WAP를 역방향 웹 프록시로 사용
웹 애플리케이션 프록시는 원격 액세스 역할 서비스입니다. 이 역할 서비스는 역방향 웹 프록시로 작동하며 인터넷에 있는 사용자에게 내부 회사 웹 애플리케이션 또는 원격 데스크톱 게이트웨이 서버에 대한 액세스를 제공합니다. 웹 애플리케이션 프록시는 AD FS를 사용하여 인터넷 사용자를 사전 인증하고 클레임 인식 애플리케이션을 게시하기 위한 AD FS 프록시 역할을 할 수 있습니다.
비고
클레임 인식 애플리케이션은 사용자 권한 부여의 일부로 그룹 멤버 자격, 이메일 주소, 부서 또는 회사와 같은 사용자에 대한 모든 정보를 사용할 수 있습니다.
웹 애플리케이션 프록시를 설치하기 전에 필수 조건으로 AD FS를 배포해야 합니다. 웹 애플리케이션 프록시는 인증 서비스에 AD FS를 사용합니다. AD FS에서 제공하는 한 가지 기능은 SSO 기능입니다. 즉, 사용자가 회사 웹 애플리케이션에 액세스하기 위해 자격 증명을 한 번 입력하면 회사 웹 애플리케이션에 대한 후속 액세스를 위해 자격 증명을 다시 입력하라는 메시지가 표시되지 않습니다. AD FS를 사용하여 사용자가 애플리케이션과 통신하기 전에 웹 애플리케이션 프록시에서 사용자를 인증할 수도 있습니다.
두 방화벽 디바이스 간에 웹 애플리케이션 프록시 서버를 경계 네트워크에 배치하는 것이 일반적인 구성입니다. 게시된 AD FS 서버 및 애플리케이션은 회사 네트워크에 있으며 도메인 컨트롤러 및 기타 내부 서버와 함께 두 번째 방화벽으로 보호됩니다. 이 시나리오는 인터넷에 있는 사용자에 대한 회사 애플리케이션에 대한 보안 액세스를 제공하는 동시에 인터넷의 보안 위협으로부터 회사 IT 인프라를 보호합니다.
웹 애플리케이션 프록시에 대한 인증 옵션
웹 애플리케이션 프록시에서 애플리케이션을 구성할 때 사전 인증 유형을 선택해야 합니다. AD FS 사전 인증 또는 통과 사전 인증을 선택할 수 있습니다. AD FS 사전 인증은 더 많은 기능과 이점을 제공하지만 통과 사전 인증은 모든 웹앱과 호환됩니다.
AD FS 사전 인증
AD FS 사전 인증은 클레임 기반 인증을 사용하는 웹 애플리케이션에 AD FS를 사용합니다. 사용자가 회사 웹 애플리케이션에 대한 연결을 시작하면 사용자가 연결하는 첫 번째 진입점은 웹 애플리케이션 프록시입니다. 웹 애플리케이션 프록시는 AD FS 서버에서 사용자를 미리 인증합니다. 인증에 성공하면 웹 애플리케이션 프록시는 애플리케이션이 호스트되는 회사 네트워크의 웹 서버에 대한 연결을 설정합니다.
AD FS 사전 인증을 사용하여 권한 있는 사용자만 웹 애플리케이션에 데이터 패킷을 보낼 수 있는지 확인합니다. 이렇게 하면 해커가 인증 전에 웹앱 결함을 활용할 수 없습니다. AD FS 사전 인증은 웹앱의 공격 노출 영역을 크게 줄입니다.
통과 사전 인증
통과 사전 인증은 인증에 AD FS를 사용하지 않으며 웹 애플리케이션 프록시가 사용자를 사전 인증하지도 않습니다. 대신 사용자는 웹 애플리케이션 프록시를 통해 웹 애플리케이션에 연결됩니다. 웹 애플리케이션 프록시는 데이터 패킷이 웹앱에 배달될 때 데이터 패킷을 다시 빌드하여 잘못된 패킷과 같은 결함으로부터 보호합니다. 그러나 패킷의 데이터 부분은 웹앱에 전달됩니다. 웹앱은 사용자 인증을 담당합니다.
