AD FS 요구 사항

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

AD FS(Active Directory Federation Services)를 배포하기 위한 요구 사항은 다음과 같습니다.

• 인증서 요구 사항

• 하드웨어 요구 사항

• 프록시 요구 사항

• AD DS 요구 사항

• 구성 데이터베이스 요구 사항

• 브라우저 요구 사항

• 네트워크 요구 사항

• 권한 요구 사항

인증서 요구 사항

TLS/SSL 인증서

각 AD FS 및 웹 애플리케이션 프록시 서버에는 페더레이션 서비스에 HTTPS 요청을 처리할 수 있는 TLS/SSL 인증서가 있습니다. 웹 애플리케이션 프록시는 게시된 애플리케이션에 대한 요청을 서비스하기 위해 추가 인증서를 보유할 수 있습니다.

TLS/SSL 인증서에 대한 권장 사항

모든 AD FS 페더레이션 서버 및 웹 애플리케이션 프록시에 대한 동일한 TLS/SSL 인증서를 사용합니다.

TLS/SSL 인증서에 대한 요구 사항

페더레이션 서버의 TLS/SSL 인증서는 다음 요구 사항을 충족해야 합니다.

• 프로덕션 배포의 경우 인증서를 공개적으로 신뢰할 수 있습니다.
• 인증서에는 서버 인증 확장된 키 사용(EKU) 값이 포함되어 있습니다.
• 인증서에는 주체 또는 주체 대체 이름(SAN)에 fs.contoso.com 등의 페더레이션 서비스 이름이 포함되어 있습니다.
• 포트 443에서 사용자 인증서 인증의 경우, 인증서에는 SAN의 certauth.fs.contoso.com와(과) 같은 certauth.\<federation service name\>이(가) 포함되어 있습니다.
• 디바이스 등록 또는 Windows 10 이전 클라이언트를 사용하는 온-프레미스 리소스에 대한 최신 인증의 경우 조직에서 사용 중인 각 사용자 계정 이름(UPN) 접미사에는 SAN에 enterpriseregistration.\<upn suffix\>이(가) 포함되어야 합니다.

웹 애플리케이션 프록시에 대한 TLS/SSL 인증서는 다음 요구 사항을 충족해야 합니다.

• 프록시를 사용하여 Windows 통합 인증을 사용하는 AD FS 요청을 프록시하는 경우, 프록시 TLS/SSL 인증서는 페더레이션 서버 TLS/SSL 인증서와 동일(동일한 키 사용)해야 합니다.
• AD FS 속성인 ExtendedProtectionTokenCheck를 사용 설정한 경우(AD FS의 기본 설정), 프록시 TLS/SSL 인증서는 페더레이션 서버 TLS/SSL 인증서와 동일(동일 키 사용)해야 합니다.
• 그렇지 않으면 프록시 TLS/SSL 인증서에 대한 요구 사항은 페더레이션 서버 TLS/SSL 인증서에 대한 요구 사항과 동일합니다.

서비스 통신 인증서

이 인증서는 Microsoft Entra ID 및 Office 365를 포함한 대부분의 AD FS 시나리오에는 필요하지 않습니다. 기본적으로 AD FS는 초기 구성 시 제공된 TLS/SSL 인증서를 서비스 통신 인증서로 구성합니다.

서비스 통신 인증서에 대한 권장 사항

• TLS/SSL과 동일한 인증서를 사용합니다.

토큰 서명 인증서

이 인증서는 발급된 토큰을 신뢰 당사자에게 서명할 때 사용되며, 신뢰 당사자 애플리케이션은 인증서와 관련 키를 알고 있고 신뢰할 수 있는 것으로 인식해야 합니다. 토큰 서명 인증서 변경 내용을 만료 될 때 및 사용자와 같은 새 인증서를 구성 하는 경우 모든 신뢰 당사자를 업데이트 해야 합니다.

토큰 서명 인증서에 대한 권장 사항

AD FS 기본, 내부적으로 생성된 자체 서명된 토큰 서명 인증서를 사용합니다.

