AD FS 요구 사항

다음은 AD FS(Active Directory Federation Services)를 배포하기 위한 요구 사항입니다.

• 5\. 인증서가 RD 게이트웨이에 대한 요구 사항을 충족하면 설치를 클릭합니다.

• 하드웨어 요구 사항

• 프록시 요구 사항

• AD DS 요구 사항

• 구성 데이터베이스 요구 사항

• 브라우저 요구 사항

• 네트워크 요구 사항

• 권한 요구 사항

인증서 요구 사항

TLS/SSL 인증서

각 AD FS 및 웹 애플리케이션 프록시 서버에는 페더레이션 서비스에 대한 HTTPS 요청을 서비스하는 TLS/SSL 인증서가 있습니다. 웹 애플리케이션 프록시 게시된 애플리케이션에 대한 서비스 요청에 대한 추가 인증서를 가질 수 있습니다.

TLS/SSL 인증서에 대한 권장 사항

모든 AD FS 페더레이션 서버 및 웹 애플리케이션 프록시에 대해 동일한 TLS/SSL 인증서를 사용합니다.

TLS/SSL 인증서에 대한 요구 사항

페더레이션 서버의 TLS/SSL 인증서는 다음 요구 사항을 충족해야 합니다.

• 인증서는 공개적으로 신뢰할 수 있습니다(프로덕션 배포용).
• 인증서에는 서버 인증 EKU(고급 키 사용량) 값이 포함됩니다.
• 인증서에는 주체 또는 SAN(주체 대체 이름)과 같은 fs.contoso.com 페더레이션 서비스 이름이 포함됩니다.
• 포트 443의 사용자 인증서 인증의 경우 인증서에는 SAN과 같은 certauth.fs.contoso.com 인증서가 포함됩니다certauth.\<federation service name\>.
• 디바이스 등록 또는 Windows 10 이전 클라이언트를 사용하는 온-프레미스 리소스에 대한 최신 인증의 경우 SAN은 조직에서 사용 중인 각 UPN(사용자 계정 이름) 접미사를 포함 enterpriseregistration.\<upn suffix\> 해야 합니다.

웹 애플리케이션 프록시 TLS/SSL 인증서는 다음 요구 사항을 충족해야 합니다.

• 프록시를 사용하여 Windows 통합 인증을 사용하는 AD FS 요청을 프록시하는 경우 프록시 TLS/SSL 인증서는 페더레이션 서버 TLS/SSL 인증서와 동일해야 합니다(동일한 키 사용).
• AD FS 속성인 ExtendedProtectionTokenCheck가 사용하도록 설정된 경우(AD FS의 기본 설정) 프록시 TLS/SSL 인증서는 페더레이션 서버 TLS/SSL 인증서와 동일해야 합니다(동일한 키 사용).
• 그렇지 않으면 프록시 TLS/SSL 인증서에 대한 요구 사항은 페더레이션 서버 TLS/SSL 인증서에 대한 요구 사항과 동일합니다.

서비스 통신 인증서

Microsoft Entra ID 및 Office 365를 비롯한 대부분의 AD FS 시나리오에는 이 인증서가 필요하지 않습니다. 기본적으로 AD FS는 초기 구성 시 제공된 TLS/SSL 인증서를 서비스 통신 인증서로 구성합니다.

서비스 통신 인증서에 대한 권장 사항

• TLS/SSL에 사용하는 것과 동일한 인증서를 사용합니다.

토큰 서명 인증서

이 인증서는 발급된 토큰을 신뢰 당사자에게 서명하는 데 사용되므로 신뢰 당사자 애플리케이션은 인증서와 연결된 키를 알려진 신뢰할 수 있는 것으로 인식해야 합니다. 토큰 서명 인증서 변경 내용을 만료 될 때 및 사용자와 같은 새 인증서를 구성 하는 경우 모든 신뢰 당사자를 업데이트 해야 합니다.

토큰 서명 인증서에 대한 권장 사항

AD FS 기본, 내부적으로 생성된 자체 서명된 토큰 서명 인증서를 사용합니다.

