ADFS(Active Directory Federation Services)는 WS-Federation(Web Services Federation), WS-F PRP(WS-Federation Passive Requestor Profile) 및 WS-Federation Passive Requestor Interoperability Profile 사양을 사용하는 페더레이션 ID 디자인(페더레이션 시나리오라고도 함)를 지원합니다. ADFS 솔루션은 조직이 페더레이션 트러스트를 통해 사용자의 ID 정보를 안전하게 공유할 수 있도록 함으로써 관리자가 페더레이션 ID를 좀 더 쉽게 관리할 수 있게 도와줍니다. 다음 세 가지 배포 디자인에 대한 설명은 조직의 필요에 따라 ADFS 서버 역할 조합을 사용하여 ID를 페더레이션하는 방법을 보여줍니다. 다양한 서버 역할에 대한 자세한 내용은 ADFS 역할 서비스 이해를 참조하십시오.

페더레이션된 웹 SSO

페더레이션된 웹 SSO(Single-Sign-On) 디자인에는 전체 인터넷 라우팅 인프라 외에도 여러 방화벽, 경계 네트워크 및 이름 확인 서버를 포괄하는 보안 통신이 포함됩니다. 페더레이션된 웹 SSO 환경을 통한 통신은 페더레이션 트러스트 관계로 결합된 조직 간에 보다 효율적이고 안전한 온라인 트랜잭션을 촉진하는 데 도움이 됩니다.

다음 그림에서와 같이 두 기업 간에 페더레이션 트러스트 관계를 설정할 수 있습니다. 이 디자인에서는 페더레이션 서버가 Tailspin Toys에 있는 사용자 계정의 인증 요청을 Online Retailer의 네트워크에 있는 웹 기반 응용 프로그램으로 라우팅합니다.

Federated 웹 SSO 시나리오

페더레이션 서버는 파트너의 자격 증명을 기반으로 트러스트된 파트너의 요청을 인증합니다. 자격 증명 표시는 보안 토큰 형식으로 교환됩니다.

보안 강화를 위해 페더레이션 서버 프록시를 사용하여 인터넷에서 직접 액세스할 수 없는 페더레이션 서버에 요청을 릴레이할 수 있습니다.

포리스트 트러스트와 페더레이션된 웹 SSO

다음 그림에서와 같이 포리스트 트러스트와 페더레이션된 웹 SSO 디자인에는 단일 조직에 두 개의 Active Directory 포리스트가 있습니다. 한 포리스트는 조직의 경계 네트워크(완충 영역, 엑스트라넷 또는 스크린된 서브넷이라고도 함)에 있으며, 다른 포리스트는 내부 네트워크에 있습니다. 경계 네트워크의 포리스트가 내부 네트워크의 포리스트를 트러스트하도록 단방향 포리스트 트러스트가 설정됩니다. 페더레이션 서버는 두 네트워크에 모두 배포됩니다. 계정이 인트라넷 포리스트 또는 인터넷에서 사이트에 액세스할 때 내부 포리스트의 계정을 사용하여 경계 네트워크의 웹 기반 응용 프로그램에 액세스할 수 있도록 페더레이션 트러스트가 설정됩니다.

포리스트 트러스트를 사용하는 Federated 웹 SSO 시나리오

이 디자인에서는 고객 등의 외부 사용자가 경계 네트워크에 있는 외부 계정 페더레이션 서버로부터 인증을 받아서 웹 응용 프로그램에 액세스할 수 있습니다. 외부 사용자는 경계 네트워크 Active Directory 포리스트에 사용자 계정이 있습니다. 직원 등의 내부 사용자도 내부 네트워크에 있는 내부 계정 페더레이션 서버로부터 인증을 받아서 웹 응용 프로그램에 액세스할 수 있습니다. 내부 사용자는 내부 Active Directory 포리스트에 계정이 있습니다.

웹 기반 응용 프로그램이 Windows NT 토큰 기반 응용 프로그램인 경우 웹 응용 프로그램 서버에서 실행 중인 ADFS 웹 에이전트가 요청을 중단하고 웹 응용 프로그램에서 권한 부여 결정을 하는 데 필요한 Windows NT 보안 토큰을 만듭니다. 외부 사용자의 경우에는 Windows NT 토큰 기반 응용 프로그램을 호스트하는 ADFS 사용 웹 서버가 외부 포리스트의 도메인에 연결되어 있기 때문에 이 작업이 가능합니다. 내부 사용자의 경우에는 경계 포리스트와 내부 포리스트 간에 존재하는 포리스트 트러스트 관계를 통해 이 작업이 가능합니다.

웹 기반 응용 프로그램이 클레임 인식 응용 프로그램인 경우 웹 응용 프로그램 서버에서 실행 중인 ADFS 웹 에이전트는 사용자에 대한 Windows NT 보안 토큰을 만들 필요가 없습니다. ADFS 웹 에이전트가 들어오는 클레임을 노출할 수 있기 때문에 응용 프로그램은 계정 페더레이션 서버에서 제공하는 보안 토큰의 내용을 기초로 권한 부여 결정을 할 수 있습니다. 따라서 클레임 인식 응용 프로그램을 배포할 때 ADFS 사용 웹 서버는 도메인에 참가하지 않아도 되며 외부 포리스트-내부 포리스트 트러스트가 필요하지 않습니다.

웹 SSO

ADFS 웹 SSO 디자인에서는 사용자가 한 번의 인증으로 여러 웹 기반 응용 프로그램에 액세스할 수 있습니다. 이 디자인에서는 모든 사용자가 외부 사용자이며 페더레이션 트러스트가 없습니다. ADFS 사용 웹 서버는 인터넷을 통해 액세스가 가능하고 Active Directory 도메인에 가입해야 하므로 두 개의 네트워크에 연결되어 있습니다. 즉, 멀티홈입니다. 첫 번째 네트워크는 필요한 연결을 제공하기 위해 인터넷에 연결합니다(경계 네트워크). 두 번째 네트워크에는 인터넷에서 직접 액세스할 수 없는 Active Directory 포리스트(보호된 네트워크)가 들어 있습니다. 페더레이션 서버 프록시도 페더레이션 서버 및 인터넷에 필요한 연결을 제공하기 위해 멀티홈 상태가 됩니다. 이 디자인에서는 인터넷에서 직접 액세스할 수 없는 네트워크에 페더레이션 서버를 배치하면 페더레이션 서버를 보호할 수 있습니다.

웹 SSO 시나리오

목차