ADFS(Active Directory Federation Services)를 사용하여 조직 간 페더레이션 기반 공동 작업을 계획할 때는 먼저 다른 조직이 인터넷을 통해 액세스할 웹 리소스를 자신의 조직에서 호스트할 것인지 또는 그 반대로 할 것인지를 결정합니다. 이 결정은 ADFS의 배포 방법에 영향을 주며 ADFS 인프라 계획의 기반이 됩니다.
페더레이션된 웹 SSO(Single Sign-On) 및 포리스트 트러스트와 페더레이션된 웹 SSO 같은 페더레이션 디자인(웹 SSO 디자인은 아님)에서는 ADFS가 "계정 파트너"와 "리소스 파트너" 같은 용어를 사용하여 계정을 호스트하는 조직(계정 파트너)과 웹 기반 리소스를 호스팅하는 조직(리소스 파트너)을 구분합니다. ADFS에서 "페더레이션 트러스트"라는 용어는 계정 파트너와 리소스 파트너 간에 설정된 단방향의 비전이적 관계를 나타냅니다.
ADFS 디자인에 대한 자세한 내용은 페더레이션 디자인 이해를 참조하십시오.
다음 섹션에서는 계정 파트너 및 리소스 파트너와 관련된 몇 가지 개념에 대해 설명합니다.
계정 파트너
계정 파트너는 페더레이션 트러스트 관계에서 사용자 계정을 AD DS(Active Directory 도메인 서비스) 저장소 또는 AD LDS(Active Directory Lightweight Directory Services) 저장소에 물리적으로 저장하는 조직을 나타냅니다. 계정 파트너는 사용자 자격 증명의 수집 및 인증, 해당 사용자에 대한 클레임 구성 그리고 클레임을 보안 토큰으로 패키지하는 작업을 책임집니다. 그런 다음 페더레이션 트러스트 전반에 이러한 토큰을 제시하여 리소스 파트너 조직에 위치한 웹 기반 리소스에 액세스할 수 있습니다.
다시 말해 계정 쪽 페더레이션 서비스는 특정 사용자를 위해 보안 토큰을 발급하며 계정 파트너는 이 사용자가 속한 조직을 나타냅니다. 계정 파트너 조직 내 페더레이션 서비스는 로컬 사용자를 인증하며 리소스 파트너가 권한 부여 결정을 내릴 때 사용하는 보안 토큰을 만듭니다.
AD DS와 관련하여 ADFS의 계정 파트너는 물리적으로 다른 포리스트에 위치한 리소스에 액세스해야 하는 계정이 속한 단일 AD DS 포리스트와 개념적으로 동일합니다. 이 예제 포리스트의 계정은 두 포리스트 사이에 외부 트러스트 또는 포리스트 트러스트 관계가 존재하고 사용자가 액세스하려고 하는 리소스가 올바른 인증 권한으로 설정된 경우에만 리소스 포리스트의 리소스에 액세스할 수 있습니다.
 | 참고 |
|
이러한 유추는 ADFS에서 계정 및 파트너 조직 간의 관계가 AD DS에서 계정 포리스트 및 리소스 포리스트 간의 관계와 개념적으로 얼마나 비슷한지를 강조하기 위한 것일 뿐입니다. ADFS는 외부 트러스트 및 포리스트 트러스트가 없어도 작동합니다. |
리소스 파트너로 이동하는 클레임 생성
클레임은 서버가 클라이언트에 대해 만드는 문(예: 이름, ID, 키, 그룹, 사용 권한 또는 기능)입니다. 계정 파트너는 리소스 파트너 페더레이션 서비스가 이용하는 클레임을 생성합니다. 다음 목록에서는 리소스 페더레이션 서버 쪽의 계정 파트너에 구성될 수 있는 다양한 유형의 클레임에 대해 설명합니다.