토큰 서명 인증서에 대한 요구 사항

• 조직에서 토큰 서명에 PKI(엔터프라이즈 공개 키 인프라)의 인증서를 사용하도록 요구하는 경우 Install-AdfsFarm cmdlet의 SigningCertificateThumbprint 매개 변수를 사용하여 이 요구 사항을 충족할 수 있습니다.
• 모든 신뢰 당사자는 새 인증서 정보로 업데이트 되며 내부적으로 생성 된 기본 인증서를 사용 하 여 연결 하거나 외부에서 토큰 서명 인증서를 변경 될 때 인증서를 등록 한 있는지 확인 해야 합니다. 그렇지 않으면 신뢰 당사자는 로그인할 수 없습니다.

토큰 암호화/암호 해독 인증서

이 인증서는 AD FS에 발급 된 토큰을 암호화 하는 클레임 공급자가 사용 됩니다.

토큰 암호화/인증서 암호 해독에 대한 권장 사항

AD FS 기본, 내부적으로 생성된 자체 서명된 토큰 암호 해독 인증서를 사용합니다.

토큰 암호화/인증서 암호 해독 요구 사항

• 조직에서 토큰 서명에 엔터프라이즈 PKI의 인증서를 사용하도록 요구하는 경우 Install-AdfsFarm cmdlet의 DecryptingCertificateThumbprint 매개 변수를 사용하여 이 요구 사항을 충족할 수 있습니다.
• 내부적으로 생성 된 기본 인증서를 사용 하 여 여부 또는 외부에서 사용자 인증서의 암호를 해독 하는 토큰 변경 될 때 인증서를 등록 한 모든 클레임 공급자는 새 인증서 정보로 업데이트 되며 확인 해야 합니다. 그렇지 않으면 업데이트되지 않은 클레임 공급자를 사용하여 로그인하지 못합니다.

주의

토큰 서명 및 토큰 암호 해독/암호화에 사용되는 인증서는 페더레이션 서비스의 안정성에 매우 중요합니다. 자체 토큰 서명 및 토큰 암호 해독/암호화 인증서를 관리하는 고객은 이러한 인증서가 백업되고 복구 이벤트 중에 독립적으로 사용할 수 있도록 해야 합니다.

사용자 인증서

• AD FS에서 x509 사용자 인증서 인증을 사용하는 경우 모든 사용자 인증서는 AD FS 및 웹 애플리케이션 프록시 서버가 신뢰하는 루트 인증 기관에 연결해야 합니다.

하드웨어 요구 사항

AD FS 및 웹 애플리케이션 프록시 하드웨어 요구 사항 (실제 또는 가상) 팜의 처리 용량에 대 한 크기를 지정 해야 하므로 cpu에서 제어 됩니다.

• AD FS 2016 용량 계획 스프레드시트를 사용하여 필요한 AD FS 및 웹 애플리케이션 프록시 서버 수를 확인합니다.

AD FS에 대한 메모리 및 디스크 요구 사항은 상당히 정적입니다. 요구 사항은 다음 표에 나와 있습니다.

하드웨어 요구 사항	최소 요구 사항	권장 요구 사항
RAM	2GB	4GB
디스크 공간	32GB	100GB

SQL Server 하드웨어 요구 사항

AD FS 구성 데이터베이스에 Azure SQL을 사용하는 경우 가장 기본적인 SQL Server 권장 사항에 따라 SQL Server 크기를 조정합니다. AD FS 데이터베이스 크기는 작으며 AD FS는 데이터베이스 인스턴스에 상당한 처리 부하를 주지 않습니다. 그러나 AD FS, 연결할 데이터베이스 여러 번을 인증 하는 동안 네트워크 연결이 정도로 강력해 야 합니다. 아쉽게도 SQL Azure는 AD FS 구성 데이터베이스에 대해 지원되지 않습니다.

프록시 요구 사항

• 엑스트라넷 액세스의 경우 원격 액세스 서버 역할의 일부인 웹 애플리케이션 프록시 역할 서비스를 배포해야 합니다.