토큰 서명 인증서에 대한 요구 사항

• 조직에서 토큰 서명에 기업 PKI(공개 키 인프라)의 인증서를 사용해야 하는 경우 Install-AdfsFarm cmdlet의 SigningCertificateThumbprint 매개 변수를 사용하여 이 요구 사항을 충족할 수 있습니다.
• 모든 신뢰 당사자는 새 인증서 정보로 업데이트 되며 내부적으로 생성 된 기본 인증서를 사용 하 여 연결 하거나 외부에서 토큰 서명 인증서를 변경 될 때 인증서를 등록 한 있는지 확인 해야 합니다. 그렇지 않으면 이러한 신뢰 당사자는 로그인할 수 없습니다.

토큰 암호화/암호 해독 인증서

이 인증서는 AD FS에 발급 된 토큰을 암호화 하는 클레임 공급자가 사용 됩니다.

토큰 암호화/암호 해독 인증서에 대한 권장 사항

AD FS 기본, 내부적으로 생성된 자체 서명된 토큰 암호 해독 인증서를 사용합니다.

토큰 암호화/암호 해독 인증서에 대한 요구 사항

• 조직에서 토큰 서명에 기업 PKI(공개 키 인프라)의 인증서를 사용해야 하는 경우 Install-AdfsFarm cmdlet의 DecryptingCertificateThumbprint 매개 변수를 사용하여 이 요구 사항을 충족할 수 있습니다.
• 내부적으로 생성 된 기본 인증서를 사용 하 여 여부 또는 외부에서 사용자 인증서의 암호를 해독 하는 토큰 변경 될 때 인증서를 등록 한 모든 클레임 공급자는 새 인증서 정보로 업데이트 되며 확인 해야 합니다. 그렇지 않으면 업데이트되지 않은 클레임 공급자를 통한 로그인은 실패합니다.

주의

토큰 서명 및 토큰 암호 해독/암호화에 사용되는 인증서는 페더레이션 서비스의 안정성에 매우 중요합니다. 자체 토큰 서명 & 토큰 암호 해독/암호화 인증서를 관리하는 고객은 이러한 인증서를 백업하고 복구 이벤트 중에 독립적으로 사용할 수 있는지 확인해야 합니다.

사용자 인증서

• AD FS에서 x509 사용자 인증서 인증을 사용하는 경우 모든 사용자 인증서는 AD FS와 웹 애플리케이션 프록시 서버가 신뢰하는 루트 인증 기관에 연결해야 합니다.

하드웨어 요구 사항

AD FS 및 웹 애플리케이션 프록시 하드웨어 요구 사항 (실제 또는 가상) 팜의 처리 용량에 대 한 크기를 지정 해야 하므로 cpu에서 제어 됩니다.

• AD FS 2016 용량 계획 스프레드시트를 사용하여 필요한 AD FS과 웹 애플리케이션 프록시 서버의 수를 결정합니다.

AD FS에 대한 메모리 및 디스크 요구 사항은 상당히 정적입니다. 이러한 요구 사항은 다음 표에 나와 있습니다.

하드웨어 요구 사항	최소 요구 사항	권장 요구 사항
RAM	2GB	4GB
디스크 공간	32GB	100GB

SQL Server 하드웨어 요구 사항

AD FS 구성 데이터베이스에 Azure SQL을 사용하는 경우 가장 기본적인 SQL Server 권장 사항에 따라 SQL Server 크기를 조정합니다. AD FS 데이터베이스 크기는 작으며, AD FS 데이터베이스 인스턴스에 막중한 처리 부하를 주지 않습니다. 그러나 AD FS, 연결할 데이터베이스 여러 번을 인증 하는 동안 네트워크 연결이 정도로 강력해 야 합니다. 그러나 SQL Azure AD FS 구성 데이터베이스에 대해서는 지원하지 않습니다.

프록시 요구 사항

• 엑스트라넷 액세스의 경우 원격 액세스 서버 역할의 일부인 웹 애플리케이션 프록시 역할 서비스를 배포해야 합니다.

