주요 AD FS 개념 이해
Active Directory Federation Services의 중요한 개념에 대해 알아보고 해당 기능 집합에 익숙해지는 것이 좋습니다.
팁
핵심 AD FS 개념 이해에서 추가 AD FS 리소스 링크를 찾을 수 있습니다.
이 가이드에서 사용되는 AD FS 용어
| AD FS 용어 | 정의 |
|---|---|
| 계정 파트너 조직 | 페더레이션 서비스에서 클레임 공급자 트러스트로 표시되는 페더레이션 파트너 조직입니다. 계정 파트너 조직에는 리소스 파트너의 웹 기반 애플리케이션에 액세스할 사용자가 포함되어 있습니다. |
| 계정 페더레이션 서버 | 계정 파트너 조직의 페더레이션 서버입니다. 계정 페더레이션 서버는 사용자 인증을 기반으로 사용자에게 보안 토큰을 발급합니다. 이 서버는 사용자를 인증하고, 특성 저장소에서 관련 특성 및 그룹 구성원 자격 정보를 추출하며, 이 정보를 클레임에 패키지하고, 사용자에게 반환할 보안 토큰(클레임을 포함함)을 생성 및 서명합니다. 사용자는 자신의 조직에서 이 보안 토큰을 사용하거나 파트너 조직으로 보낼 수 있습니다. |
| AD FS 구성 데이터베이스 | 단일 AD FS 인스턴스 또는 페더레이션 서비스를 나타내는 모든 구성 데이터를 저장하는 데 사용되는 데이터베이스입니다. 이 구성 데이터는 SQL Server 데이터베이스에 저장하거나 Windows Server 2016, Windows Server 2012 및 2012 R2 및 Windows Server 2008 및 2008 R2에 포함된 Windows 내부 데이터베이스 기능을 사용하여 저장할 수 있습니다. Fsconfig.exe 명령줄 도구를 사용하고 AD FS 페더레이션 서버 구성 마법사를 사용하여 Windows 내부 데이터베이스 위해 SQL Server용 AD FS 구성 데이터베이스를 만들 수 있습니다. |
| 클레임 공급자 | 해당 사용자에게 클레임을 제공하는 조직입니다. 계정 파트너 조직을 참조하세요. |
| 클레임 공급자 트러스트 | AD FS 관리 스냅인에서 클레임 공급자 트러스트는 일반적으로 리소스 파트너 조직에서 만든 트러스트 개체로, 해당 계정이 리소스 파트너 조직의 리소스에 액세스할 트러스트 관계의 조직을 나타냅니다. 클레임 공급자 트러스트 개체는 로컬 페더레이션 서비스에 이 파트너를 식별하는 다양한 식별자, 이름 및 규칙으로 구성됩니다. |
| 로컬 클레임 공급자 트러스트 | AD FS 팜에서 AD LDS 또는 타사 LDAP 기반 디렉터리를 나타내는 트러스트 개체입니다. 로컬 클레임 공급자 트러스트 개체는 로컬 페더레이션 서비스에 이 LDAP 기반 디렉터리를 식별하는 다양한 식별자, 이름 및 규칙으로 구성됩니다. |
| 페더레이션 메타데이터 | 클레임 공급자 트러스트와 신뢰 당사자 트러스트의 적절한 구성을 용이하게 하기 위해 클레임 공급자와 신뢰 당사자 간에 구성 정보를 전달하는 데이터 형식입니다. 이 데이터 형식은 SAML(Security Assertion Markup Language) 2.0에서 정의되고 WS-Federation에서 확장되었습니다. |
| 페더레이션 서버 | AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할에서 작동하도록 구성된 Windows Server입니다. 페더레이션 서버는 토큰을 발급하며 페더레이션 서비스의 일부를 지원합니다. |
| 페더레이션 서버 프록시 | AD FS 페더레이션 서버 프록시 구성 마법사를 사용하여 인터넷 클라이언트와 회사 네트워크의 방화벽 뒤에 있는 페더레이션 서비스 간의 중간 프록시 서비스 역할을 하도록 구성된 Windows Server입니다. |
