부록 A: AD FS 요구 사항 검토
AD FS(Active Directory Federation Services) 배포의 조직 파트너가 성공적으로 공동 작업할 수 있도록 먼저 계정, 이름 확인 및 인증서에 대한 AD FS 요구 사항을 지원하도록 회사 네트워크 인프라가 구성되어 있는지 확인해야 합니다. AD FS에는 다음과 같은 유형의 요구 사항이 있습니다.
팁
핵심 AD FS 개념 이해에서 추가 AD FS 리소스 링크를 찾을 수 있습니다.
하드웨어 요구 사항
다음 최소 및 권장 하드웨어 요구 사항을 페더레이션 서버 및 페더레이션 서버 프록시 컴퓨터에 적용 됩니다.
| 하드웨어 요구 사항 | 최소 요구 사항 | 권장 요구 사항 |
|---|---|---|
| CPU 속도 | 단일 코어, 1GHz | 쿼드 코어, 2GHz |
| RAM | 1GB | 4GB |
| 디스크 공간 | 50MB | 100MB |
소프트웨어 요구 사항
AD FS는 Windows Server® 2012 운영 체제에 기본 제공 되는 서버 기능에 의존 합니다.
참고 항목
동일한 컴퓨터에서 페더레이션 서비스와 페더레이션 서비스 프록시 역할 서비스를 함께 사용할 수 없습니다.
인증서 요구 사항
인증서는 페더레이션 서버, 페더레이션 서버 프록시, 클레임 인식 애플리케이션 및 웹 클라이언트 간의 통신 보안에서 가장 중요한 역할을 합니다. 인증서에 대한 요구 사항은 이 섹션에 설명된 대로 설치하는 컴퓨터가 페더레이션 서버인지 또는 페더레이션 서버 프록시인지에 따라 다릅니다.
페더레이션 서버 인증서
페더레이션 서버에는 다음 표에 나와 있는 인증서가 필요합니다.
| 인증서 유형 | 설명 | 배포하기 전에 알아야 할 사항 |
|---|---|---|
| SSL(Secure Sockets Layer) 인증서 | 페더레이션 서버와 클라이언트 간의 통신 보안에 사용되는 표준 SSL(Secure Sockets Layer) 인증서입니다. | 이 인증서는 IIS(인터넷 정보 서비스)에서 페더레이션 서버 또는 페더레이션 서버 프록시에 대한 기본 웹 사이트에 바인딩되어야 합니다. 페더레이션 서버 프록시의 경우 페더레이션 서버 프록시 구성 마법사를 실행하기 전에 IIS에서 바인딩을 구성해야 합니다. 권장 사항: AD FS의 클라이언트에서 이 인증서를 신뢰할 수 있어야 하므로 공용(타사) CA(인증 기관)(예: VeriSign)에서 발급한 서버 인증 인증서를 사용합니다. 팁: 이 인증서의 주체 이름은 배포하는 AD FS의 각 인스턴스에 대한 페더레이션 서비스 이름을 나타내는 데 사용됩니다. 따라서 CA가 발급한 새 인증서에서 회사 또는 조직의 이름을 파트너에게 가장 잘 나타내는 주체 이름을 선택하는 것이 좋습니다. |
| 서비스 통신 인증서 | 이 인증서는 페더레이션 서버 간의 통신 보안을 위한 WCF 메시지 보안을 지원합니다. | 기본적으로 SSL 인증서는 서비스 통신 인증서로 사용됩니다. AD FS 관리 콘솔을 사용하여 이 기본 설정을 변경할 수 있습니다. |
| 토큰 서명 인증서 | 페더레이션 서버에서 발급하는 모든 토큰을 안전하게 서명하는 데 사용되는 표준 X509 인증서입니다. | 토큰 서명 인증서는 프라이빗 키를 포함해야 하며, 페더레이션 서비스의 신뢰할 수 있는 루트에 연결해야 합니다. 기본적으로 AD FS는 자체 서명된 인증서를 만듭니다. 그러나 나중에 조직의 요구 사항에 따라 AD FS 관리 스냅인을 사용하여 CA에서 발급한 인증서로 변경할 수 있습니다. |
| 토큰 암호 해독 인증서 | 파트너 페더레이션 서버에서 암호화된 들어오는 토큰의 암호를 해독하는 데 사용되는 표준 SSL 인증서입니다. 이 인증서는 페더레이션 메타데이터에도 게시됩니다. | 기본적으로 AD FS는 자체 서명된 인증서를 만듭니다. 그러나 나중에 조직의 요구 사항에 따라 AD FS 관리 스냅인을 사용하여 CA에서 발급한 인증서로 변경할 수 있습니다. |
주의
토큰 서명 및 토큰 암호 해독에 사용되는 인증서는 페더레이션 서비스의 안정성에 매우 중요합니다. 이러한 용도로 구성된 인증서가 손실되거나 의도치 않게 제거되면 서비스가 중단될 수 있으므로 이러한 용도로 구성된 모든 인증서를 백업해야 합니다.