• 타사 프록시가 AD FS 프록시의 지원을 받으려면 MS-ADFSPIP 프로토콜을 지원해야 합니다. 타사 벤더 목록은 AD FS에 대해 자주 묻는 질문(FAQ)을 참조하세요.

• AD FS 2016에는 Windows Server 2016에서 웹 애플리케이션 프록시 서버가 필요합니다. 2016 팜 동작 수준에서 실행하는 AD FS 2016 팜에는 하위 수준 프록시를 구성할 수 없습니다.

• 페더레이션 서버 및 웹 애플리케이션 프록시 역할 서비스는 동일한 컴퓨터에 설치할 수 없습니다.

AD DS 요구 사항

도메인 컨트롤러 요구 사항

• AD FS는 Windows Server 2008 이상을 실행 하는 도메인 컨트롤러가 필요 합니다.

• 비즈니스용 Windows Hello에는 하나 이상의 Windows Server 2016 도메인 컨트롤러가 필요합니다.

참고 항목

Windows Server 2003 도메인 컨트롤러와 환경에 대 한 모든 지원을 종료 되었습니다. 자세한 내용은 Microsoft 수명 주기 정보를 참조하세요.

도메인 기능 수준 요구 사항

• 모든 사용자 계정 도메인과 AD FS 서버에 가입된 도메인은 Windows Server 2003 이상의 도메인 기능 수준에서 작동해야 합니다.

• 인증서가 AD DS의 사용자 계정에 명시적으로 매핑된 경우 클라이언트 인증서 인증에는 Windows Server 2008 도메인 기능 수준 이상이 필요합니다.

스키마 요구 사항

• AD FS 2016 새로 설치 (최소 버전 85) Active Directory 2016 스키마가 필요 합니다.

• AD FS 팜 동작 수준 (FBL) 2016 수준 올리기 Active Directory 2016 스키마 (최소 버전 85) 필요 합니다.

서비스 계정 요구 사항

• 모든 표준 도메인 계정이 AD FS에 대 한 서비스 계정으로 사용할 수 있습니다. 그룹 관리 서비스 계정도 지원됩니다. 런타임에 필요한 사용 권한은 AD FS를 구성할 때 자동으로 다시 추가됩니다.

• AD 서비스 계정에 필요한 사용자 권한 할당은 서비스로 로그온입니다.

• NT Service\adfssrv 및 NT Service\drs에 필요한 사용자 권한 할당은 보안 감사 생성과 서비스로 로그온입니다.

• 그룹 관리형 서비스 계정에는 Windows Server 2012 이상을 실행하는 도메인 컨트롤러가 하나 이상 필요합니다. 그룹 관리 서비스 계정 gMSA는 기본 CN=Managed Service Accounts 컨테이너에 있어야 합니다.

• Kerberos 인증의 경우 서비스 사용자 이름 ‘HOST/<adfs\_service\_name>'은 AD FS 서비스 계정에 등록되어야 합니다. 기본적으로 AD FS는 새 AD FS 팜을 만들 때 이 요구 사항을 구성합니다. 충돌이 있거나 권한이 부족한 경우 등 이 프로세스가 실패하면 경고가 표시되고 수동으로 추가해야 합니다.

도메인 요구 사항

• 모든 AD FS 서버는 AD DS 도메인에 조인 이어야 합니다.

• 모든 AD FS 서버 팜 내에서 동일한 도메인에 배포 되어야 합니다.

• AD FS 팜 첫 번째 노드 설치는 PDC를 사용할 수 있는 데 따라 달라집니다.

다중 포리스트 요구 사항

• 모든 도메인 이나 포리스트의 AD FS 서비스에 인증 하는 사용자가 포함 된 AD FS 서버 가입 된 도메인 신뢰 해야 합니다.

• AD FS 서비스 계정이 멤버인 포리스트는 모든 사용자 로그인 포리스트를 신뢰해야 합니다.

• AD FS 서비스 계정이 AD FS 서비스를 인증 하는 사용자를 포함 하는 모든 도메인 사용자 특성을 읽을 권한이 있어야 합니다.

