주요 AD FS 개념 이해
Active Directory Federation Services에 대한 중요 개념을 숙지하고 해당 기능 집합을 익혀 두는 것이 좋습니다.
팁
주요 AD FS 개념 이해에서 추가 AD FS 리소스 링크를 찾을 수 있습니다.
이 가이드에서 사용되는 AD FS 용어
| AD FS 용어 | 정의 |
|---|---|
| 계정 파트너 조직 | 페더레이션 서비스에서 클레임 공급자 트러스트로 표시되는 페더레이션 파트너 조직입니다. 계정 파트너 조직에는 리소스 파트너의 웹 기반 애플리케이션에 액세스할 사용자가 포함되어 있습니다. |
| 계정 페더레이션 서버 | 계정 파트너 조직의 페더레이션 서버입니다. 계정 페더레이션 서버는 사용자 인증을 기반으로 사용자에게 보안 토큰을 발급합니다. 이 서버는 사용자를 인증하고, 특성 저장소에서 관련 특성 및 그룹 구성원 자격 정보를 추출하며, 이 정보를 클레임에 패키지하고, 사용자에게 반환할 보안 토큰(클레임을 포함함)을 생성 및 서명합니다. 사용자는 자신의 조직에서 이 보안 토큰을 사용하거나 파트너 조직으로 보낼 수 있습니다. |
| AD FS 구성 데이터베이스 | 단일 AD FS 인스턴스 또는 페더레이션 서비스를 나타내는 모든 구성 데이터를 저장하는 데 사용되는 데이터베이스입니다. 이 구성 데이터는 SQL Server 데이터베이스에 저장하거나 Windows Server 2016, Windows Server 2012 및 2012 R2, Windows Server 2008 및 2008 R2에 포함된 Windows 내부 데이터베이스 기능을 통해 저장할 수 있습니다. SQL Server의 경우 Fsconfig.exe 명령줄 도구를 사용하고 Windows 내부 데이터베이스의 경우 AD FS 페더레이션 서버 구성 마법사를 사용하여 AD FS 구성 데이터베이스를 만들 수 있습니다. |
| 클레임 공급자 | 해당 사용자에게 클레임을 제공하는 조직입니다. 계정 파트너 조직을 참조하세요. |
| 클레임 공급자 트러스트 | AD FS 관리 스냅인에서 클레임 공급자 신뢰는 일반적으로 리소스 파트너 조직에서 생성되는 트러스트 개체로, 해당 계정이 리소스 파트너 조직의 리소스에 액세스하게 될 트러스트 관계의 조직을 대표합니다. 클레임 공급자 트러스트 개체는 로컬 페더레이션 서비스에 이 파트너를 식별하는 다양한 식별자, 이름 및 규칙으로 구성됩니다. |
| 로컬 클레임 공급자 트러스트 | AD FS 팜에서 AD LDS 또는 타사 LDAP 기반 디렉터리를 나타내는 트러스트 개체입니다. 로컬 클레임 공급자 트러스트 개체는 로컬 페더레이션 서비스에 이 LDAP 기반 디렉터리를 식별하는 다양한 식별자, 이름 및 규칙으로 구성됩니다. |
| 페더레이션 메타데이터 | 클레임 공급자 트러스트와 신뢰 당사자 트러스트의 적절한 구성을 용이하게 하기 위해 클레임 공급자와 신뢰 당사자 간에 구성 정보를 전달하는 데이터 형식입니다. 이 데이터 형식은 SAML(Security Assertion Markup Language) 2.0에서 정의되고 WS-Federation에서 확장되었습니다. |
| 페더레이션 서버 | AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할에서 작동하도록 구성된 Windows Server입니다. 페더레이션 서버는 토큰을 발급하며 페더레이션 서비스의 일부를 지원합니다. |
| 페더레이션 서버 프록시 | AD FS 페더레이션 서버 프록시 구성 마법사를 사용하여 구성된 Windows Server는 기업 네트워크의 방화벽 뒤에 있는 인터넷 클라이언트와 페더레이션 서비스 간 중간 프록시 서비스 역할을 합니다. |