| 기본 페더레이션 서버 | AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할에서 구성되었으며 AD FS 구성 데이터베이스의 읽기/쓰기 복사본이 있는 Windows Server입니다. 기본 페더레이션 서버는 AD FS 페더레이션 서버 구성 마법사를 사용 하 고 새 페더레이션 서비스를 만들고 해당 컴퓨터를 팜에서 첫 번째 페더레이션 서버를 만드는 옵션을 선택 하는 경우 만들어집니다. 이 팜의 다른 모든 페더레이션 서버는 기본 페더레이션 서버에 적용된 모든 변경 내용을 로컬로 저장된 AD FS 구성 데이터베이스의 읽기 전용 복사본에 복제해야 합니다. 모든 페더레이션 서버가 SQL Server에 저장된 구성 데이터베이스를 동일하게 읽고 쓸 수 있으므로 AD FS 구성 데이터베이스가 SQL 데이터베이스에 저장되면 "기본 페더레이션 서버"라는 용어가 적용되지 않습니다. |
| 신뢰 당사자 | 클레임을 받고 처리하는 조직입니다. 리소스 파트너 조직을 참조하세요. |
| 신뢰 당사자 트러스트 | AD FS 관리 스냅인에서 신뢰 당사자 트러스트는 일반적으로 다음에서 만든 트러스트 개체입니다. - 계정이 리소스 파트너 조직의 리소스에 액세스하는 트러스트 관계의 조직을 나타내는 계정 파트너 조직입니다. 신뢰 당사자 트러스트 개체는 로컬 페더레이션 서비스에 이 파트너 또는 웹 애플리케이션을 식별하는 다양한 식별자, 이름 및 규칙으로 구성됩니다. |
| 리소스 페더레이션 서버 | 리소스 파트너 조직의 페더레이션 서버입니다. 리소스 페더레이션 서버는 일반적으로 계정 페더레이션 서버에서 발급한 보안 토큰에 따라 사용자에게 보안 토큰을 발급합니다. 이 서버는 보안 토큰을 받고, 서명을 확인하고, 패키지되지 않은 클레임에 클레임 규칙 논리를 적용하여 원하는 나가는 클레임을 생성하고, 들어오는 보안 토큰의 정보에 따라 새 보안 토큰(나가는 클레임 포함)을 생성하고, 사용자와 궁극적으로 웹 애플리케이션에 반환할 새 토큰을 서명합니다. |
| 리소스 파트너 조직 | 페더레이션 서비스에서 신뢰 당사자 트러스트로 표시되는 페더레이션 파트너입니다. 리소스 파트너는 계정 파트너의 사용자가 액세스할 수 있는 게시된 웹 기반 애플리케이션이 포함된 클레임 기반 보안 토큰을 발급합니다. |
AD FS 개요
AD FS는 사용자 계정 및 애플리케이션이 완전히 다른 네트워크 또는 조직에 있는 경우에도 클라이언트 컴퓨터(네트워크 내부 또는 외부)에 보호된 인터넷 연결 애플리케이션 또는 서비스에 대한 원활한 SSO 액세스를 제공하는 ID 액세스 솔루션입니다.
애플리케이션이나 서비스가 하나의 네트워크에 있고 사용자 계정이 다른 네트워크에 있는 경우 사용자가 애플리케이션 또는 서비스에 액세스하려고 하면 일반적으로 보조 자격 증명을 묻는 메시지가 표시됩니다. 이러한 보조 자격 증명은 애플리케이션이나 서비스가 있는 영역에서 사용자의 ID를 나타냅니다. 일반적으로 애플리케이션 또는 서비스를 호스트하는 웹 서버에서 가장 적절한 권한 부여 결정을 내리는 데 필요합니다.
AD FS를 사용하면 조직에서 사용자의 디지털 ID를 프로젝션하고 신뢰할 수 있는 파트너에게 액세스 권한을 프로젝션하는 데 사용할 수 있는 트러스트 관계(페더레이션 트러스트)를 제공하여 보조 자격 증명에 대한 요청을 무시할 수 있습니다. 이 페더레이션된 환경에서 각 조직은 고유한 ID를 계속 관리하지만 다른 조직의 ID를 안전하게 적용하고 수용할 수 있습니다.