페더레이션된 웹 SSO 디자인
AD FS(Active Directory Federation Services)의 페더레이션된 웹 SSO(Single Sign-On) 디자인에는 전체 인터넷 라우팅 인프라 외에도 여러 방화벽, 경계 네트워크 및 이름 확인 서버에 걸쳐 있는 보안 통신이 포함됩니다.
일반적으로 이 디자인은 두 조직이 한 조직(계정 파트너 조직)의 사용자가 다른 조직(리소스 파트너 조직)에서 AD FS로 보호되는 웹 기반 애플리케이션 또는 서비스에 액세스할 수 있도록 페더레이션 트러스트 관계를 만드는 데 동의할 때 사용됩니다.
즉, 페더레이션 트러스트 관계는 두 조직 간의 비즈니스 수준 계약 또는 파트너 관계의 전형입니다. 다음 그림과 같이 두 비즈니스 간에 페더레이션 트러스트 관계를 설정하여 엔드투엔드 페더레이션 시나리오를 만들 수 있습니다.
그림에서 단방향 화살표는 페더레이션 트러스트 방향을 나타내며, Windows 트러스트 방향처럼 항상 포리스트의 계정 쪽을 가리킵니다. 즉, 인증은 계정 파트너 조직에서 리소스 파트너 조직으로 흐릅니다.
이 페더레이션된 웹 SSO 디자인에서 두 페더레이션 서버(Fabrikam에 하나 및 Contoso의 다른 서버)는 Fabrikam의 사용자 계정에서 Contoso의 웹 기반 애플리케이션 또는 서비스로 인증 요청을 라우팅합니다.
참고 항목
추가 보안을 위해 릴레이 요청을 인터넷에서 직접 액세스할 수 없는 페더레이션 서버에 페더레이션 서버 프록시를 사용할 수 있습니다.
이 예제에서 Fabrikam은 ID 또는 계정 공급자입니다. 페더레이션된 웹 SSO 디자인의 Fabrikam 부분에서는 다음과 같은 AD FS 배포 목표를 사용합니다.
Contoso는 리소스 공급자입니다. 다음과 같은 AD FS 배포 목표를 달성 하는 페더레이션된 웹 SSO 디자인의 Contoso 부분:
계획 하 고 페더레이션된 웹 SSO 디자인을 배포 하는 데 사용할 수 있는 자세한 작업 목록은 참조 하십시오. 검사 목록: 페더레이션된 웹 SSO 디자인 구현합니다.