ADFS(Active Directory Federation Service)에서는 인증서 서비스, IIS(인터넷 정보 서비스), AD DS(Active Directory 도메인 서비스), AD LDS(Active Directory Lightweight Directory Services) 및 WS(웹 서비스)-*를 비롯하여 여러 가지 기술 용어가 사용됩니다. 다음 표에서는 이러한 용어에 대해 설명합니다.

용어 설명

계정 페더레이션 서버

계정 파트너 조직의 회사 네트워크에 있는 페더레이션 서버입니다. 계정 페더레이션 서버는 사용자 인증을 기반으로 사용자에게 보안 토큰을 발급합니다. 서버는 사용자를 인증하고 관련 특성 및 그룹 구성원 자격 정보를 계정 저장소에서 끌어온 후 사용자에게 반환할 보안 토큰을 생성하고 서명합니다. 이러한 보안 토큰은 자체 조직에서 사용되거나 파트너 조직으로 전송될 수 있습니다.

계정 페더레이션 서버 프록시

계정 파트너 조직의 경계 네트워크에 있는 페더레이션 서버 프록시입니다. 계정 페더레이션 서버 프록시는 인터넷을 통해 또는 경계 네트워크에서 로그온한 클라이언트의 인증 자격 증명을 수집한 후 계정 페더레이션 서버에 전달합니다.

계정 파트너

페더레이션 서비스가 고유 사용자(즉, 계정 파트너 조직의 사용자)에게 보안 토큰을 제공하여 이러한 사용자가 리소스 파트너의 웹 기반 응용 프로그램에 액세스할 수 있도록 하기 위해 트러스트하는 페더레이션 파트너입니다.

ADFS(Active Directory Federation Services)

하나의 온라인 세션이 시작되어 끝날 때까지 여러 웹 응용 프로그램에 사용자를 인증하도록 웹 SSO(Single Sign-On) 기술을 제공하는 Windows Server 2003 R2, Windows Server 2003 R2, Windows Server 2008 및 Windows Server 2008 R2의 구성 요소입니다. ADFS는 보안 및 엔터프라이즈 경계 전체에 디지털 ID와 권한을 안전하게 공유하여 이 기능을 수행합니다. ADFS는 WS-F PRP(WS-Federation Passive Requestor Profile)를 지원합니다.

ADFS 웹 에이전트

ADFS의 설치 가능 역할 서비스로, ADFS 사용 웹 서버를 만드는 데 사용됩니다. ADFS 웹 에이전트는 응용 프로그램별 액세스 제어 설정을 고려하면서 보호된 응용 프로그램에 대한 사용자 액세스 권한을 허용하거나 거부하기 위해 유효한 페더레이션 서버가 서명한 들어오는 보안 토큰 및 인증 쿠키를 사용합니다.

ADFS 사용 웹 서버

Windows Server 2003 R2, Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 웹 서버로, 로컬로 호스트되는 웹 기반 응용 프로그램에 대해 페더레이션 액세스를 인증하고 권한을 부여하는 데 필요한 적절한 ADFS 웹 에이전트 소프트웨어(클레임 인식 에이전트 또는 Windows 토큰 기반 에이전트)로 구성됩니다.

클레임

서버가 클라이언트에 대해 제공하는 설명입니다(예: 이름, ID, 키, 그룹, 권한 또는 기능).

클레임 인식 응용 프로그램

ADFS 보안 토큰에 있는 클레임에 기반하여 권한을 부여하는 Microsoft ASP.NET 응용 프로그램입니다.

클레임 매핑

클레임을 매핑, 제거 또는 필터링하거나 여러 클레임 집합 간에 클레임을 전달하는 작업입니다.

클라이언트 계정 파트너 검색용 웹 페이지

ADFS가 사용자를 인증해야 하는 계정 파트너를 자동으로 확인할 수 없는 경우 사용자가 속한 계정 파트너를 확인할 수 있도록 사용자와 상호 작용하는 웹 페이지입니다.

클라이언트 인증 인증서

ADFS에서 페더레이션 서버 프록시가 페더레이션 서비스에 클라이언트를 인증하는 데 사용하는 인증서입니다.

클라이언트 로그오프 웹 페이지

ADFS가 로그오프 작업을 수행할 때 로그오프를 수행한 사용자에게 시각적인 피드백을 제공하기 위해 시작되는 웹 페이지입니다.

클라이언트 로그온 웹 페이지

ADFS가 클라이언트 자격 증명을 수집할 때 사용자 상호 작용을 수행하기 위해 시작되는 웹 페이지입니다. 클라이언트 로그온 웹 페이지에서는 필요한 비즈니스 논리를 사용하여 수집할 자격 증명 유형을 결정할 수 있습니다.

페더레이션 응용 프로그램

ADFS를 사용할 수 있는, 즉 페더레이션 사용자가 액세스할 수 있는 웹 기반 응용 프로그램입니다.

페더레이션 사용자

계정은 계정 파트너 조직에 있으며, 리소스 파트너 조직에 있는 페더레이션 응용 프로그램에 액세스할 수 있는 사용자입니다.

페더레이션

페더레이션 트러스트를 설정한 도메인 또는 영역의 쌍입니다.