구성 데이터베이스 요구 사항

이 섹션에서는 요구 사항 및 사용 하는 각각 내부 데이터베이스 WID (Windows) 또는 SQL Server 데이터베이스와 AD FS 팜에 대 한 제한 사항을 설명 합니다.

WID

• SAML 2.0의 아티팩트 확인 프로필은 WID 팜에서 지원하지 않습니다.

• 토큰 재생 검색은 WID 팜에서 지원하지 않습니다. 이 기능은 AD FS가 페더레이션 공급자 역할을 하고 외부 클레임 공급자로부터 보안 토큰을 소비하는 시나리오에서만 사용됩니다.

다음 표에서 AD FS 서버 수에 대 한 요약 제공 WID vs에서 SQL Server 팜을 지원 합니다.

1-100개의 RP 트러스트	100 개가 넘는 RP 트러스트
1-30 AD FS 노드: WID 지원	1-30 AD FS 노드: WID 사용 시 지원되지 않음 - SQL 필요
30개 이상의 AD FS 노드: WID 사용 시 지원되지 않음 - SQL 필요	30개 이상의 AD FS 노드: WID 사용 시 지원되지 않음 - SQL 필요

SQL Server

• Windows Server 2016의 AD FS에서는 SQL Server 2008 이상 버전을 지원합니다.

• SAML 아티팩트 확인와 토큰 재생 검색은 SQL Server 팜의에서 지원 됩니다.

브라우저 요구 사항

브라우저 또는 브라우저 컨트롤을 통해 AD FS 인증을 수행하는 경우 브라우저는 다음 요구 사항을 준수해야 합니다.

• JavaScript가 사용 설정되어 있어야 합니다.

• SSO(Single Sign-on)의 경우 클라이언트 브라우저가 쿠키를 허용하도록 구성해야 합니다.

• SNI(서버 이름 표시)를 지원해야 합니다.

• 사용자 인증서 & 디바이스 인증서 인증의 경우 브라우저는 TLS/SSL 클라이언트 인증서 인증을 지원해야 합니다.

• Windows 통합 인증을 사용하여 원활하게 로그인하려면 로컬 인트라넷 영역 또는 신뢰할 수 있는 사이트 영역에서 페더레이션 서비스 이름(예: https:\/\/fs.contoso.com)를 구성해야 합니다.

네트워크 요구 사항

방화벽 요구 사항

웹 애플리케이션 프록시와 페더레이션 서버 팜 간, 클라이언트와 웹 애플리케이션 프록시 간에 위치한 방화벽 모두 TCP 포트 443을 인바운드로 사용하도록 설정해야 합니다.

또한 클라이언트 사용자 인증서 인증(X509 사용자 인증서를 사용한 clientTLS 인증)이 필요하고 인증 엔드포인트에서 포트 443을 사용 설정하지 않은 경우에 해당합니다. AD FS 2016에서는 클라이언트와 웹 애플리케이션 프록시 간의 방화벽에서 TCP 포트 49443 인바운드를 사용 설정해야 합니다. 이 요구 사항은 웹 애플리케이션 프록시와 페더레이션 서버 간의 방화벽에는 적용되지 않습니다.

하이브리드 포트 요구 사항에 대한 자세한 내용은 하이브리드 ID 필수 포트 및 프로토콜을 참조하세요.

자세한 내용은 Active Directory Federation Services 보안에 대한 모범 사례를 참조하세요.

DNS 요구 사항

• 인트라넷 액세스의 경우 회사 내부 네트워크(인트라넷) 내에서 AD FS 서비스에 액세스하는 모든 클라이언트는 AD FS 서버 또는 AD FS 서버의 부하 분산 장치에 대한 AD FS 서비스 이름을 확인할 수 있어야 합니다.

