사용할 클레임 규칙 템플릿 유형 결정
AD FS(Active Directory Federation Services) 인프라 디자인의 중요한 부분은 조직과 페더레이션에 참여할 각 파트너에 대한 클레임 규칙의 전체 집합 및 이러한 규칙을 만드는 데 사용해야 하는 해당 클레임 규칙 템플릿을 결정하는 것입니다. AD FS 관리 스냅인의 클레임 규칙 템플릿을 사용하여 규칙을 만듭니다.
구성한 각 클레임 규칙 집합은 하나의 페더레이션된 트러스트에만 연결될 수 있습니다. 즉, 하나의 트러스트에 규칙 집합을 만든 후 페더레이션 서비스의 다른 트러스트에 사용할 수 없습니다. 대신, 각 페더레이션된 파트너와 조직 간에 합의된 원하는 클레임 집합을 보다 신속하게 생성하기 위해 클레임 규칙 템플릿에서 쉽게 규칙을 만들 수 있습니다.
규칙 및 규칙 템플릿에 대한 자세한 내용은 The Role of Claim Rules을 참조하세요.
사용해야 하는 클레임 규칙 템플릿 유형을 결정하기 전에 다음 질문을 고려해 보세요.
신뢰할 수 있는 클레임 공급자가 어떤 클레임을 제공하나요?
각 클레임 공급자의 어떤 클레임을 신뢰하나요?
이 페더레이션 서비스를 신뢰하는 신뢰 당사자가 어떤 클레임을 요구하나요?
각 신뢰 당사자에게 어떤 클레임을 공개하실 것인가요?
어떤 사용자가 각 신뢰 당사자에 액세스할 수 있어야 하나요?
이러한 질문에 대답하면 견고한 클레임 규칙 디자인을 계획하는 데 도움이 됩니다. 또한 매끄러운 권한 부여 및 액세스 제어 전략을 만들고 배포 팀이 롤아웃 중에 보다 효율적으로 작업하는 데 도움이 됩니다.
이 다음 섹션에서는 비즈니스 요구에 따라 해당 환경에 대해 선택할 규칙 템플릿 유형에 대해 알아볼 수 있습니다.
클레임 규칙 템플릿 유형
다음 표에서는 AD FS 관리 스냅인을 사용하여 규칙을 만드는 데 사용할 수 있는 모든 클레임 규칙 템플릿 유형과 각 템플릿 유형의 이점을 설명합니다.
| 규칙 템플릿 유형 | 설명 | 장점 | 단점 |
|---|---|---|---|
| 들어오는 클레임 통과 또는 필터링 | 선택한 클레임 유형에 대한 모든 클레임 값을 통과하거나 선택한 클레임 유형에 대한 특정 클레임 값만 통과하도록 클레임 값에 따라 클레임을 필터링하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use a Pass Through or Filter Claim Rule를 참조하세요. |
- 수락하거나 변경하지 않고 실행할 특정 클레임을 선택에 사용 가능 | - 클레임 형식 및 값 변경 불가 |
| 들어오는 클레임 변환 | 들어오는 클레임을 선택하고 다른 클레임 유형에 매핑하거나 해당 클레임 값을 새 클레임 값에 매핑할 수 있는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use a Transform Claim Rule를 참조하세요. |
- 클레임 형식 또는 값 정규화에 사용 가능 - 들어오는 클레임의 메일 접미사 대체 가능 |
- 더 복잡한 문자열 대체에는 사용자 지정 규칙 필요 |
| LDAP 특성을 클레임으로 보내기 | LDAP 특성 저장소에서 신뢰 당사자에게 클레임으로 보낼 특성을 선택하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use a Send LDAP Attributes as Claims Rule를 참조하세요. |
- AD DS/AD LDS 특성 저장소에서 클레임 소싱 가능 - 단일 규칙을 사용하여 여러 클레임 발급 가능 |
- 성능: 계정 조회로 인해 속도 저하 - 사용자 지정 LDAP 필터를 쿼리에 사용 가능 |
| 그룹 구성원을 클레임으로 보내기 | 사용자가 Active Directory 보안 그룹의 구성원인 경우 지정된 클레임 유형 및 값을 보낼 수 있는 규칙을 만드는 데 사용됩니다. 선택한 그룹에 따라 하나의 클레임만 이 규칙을 사용하여 전송됩니다. 자세한 내용은 When to Use a Send Group Membership as a Claim Rule를 참조하세요. |
- 그룹 클레임 발급 시 빠른 성능, 계정 조회 없음 | - 사용자가 로컬 Active Directory 그룹의 구성원이어야 함 |
| 사용자 지정 규칙을 사용하여 클레임 보내기 | 표준 규칙 템플릿보다 많은 고급 옵션을 제공하는 사용자 지정 규칙을 만드는 데 사용됩니다. AD FS 클레임 규칙 언어를 사용하여 사용자 지정 규칙을 작성합니다. 자세한 내용은 When to Use a Custom Claim Rule를 참조하세요. |
- SQL 특성 저장소에서 클레임 소싱에 사용 가능 - 사용자 지정 LDAP 필터 지정에 사용 가능 - PPID 실행에 사용 가능 - 사용자 지정 특성 저장소와 함께 사용 가능 - 입력 클레임 집합에만 클레임 추가 시에 사용 가능 - 둘 이상의 들어오는 클레임을 기준으로 클레임 전송에 사용 가능 |
- 구성하기가 더 어려움, 처음에 클레임 규칙 언어에 대한 지식을 얻기 위한 추가 시간이 필요할 수 있음 |
| 들어오는 클레임에 따라 사용자 허용 또는 거부 | 들어오는 클레임의 유형 및 값에 따라 사용자가 신뢰 당사자에 대해 액세스를 허용하거나 거부하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use an Authorization Claim Rule를 참조하세요. |
- 권한 부여 프로세스 간소화 | - 하나의 클레임 유형과 하나의 클레임 값만 지정 - 클레임 값에 대해 패턴 일치를 지원하지 않음 |
| 모든 사용자 허용 | 모든 사용자가 신뢰 당사자에 액세스할 수 있도록 하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use an Authorization Claim Rule를 참조하세요. |
- 간단한 구성 | - 들어오는 클레임에 따라 사용자 허용 또는 거부 템플릿을 사용할 때보다 취약한 보안 |