페더레이션 서버를 사용 하는 인증서에 대 한 자세한 내용은 참조 페더레이션 서버에 대 한 인증서 요구 사항합니다.
페더레이션 서버 프록시 인증서
페더레이션 서버 프록시에는 다음 표에 나와 있는 인증서가 필요합니다.
| 인증서 유형 | 설명 | 배포하기 전에 알아야 할 사항 |
|---|---|---|
| 서버 인증 인증서 | 페더레이션 서버 프록시와 인터넷 클라이언트 컴퓨터 간의 통신 보안에 사용되는 표준 SSL(Secure Sockets Layer) 인증서입니다. | AD FS 페더레이션 서버 프록시 구성 마법사를 실행하려면 먼저 IIS(인터넷 정보 서비스)에서 이 인증서를 기본 웹 사이트에 바인딩해야 합니다. 권장 사항: AD FS의 클라이언트에서 이 인증서를 신뢰할 수 있어야 하므로 공용(타사) CA(인증 기관)(예: VeriSign)에서 발급한 서버 인증 인증서를 사용합니다. 팁: 이 인증서의 주체 이름은 배포하는 AD FS의 각 인스턴스에 대한 페더레이션 서비스 이름을 나타내는 데 사용됩니다. 따라서 회사 또는 조직의 이름을 파트너에게 가장 잘 나타내는 주체 이름을 선택하는 것이 좋습니다. |
페더레이션 서버 프록시를 사용 하는 인증서에 대 한 자세한 내용은 참조 페더레이션 서버 프록시에 대 한 인증서 요구 사항합니다.
브라우저 요구 사항
JavaScript 기능을 지원하는 모든 최신 웹 브라우저를 AD FS 클라이언트로 작동하도록 설정할 수 있지만 기본적으로 제공되는 웹 페이지는 Windows의 Internet Explorer 버전 7.0, 8.0 및 9.0, Mozilla Firefox 3.0 및 Safari 3.1에 대해서만 테스트되었습니다. 정상적으로 작동하려면 JavaScript를 사용하도록 설정해야 하며, 쿠키도 브라우저 기반 로그인 및 로그아웃에 대해 사용하도록 설정해야 합니다.
Microsoft의 AD FS 제품 팀에는 다음 표에서 브라우저 및 운영 체제 구성을 성공적으로 테스트 했습니다.
| 브라우저 | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8.0 | X | X |
| Internet Explorer 9.0 | X | 테스트하지 않음 |
| FireFox 3.0 | X | X |
| Safari 3.1 | X | X |
참고 항목
AD FS는 위 표에 나와 있는 모든 브라우저의 32비트와 64비트를 모두 지원합니다.
