페더레이션 이해
적용 대상: Exchange Server 2010
마지막으로 수정된 항목: 2010-01-26
정보 근로자는 공급업체, 파트너 및 고객 등의 외부 받는 사람과 공동 작업을 하고 약속 있음/없음 정보, 일정 또는 연락처를 공유해야 하는 경우가 많습니다. Microsoft Exchange Server 2010을 사용하면 외부 받는 사람과 쉽게 정보를 공유할 수 있습니다. 페더레이션은 Exchange 조직 사이의 크로스 프레미스 조직 안에서 정보를 쉽고 안전하게 공유할 수 있는 기반 트러스트 인프라를 제공합니다.
Exchange 2010에서는 페더레이션 공유에 페더레이션을 사용하여 외부 페더레이션 조직의 받는 사람과 약속 있음/없음 정보, 일정 및 연락처를 쉽게 공유할 수 있습니다. 페더레이션 공유에 대한 자세한 내용은 페더레이션 공유 이해를 참조하십시오.
페더레이션과 관련된 관리 작업에 대한 자세한 내용은 페더레이션 관리를 참조하십시오.
목차
Microsoft 페더레이션 게이트웨이
페더레이션 트러스트
페더레이션 조직 식별자
페더레이션에 대한 인증서 요구 사항
새 인증서로 전환
Microsoft 페더레이션 게이트웨이
Exchange 2010은 인터넷과 기업 네트워크 도메인 외부의 클라우드에서 실행되는 ID 서비스인 Microsoft 페더레이션 게이트웨이를 트러스트 브로커로 사용합니다. 페더레이션을 사용하려는 Exchange 조직은 Microsoft 페더레이션 게이트웨이와 페더레이션 트러스트를 설정하여 Exchange 조직의 페더레이션 파트너로 만듭니다. 트러스트를 설정하고 나면 Microsoft 페더레이션 게이트웨이에서 Active Directory(ID 공급자)에서 인증된 사용자에게 SAML(Security Assertion Markup Language) 위임 토큰을 발급할 수 있습니다. 이러한 토큰을 사용하면 한 페더레이션 조직의 사용자를 다른 페더레이션 조직의 사용자가 신뢰할 수 있습니다. Microsoft 페더레이션 게이트웨이를 트러스트 브로커로 사용하면 조직에서 다른 조직과 개별적으로 여러 개의 트러스트 관계를 설정할 필요가 없습니다. 사용자는 SSO(Single Sign-On) 환경을 사용하여 외부 리소스에 액세스할 수 있습니다. 자세한 내용은 Microsoft 페더레이션 게이트웨이(영문)를 참조하십시오.
맨 위로 이동
페더레이션 트러스트
Exchange 2010 페더레이션을 사용하려면 Microsoft 페더레이션 게이트웨이와 조직 인증서를 교환하고 Microsoft 페더레이션 게이트웨이 인증서 및 페더레이션 메타데이터를 검색하여 Exchange 2010 조직과 Microsoft 페더레이션 게이트웨이 사이에 페더레이션 트러스트를 설정해야 합니다. EMC(Exchange 관리 콘솔)의 새 페더레이션 트러스트 마법사 또는 Exchange 관리 셸의 New-FederationTrust cmdlet을 사용하여 페더레이션 트러스트를 설정할 수 있습니다. 인증서는 서명 및 암호화 토큰에 사용됩니다. 인증서 요구 사항에 대한 자세한 내용은 이 항목의 뒷부분에 있는 페더레이션에 대한 인증서 요구 사항을 참조하십시오.
페더레이션 트러스트 만들기에 대한 자세한 내용은 페더레이션 트러스트 만들기를 참조하십시오.
Microsoft 페더레이션 게이트웨이와 페더레이션 트러스트를 만들면 Exchange 조직의 응용 프로그램 식별자(AppID)가 생성되어 새 페더레이션 트러스트 마법사 또는 New-FederationTrust cmdlet의 출력에 제공됩니다. AppID는 Microsoft 페더레이션 게이트웨이에서 Exchange 조직을 식별하는 데 사용됩니다. 그리고 Exchange 조직에서 페더레이션할 등록된 도메인의 소유권 증명을 제공하는 데에도 사용됩니다. 이 작업을 수행하려면 각 페더레이션 도메인의 DNS(Domain Name System) 영역에 TXT 리소스 레코드를 만듭니다.
중요
허용 도메인을 페더레이션하려면 도메인을 페더레이션 조직 식별자에 추가해야 합니다. 조직 식별자에 도메인을 추가하려면 먼저 페더레이션 트러스트를 설정할 때 조직에 대해 만들어진 AppID를 사용하여 TXT 레코드를 만들어야 합니다. 조직 식별자를 페더레이션 도메인으로 추가할 각 허용 도메인에 대해 이 작업을 수행해야 합니다.
DNS 리소스 레코드 만들기에 대한 자세한 내용은 페더레이션에 대한 TXT 레코드 만들기를 참조하십시오.
맨 위로 이동
페더레이션 조직 식별자
페더레이션 조직 식별자는 Exchange 조직에 구성된 신뢰할 수 있는 허용 도메인 중에서 페더레이션에 사용되는 것을 정의합니다. 조직 식별자에 허용 도메인이 구성된 전자 메일 주소가 있는 받는 사람만 Microsoft 페더레이션 게이트웨이에서 인식되며 페더레이션 공유 등의 기능을 사용할 수 있습니다. 구성 식별자를 구성하면 첫 번째로 추가된 허용 도메인을 사용하여 Microsoft 페더레이션 게이트웨이에 계정 네임스페이스가 만들어집니다. 대부분의 사용자에게 전자 메일 주소를 생성할 때 사용되는 조직 기본 도메인 이름을 계정 네임스페이스로 사용하는 것이 좋습니다.
