클레임 기반 ID 모델에서 클레임은 페더레이션 프로세스에서 매우 중요한 역할을 하며, 모든 웹 기반 인증 및 권한 부여 요청의 결과를 결정하는 주요 구성 요소입니다. This model enables organizations to securely project digital identity and entitlement rights, or claims, across security and enterprise boundaries in a standardized way.
클레임이란?
In its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Each statement corresponds to a value that is stored in the claim.
클레임 소싱 방식
AD FS(Active Directory Federation Services)의 페더레이션 서비스는 페더레이션 파트너 간에 교환되는 클레임을 정의합니다. 그러나 이렇게 하려면 먼저 검색된 값 또는 계산된 값으로 클레임을 채우거나 소싱해야 합니다. 각 클레임 값은 사용자, 그룹 또는 엔터티의 값을 나타내며 다음 두 가지 방법 중 하나로 소싱됩니다.
클레임을 구성하는 값이 특성 저장소에서 검색되는 경우(예: 특성 값 Sales Department가 Active Directory 사용자 계정의 속성에서 검색되는 경우). 자세한 내용은 The Role of Attribute Stores를 참조하세요.
들어오는 클레임의 값이 규칙에 표현된 논리에 따라 다른 값으로 변환되는 경우(예: 예를 들어, 값이 Domain Admins인 들어오는 클레임이 나가는 클레임으로 전송되기 전에 새 값인 관리자(Administrators)로 변환되는 경우. 자세한 내용은 The Role of Claim Rules를 참조하세요.
클레임은 메일 주소, UPN(사용자 계정 이름), 그룹 구성원 자격, 기타 계정 특성 등의 값을 포함할 수 있습니다.
클레임의 흐름 방식
다른 당사자는 클레임 값을 기반으로 자신이 호스트하는 웹 기반 애플리케이션에 대한 권한 부여 작업을 수행합니다. These parties are referred to as relying parties in the AD FS Management snap-in. 페더레이션 서비스는 서로 다른 여러 당사자 간 트러스트의 조정을 담당합니다. It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. 그런 다음 신뢰 당사자는 이러한 클레임을 사용하여 권한 부여 결정을 내립니다.
The flow of claims using this process is known as the claims pipeline. 클레임 파이프라인을 통한 클레임 흐름에는 세 가지 단계가 있습니다.
클레임 공급자로부터 받은 클레임은 클레임 공급자 트러스트의 수용 변환 규칙에 의해 처리됩니다. 이러한 규칙은 클레임 공급자가 수용하는 클레임을 결정합니다.
수용 변환 규칙의 출력은 발급 권한 부여 규칙의 입력으로 사용됩니다. 이러한 규칙은 사용자가 신뢰 당사자에 액세스할 수 있는지 여부를 결정합니다.
수용 변환 규칙의 출력은 발급 변환 규칙의 입력으로 사용됩니다. 이러한 규칙은 신뢰 당사자에게 전송되는 클레임을 결정합니다.
자세한 내용은 The Role of the Claims Pipeline을 참조하세요.
클레임 발급 방식
클레임 규칙을 작성할 때 클레임 규칙에 대한 들어오는 클레임의 소스는 클레임 공급자 트러스트에 대한 규칙을 작성하는지 또는 신뢰 당사자 트러스트에 대한 규칙을 작성하는지에 따라 달라집니다. 클레임 공급자 트러스트에 대한 클레임 규칙을 작성하는 경우 들어오는 클레임은 신뢰할 수 있는 클레임 공급자가 페더레이션 서비스로 전송한 클레임입니다. 신뢰 당사자 트러스트에 대한 규칙을 작성하는 경우 들어오는 클레임은 적용 가능한 클레임 공급자 트러스트의 클레임 규칙에 의해 출력된 클레임입니다. 들어오는 클레임과 나가는 클레임에 대한 자세한 내용은 The Role of the Claims Pipeline 및 The Role of the Claims Engine을 참조하세요.
클레임 유형이란?
