페더레이션 서버를 만들어야 하는 경우
AD FS(Active Directory Federation Services)에 페더레이션 서버를 만들 때 조직에서 다음을 수행할 수 있는 방법을 제공합니다.
다른 조직(페더레이션 서버도 하나 이상 있음) 및 필요한 경우 자체 조직의 직원(인터넷을 통한 액세스 필요)과 웹 SSO(ingle-sign-on) 기반 통신에 참여.
프론트 엔드 서비스가 ID 위임을 사용하여 인프라 서비스에 사용자를 가장. 자세한 내용은 When to Use Identity Delegation를 참조하세요.
다음 섹션은 하나 이상의 페더레이션 서버를 만드는 시기 및 위치를 결정하기 위한 몇 가지 중요한 확인 사항을 설명합니다.
페더레이션 서버에 대한 조직 역할 확인
새 페더레이션 서버를 만드는 경우에 관한 알려진 결정을 내리려면 먼저 서버가 있는 조직을 확인해야 합니다. 조직에서 페더레이션 서버가 하는 역할은 페더레이션 서버를 계정 파트너 조직에 배치하는지 또는 리소스 파트너 조직에 배치하는지에 따라 다릅니다.
페더레이션 서버가 계정 파트너의 회사 네트워크에 배치되는 경우 그 역할은 브라우저, 웹 서비스 또는 ID 선택기 클라이언트의 사용자 자격 증명을 인증하여 클라이언트에게 보안 토큰을 보내는 것입니다. 자세한 내용은 Review the Role of the Federation Server in the Account Partner를 참조하세요.
페더레이션 서버가 리소스 파트너의 회사 네트워크에 배치되는 경우 그 역할은 리소스 파트너 조직의 페더레이션 서버에서 발급된 보안 토큰에 따라 사용자를 인증하거나 토큰 요청을 구성된 웹 애플리케이션 또는 웹 서비스에서 클라이언트가 속한 계정 파트너 조직으로 리디렉션하는 것입니다. 자세한 내용은 Review the Role of the Federation Server in the Resource Partner를 참조하세요.
배포할 AD FS 디자인 확인
다음 페더레이션 서버 디자인을 배포하려고 할 때마다 조직에서 AD FS를 만듭니다.
필요한 경우 계정 파트너 역할과 리소스 파트너 역할에서 모두 작동할 수 있도록 페더레이션 웹 SSO 디자인을 배포하는 조직이 단일 페더레이션 서버를 구성할 수 있습니다. 이 경우 페더레이션 서버는 자체 조직의 사용자 계정에 따라 SAML(Security Assertion Markup Language)를 생성하거나 사용자 계정이 있는 위치에 따라 조직에 토큰 요청을 재라우팅할 수 있습니다.
참고 항목
페더레이션 웹 SSO 디자인의 경우 계정 파트너에 페더레이션 서버가 하나 이상 리소스 파트너에 페더레이션 서버가 하나 이상 있어야 합니다.
페더레이션 서버와 페더레이션 서버 프록시 간의 차이점
페더레이션 서버가 수행하는 것과 동일한 방식으로 페더레이션 서버는 웹 페이지에서 로그인, 정책, 인증 및 검색을 수행할 수 있습니다. 페더레이션 서버와 페더레이션 서버 프록시의 주요 차이점은 페더레이션 서버 프록시가 수행할 수 없는 페더레이션 서버에서 수행할 수 있는 작업과 관련이 있습니다.
다음은 페더레이션 서버만 수행할 수 있는 작업입니다.
페더레이션 서버는 토큰을 생성하는 암호화 작업을 수행합니다. 페더레이션 서버 프록시에서 토큰을 생성할 수는 없지만 토큰을 클라이언트에 라우팅하거나 필요한 경우 페더레이션 서버로 다시 리디렉션하는 데 사용할 수 있습니다. 페더레이션 서버 사용에 대한 자세한 내용은 페더레이션 서버 프록시를 만드는 경우를 참조하세요.
페더레이션 서버는 회사 네트워크에서 클라이언트에 대한 Windows 통합 인증의 사용을 지원하지만 페더레이션 서버 프록시는 그렇지 않습니다. 페더레이션 서버에서 Windows 통합 인증을 사용하는 방법에 대한 자세한 내용은 페더레이션 서버 팜을 만드는 경우를 참조하세요.
주의
페더레이션 서버와 SQL 서버 구성 데이터베이스, SQL 서버 특성 저장소, 도메인 컨트롤러 및 AD LDS 인스턴스와의 통신은 기본적으로 무결성 또는 기밀성이 보호되지 않습니다. 이 문제를 완화하려면 이러한 모든 서버 간에 IPSEC 또는 물리적인 보안 연결을 사용하여 통신 채널을 보호해 보세요. 페더레이션 서버와 SQL 서버 간 통신의 경우 연결 문자열에서 SSL 보호를 사용해 보세요. 페더레이션 서버와 도메인 컨트롤러 간 연결의 경우 Kerberos 서명 및 암호화를 설정해 보세요. LDAP의 경우 LDAP/S는 AD LDS/AD DS에 대해 지원되지 않습니다.
페더레이션 서버를 만드는 방법
AD FS 페더레이션 서버 구성 마법사 또는 Fsconfig.exe 명령줄 도구를 사용하여 페더레이션 서버를 만들 수 있습니다. 이러한 도구 중 하나를 사용하는 경우 다음 옵션 중 하나를 선택하여 페더레이션 서버를 만들 수 있습니다.
독립 실행형 페더레이션 서버 만들기
독립 실행형 페더레이션 서버를 설정하는 방법에 대한 자세한 내용은 Create a Stand-Alone Federation Server를 참조하세요.
페더레이션 서버 팜의 첫 번째 페더레이션 서버 만들기
첫 번째 페더레이션 서버를 설정 또는 페더레이션 서버를 팜에 추가하는 방법에 대한 자세한 내용은 Create the First Federation Server in a Federation Server Farm를 참조하세요.
페더레이션 서버 팜에 페더레이션 서버 추가
페더레이션 서버를 팜에 추가하는 방법에 대한 자세한 내용은 Add a Federation Server to a Federation Server Farm를 참조하세요.
이러한 각 옵션 작업에 대한 자세한 내용은 The Role of the AD FS Configuration Database를 참조하세요.
페더레이션 서버를 배포하는 데 필요한 모든 필수 구성 요소를 설정하는 방법에 대한 자세한 내용은 Checklist: Setting Up a Federation Server를 참조하세요.