-
UPN 클레임
계정 파트너를 구성할 때 계정 파트너가 수락할 수 있는 UPN(사용자 계정 이름) 도메인 및 접미사 목록을 지정할 수 있습니다. 도메인 부분이 목록에 없는 UPN ID를 받을 경우 요청이 거부됩니다.
-
전자 메일 클레임
계정 파트너를 구성할 때 계정 파트너가 수락할 수 있는 전자 메일 도메인 및 접미사 목록을 지정할 수 있습니다. UPN 클레임과 마찬가지로 도메인 부분이 목록에 없는 전자 메일 ID를 받을 경우 요청이 거부됩니다.
-
일반 이름 클레임
계정 파트너를 구성할 때 계정 파트너로부터 일반 이름 클레임을 받을 수 있는지 여부를 지정할 수 있습니다. 이 유형의 클레임은 매핑할 수 없으며 사용 가능한 경우 전달될 뿐입니다.
-
그룹 클레임
계정 파트너를 구성할 때 파트너로부터 받아들일 수 있는 들어오는 그룹 클레임 집합을 지정할 수 있습니다. 그런 다음 각각의 가능한 들어오는 그룹을 조직 그룹 클레임에 연결할 수 있습니다. 그러면 그룹 매핑이 만들어집니다. 매핑이 없는 들어오는 그룹이 있을 경우에는 삭제됩니다.
-
사용자 지정 클레임
계정 파트너를 구성할 때 파트너로부터 받아들일 사용자 지정 클레임의 들어오는 이름 집합을 지정할 수 있습니다. 그런 다음 각각의 가능한 들어오는 이름을 조직 사용자 지정 클레임에 매핑할 수 있습니다. 그러면 이름 매핑이 만들어집니다. 매핑이 없는 들어오는 사용자 지정 클레임이 있을 경우 해당 클레임은 삭제됩니다.
리소스 파트너
리소스 파트너는 페더레이션 트러스트 관계에서의 두 번째 조직 파트너입니다. 리소스 파트너는 하나 이상의 웹 기반 응용 프로그램(리소스)을 호스트하는 ADFS 사용 웹 서버가 있는 조직입니다. 리소스 파트너는 계정 파트너를 트러스트하여 사용자를 인증합니다. 따라서 권한 부여 결정을 내리기 위해 리소스 파트너는 계정 파트너의 사용자로부터 들어오는 보안 토큰에 패키지된 클레임을 사용합니다.
즉, 리소스쪽 페더레이션 서비스가 보호하는 ADFS 사용 웹 서버가 속한 조직을 리소스 파트너라고 합니다. 리소스 파트너에서의 페더레이션 서비스는 계정 파트너가 생성한 보안 토큰을 사용하여 리소스 파트너에 있는 ADFS 사용 웹 서버에 대한 권한 부여 결정을 내립니다.
리소스 파트너 조직의 ADFS 사용 웹 서버가 ADFS 리소스로 작동하려면 ADFS의 ADFS 웹 에이전트 구성 요소가 설치되어 있어야 합니다. ADFS 리소스 역할을 하는 웹 서버는 클레임 인식 응용 프로그램 또는 Windows NT 토큰 기반 응용 프로그램을 호스트할 수 있습니다.
| 참고 |
|
ADFS 사용 웹 서버에서 호스트되는 응용 프로그램이 Windows NT 토큰 기반 응용 프로그램인 경우 리소스 파트너 조직의 AD DS 포리스트에 대해 리소스 계정이 필요할 수도 있습니다. |
AD DS와 관련하여 리소스 파트너는 외부 트러스트 또는 포리스트 트러스트 관계를 통해 물리적으로 다른 포리스트에 저장된 계정에서 사용할 수 있게 된 리소스가 속한 단일 포리스트와 개념적으로 동일합니다.
| 참고 |
|
이러한 유추는 ADFS에서 계정 및 파트너 조직 간의 관계가 AD DS에서 계정 포리스트 및 리소스 포리스트 간의 관계와 개념적으로 얼마나 비슷한지를 강조하기 위한 것일 뿐입니다. ADFS는 외부 트러스트 및 포리스트 트러스트가 없어도 작동합니다. |
계정 파트너로부터 들어오는 클레임 이용
리소스 파트너는 계정 파트너 페더레이션 서비스가 생성하고 보안 토큰으로 패키지하는 클레임을 이용합니다. 다음 목록에서는 리소스 파트너로 클레임을 보내는 방법에 대해 설명합니다.