AD FS 사전 인증 혜택
AD FS 사전 인증은 통과 사전 인증보다 다음과 같은 이점을 제공합니다.
- SSO AD FS에서 사전 인증을 받은 사용자가 자격 증명을 한 번만 입력할 수 있도록 합니다. 이후에 인증을 위해 AD FS를 사용하는 다른 애플리케이션에 액세스하는 경우 자격 증명에 대한 메시지가 다시 표시되지 않습니다.
- MFA(다단계 인증)를 사용합니다. MFA를 사용하면 보안을 강화하기 위해 여러 유형의 자격 증명을 구성할 수 있습니다. 예를 들어 사용자가 스마트 카드와 함께 사용자 이름과 암호를 입력할 수 있도록 시스템을 구성할 수 있습니다.
- 다단계 액세스 제어. 권한 부여 클레임 규칙을 구현하여 웹 애플리케이션을 게시할 때 보안을 강화하려는 조직에서 사용되는 다단계 액세스 제어입니다. 규칙은 사용자 또는 그룹이 AD FS 사전 인증을 사용하는 웹 애플리케이션에 대한 액세스가 허용 또는 거부되는지 여부를 결정하는 허용 또는 거부 클레임을 발급하도록 구성됩니다.
웹 애플리케이션 프록시를 사용하여 애플리케이션 게시
웹 애플리케이션 프록시 역할 서비스가 설치되면 원격 액세스 관리 콘솔에서 웹 애플리케이션 프록시 구성 마법사를 사용하여 구성합니다. 웹 애플리케이션 프록시 구성 마법사가 완료되면 웹 애플리케이션 프록시 콘솔을 만듭니다. 이 콘솔은 웹 애플리케이션 프록시의 추가 관리 및 구성에 사용할 수 있습니다.
웹 애플리케이션 프록시 구성 마법사를 사용하려면 초기 구성 프로세스 중에 다음 정보를 입력해야 합니다.
- AD FS 이름 이 이름을 찾으려면 AD FS 관리 콘솔을 열고 페더레이션 서비스 속성 편집에서 페더레이션 서비스 이름 상자에서 값을 찾습니다.
- AD FS에 대한 로컬 관리자 계정의 자격 증명입니다.
- AD FS 프록시 인증서입니다. 웹 애플리케이션 프록시가 AD FS 프록시 기능에 사용할 인증서입니다.
팁 (조언)
웹 애플리케이션 프록시 구성 마법사에 필요하므로 AD FS 프록시 인증서는 인증서의 주체 필드에 AD FS 이름을 포함해야 합니다. 또한 인증서의 주체 대체 이름 필드에는 AD FS 이름이 포함되어야 합니다.
웹 애플리케이션 프록시 구성 마법사를 완료한 후 웹 애플리케이션 프록시 콘솔 또는 Windows PowerShell cmdlet을 사용하여 웹앱을 게시할 수 있습니다. 게시된 앱을 관리하기 위한 Windows PowerShell cmdlet은 다음과 같습니다.
Add-WebApplicationProxyApplicationGet-WebApplicationProxyApplicationSet-WebApplicationProxyApplication
웹앱을 게시할 때 다음 정보를 제공해야 합니다.
- 사전 인증 유형(예: 통과)입니다.
- 게시할 애플리케이션
- 애플리케이션의 외부 URL(예: .)
https://lon-svr1.adatum.com - 예를 들어
lon-svr1.adatum.com주체 이름이 외부 URL을 포함하는 인증서입니다. - 외부 URL을 입력할 때 자동으로 입력되는 백 엔드 서버의 URL입니다.