언제든지 허용 도메인을 추가 또는 제거할 수 있으며 필요한 경우에는 계정 네임스페이스에 사용되는 도메인도 변경할 수 있습니다. 조직 식별자를 사용하거나 사용하지 않도록 설정하면 Exchange 조직에 대해 모든 페더레이션 기능을 사용하거나 사용하지 않도록 한 번에 설정할 수 있습니다.
페더레이션 조직 식별자 구성에 대한 자세한 내용은 페더레이션 관리를 참조하십시오.
Microsoft 페더레이션 게이트웨이와 페더레이션 트러스트를 만든 후에 페더레이션에 사용할 모든 허용 도메인에 대해 TXT 레코드를 만듭니다. 그런 다음 허용 도메인에 조직 식별자를 구성합니다.
맨 위로 이동
페더레이션에 대한 인증서 요구 사항
페더레이션 트러스트를 설정하려면 트러스트를 만드는 데 사용된 X.509 인증서를 확보하여 Exchange 2010 서버에 설치해야 합니다. 인증서는 위임 토큰의 서명 및 암호화에만 사용됩니다. 인증서는 다음 요구 사항을 충족해야 합니다.
- 신뢰할 수 있는 인증 기관 인증서에는 신뢰할 수 있는 CA(인증 기관)의 서명이 필요합니다. 신뢰할 수 있는 CA의 목록은 페더레이션 트러스트에 대한 신뢰할 수 있는 루트 인증 기관을 참조하십시오.
- 주체 키 식별자 인증서에는 주체 키 식별자 필드가 있어야 합니다. 상업용 인증 기관에서 발급된 X.509 인증서에는 대부분 주체 키 식별자가 있습니다.
- CryptoAPI CSP(암호화 서비스 공급자) 인증서는 CryptoAPI CSP를 사용해야 합니다. CNG(Cryptography Next Generation) 공급자를 사용하는 인증서는 페더레이션에서 지원되지 않습니다. Exchange를 사용하여 인증서를 요청하면 CryptoAPI 공급자가 사용됩니다. 자세한 내용은 암호화(영문)를 참조하십시오.
- RSA 서명 알고리즘 인증서는 서명 알고리즘으로 RSA를 사용해야 합니다.
- 내보낼 수 있는 개인 키 인증서 생성에 사용한 개인 키는 내보낼 수 있어야 합니다. EMC의 새 인증서 마법사나 셸의 New-ExchangeCertificate cmdlet을 사용하여 인증서 요청을 만들 때 인증서의 개인 키를 내보낼 수 있도록 지정할 수 있습니다.
- 현재 인증서 인증서는 현재 인증서여야 합니다. 만료되거나 해지된 인증서를 사용하여 페더레이션 트러스트를 만들 수는 없습니다.
- 확장된 키 사용 인증서에는 EKU(확장된 키 사용) 유형 **클라이언트 인증 (1.3.6.1.5.5.7.3.2)**을 포함해야 합니다. 이 사용 유형은 원격 컴퓨터에서 ID를 증명하기 위한 것입니다. Exchange 도구를 사용하여 인증서 요청을 생성하는 경우에는 이 사용 유형이 기본적으로 포함됩니다.
인증서가 인증에 사용되지 않으므로 주체 이름이나 주체 대체 이름 요구 사항은 없습니다. 호스트 이름, 도메인 이름 또는 다른 이름과 동일한 이름의 주체 이름이 지정된 인증서를 사용할 수 있습니다. 페더레이션 트러스트에는 인증서가 하나만 필요합니다. Exchange에서는 인증서를 조직의 다른 Exchange 2010 서버에 자동으로 배포합니다.
맨 위로 이동
새 인증서로 전환
페더레이션 트러스트를 만드는 데 사용한 인증서는 현재 인증서로 지정됩니다. 현재 인증서가 만료되거나, 조직의 비즈니스 또는 보안 요구 사항에 따라 인증서를 변경해야 하는 등의 경우에 정기적으로 새 인증서를 설치 및 사용해야 할 수도 있습니다. 새 인증서로 원활하게 전환하려면 Exchange 2010 서버에 새 인증서를 설치하고 페더레이션 트러스트를 구성하여 다음 인증서로 지정해야 합니다. Exchange 2010은 다음 인증서를 조직의 다른 Exchange 2010 서버에 자동으로 배포합니다. Active Directory 토폴로지에 따라 인증서 배포에 시간이 오래 걸릴 수도 있습니다. EMC의 페더레이션 관리 마법사 또는 셸의 Test-FederationTrustCertificate cmdlet을 사용하여 인증서 상태를 확인할 수 있습니다.
인증서의 배포 상태를 확인하고 나면 트러스트를 구성하여 다음 인증서로 전환할 수 있습니다. 이 경우 현재 인증서가 이전 인증서로 지정되고 다음 인증서가 현재 인증서로 지정됩니다. 새 현재 인증서는 Microsoft 페더레이션 게이트웨이에 게시되며 Microsoft 페더레이션 게이트웨이로 교환한 토큰은 새 인증서로 암호화됩니다. 이 전환은 다음 그림에 표시되어 있습니다.
인증서 전환
새 인증서 전환에 대한 자세한 내용은 페더레이션 관리를 참조하십시오.
참고
이 전환 메커니즘은 페더레이션에서만 사용됩니다. 인증서를 사용하는 다른 Exchange 2010 기능에 동일한 인증서를 사용할 경우에는 새 인증서의 확보, 설치 또는 전환을 계획할 때 기능 요구 사항을 고려해야 합니다.
맨 위로 이동