Active Directory 사용자에게 클레임 인식 애플리케이션 및 서비스에 대한 액세스 제공
AD FS(Active Directory Federation Services) 배포에서 계정 파트너 조직의 관리자의 배포 목표가 회사 네트워크의 직원용 SSO(single-sign-on) 액세스 권한을 호스트된 리소스에 제공하는 것이면 다음을 수행합니다.
회사 네트워크의 Active Directory 포리스트에 로그온한 직원이 SSO를 사용하여 해당 조직의 경계 네트워크에 있는 여러 애플리케이션이나 서비스에 액세스할 수 있습니다. 이러한 애플리케이션 및 서비스는 AD FS에서 보안이 유지 됩니다.
예를 들어 Fabrikam이 회사 네트워크 직원에게 Fabrikam에 대한 경계 네트워크에 호스트된 웹 기반 애플리케이션에 대한 페더레이션 액세스 권한을 제공하려 할 수 있습니다.
Active Directory 도메인에 로그온한 원격 직원은 조직의 페더레이션 서버에서 AD FS 토큰을 얻어 조직에 있는 AD FS로 보호된 웹 기반 애플리케이션 또는 서비스에 대한 페더레이션 액세스 권한을 얻을 수 있습니다.
Active Directory 특성 저장소의 정보를 직원의 AD FS 토큰에 채울 수 있습니다.
이 배포 목표를 달성하려면 다음 구성 요소가필요 합니다.
AD DS(Active Directory 도메인 서비스): AD DS에는 AD FS 토큰을 생성하는 데 사용되는 직원의 사용자 계정이 포함되어 있습니다. 그룹 구성원 자격 및 특성과 같은 정보는 그룹 클레임 및 사용자 지정 클레임으로 AD FS 토큰에 채워집니다.
참고
LDAP(Lightweight Directory Access Protocol) 또는 SQL(구조적 쿼리 언어)을 사용하여 AD FS 토큰 생성을 위한 ID를 포함할 수도 있습니다.
회사 DNS: 이 DNS(도메인 이름 시스템) 구현에는 인트라넷 클라이언트가 계정 페더레이션 서버를 찾을 수 있도록 단순한 호스트 (A) 리소스 레코드가 포함되어 있습니다. DNS 구현에서 회사 네트워크에 필요한 다른 DNS 레코드를 호스트할 수도 있습니다. 자세한 내용은 페더레이션 서버의 이름 해결 요구 사항을 참조하십시오.
계정 파트너 페더레이션 서버: 이 페더레이션 서버는 계정 파트너 포리스트에 있는 도메인에 가입 합니다. 직원 사용자 계정을 인증하고 AD FS 토큰을 생성합니다. 직원의 클라이언트 컴퓨터는 이 페더레이션 서버에 대해 Windows 통합 인증을 수행하여 AD FS 토큰을 생성합니다. 자세한 내용은 계정 파트너의 페더레이션 서버 역할 검토를 참조하세요.
계정 파트너 페더레이션 서버는 다음 사용자를 인증할 수 있습니다.
이 도메인의 사용자 계정을 가진 직원
이 포리스트 내에 사용자 계정을 가진 직원
양방향 Windows 트러스트를 통해 이 포리스트에 의해 신뢰할 수 있는 포리스트에서 사용자 계정을 가진 직원
직원: 직원은 회사 네트워크에 로그온되어 있는 동안 애플리케이션을 통해 웹 기반 서비스에 액세스하거나 지원되는 웹 브라우저를 통해 웹 기반 애플리케이션에 액세스합니다. 회사 네트워크에서 직원의 클라이언트 컴퓨터 인증을 위해 페더레이션 서버와 직접 통신합니다.
링크된 항목의 정보를 검토한 후 체크리스트: 페더레이티드 웹 SSO 설계 구현의 단계를 따라 이 목표를 배포하기 시작할 수 있습니다.
다음 그림에서는이 AD FS 배포 목표에 대 한 필수 구성 요소 각각을 보여 줍니다.
사용자 클레임에 대 한 액세스