쿠키
AD FS는 로그인, 로그아웃, SSO(Single Sign-On) 및 기타 기능을 제공하기 위해 클라이언트 컴퓨터에 저장해야 하는 세션 기반 및 영구 쿠키를 만듭니다. 따라서 클라이언트 브라우저가 쿠키를 허용하도록 구성되어야 합니다. 인증에 사용되는 쿠키는 항상 원래 서버에 대해 기록되는 HTTPS(Secure Hypertext Transfer Protocol) 세션 쿠키입니다. 클라이언트 브라우저가 이러한 쿠키를 허용하도록 구성되지 않으면 AD FS가 올바르게 작동할 수 없습니다. 영구 쿠키는 사용자가 선택한 클레임 공급자를 유지하는 데 사용됩니다. 구성 파일에서 AD FS 로그인 페이지에 대한 구성 설정을 사용하여 쿠키를 사용하지 않도록 설정할 수 있습니다.
TLS/SSL 지원은 보안상 필요합니다.
네트워크 요구 사항
다음 네트워크 서비스를 적절 하 게 구성 하는 것이 조직에서 AD FS의 성공적인 배포에 대 한 중요 합니다.
TCP/IP 네트워크 연결
AD FS가 작동하려면 클라이언트 간에 TCP/IP 네트워크 연결이 있어야 합니다. 할기본 컨트롤러 및 페더레이션 서비스를 호스트하는 컴퓨터, 페더레이션 서비스 프록시(사용되는 경우) 및 AD FS 웹 에이전트입니다.
DNS
AD DS(Active Directory 도메인 Services) 이외의 AD FS 작업에 중요한 기본 네트워크 서비스는 DO기본 DNS(이름 시스템)입니다. DNS가 배포된 경우 사용자는 기억하기 쉬운 친숙한 컴퓨터 이름을 사용하여 컴퓨터 및 IP 네트워크의 다른 리소스에 연결할 수 있습니다.
Windows Server 2008은 Windows NT 4.0 기반 네트워크에서 사용된 WINS(Windows Internet Name Service) NetBIOS 이름 확인 대신 이름 확인에 DNS를 사용합니다. WINS가 필요한 애플리케이션에는 WINS를 계속 사용할 수 있습니다. 그러나 AD DS 및 AD FS DNS 이름 확인이 필요 합니다.
AD FS를 지원 하도록 DNS를 구성 하는 과정에 따라 달라 집니다.
조직에 기존 DNS 인프라가 이미 있는지 여부. 대부분의 시나리오에서는 회사 네트워크의 웹 브라우저 클라이언트에서 인터넷에 연결할 수 있도록 DNS가 전체 네트워크에서 이미 구성되어 있습니다. 인터넷 액세스 및 이름 확인에는 AD FS의 요구 사항을 이기 때문에이 인프라는 AD FS 배포에 대 한 것으로 간주 됩니다.
페더레이션된 서버를 회사 네트워크에 추가할지 여부. 회사 네트워크에서 사용자를 인증하려면 회사 네트워크 포리스트의 내부 DNS 서버가 페더레이션 서비스를 실행하는 내부 서버의 CNAME을 반환하도록 구성되어야 합니다. 자세한 내용은 참조 페더레이션 서버에 대 한 이름 확인 요구 사항합니다.
페더레이션된 서버 프록시를 경계 네트워크에 추가할지 여부. Id 파트너 조직의 회사 네트워크에 있는 사용자 계정을 인증 하려면 회사 네트워크 포리스트의 내부 DNS 서버는 내부 페더레이션 서버 프록시의 CNAME을 반환 하도록 구성 되어야 합니다. 페더레이션 서버 프록시 추가 수용 하도록 DNS를 구성 하는 방법에 대 한 정보를 참조 하십시오. 페더레이션 서버 프록시에 대 한 이름 확인 요구 사항합니다.
테스트 랩 환경에 대해 DNS를 설정할지 여부. 신뢰할 수 있는 단일 루트 DNS 서버가 인 테스트 랩 환경에서 AD FS를 사용 하려면이 상태일 경우 둘 이상의 포리스트 간에 이름에 대 한 쿼리 쿼리가 적절히 전달 되도록 DNS 전달자를 설정 해야 합니다. AD FS 테스트 랩 환경을 설정하는 방법에 대한 일반적인 내용은 AD FS 단계별 및 방법 가이드를 참조 하세요.