• 타사 프록시는 AD FS 프록시로 지원되도록 MS-ADFSPIP 프로토콜을 지원해야 합니다. 타사 공급업체 목록은 AD FS에 대한 FAQ(질문과 대답)를 참조하세요.

• AD FS 2016에는 Windows Server 2016에서 웹 애플리케이션 프록시 서버가 필요합니다. 2016 팜 동작 수준에서 실행되는 AD FS 2016 팜에 대해 하위 수준 프록시를 구성할 수 없습니다.

• 페더레이션 서버와 웹 애플리케이션 프록시 역할 서비스는 동일한 컴퓨터에 설치할 수 없습니다.

AD DS 요구 사항

도메인 컨트롤러 요구 사항

• AD FS는 Windows Server 2008 이상을 실행 하는 도메인 컨트롤러가 필요 합니다.

• 비즈니스용 Windows Hello 하나 이상의 Windows Server 2016 do기본 컨트롤러가 필요합니다.

참고 항목

Windows Server 2003 도메인 컨트롤러와 환경에 대 한 모든 지원을 종료 되었습니다. 자세한 내용은 Microsoft 수 명 주기 정보를 참조하세요.

do기본 기능 수준 요구 사항

• AD FS 서버가 조인되는 모든 사용자 계정과 do기본 및 do기본는 Windows Server 2003 이상의 do기본 기능 수준에서 작동해야 합니다.

• 인증서가 AD DS의 사용자 계정에 명시적으로 매핑된 경우 클라이언트 인증서 인증에는 Windows Server 2008 do기본 기능 수준 이상이 필요합니다.

스키마 요구 사항

• AD FS 2016 새로 설치 (최소 버전 85) Active Directory 2016 스키마가 필요 합니다.

• AD FS 팜 동작 수준 (FBL) 2016 수준 올리기 Active Directory 2016 스키마 (최소 버전 85) 필요 합니다.

서비스 계정 요구 사항

• 모든 표준 도메인 계정이 AD FS에 대 한 서비스 계정으로 사용할 수 있습니다. 그룹 관리 서비스 계정도 지원됩니다. 런타임에 필요한 권한은 AD FS를 구성할 때 자동으로 다시 추가됩니다.

• AD 서비스 계정에 필요한 사용자 권한 할당은 서비스로 로그온됩니다.

• 보안 감사를 생성하고 NT Service\drs 서비스로 로그온하는 데 필요한 NT Service\adfssrv 사용자 권한 할당입니다.

• 그룹 관리 서비스 계정에는 Windows Server 2012 이상을 실행하는 하나 이상의 do기본 컨트롤러가 필요합니다. 그룹 관리 서비스 계정 gMSA는 기본 CN=Managed Service Accounts 컨테이너 아래에 있어야 합니다.

• Kerberos 인증의 경우 서비스 사용자 이름 ‘HOST/<adfs\_service\_name>'은 AD FS 서비스 계정에 등록되어야 합니다. 기본적으로 AD FS는 새 AD FS 팜을 만들 때 이 요구 사항을 구성합니다. 충돌 또는 권한이 부족한 경우와 같이 이 프로세스가 실패하면 경고가 표시되고 수동으로 추가해야 합니다.

도메인 요구 사항

• 모든 AD FS 서버는 AD DS 도메인에 조인 이어야 합니다.

• 모든 AD FS 서버 팜 내에서 동일한 도메인에 배포 되어야 합니다.

• AD FS 팜 첫 번째 노드 설치는 PDC를 사용할 수 있는 데 따라 달라집니다.

다중 포리스트 요구 사항

• 모든 도메인 이나 포리스트의 AD FS 서비스에 인증 하는 사용자가 포함 된 AD FS 서버 가입 된 도메인 신뢰 해야 합니다.

• AD FS 서비스 계정이 멤버인 포리스트는 모든 사용자 로그인 포리스트를 신뢰해야 합니다.