페더레이션 서버

ADFS의 페더레이션 서비스 구성 요소를 호스트하도록 구성된 Windows Server 2003 R2, Windows Server 2008 또는 Windows Server 2008 R2 실행 컴퓨터입니다. 페더레이션 서버는 다른 조직의 사용자 계정이나 인터넷의 임의 위치에 있는 클라이언트의 요청을 인증하거나 라우팅할 수 있습니다.

페더레이션 서버 프록시

ADFS의 페더레이션 서비스 프록시 구성 요소를 호스트하도록 구성된 Windows Server 2003 R2, Windows Server 2008 또는 Windows Server 2008 R2 실행 컴퓨터입니다. 페더레이션 서버 프록시는 인터넷 클라이언트와 회사 네트워크의 방화벽 뒤에 있는 페더레이션 서버 간에 중개 프록시 서비스를 제공합니다.

페더레이션 서비스

페더레이션 서버를 만드는 데 사용되는 ADFS의 설치 가능 역할 서비스입니다. 설치된 페더레이션 서비스는 보안 토큰에 대한 요청에 응답하여 토큰을 제공합니다. 여러 개의 페더레이션 서버를 구성하여 단일 페더레이션 서비스에 대해 내결함성 및 부하 분산을 제공할 수 있습니다.

페더레이션 서비스 프록시

페더레이션 서버 프록시를 만드는 데 사용되는 ADFS의 설치 가능 역할 서비스입니다. 설치된 페더레이션 서비스 프록시 역할 서비스는 WS-F PRP 프로토콜을 사용하여 브라우저 클라이언트 및 웹 응용 프로그램에서 사용자 자격 증명 정보를 수집하고 이러한 브라우저 클라이언트 및 웹 응용 프로그램을 대신하여 페더레이션 서비스로 이 정보를 보냅니다.

조직 클레임

조직 네임스페이스 내의 중간 또는 표준화된 형식의 클레임입니다.

수동 클라이언트

쿠키를 사용할 수 있으며 광대역으로 지원되는 HTTP가 가능한 HTTP(Hypertext Transfer Protocol) 브라우저입니다. Windows Server 2003 R2, Windows Server 2008 및 Windows Server 2008 R2의 ADFS는 수동 클라이언트만 지원하며 WS-F PRP 사양을 준수합니다.

리소스 계정

AD DS에서 만들어지며 단일 페더레이션 사용자에게 매핑하는 데 사용되는 단일 보안 주체(일반적으로 사용자 계정)입니다. Windows 토큰 기반 에이전트가 Windows NT 액세스 토큰을 작성하고 응용 프로그램에 대해 액세스 제어 권한을 적용하기 위해 리소스 파트너 포리스트의 Active Directory 보안 주체를 참조해야 하므로 Windows NT 기반 응용 프로그램을 페더레이션할 때 리소스 계정이 필요합니다.

리소스 페더레이션 서버

리소스 파트너 조직의 페더레이션 서버입니다. 리소스 페더레이션 서버는 일반적으로 계정 페더레이션 서버가 발급한 보안 토큰을 기반으로 사용자에게 보안 토큰을 발급합니다. 서버는 다음 작업을 수행합니다.

  • 보안 토큰을 받습니다.

  • 서명을 확인합니다.

  • 트러스트 정책에 따라 조직의 클레임을 변환합니다.

  • 들어오는 보안 토큰의 정보에 따라 새 보안 토큰을 생성합니다.

  • 사용자 및 웹 응용 프로그램에 반환할 새 토큰에 서명합니다.

리소스 페더레이션 서버 프록시

리소스 파트너 조직의 경계 네트워크에 있는 페더레이션 서버 프록시입니다. 리소스 페더레이션 서버 프록시는 인터넷 클라이언트에 대한 계정 파트너 검색을 수행하고 들어오는 보안 토큰을 리소스 페더레이션 서버로 리디렉션합니다.

리소스 그룹

AD DS에서 만들어진 단일 보안 그룹으로, 들어오는 그룹 클레임(계정 파트너에서 가져온 ADFS 그룹 클레임)이 매핑됩니다. 페더레이션 사용자가 리소스 그룹에 매핑되면 ADFS 사용 웹 서버는 리소스 그룹에 대한 SID(보안 식별자)에 할당된 액세스 사용 권한을 기반으로 Windows NT 토큰 기반 응용 프로그램에 대한 권한 부여 결정을 내릴 수 있습니다.

리소스 파트너

계정 파트너의 사용자가 액세스할 수 있는 웹 기반 응용 프로그램(즉, 리소스 파트너 조직의 응용 프로그램)에 대한 클레임 기반 보안 토큰을 발급하기 위해 페더레이션 서비스를 트러스트하는 페더레이션 파트너입니다.

보안 토큰

하나 이상의 클레임을 표시하는 암호로 서명된 데이터 단위입니다. ADFS에서 서명된 보안 토큰은 보안 토큰을 발급한 페더레이션 서버가 페더레이션 사용자의 신뢰성을 성공적으로 확인했음을 나타냅니다.

