Share via

클레임 규칙의 역할

  • 아티클

AD FS(Active Directory Federation Services)에서 페더레이션 서비스의 전반적인 기능은 클레임 집합이 포함된 토큰을 발급하는 것입니다. AD FS 수락 하 고 실행 한 다음 클레임에 대 한 결정은 클레임 규칙에 따라 적용 됩니다.

클레임 규칙이란?

클레임 규칙은 하나 이상의 들어오는 클레임에 대해 조건(if x then y)을 적용하고 조건 매개 변수를 기반으로 하나 이상의 나가는 클레임을 생성하는 비즈니스 논리의 인스턴스를 나타냅니다. 들어오고 나가는 클레임에 대 한 자세한 내용은 참조 The 역할 클레임합니다.

클레임 파이프라인을 통해 클레임의 흐름을 제어하는 비즈니스 논리를 구현해야 할 때 클레임 규칙을 사용할 수 있습니다. 클레임 파이프라인은 클레임 흐름을 위한 엔드투엔드 프로세서의 더 논리적인 개념이지만 클레임 규칙은 클레임 발급 프로세스를 통한 클레임 흐름을 사용자 지정할 수 있는 실제 관리 요소입니다.

클레임 파이프라인에 대 한 자세한 내용은 참조 클레임 엔진의 역할합니다.

클레임 규칙에는 다음과 같은 이점을 제공합니다.

  • 관리자가 클레임 공급자의 신뢰할 수 있는 클레임에 대해 런타임 비즈니스 논리를 적용할 수 있는 메커니즘 제공

  • 관리자가 신뢰 당사자에게 릴리스되는 클레임을 정의할 수 있는 메커니즘 제공

  • 관리자가 특정 사용자에게 액세스 권한을 허용하거나 거부할 수 있는 강력하고 세부적인 클레임 기반 권한 부여 기능 제공

클레임 규칙을 처리하는 방법

클레임 규칙 사용 하 여 클레임 파이프라인을 통해 처리 되는 클레임 엔진합니다. 클레임 엔진은 사용자로부터의 들어오는 클레임 집합을 검사하고 각 규칙의 논리를 기준으로 클레임의 출력 집합을 생성하는 페더레이션 서비스의 논리적 구성 요소입니다.

클레임 규칙 엔진과 지정된 페더레이션 트러스트와 연결된 클레임 규칙 집합은 들어오는 클레임을 있는 그대로 통과해야 하는지, 특정 조건의 조건을 충족하도록 필터링되는지 또는 페더레이션 서비스에서 나가는 클레임으로 발급되기 전에 완전히 새로운 클레임 집합으로 변환해야 하는지를 결정합니다.

이 프로세스에 대 한 자세한 내용은 참조 클레임 엔진의 역할합니다.

클레임 규칙 템플릿이란?

AD FS 클레임 규칙 쉽게 고안 된 템플릿을 선택 하 고 특정 비즈니스 요구에 가장 적합 한 클레임 규칙을 만들의 미리 정의 된 집합을 포함 합니다. 클레임 규칙 템플릿은 클레임 규칙 생성 프로세스 중에만 사용됩니다.

AD FS 관리 스냅인에서는 클레임 규칙 템플릿을 사용하여서만 규칙을 만들 수 있습니다. 스냅인을 사용하여 클레임 규칙 템플릿을 선택한 다음 규칙 논리에 맞게 필요한 데이터를 입력하고 구성 데이터베이스에 저장하면 이후 UI에서 클레임 규칙으로 참조됩니다.

클레임 규칙 템플릿의 작동 방법

얼핏 보면 클레임 규칙 템플릿이 들어오는 클레임에서 데이터 및 프로세스 관련 논리를 수집하기 위해 스냅인에서 제공하는 단순한 입력 양식처럼 보일 수 있습니다. 그러나 더 세부적으로 볼 때 클레임 규칙 템플릿에는 언어에 대해 잘 몰라도 규칙을 빠르게 생성하는 데 필요한 기본 논리를 구성하는 필수 클레임 규칙 언어 프레임워크가 저장됩니다.