• AD FS 서비스 계정이 AD FS 서비스를 인증 하는 사용자를 포함 하는 모든 도메인 사용자 특성을 읽을 권한이 있어야 합니다.

구성 데이터베이스 요구 사항

이 섹션에서는 요구 사항 및 사용 하는 각각 내부 데이터베이스 WID (Windows) 또는 SQL Server 데이터베이스와 AD FS 팜에 대 한 제한 사항을 설명 합니다.

WID

• SAML 2.0의 아티팩트 확인 프로필은 WID 팜에서 지원되지 않습니다.

• 토큰 재생 검색은 WID 팜에서 지원되지 않습니다. 이 기능은 AD FS가 페더레이션 공급자 역할을 하고 외부 클레임 공급자의 보안 토큰을 사용하는 시나리오에서만 사용됩니다.

다음 표에서 AD FS 서버 수에 대 한 요약 제공 WID vs에서 SQL Server 팜을 지원 합니다.

1-100개의 RP 트러스트	100 개가 넘는 RP 트러스트
1-30 AD FS 노드: WID 지원	1-30 AD FS 노드: WID를 사용하여 지원되지 않음 - SQL 필요
30개 이상의 AD FS 노드: WID를 사용하여 지원되지 않음 - SQL 필요	30개 이상의 AD FS 노드: WID를 사용하여 지원되지 않음 - SQL 필요

SQL Server

• Windows Server 2016의 AD FS의 경우 SQL Server 2008 이상 버전이 지원됩니다.

• SAML 아티팩트 확인와 토큰 재생 검색은 SQL Server 팜의에서 지원 됩니다.

브라우저 요구 사항

브라우저 또는 브라우저 컨트롤을 통해 AD FS 인증을 수행하는 경우 브라우저는 다음 요구 사항을 준수해야 합니다.

• JavaScript를 사용하도록 설정해야 합니다.

• Single Sign-On의 경우 쿠키를 허용하도록 클라이언트 브라우저를 구성해야 합니다.

• SNI(서버 이름 표시)를 지원해야 합니다.

• 사용자 인증서 및 디바이스 인증서 인증의 경우 브라우저에서 TLS/SSL 클라이언트 인증서 인증을 지원해야 합니다.

• Windows 통합 인증을 사용하여 원활한 로그온을 수행하려면 로컬 인트라넷 영역 또는 신뢰할 수 있는 사이트 영역에서 페더레이션 서비스 이름(예: https:\/\/fs.contoso.com)을 구성해야 합니다.

네트워크 요구 사항

방화벽 요구 사항

웹 애플리케이션 프록시 및 페더레이션 서버 팜과 클라이언트와 웹 애플리케이션 프록시 사이에 있는 방화벽은 모두 TCP 포트 443을 인바운드로 사용하도록 설정해야 합니다.

또한 클라이언트 사용자 인증서 인증(X509 사용자 인증서를 사용한 clientTLS 인증)이 필요하고 인증서 엔드포인트에서 포트 443을 사용하도록 설정하지 않은 경우 AD FS 2016에서는 클라이언트와 웹 애플리케이션 프록시 간의 방화벽에서 TCP 포트 49443 인바운드를 사용하도록 설정해야 합니다. 이 요구 사항은 웹 애플리케이션 프록시 및 페더레이션 서버 간의 방화벽에는 적용되지 않습니다.

하이브리드 포트 요구 사항에 대한 자세한 내용은 하이브리드 ID 필수 포트 및 프로토콜을 참조 하세요.

자세한 내용은 Active Directory Federation Services 보안 모범 사례를 참조 하세요.

DNS 요구 사항

• 인트라넷 액세스의 경우 내부 회사 네트워크(인트라넷) 내에서 AD FS 서비스에 액세스하는 모든 클라이언트는 AD FS 서비스 이름을 AD FS 서버 또는 AD FS 서버의 부하 분산 장치로 확인할 수 있어야 합니다.

