사용할 클레임 규칙 템플릿 유형 결정
AD FS(Active Directory Federation Services) 인프라 설계의 중요한 부분은 조직과의 페더레이션에 참여할 각 파트너에 대해 전체 클레임 규칙 집합과 이를 만드는 데 사용해야 하는 해당 클레임 규칙 템플릿을 결정하는 것입니다. AD FS 관리 스냅인에서 클레임 규칙 템플릿을 사용하여 규칙을 만듭니다.
구성한 각 클레임 규칙 집합은 하나의 페더레이션된 트러스트에만 연결될 수 있습니다. 즉, 하나의 트러스트에 규칙 집합을 만든 후 페더레이션 서비스의 다른 트러스트에 사용할 수 없습니다. 대신, 각 페더레이션된 파트너와 조직 간에 합의된 원하는 클레임 집합을 보다 신속하게 생성하기 위해 클레임 규칙 템플릿에서 쉽게 규칙을 만들 수 있습니다.
규칙 및 규칙 템플릿에 대한 자세한 내용은 The Role of Claim Rules을 참조하세요.
사용해야 하는 클레임 규칙 템플릿 유형을 결정하기 전에 다음 질문을 고려해 보세요.
신뢰할 수 있는 클레임 공급자가 어떤 클레임을 제공하나요?
각 클레임 공급자의 어떤 클레임을 신뢰하나요?
이 페더레이션 서비스를 신뢰하는 신뢰 당사자가 어떤 클레임을 요구하나요?
각 신뢰 당사자에게 어떤 클레임을 공개하실 것인가요?
어떤 사용자가 각 신뢰 당사자에 액세스할 수 있어야 하나요?
이러한 질문에 대답하면 견고한 클레임 규칙 디자인을 계획하는 데 도움이 됩니다. 또한 매끄러운 권한 부여 및 액세스 제어 전략을 만들고 배포 팀이 롤아웃 중에 보다 효율적으로 작업하는 데 도움이 됩니다.
이 다음 섹션에서는 비즈니스 요구에 따라 해당 환경에 대해 선택할 규칙 템플릿 유형에 대해 알아볼 수 있습니다.
클레임 규칙 템플릿 유형
다음 표에서는 AD FS 관리 스냅인을 사용하여 규칙을 만드는 데 사용할 수 있는 모든 유형의 클레임 규칙 템플릿과 다른 템플릿 형식을 사용하는 이점에 대해 설명합니다.
규칙 템플릿 유형 | 설명 | 장점 | 단점 |
---|---|---|---|
들어오는 클레임 통과 또는 필터링 | 선택한 클레임 유형에 대한 모든 클레임 값을 통과하거나 선택한 클레임 유형에 대한 특정 클레임 값만 통과하도록 클레임 값에 따라 클레임을 필터링하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use a Pass Through or Filter Claim Rule를 참조하세요. |
- 수락되거나 변경되지 않은 상태로 발급될 특정 클레임을 선택하는 데 사용할 수 있습니다. | - 클레임 유형 및 값을 변경할 수 없음 |
들어오는 클레임 변환 | 들어오는 클레임을 선택하고 다른 클레임 유형에 매핑하거나 해당 클레임 값을 새 클레임 값에 매핑할 수 있는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use a Transform Claim Rule를 참조하세요. |
- 클레임 형식 또는 값을 정규화하는 데 사용할 수 있습니다. - 들어오는 클레임의 전자 메일 접미사를 바꿀 수 있음 |
- 더 복잡한 문자열을 대체하려면 사용자 지정 규칙이 필요합니다. |
LDAP 특성을 클레임으로 보내기 | LDAP 특성 저장소에서 신뢰 당사자에게 클레임으로 보낼 특성을 선택하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use a Send LDAP Attributes as Claims Rule를 참조하세요. |
- AD DS/AD LDS 특성 저장소에서 클레임을 원본으로 만들 수 있습니다. - 단일 규칙을 사용하여 여러 클레임을 발급할 수 있습니다. |
- 성능 – 계정 조회의 결과로 느림 - 쿼리에 사용자 지정 LDAP 필터를 사용할 수 없음 |
그룹 구성원을 클레임으로 보내기 | 사용자가 Active Directory 보안 그룹의 구성원인 경우 지정된 클레임 유형 및 값을 보낼 수 있는 규칙을 만드는 데 사용됩니다. 선택한 그룹에 따라 하나의 클레임만 이 규칙을 사용하여 전송됩니다. 자세한 내용은 When to Use a Send Group Membership as a Claim Rule를 참조하세요. |
- 그룹 클레임 발급을 위한 빠른 성능 - 계정 조회 없음 | - 사용자가 로컬 Active Directory 그룹의 구성원이어야 합니다. |
사용자 지정 규칙을 사용하여 클레임 보내기 | 표준 규칙 템플릿보다 많은 고급 옵션을 제공하는 사용자 지정 규칙을 만드는 데 사용됩니다. AD FS 클레임 규칙 언어로 사용자 지정 규칙을 작성합니다. 자세한 내용은 When to Use a Custom Claim Rule를 참조하세요. |
- SQL 특성 저장소에서 클레임을 원본으로 사용하는 데 사용할 수 있습니다. - 사용자 지정 LDAP 필터를 지정하는 데 사용할 수 있습니다. - PPID를 발급하는 데 사용할 수 있습니다. - 사용자 지정 특성 저장소와 함께 사용할 수 있습니다. - 입력 클레임 집합에만 클레임을 추가하는 데 사용할 수 있습니다. - 둘 이상의 들어오는 클레임을 기반으로 클레임을 보내는 데 사용할 수 있습니다. |
- 구성하기가 더 어렵습니다. 처음에는 클레임 규칙 언어에 대한 지식을 얻기 위해 일부 진입 시간이 필요할 수 있습니다. |
들어오는 클레임에 따라 사용자 허용 또는 거부 | 들어오는 클레임의 유형 및 값에 따라 사용자가 신뢰 당사자에 대해 액세스를 허용하거나 거부하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use an Authorization Claim Rule를 참조하세요. |
- 권한 부여 프로세스 간소화 | - 하나의 클레임 유형과 하나의 클레임 값만 지정해야 합니다. - 클레임 값에 대한 패턴 일치를 지원하지 않습니다. |
모든 사용자 허용 | 모든 사용자가 신뢰 당사자에 액세스할 수 있도록 하는 규칙을 만드는 데 사용됩니다. 자세한 내용은 When to Use an Authorization Claim Rule를 참조하세요. |
- 간단한 구성 | - 들어오는 클레임 템플릿에 따라 허용 또는 거부 사용자를 사용하는 것보다 안전하지 않습니다. |