다음을 통해 공유


클레임 파이프라인의 역할

ADFS(Active Directory 페더레이션 서비스)의 클레임 파이프라인은 클레임이 발급되기 전에 페더레이션 서비스를 통해 클레임이 따라야 하는 경로를 나타냅니다. 페더레이션 서비스는 클레임 파이프라인의 다양한 단계를 통해 클레임 흐름의 전체 엔드투엔드 프로세스를 관리하며 여기에는 클레임 규칙 엔진에 의한 클레임 규칙의 처리도 포함됩니다.

클레임 규칙 템플릿에 대한 자세한 내용은 클레임 규칙의 역할을 참조하세요. 클레임 규칙 엔진에서 규칙을 처리하는 방법에 대한 자세한 내용은 The Role of the Claims Engine을 참조하세요.

다음 섹션에서는 페더레이션 서비스에서 감독하는 프로세스에 대해 더 자세히 설명합니다.

클레임 파이프라인 프로세스

클레임 파이프라인 프로세스는 높은 수준의 세 단계로 구성됩니다. 이 프로세스의 각 단계는 클레임 규칙 엔진을 초기화하여 해당 단계와 관련된 클레임 규칙을 처리합니다. 각 단계는 발생 순서에 따라 다음과 같습니다.

  1. 들어오는 클레임 수용 - 클레임 파이프라인의 이 단계는 토큰에서 들어오는 클레임을 추출하고 예기치 않은 클레임이나 신뢰할 수 없는 클레임을 제거하는 데 사용됩니다. 추출 후에는 클레임 공급자 트러스트를 위한 수용 변환 규칙 집합을 구성하는 수용 규칙이 실행됩니다. 이러한 규칙을 사용하여 클레임 파이프라인의 이후 단계에서 사용할 수 있는 새 클레임을 전달 또는 추가할 수 있습니다. 이 단계의 출력은 두 번째 및 세 번째 단계에 대한 입력으로 사용됩니다.

  2. 클레임 요청자 권한 부여 - 이 단계는 토큰 요청자가 해당 신뢰 당사자의 토큰을 얻을 수 있는지 여부를 기준으로 클레임 엔진에서 허가를 발급하거나 클레임을 거부하는 데 사용됩니다. 그러나 그전에 신뢰 당사자 트러스트를 위한 발급 권한 부여 규칙 집합 또는 위임 권한 부여 규칙 중 하나를 구성하는 권한 부여 규칙을 실행해야 합니다.

  3. 나가는 클레임 발급 - 이 단계는 나가는 클레임을 발급하여 보안 토큰 패키지에 포함될 파이프라인을 따라 전달하는 데 사용됩니다. 그러나 그전에 신뢰 당사자 트러스트를 위한 발급 변환 규칙 집합을 구성하는 발급 규칙을 실행하여 나가는 클레임으로 발급될 클레임을 확인해야 합니다.

위의 세 단계는 모두 클레임 규칙 처리를 수행하지만 각각 다른 규칙 집합을 사용합니다. 위에서 설명한 대로 각 단계에는 들어오는 클레임 발급자(수용 규칙) 또는 claimincludes가 발급 중인 대상 서비스(권한 부여 및 발급 규칙) 중 하나에 따라 관련된 규칙 집합이 있습니다.

클레임은 토큰에 제약이 없지만 보안 토큰에 캡슐화된 네트워크를 통해 전송됩니다. 클레임 규칙은 들어오거나 나가는 보안 토큰의 형식에 관계없이 클레임을 통해 작동합니다.

클레임 규칙에는 클레임 엔진이 들어오는 클레임을 수락하고, 요청자의 신원을 기반으로 클레임을 승인하며, 신뢰 당사자가 필요로 하는 클레임을 발행하는 관리자 정의 논리가 포함되어 있습니다. 궁극적으로 클레임 파이프라인을 통해 클레임이 이동된 다음 발급될 보안 토큰에 포함되는 클레임을 결정하는 것은 클레임 엔진입니다.

다음 일러스트레이션과 같이 클레임 파이프라인은 발급된 클레임이 다양한 파이프라인 단계를 거쳐 신뢰 당사자 트러스트로 전송되는 클레임 흐름의 전체 엔드투엔드 프로세스를 담당합니다. 일러스트레이션에서 나가는 클레임은 발급된 클레임을 나타냅니다.

AD FS 역할

일러스트레이션에는 표시되지 않았지만 각 단계에서 규칙의 실제 처리를 수행하는 것은 클레임 엔진입니다. 자세한 내용은 The Role of the Claims Engine를 참조하세요.