FS 배포 목표에 대 한 필수 구성 요소 각각을 보여 줍니다.