• 엑스트라넷 액세스의 경우, 회사 네트워크 외부(엑스트라넷/인터넷)에서 AD FS 서비스에 액세스하는 모든 클라이언트는 웹 애플리케이션 프록시 서버 또는 웹 애플리케이션 프록시 서버의 부하 분산 장치에 대한 AD FS 서비스 이름을 확인할 수 있어야 합니다.

• 비무장 영역(DMZ)에 있는 각 웹 애플리케이션 프록시 서버는 ADFS 서버 또는 ADFS 서버의 부하 분산 장치에 대해 ADFS 서비스 이름을 확인할 수 있어야 합니다. 이 구성은 DMZ 네트워크에서 대체 DNS(도메인 이름 시스템) 서버를 사용하거나 HOSTS 파일을 사용하여 로컬 서버 확인을 변경함으로써 생성할 수 있습니다.

• Windows 통합 인증의 경우 페더레이션 서비스 이름에 CNAME이 아닌 DNS A 레코드를 사용해야 합니다.

• 포트 443에서 사용자 인증서 인증을 하려면 페더레이션 서버 또는 웹 애플리케이션 프록시로 확인할 수 있도록 DNS에 'certauth.<페더레이션 서비스 이름>'을 구성해야 합니다.

• 디바이스 등록 또는 Windows 10 이전 클라이언트 enterpriseregistration.\<upn suffix\>을(를) 사용하는 온-프레미스에 대한 최신 인증의 경우, 조직에서 사용 중인 각 UPN 접미사에 대해 페더레이션 서버 또는 웹 애플리케이션 프록시로 확인할 수 있도록 구성해야 합니다.

Load Balancer 요구 사항

• 부하 분산 장치는 TLS/SSL을 종료하지 않아야 합니다. AD FS는 인증서 인증으로 여러 사용 사례를 지원하며, 이는 TLS/SSL을 종료할 때 차단됩니다. 부하 분산 장치에서 TLS/SSL을 종료하는 것은 어떤 사용 사례에서도 지원하지 않습니다.
• SNI를 지원하는 부하 분산 장치를 사용합니다. 그렇지 않은 경우에는 AD FS 또는 웹 애플리케이션 프록시 서버에서 0.0.0.0 대체 바인딩을 사용하여 해결 방법을 제공해야 합니다.
• HTTP(HTTPS 아님) 상태 프로브 엔드포인트를 사용하여 트래픽 라우팅에 대한 부하 분산 장치 상태 검사를 수행합니다. 이 요구 사항은 SNI와 관련된 문제를 방지합니다. 이러한 프로브 엔드포인트에 대한 응답은 HTTP 200 OK이며 백 엔드 서비스에 대한 종속성 없이 로컬로 제공됩니다. HTTP 프로브는 '/adfs/probe' 경로를 사용하여 HTTP를 통해 액세스할 수 있습니다.
  • http://<Web Application Proxy name>/adfs/probe
  • http://<AD FS server name>/adfs/probe
  • http://<Web Application Proxy IP address>/adfs/probe
  • http://<AD FS IP address>/adfs/probe
• 부하 분산 방법으로 DNS 라운드 로빈을 사용하지 않는 것이 좋습니다. 이 형식의 부하 분산을 사용하는 경우 상태 프로브를 통해 부하 분산 장치에서 노드를 제거하는 자동화된 방법을 제공하지 않습니다.
• 부하 분산 장치 내에서 AD FS에 대한 인증 트래픽을 위해 IP 기반 세션 선호도 또는 고정 세션을 사용하지 않는 것이 좋습니다. 메일 클라이언트에서 레거시 인증 프로토콜을 통해 Office 365 메일 서비스(Exchange Online)에 연결할 때 특정 노드에 과부하가 발생할 수 있습니다.

권한 요구 사항

설치 및 AD FS의 초기 구성을 수행 하는 관리자에는 AD FS 서버에서 로컬 관리자 권한이 있어야 합니다. 로컬 관리자에게 Active Directory에서 개체를 만들 수 있는 권한이 없는 경우, 먼저 도메인 관리자가 필요한 AD 개체를 만든 다음 AdminConfiguration 매개 변수를 통해 AD FS 팜을 구성합니다.