페더레이션 서버 프록시를 배치하는 위치

AD FS(Active Directory Federation Services) 페더레이션 서버 프록시를 경계 네트워크에 배치하여 인터넷에서 오는 악의적인 사용자에 대한 보호 계층을 제공할 수 있습니다. 페더레이션 서버 프록시는 토큰을 만드는 데 사용되는 프라이빗 키에 액세스할 수 없으므로 경계 네트워크 환경에 적합합니다. 그러나 페더레이션 서버 프록시는 들어오는 요청을 해당 토큰을 생성할 권한이 있는 페더레이션 서버로 효율적으로 라우팅할 수 있습니다.

회사 네트워크에 연결된 클라이언트 컴퓨터가 페더레이션 서버와 직접 통신할 수 있으므로 계정 파트너 또는 리소스 파트너에 대한 페더레이션 서버 프록시를 회사 네트워크 내에 배치할 필요는 없습니다. 이 시나리오에서 페더레이션 서버는 회사 네트워크에서 들어오는 클라이언트 컴퓨터에 대한 페더레이션 서버 프록시 기능도 제공합니다.

경계 네트워크에서 일반적인 경우처럼 인트라넷 연결 방화벽은 경계 네트워크와 회사 네트워크 간에 설정되고 인터넷 연결 방화벽은 대체로 경계 네트워크와 인터넷 간에 설정됩니다. 이 시나리오에서 페더레이션 서버 프록시는 경계 네트워크의 두 방화벽 사이에 있습니다.

페더레이션 서버 프록시에 대한 방화벽 서버 구성

페더레이션 서버 프록시 리디렉션 프로세스가 성공하려면 모든 방화벽 서버를 구성하여 HTTPS(Secure Hypertext Transfer Protocol) 트래픽을 허용해야 합니다. 방화벽 서버가 포트 443을 사용하여 페더레이션 서버 프록시를 게시해야 경계 네트워크의 페더레이션 서버 프록시가 회사 네트워크의 페더레이션 서버에 액세스할 수 있도록 하기 때문에 HTTPS를 사용해야 합니다.

참고

클라이언트 컴퓨터와의 모든 통신도 HTTPS를 통해 발생합니다.

또한 Microsoft ISA(인터넷 보안 및 가속) 서버를 실행하는 컴퓨터와 같은 인터넷 연결 방화벽 서버는 서버 게시 프로세스를 사용하여 인터넷 클라이언트 요청을 페더레이션 서버 프록시 또는 페더레이션 서버와 같은 적절한 경계 및 회사 네트워크 서버에 배포합니다.

서버 게시 규칙은 서버 게시의 작동 방식을 결정하며, 기본적으로 ISA Server 컴퓨터를 통해 들어오고 나가는 모든 요청을 필터링합니다. 서버 게시 규칙은 들어오는 클라이언트 요청을 ISA Server 컴퓨터 뒤의 해당 서버에 매핑합니다. 서버를 게시하도록 ISA 서버를 구성하는 방법에 대한 자세한 내용은 보안 웹 게시 규칙 만들기를 참조하세요.

AD FS의 페더레이션된 세계에서 이러한 클라이언트 요청은 일반적으로 특정 URL(예: 다음과 같은 페더레이션 서버 식별자 URL)에 대해 이루어집니다. http://fs.fabrikam.com. 이러한 클라이언트 요청은 인터넷에서 들어오기 때문에 경계 네트워크에 배포된 각 페더레이션 서버 프록시에 대한 페더레이션 서버 식별자 URL을 게시하도록 인터넷 연결 방화벽 서버를 구성해야 합니다.

SSL을 허용하도록 ISA Server 구성

보안 AD FS 통신을 용이하게 하려면 다음 간에 SSL(Secure Sockets Layer) 통신을 허용하도록 ISA 서버를 구성해야 합니다.

  • 페더레이션 서버 및 페더레이션 서버 프록시. 페더레이션 서버와 페더레이션 서버 프록시 간의 모든 통신에 SSL 채널이 필요합니다. 따라서 회사 네트워크와 경계 네트워크 간에 SSL 연결을 허용하도록 ISA Server를 구성해야 합니다.

  • 클라이언트 컴퓨터, 페더레이션 서버 및 페더레이션 서버 프록시. 클라이언트 컴퓨터와 페더레이션 서버 간 또는 클라이언트 컴퓨터와 페더레이션 서버 프록시 간에 통신이 발생할 수 있도록 페더레이션 서버 또는 페더레이션 서버 프록시 앞에 ISA 서버를 실행 하는 컴퓨터를 배치할 수 있습니다.

    조직에서 페더레이션 서버 또는 페더레이션 서버 프록시에서 SSL 클라이언트 인증을 수행하는 경우 페더레이션 서버 또는 페더레이션 서버 프록시 앞에 ISA 서버를 실행하는 컴퓨터를 배치하는 경우 SSL 연결이 페더레이션 서버 또는 페더레이션 서버 프록시에서 종료되어야 하므로 서버가 SSL 연결의 통과를 위해 구성되어야 합니다.

    조직에서 페더레이션 서버 또는 페더레이션 서버 프록시에서 SSL 클라이언트 인증을 수행하지 않는 경우 추가 옵션은 ISA 서버를 실행하는 컴퓨터에서 SSL 연결을 종료한 다음 페더레이션 서버 또는 페더레이션 서버 프록시에 대한 SSL 연결을 다시 설정하는 것입니다.

참고

페더레이션 서버 또는 페더레이션 서버 프록시 보안 토큰의 콘텐츠를 보호 하려면 SSL에 의해 연결을 보호 해야 합니다.

참고 항목

Windows Server 2012의 AD FS 디자인 가이드