UI(사용자 인터페이스)에 제공된 각 템플릿은 가장 일반적으로 필요한 관리 작업을 기준으로 미리 채워진 클레임 규칙 언어 구문을 나타냅니다. 그러나 예외인 규칙 템플릿이 하나 있습니다. 이 템플릿을 사용자 지정 규칙 템플릿이라고 합니다. 이 템플릿에는 구문이 미리 채워져 있지 않습니다. 대신 클레임 규칙 언어 구문을 사용하여 클레임 규칙 템플릿 양식의 본문에 클레임 규칙 언어 구문을 직접 작성해야 합니다.

클레임 규칙 언어 구문을 사용 하는 방법에 대 한 자세한 내용은 참조 클레임 규칙 언어의 역할 AD FS 배포 가이드에 있습니다.

클레임 규칙 언어를 클릭 하 여 언제 든 지 연결 된 규칙을 볼 수는 규칙 언어 보기 클레임 규칙의 속성에는 단추입니다.

클레임 규칙을 만드는 방법

클레임 규칙은 페더레이션 서비스 내의 각 페더레이션 트러스터 관계에 대해 개별적으로 만들어지며 여러 트러스트 간에 공유되지 않습니다. 클레임 규칙 템플릿에서 규칙을 만들려면, 클레임 규칙 언어를 사용 하 여 규칙을 작성 하 여 처음부터 다시 시작 하거나 Windows PowerShell을 사용 하 여 규칙을 사용자 지정할 수 있습니다.

이러한 옵션은 모두 지정된 시나리오에 적합한 방법을 선택할 때 유연성을 제공합니다. 클레임 규칙을 만드는 방법에 대 한 자세한 내용은 참조 클레임 규칙 구성 AD FSDeployment 가이드에서입니다.

클레임 규칙 템플릿 사용

클레임 규칙 템플릿은 클레임 규칙 생성 프로세스 중에만 사용됩니다. 클레임 규칙을 만들려면 다음 템플릿 중 하나를 사용할 수 있습니다.

  • 들어오는 클레임 통과 또는 필터링

  • 들어오는 클레임 변환

  • LDAP 특성을 클레임으로 보내기

  • 그룹 구성원을 클레임으로 보내기

  • 사용자 지정 규칙을 사용하여 클레임 보내기

  • 들어오는 클레임에 따라 사용자 허용 또는 거부

  • 모든 사용자 허용

이러한 각를 설명 하는 자세한 정보에 대 한 클레임 규칙 템플릿, 참조 종류의 클레임 규칙 템플릿을 사용 하 여 결정합니다.

클레임 규칙 언어 사용

표준 클레임 규칙 템플릿의 범위를 벗어나는 비즈니스 규칙의 경우 사용자 지정 규칙 템플릿을 사용하여 클레임 규칙 언어를 사용하는 복잡한 논리 조건 집합을 표현할 수 있습니다. 사용자 지정 규칙을 사용 하는 방법에 대 한 자세한 내용은 참조 사용자 지정 클레임 규칙을 사용 하는 경우합니다.

Windows PowerShell 사용

만들거나 AD FS에서 규칙을 관리할 Windows PowerShell을 사용한 ADFSClaimRuleSet cmdlet 개체를 사용할 수 있습니다. 이 cmdlet과 Windows PowerShell을 사용 하는 방법에 대 한 자세한 내용은 참조 Windows PowerShell을 사용한 AD FS 관리합니다.

클레임 규칙 집합이란?

다음 그림에 표시된 것처럼 클레임 규칙 집합은 클레임 규칙 엔진에 의해 클레임이 처리되는 방법을 정의하는 특정 페더레이션 트러스터에 대한 하나 이상의 규칙 그룹입니다. 페더레이션 서비스에서 들어오는 클레임을 수신하면 클레임 규칙 엔진이 적절한 클레임 규칙 집합에서 지정한 논리를 적용합니다. 이 논리는 집합에서 클레임이 지정된 트러스트에 대해 발급되는 방법을 결정하는 각 규칙 논리의 최종 합계입니다.

AD FS roles

클레임 규칙은 지정된 규칙 집합 내에서 시간 순서대로 클레임 엔진에 의해 처리됩니다. 한 규칙의 출력을 집합의 다음 규칙에 대한 입력으로 사용할 수 있으므로 이 순서는 중요합니다.