• 엑스트라넷 액세스의 경우 회사 네트워크 외부에서 AD FS 서비스에 액세스하는 모든 클라이언트(엑스트라넷/인터넷)는 AD FS 서비스 이름을 웹 애플리케이션 프록시 서버 또는 웹 애플리케이션 프록시 서버의 부하 분산 장치로 확인할 수 있어야 합니다.

• DMZ(완역 영역)의 각 웹 애플리케이션 프록시 서버는 AD FS 서버 또는 AD FS 서버의 부하 분산 장치로 AD FS 서비스 이름을 확인할 수 있어야 합니다. DMZ 네트워크에서 대체 Do기본 DNS(이름 시스템) 서버를 사용하거나 HOSTS 파일을 사용하여 로컬 서버 확인을 변경하여 이 구성을 만들 수 있습니다.

• Windows 통합 인증의 경우 페더레이션 서비스 이름에 DNS A 레코드(CNAME 아님)를 사용해야 합니다.

• 포트 443에서 사용자 인증서 인증의 경우 "certauth.<페더레이션 서버 또는 웹 애플리케이션 프록시 확인하려면 DNS에서 페더레이션 서비스 이름>"을 구성해야 합니다.

• 디바이스 등록 또는 Windows 10 이전 클라이언트enterpriseregistration.\<upn suffix\>를 사용하는 온-프레미스 리소스에 대한 최신 인증의 경우 조직에서 사용 중인 각 UPN 접미사에 대해 페더레이션 서버 또는 웹 애플리케이션 프록시 확인하도록 구성해야 합니다.

Load Balancer 요구 사항

• 부하 분산 장치는 TLS/SSL을 종료해서는 안 됩니다. AD FS는 TLS/SSL을 종료할 때 중단되는 인증서 인증을 사용하는 여러 사용 사례를 지원합니다. 부하 분산 장치에서 TLS/SSL을 종료하는 것은 사용 사례에 대해 지원되지 않습니다.
• SNI를 지원하는 부하 분산 장치를 사용합니다. 그렇지 않은 경우 AD FS 또는 웹 애플리케이션 프록시 서버에서 0.0.0.0 대체 바인딩을 사용하여 해결 방법을 제공해야 합니다.
• HTTPS가 아닌 HTTP 상태 프로브 엔드포인트를 사용하여 트래픽 라우팅에 대한 부하 분산 장치 상태 검사 수행합니다. 이 요구 사항은 SNI와 관련된 문제를 방지합니다. 이러한 프로브 엔드포인트에 대한 응답은 HTTP 200 OK이며 백 엔드 서비스에 대한 종속성 없이 로컬로 제공됩니다. HTTP 프로브는 '/adfs/probe' 경로를 사용하여 HTTP를 통해 액세스할 수 있습니다.
  • http://<Web Application Proxy name>/adfs/probe
  • http://<AD FS server name>/adfs/probe
  • http://<Web Application Proxy IP address>/adfs/probe
  • http://<AD FS IP address>/adfs/probe
• 부하를 분산하는 방법으로 DNS 라운드 로빈을 사용하지 않는 것이 좋습니다. 이 유형의 부하 분산을 사용하면 상태 프로브를 사용하여 부하 분산 장치에서 노드를 제거하는 자동화된 방법이 제공되지 않습니다.
• 부하 분산 장치 내에서 AD FS에 대한 인증 트래픽에 IP 기반 세션 선호도 또는 고정 세션을 사용하지 않는 것이 좋습니다. 메일 클라이언트에 레거시 인증 프로토콜을 사용하여 Office 365 메일 서비스(Exchange Online)에 연결할 때 특정 노드의 오버로드가 발생할 수 있습니다.

권한 요구 사항

설치 및 AD FS의 초기 구성을 수행 하는 관리자에는 AD FS 서버에서 로컬 관리자 권한이 있어야 합니다. 로컬 관리자가 Active Directory에서 개체를 만들 수 있는 권한이 없는 경우 먼저 do기본 관리자가 필요한 AD 개체를 만든 다음 관리 구성 매개 변수를 사용하여 AD FS 팜을 구성해야 합니다.