-
UPN 클레임
리소스 파트너를 구성할 때 리소스 파트너로 UPN 클레임을 보낼 것인지 여부를 지정할 수 있습니다. 모든 접미사가 지정된 나가는 접미사로 매핑되도록 접미사 매핑을 지정할 수도 있습니다. 예를 들어 julianp@sales.tailspintoys.com을 julianp@tailspintoys.com으로 매핑할 수 있습니다. 나가는 접미사는 하나만 지정할 수 있습니다.
-
전자 메일 클레임
리소스 파트너를 구성할 때 리소스 파트너로 전자 메일 클레임을 보낼 것인지 여부를 지정할 수 있습니다. 모든 접미사가 지정된 접미사로 매핑되도록 접미사 매핑을 지정할 수도 있습니다. 예를 들어 vernettep@sales.tailspintoys.com을 vernettep@tailspintoys.com으로 매핑할 수 있습니다. 나가는 접미사는 하나만 지정할 수 있습니다.
-
일반 이름 클레임
리소스 파트너를 구성할 때 리소스 파트너로 일반 이름 클레임을 보낼 것인지 여부를 지정할 수 있습니다. 이 유형의 클레임은 매핑할 수 없으며 사용하는 경우 리소스 파트너로 전달될 뿐입니다.
-
그룹 클레임
리소스 파트너를 구성할 때 리소스 파트너가 수락할 나가는 그룹 클레임 집합을 지정할 수 있습니다. 그런 다음 각각의 가능한 나가는 그룹 클레임을 조직 그룹 클레임에 연결할 수 있습니다. 그러면 그룹 매핑 집합이 만들어집니다. 나가는 그룹 클레임과 일치하지 않는 조직 그룹 클레임은 만들어지지 않습니다.
-
사용자 지정 클레임
리소스 파트너를 구성할 때 리소스 파트너가 수락하는 나가는 사용자 지정 클레임 집합을 지정할 수 있습니다. 각각의 가능한 나가는 사용자 지정 클레임을 조직의 사용자 지정 클레임에 매핑할 수 있습니다. 그러면 이름 매핑 집합이 만들어집니다. 나가는 사용자 지정 클레임과 일치하지 않는 조직 사용자 지정 클레임은 만들어지지 않습니다.
향상된 ID 프라이버시
향상된 ID 프라이버시는 트러스트 정책에서 리소스 파트너에 구성할 수 있는 선택적 설정입니다. 향상된 ID 프라이버시 옵션을 사용하면 나가는 UPN 클레임 및 전자 메일 클레임의 사용자 이름 부분이 해시 처리됩니다. 일반 이름은 임의의 값으로 대체됩니다.
이 기능의 목적은 다음과 같습니다.
-
리소스 파트너가 ID 클레임을 개인적으로 식별 가능한 사용자 정보에 연결하는 것을 방지합니다.
-
ID 클레임을 개인적으로 식별 가능한 사용자 정보에 연결할 때 파트너 간에 충돌이 발생하는 것을 방지합니다. 이 설정은 파트너마다 고유한 해시를 만들어서 ID 클레임 값이 서로 다른 트러스팅 영역에서는 서로 다르되 단일 파트너의 세션에서는 일관성 있도록 합니다.
-
트러스트 정책에 있는 데이터(리소스 파트너는 알지 못하는 데이터)를 사용하여 사용자 값을 "처리"함으로써 해시에 대한 간단한 사전 공격을 방지합니다.