클레임 규칙 집합 유형이란?

클레임 규칙 집합 유형은 트러스트와 연관된 클레임 규칙 집합을 클레임 발급, 권한 부여 또는 수용에 사용할지를 식별하는 페더레이션 트러스트의 논리적 세그먼트입니다. 각 페더레이션된 트러스트는 사용되는 트러스트 유형에 따라 하나 이상의 클레임 규칙 집합 유형에 연결할 수 있습니다.

다음 표에서는 다양한 유형의 클레임 규칙 집합과 클레임 공급자 트러스트 또는 신뢰 당사자와의 관계를 설명합니다.

클레임 규칙 집합 유형 설명 사용
수용 변환 규칙 집합 특정 클레임 공급자 트러스트에서 클레임 공급자 조직으로부터 수용할 들어오는 클레임과, 신뢰 당사자 트러스트로 보낼 나가는 클레임을 지정하기 위해 사용하는 클레임 규칙의 집합입니다.

이 규칙 집합을 소싱하는 데 사용할 들어오는 클레임은 클레임 공급자 조직에 지정된 발급 변환 규칙 집합에 의해 출력되는 클레임입니다.

기본적으로 클레임 공급자 트러스트 노드 포함 이라는 클레임 공급자 트러스트를 Active Directory 수용 변환 규칙 집합에 대 한 원본 특성 저장소를 나타내는 데 사용 되는 합니다. 이 트러스트 개체는 네트워크에 대 한 Active Directory 데이터베이스를 페더레이션 서비스에서 연결을 나타내는 데 사용 됩니다. 이 기본 트러스트는 Active Directory에 의해 인증된 사용자에 대한 클레임을 처리하므로 삭제할 수 없습니다.

 클레임 공급자 트러스트
발급 변환 규칙 집합 신뢰 당사자 트러스트에서 신뢰 당사자에게 발급할 클레임을 지정하는 데 사용하는 클레임 규칙의 집합입니다.

이 규칙 집합을 소싱하는 데 사용할 들어오는 클레임은 원래 수용 변환 규칙에 의한 출력입니다.

 신뢰 당사자 트러스트
발급 권한 부여 규칙 집합 신뢰 당사자 트러스트에서 신뢰 당사자에 대한 토큰을 수신하도록 허용할 클레임 규칙의 집합입니다.

이러한 규칙은 사용자가 신뢰 당사자에 대한 클레임을 수신하여 신뢰 당사자에 액세스할 수 있는지 여부를 결정합니다.

발급 권한 부여 규칙을 지정하지 않으면 기본적으로 모든 사용자의 액세스가 거부됩니다.

 신뢰 당사자 트러스트
위임 권한 부여 규칙 집합 신뢰 당사자 트러스트에서 신뢰 당사자에 대해 다른 사용자의 대리인 역할을 하도록 허용할 사용자를 지정하는 클레임 규칙의 집합입니다.

이러한 규칙은 신뢰 당사자에게 전송되는 토큰에서 요청자를 식별하는 동시에 요청자가 사용자를 가장하도록 허용할지 여부를 결정합니다.

위임 권한 부여 규칙을 지정하지 않는 한 사용자는 기본적으로 대리인 역할을 할 수 없습니다.

 신뢰 당사자 트러스트
가장 권한 부여 규칙 집합 신뢰 당사자에 게 다른 사용자를 가장 하는 사용자 여부를 확인 하려면 Windows PowerShell을 사용 하 여 구성 하는 규칙 수를 완벽 하 게 하는 클레임의 집합입니다.

이러한 규칙은 신뢰 당사자에게 전송되는 토큰에서 요청자를 식별하지 않고 요청자가 사용자를 가장하도록 허용할지 여부를 결정합니다.

이 방법으로 다른 사용자를 가장하면 신뢰 당사자가 사용자의 가장 여부를 확인할 수 없으므로 매우 강력한 기능입니다.

 신뢰 당사자 트러스트

선택 하는 방법에 대 한 자세한 내용은 조직에서 사용 하 여 적절 한 클레임 규칙 참조 종류의 클레임 규칙 템플릿을 사용 하 여 결정합니다.