| 기본 페더레이션 서버 | AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할로 구성되었으며 AD FS 구성 데이터베이스의 읽기/쓰기 복사본이 있는 Windows Server입니다. AD FS 페더레이션 서버 구성 마법사를 사용하여 새 페더레이션 서비스를 만드는 옵션을 선택하고 해당 컴퓨터를 팜의 첫 번째 페더레이션 서버로 지정하면 기본 페더레이션 서버가 생성됩니다. 이 팜의 다른 모든 페더레이션 서버는 기본 페더레이션 서버에 적용된 모든 변경 내용을 로컬로 저장된 AD FS 구성 데이터베이스의 읽기 전용 복사본에 복제해야 합니다. AD FS 구성 데이터베이스가 SQL Server에 저장된 경우에는 모든 페더레이션 서버에서 SQL Server에 저장된 구성 데이터베이스를 동일하게 읽고 쓸 수 있으므로 '기본 페더레이션 서버'라는 용어가 해당되지 않습니다. |
| 신뢰 당사자 | 클레임을 받고 처리하는 조직입니다. 리소스 파트너 조직을 참조하세요. |
| 신뢰 당사자 트러스트 | AD FS 관리 스냅인에서 신뢰 당사자 트러스트는 일반적으로 다음 위치에 만들어진 트러스트 개체입니다. - 리소스 파트너 조직의 리소스에 액세스할 계정을 가지고 있으며 트러스트 관계에서 조직을 대표할 계정 파트너 조직 신뢰 당사자 트러스트 개체는 로컬 페더레이션 서비스에 이 파트너 또는 웹 애플리케이션을 식별하는 다양한 식별자, 이름 및 규칙으로 구성됩니다. |
| 리소스 페더레이션 서버 | 리소스 파트너 조직의 페더레이션 서버입니다. 리소스 페더레이션 서버는 일반적으로 계정 페더레이션 서버에서 발급한 보안 토큰에 따라 사용자에게 보안 토큰을 발급합니다. 이 서버는 보안 토큰을 받고, 서명을 확인하고, 패키지되지 않은 클레임에 클레임 규칙 논리를 적용하여 원하는 나가는 클레임을 생성하고, 들어오는 보안 토큰의 정보에 따라 새 보안 토큰(나가는 클레임 포함)을 생성하고, 사용자와 궁극적으로 웹 애플리케이션에 반환할 새 토큰을 서명합니다. |
| 리소스 파트너 조직 | 페더레이션 서비스에서 신뢰 당사자 트러스트로 표시되는 페더레이션 파트너입니다. 리소스 파트너는 계정 파트너의 사용자가 액세스할 수 있는 게시된 웹 기반 애플리케이션이 포함된 클레임 기반 보안 토큰을 발급합니다. |
AD FS 개요
AD FS는 사용자 계정 및 애플리케이션이 완전히 다른 네트워크나 조직에 있는 경우에도 보호된 인터넷 연결 애플리케이션 또는 서비스에 원활한 SSO 액세스를 지원하는 클라이언트 컴퓨터(네트워크 내부 또는 외부)를 제공하는 ID 액세스 솔루션입니다.
애플리케이션이나 서비스가 하나의 네트워크에 있고 사용자 계정이 다른 네트워크에 있는 경우 사용자가 애플리케이션 또는 서비스에 액세스하려고 하면 일반적으로 보조 자격 증명을 묻는 메시지가 표시됩니다. 이러한 보조 자격 증명은 애플리케이션이나 서비스가 있는 영역에서 사용자의 ID를 나타냅니다. 일반적으로 애플리케이션 또는 서비스를 호스트하는 웹 서버에서 가장 적절한 권한 부여 결정을 내리는 데 필요합니다.
AD FS를 사용하면 조직이 사용자의 디지털 신원과 신뢰할 수 있는 파트너에 대한 액세스 권한을 반영하는 데 사용할 수 있는 트러스트 관계(페더레이션 트러스트)를 제공하여 보조 자격 증명에 대한 요청을 우회할 수 있습니다. 이 페더레이션된 환경에서 각 조직은 고유한 ID를 계속 관리하지만 다른 조직의 ID를 안전하게 적용하고 수용할 수 있습니다.