페더레이션 서버를 배치하는 위치
보안 모범 사례로, AD FS(Active Directory Federation Services) 페더레이션 서버를 방화벽 뒤에 배치하고 회사 네트워크에 연결하여 인터넷에서 노출되지 않게 합니다. 페더레이션 서버에는 보안 토큰을 부여하는 전체 권한이 있기 때문에 중요합니다. 따라서 도메인 컨트롤러와 동일하게 보호되어야 합니다. 페더레이션 서버가 손상되면 악의적인 사용자가 모든 웹 애플리케이션 및 모든 리소스 파트너 조직에서 AD FS(Active Directory Federation Services)로 보호되는 페더레이션 서버에 대한 모든 액세스 토큰을 발급할 수 있습니다.
참고 항목
보안 모범 사례에서는 인터넷에 직접 액세스할 수 있는 페더레이션 서버를 구성하지 않아야 합니다. 테스트 랩 환경을 설정하거나 조직에 경계 네트워크이 없을 때만 페더레이션 서버가 인터넷에 직접 액세스할 수 있도록 하는 것이 좋습니다.
일반적인 회사 네트워크에 대한 인트라넷 방화벽은 회사 네트워크와 경계 네트워크 간에 설정하고 인터넷 방화벽은 경계 네트워크와 인터넷 간에 자주 설정합니다. 이 경우에는 페더레이션 서버가 회사 네트워크 안에 위치하고 인터넷 클라이언트가 직접 액세스할 수 없습니다.
참고 항목
회사 네트워크에 연결된 클라이언트 컴퓨터는 Windows 통합 인증을 통해 페더레이션 서버와 직접 통신할 수 있습니다.
특정 페더레이션 서버는 AD FS와 함께 사용할 방화벽 서버를 구성하기 전에 경계 네트워크에 배치해야 합니다. 자세한 내용은 페더레이션 서버 프록시를 배치할 위치를 참조하세요.
페더레이션 서버에 대한 방화벽 서버 구성
페더레이션 서버가 페더레이션 서버 프록시와 직접 통신할 수 있도록 페더레이션 서버에서 페더레이션 서버로 HTTPS(보안 하이퍼텍스트 전송 프로토콜) 트래픽을 허용하도록 인트라넷 방화벽 서버에 구성해야 합니다. 인트라넷 방화벽 서버는 경계 네트워크의 페더레이션 서버 프록시가 페더레이션 서버에 액세스할 수 있도록 포트 443을 사용하여 페더레이션 서버를 게시해야 하므로 이 작업이 필요합니다.
또한 ISA(Internet Security and Acceleration) 서버를 실행하는 서버와 같이 인트라넷 방화벽 서버는 인터넷 클라이언트 요청을 적절한 회사 페더레이션 서버에 분산하도록 게시하는 서버로 알려진 프로세스를 사용합니다. 즉, 클러스터된 페더레이션 서버 URL을 게시하는 ISA Server를 실행하는 인트라넷 서버에 서버 게시 규칙을 수동으로 만들어야 합니다(예: http://fs.fabrikam.com.).
경계 네트워크에 서버 게시를 구성하는 방법에 대한 자세한 내용은 Where to Place a Federation Server Proxy를 참조하세요. 서버를 게시하도록 ISA Server를 구성하는 방법에 대한 자세한 내용은 보안 웹 게시 규칙 만들기를 참조하세요.