특성 저장소 요구 사항
AD FS에는 해당 사용자에 대 한 보안 클레임을 추출 하는 사용자를 인증에 사용할 하나 이상의 특성 저장소가 필요 합니다. AD FS에서 지원하는 특성 저장소 목록은 AD FS 디자인 가이드에서 The Role of Attribute Stores 을 참조하세요.
참고 항목
AD FS는 기본적으로 Active Directory 특성 저장소를 자동으로 만듭니다.
특성 저장소 요구 사항은 조직이 수행하는 역할(페더레이션된 사용자를 호스트하는 계정 파트너 또는 페더레이션된 애플리케이션을 호스트하는 리소스 파트너)에 따라 다릅니다.
AD DS
AD fs가 작동 하려면, Windows Server 2003 SP1, Windows Server 2003 R2, Windows Server 2008 또는 Windows Server 2012 도메인 컨트롤러 계정 파트너 조직 또는 리소스 파트너 조직에서 실행 되어야 합니다.
AD FS가 도메인에 가입된 컴퓨터에 설치되고 구성된 경우 해당 도메인에 대한 Active Directory 사용자 계정 저장소를 선택 가능한 특성 저장소로 사용할 수 있습니다.
Important
AD FS를 사용하려면 IIS(인터넷 정보 서비스)를 설치해야 하므로 보안을 위해 프로덕션 환경의 do기본 컨트롤러에 AD FS 소프트웨어를 설치하지 않는 것이 좋습니다. 그러나 Microsoft 고객 서비스 지원에서는 이 구성을 지원합니다.
스키마 요구 사항
AD FS에는 스키마 변경 또는 AD DS에 대한 기능 수준 수정이 필요하지 않습니다.
기능 수준 요구 사항
대부분의 AD FS 기능은 AD DS를 기능 수준에서 수정하지 않아도 정상적으로 작동합니다. 그러나 인증서가 AD DS의 사용자 계정에 명시적으로 매핑된 경우에는 Windows Server 2008 도메인 기능 수준 이상이 있어야 클라이언트 인증서 인증이 작동합니다.
서비스 계정 요구 사항
페더레이션 서버 팜을 만들려면 먼저 AD DS에 서비스 계정 페더레이션 서비스에서 사용할 수 있는 전용 도메인 기반 서비스 계정을 만들어야 합니다. 나중에 이 계정을 사용하도록 팜의 각 페더레이션 서버를 구성합니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 참조 수동으로 페더레이션 서버 팜에 대 한 서비스 계정 구성 AD FS 배포 가이드에 있습니다.
LDAP
다른 LDAP(Lightweight Directory Access Protocol) 기반 특성 저장소를 사용하는 경우 Windows 통합 인증을 지원하는 LDAP 서버에 연결해야 합니다. 또한 RFC 2255에 설명된 대로 LDAP URL 형식으로 LDAP 연결 문자열을 기록해야 합니다.
SQL Server
AD FS가 성공적으로 작동하려면 구조적 쿼리 언어(SQL) Server 특성 저장소를 호스트하는 컴퓨터에서 Microsoft SQL Server 2005 또는 SQL Server 2008을 실행해야 합니다. 또한 SQL 기반 특성 저장소를 사용하는 경우 연결 문자열을 구성해야 합니다.
사용자 지정 특성 저장소
고급 시나리오를 지원하는 사용자 지정 특성 저장소를 개발할 수 있습니다. AD FS에서 기본 제공되는 정책 언어는 다음 시나리오를 향상시킬 수 있도록 사용자 지정 특성 저장소를 참조할 수 있습니다.