클레임 유형은 클레임 값에 대한 컨텍스트를 제공하며, 일반적으로 URI(Uniform Resource Identifier)로 표현됩니다. AD FS는 모든 클레임 유형을 지원할 수 있으며, 기본적으로 다음 표에 나와 있는 클레임 유형으로 구성됩니다.
| Name | Description | URI |
|---|---|---|
| E-Mail Address | 사용자의 메일 주소입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Given Name | 사용자의 지정된 이름입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Name | 사용자의 고유한 이름입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | 사용자의 UPN(사용자 계정 이름)입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Common Name | 사용자의 일반 이름입니다. | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x 메일 주소 | AD FS 1.1 또는 AD FS 1.0과 상호 운용할 때 사용되는 사용자의 이메일 주소 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Group | 사용자가 구성원으로 속해 있는 그룹입니다. | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | AD FS 1.1 또는 AD FS 1.0과 상호 운용할 때 사용되는 사용자의 UPN | http://schemas.xmlsoap.org/claims/UPN |
| Role | 사용자의 역할입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | 사용자의 성입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | 사용자의 개인 식별자입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Name Identifier | 사용자의 SAML 이름 식별자입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Authentication Method | 사용자를 인증하는 데 사용되는 방법입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| 거부 전용 그룹 SID | 사용자의 거부 전용 그룹 SID입니다. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| 주요 SID만 거부 | 사용자의 거부 전용 주 보안 식별자(SID)입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| 주 그룹 SID만 거부 | 사용자의 거부 전용 주 그룹 SID입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Group SID | 사용자의 그룹 SID입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| 주 그룹 SID | 사용자의 주 그룹 SID입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primary SID | 사용자의 주 SID입니다. | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows 계정 이름 | <domain>\<user> 형식으로 된 사용자의 도메인 계정 이름 | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
클레임 설명이란?
클레임 설명은 AD FS에서 지원하며 페더레이션 메타데이터에 게시할 수 있는 클레임 유형의 목록을 나타냅니다. 위 표에 나와 있는 클레임 유형은 AD FS 관리 스냅인의 클레임 설명으로 구성됩니다.
페더레이션 메타데이터에 게시되는 클레임 설명의 컬렉션은 AD FS 구성 데이터베이스에 저장됩니다. 이러한 클레임 설명은 페더레이션 서비스의 여러 구성 요소에서 사용됩니다.
각 클레임 설명은 클레임 유형 URI, 이름, 게시 상태 및 설명을 포함합니다. You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. 스냅인을 사용하여 클레임 설명의 게시 상태를 수정할 수 있습니다. 다음과 같은 설정을 사용할 수 있습니다.
페더레이션 메타데이터의 이 클레임을 이 페더레이션 서비스에서 수용할 수 있는 클레임 유형으로 게시(수용됨으로 게시) - 이 페더레이션 서비스에서 수용하는 다른 클레임 공급자의 클레임 유형을 나타냅니다.
페더레이션 메타데이터의 이 클레임을 이 페더레이션 서비스에서 보낼 수 있는 클레임 유형으로 게시(보냄으로 게시) - 이 페더레이션 서비스에서 제공하는 클레임 유형을 나타냅니다. 페더레이션 서비스는 다른 사람들에게 자신이 보내려는 클레임 유형으로 이러한 클레임 유형을 게시합니다. 클레임 공급자가 보낸 실제 클레임 유형은 이 목록의 하위 집합에 속하는 경우가 많습니다.
클레임 유형의 게시 상태를 설정하는 방법에 대한 자세한 내용은 AD FS 배포 가이드에서 클레임 설명 추가를 참조하세요.
페더레이션 메타데이터를 생성하는 경우
페더레이션 메타데이터는 게시용으로 표시된 모든 클레임 설명을 포함합니다.
클레임 규칙이 처리되는 경우
클레임 설명에 대한 구성 정보를 유지하면 클레임에 대한 규칙을 보다 쉽게 구성할 수 있습니다. 클레임 공급자 조직에서 사용할 수 있는 클레임 규칙에 대한 자세한 내용은 The Role of Claim Rules을 참조하세요.