STS(보안 토큰 서비스)

보안 토큰을 발급하는 웹 서비스입니다. STS는 트러스트하는 증거에 따라 증거를 트러스트하는 누구든지 또는 특정 수신자에게 어설션을 제공합니다. 트러스트를 전달하려면 보안 토큰 또는 보안 토큰 집합에 대해 알고 있다는 사실을 입증하는 서명 같은 증명이 서비스에 필요합니다. 서비스는 토큰을 생성하거나 별도의 STS를 사용하여 자체 트러스트 설명이 있는 보안 토큰을 발급할 수 있습니다. 이 양식은 트러스트 브로커링의 기본 요소입니다. ADFS에서 페더레이션 서비스는 STS입니다.

서버 인증 인증서

ADFS 사용 웹 서버, 페더레이션 서버 및 페더레이션 서버 프록시는 서버 인증 인증서를 사용하여 서버 간의 통신과 웹 클라이언트와의 통신에서 웹 서비스 트래픽의 보안을 유지합니다.

서버 팜

ADFS에서 부하가 분산된 페더레이션 서버, 페더레이션 서버 프록시 또는 ADFS 웹 에이전트를 호스트하는 웹 서버의 모음입니다.

SSO(Single Sign-On)

최종 사용자가 번거롭게 반복적으로 로그온할 필요가 없도록 인증 시퀀스를 최적화하는 것입니다.

토큰 서명 인증서

페더레이션 서버에서 생성하는 모든 보안 토큰에 디지털 서명하기 위해 연결된 공개/개인 키 쌍이 사용되는 X.509 인증서입니다.

URI(Uniform Resource Identifier)

추상 리소스나 실제 리소스를 식별하는 문자의 압축 문자열입니다. URI에 대한 자세한 내용은 RFC(Request for Comments) 2396(https://go.microsoft.com/fwlink/?LinkID=48289(페이지는 영문일 수 있음))을 참조하십시오. ADFS에서 URI는 파트너와 계정 저장소를 고유하게 식별하는 데 사용됩니다.

확인 인증서

토큰 서명 인증서의 공개 키 부분을 나타내는 인증서입니다. 확인 인증서는 트러스트 정책에 저장되며 한 조직의 페더레이션 서버가 들어오는 보안 토큰이 조직의 팜 및 기타 조직의 유효한 페더레이션 서버에서 발급한 것인지 확인하는 데 사용됩니다.

Web Services

(WS-*)

SOAP(Simple Object Access Protocol), XML, WSDL(Web Service Description Language) 및 UDDI(Universal Description, Discovery, and Integration)와 같은 산업 표준을 기반으로 하는 웹 서비스 아키텍처의 사양입니다. WS-*는 페더레이션 ID 및 보안을 관리할 수 있는 기능을 포함하여 확장된 기업을 위한 완벽하며 상호 운용성 있는 비즈니스 솔루션을 제공할 수 있는 기반을 제공합니다.

웹 서비스 모델은 기업용 시스템이 서로 다른 언어로 서로 다른 프로그래밍 모델을 사용하여 작성되어 있고 다양한 유형의 장치에서 실행되고 액세스된다는 아이디어를 기반으로 합니다. 웹 서비스는 시스템이 작성된 언어 또는 실행되는 플랫폼에 상관없이 인터넷을 통해 쉽게 효율적으로 여러 시스템을 서로 연결하고 상호 작용할 수 있는 분산 시스템을 구축하는 수단입니다.

WS-Security(Web Services Security)

SOAP 메시지에 서명 및 암호화 헤더를 첨부하는 방법에 대해 설명하는 일련의 사양입니다. 또한 WS-Security는 X.509 인증서 및 Kerberos 티켓과 같은 이진 보안 토큰을 포함하는 보안 토큰을 메시지에 첨부하는 방법에 대해 설명합니다. ADFS에서 WS-Security는 Kerberos가 보안 토큰을 서명할 때 사용됩니다.

Windows NT 토큰 기반 응용 프로그램

Windows NT 토큰을 사용하여 사용자에 대한 권한을 부여하는 Windows 응용 프로그램입니다.

WS-Federation

서로 다른 트러스트 영역에 있는 ID 및 인증 정보의 페더레이션과 트러스트를 브로커링하기 위한 메시지 집합과 모델을 정의하는 사양입니다.

WS-Federation 사양에서는 트러스트 영역의 ID 및 인증 요청에 대해 다음과 같은 두 가지 원본을 확인합니다.

  • SOAP 사용 응용 프로그램과 같은 능동 요청자

  • 광범위하게 지원되는 HTTP 버전(예: HTTP 1.1)을 지원할 수 있는 HTTP 브라우저로 정의된 수동 요청자입니다.

WS-F PRP(WS-Federation Passive Requestor Profile)

수동 클라이언트(예: 웹 브라우저)가 페더레이션 프레임워크를 적용하는 방법으로 표준 프로토콜을 제안하는 WS-Federation 사양을 구현한 것입니다. 이 프로토콜에서 웹 서비스 요청자는 새로운 보안 메커니즘을 받아들이고 웹 서비스 공급자와 상호 작용할 수 있어야 합니다.

참고 항목


목차