로컬로 인증된 사용자에 대한 클레임 만들기
외부에서 인증된 사용자에 대한 클레임 보완
사용자에게 토큰을 가져올 수 있는 권한 부여
서비스에 사용자 대신 토큰을 가져올 수 있는 권한 부여
또한 사용자 지정 특성 저장소를 사용하는 경우 연결 문자열을 구성해야 할 수도 있습니다. 이 경우 사용자 지정 특성 저장소에 연결할 수 있도록 하는 코드와 같은 사용자 지정 코드를 입력할 수 있습니다. 이 경우에 사용되는 연결 문자열은 사용자 지정 특성 저장소 개발자가 구현한 대로 해석되는 이름/값 쌍의 집합입니다.
개발 및 사용자 지정 특성 저장소를 사용 하는 방법에 대 한 자세한 내용은 참조 특성 저장소 개요합니다.
애플리케이션 요구 사항
페더레이션 서버는 클레임 인식 애플리케이션과 같은 페더레이션 애플리케이션과 통신하고 이를 보호할 수 있습니다.
인증 요구 사항
AD FS는 Kerberos 인증, NTLM, 스마트 카드 및 X.509 v3 클라이언트 쪽 인증서와 같은 기존 Windows 인증 자연스럽게 통합됩니다. 페더레이션 서버는 표준 Kerberos 인증을 사용하여 도메인에 대해 사용자를 인증합니다. 인증을 구성하는 방법에 따라 폼 기반 인증, 스마트 카드 인증 및 Windows 통합 인증을 사용하여 클라이언트를 인증할 수 있습니다.
AD FS 페더레이션 서버 프록시 역할은 사용자가 SSL 클라이언트 인증을 사용하여 외부에서 인증하는 시나리오를 지원합니다. 일반적으로 가장 원활한 사용자 환경을 구현하려면 Windows 통합 인증을 사용하도록 계정 페더레이션 서버를 구성해야 하지만 SSL 클라이언트 인증을 요구하도록 페더레이션 서버 역할을 구성할 수도 있습니다. 이 경우 AD FS는 사용자가 Windows 데스크톱 로그온에 사용하는 자격 증명을 제어할 수 없습니다.
스마트 카드 로그온
AD FS는 인증(암호, SSL 클라이언트 인증 또는 Windows 통합 인증)에 사용하는 자격 증명 유형을 적용할 수 있지만 스마트 카드 인증을 직접 적용하지는 않습니다. 따라서 AD FS는 스마트 카드 PIN(개인 식별 번호) 자격 증명을 얻기 위한 클라이언트 쪽 UI(사용자 인터페이스)를 제공하지 않습니다. 이는 Windows 기반 클라이언트가 의도적으로 페더레이션 서버 또는 웹 서버에 사용자 자격 증명 세부 정보를 제공하지 않기 때문입니다.
스마트 카드 인증
스마트 카드 인증 계정 페더레이션 서버 인증에 Kerberos 프로토콜을 사용 합니다. 새 인증 방법을 추가 하려면 AD FS는 확장할 수 없습니다. 스마트 카드의 인증서는 클라이언트 컴퓨터의 신뢰할 수 있는 루트까지 연결할 필요가 없습니다. AD FS에서 스마트 카드 기반 인증서를 사용하려면 다음 조건이 필요합니다.
스마트 카드의 판독기 및 CSP(암호화 서비스 공급자)가 브라우저가 있는 컴퓨터에서 작동해야 합니다.
스마트 카드 인증서 계정 페더레이션 서버 및 계정 페더레이션 서버 프록시에 신뢰할 수 있는 루트에 연결 해야 합니다.
인증서가 다음 방법 중 하나를 통해 AD DS의 사용자 계정에 매핑되어야 합니다.
인증서 주체 이름이 AD DS의 사용자 계정에 대한 LDAP 고유 이름에 해당합니다.
인증서 주체 대체 확장에 AD DS의 사용자 계정에 대한 UPN(사용자 계정 이름)이 있습니다.
일부 시나리오에서 특정 인증 강도 요구 사항을 지원하기 위해 사용자가 인증된 방식을 나타내는 클레임을 만들도록 AD FS를 구성할 수도 있습니다. 그런 다음 신뢰 당사자가 이 클레임을 사용하여 권한 부여 결정을 내릴 수 있습니다.