ADFS(Active Directory Federation Services)는 계정 저장소를 사용하여 사용자를 로그온하고 해당 사용자에 대한 보안 클레임을 추출합니다. 단일 페더레이션 서비스에 대해 여러 계정 저장소를 구성할 수 있습니다. 또한 해당 우선 순위도 지정할 수 있습니다. 페더레이션 서비스는 LDAP(Lightweight Directory Access Protocol)를 사용하여 계정 저장소와 통신합니다. ADFS는 다음 두 가지 계정 저장소를 지원합니다.
-
AD DS(Active Directory 도메인 서비스)
-
AD LDS(Active Directory Lightweight Directory Services)
ADFS는 AD DS의 엔터프라이즈 전체 배포 또는 AD LDS 인스턴스 둘 다에서 작동합니다. ADFS가 AD DS에서 작동하는 경우 Kerberos, X.509 디지털 인증서 및 스마트 카드를 비롯한 AD DS의 강력한 인증 기술을 사용할 수 있습니다. ADFS가 AD LDS에서 작동하는 경우 사용자를 인증하는 수단으로 LDAP 바인딩을 사용합니다.
AD DS 계정 저장소
ADFS는 AD DS와 견고하게 통합되어 있습니다. ADFS는 사용자 특성을 검색하고 AD DS에 대해 사용자를 인증합니다. 또한 ADFS는 AD DS가 만드는 보안 토큰과 Windows 통합 인증을 사용합니다.
AD DS에 로그온하는 사용자의 사용자 이름은 UPN(사용자 계정 이름) 형식(user@adatum.com) 또는 SAM(보안 계정 관리자) 계정 이름 형식(adatum\user)이어야 합니다.
사용자가 로그온할 때 액세스 토큰이 생성됩니다. 이 토큰에는 사용자 및 사용자가 속한 그룹의 SID(보안 식별자)가 포함되어 있습니다. 사용자가 시작하는 모든 프로세스에 액세스 토큰의 복사본이 할당됩니다.
사용자를 로그온하고 가장한 후에 액세스 토큰으로부터 사용자 SID가 열거됩니다. 그런 다음 SID는 조직 그룹 클레임에 매핑됩니다.
 | 주의 |
|
계정 페더레이션 서비스에서 Windows 트러스트 옵션을 사용하도록 설정할 경우 인터넷을 통해 리소스 파트너 조직으로 실제 SID를 전송하게 되며 이로 인해 보안 위험이 발생할 수 있습니다. 이러한 SID는 ADFS SAML(Security Assertion Markup Language) 토큰에 패키지됩니다. 따라서 이 옵션은 포리스트 트러스트 디자인에서 페더레이션된 웹 SSO를 사용할 때만 사용하도록 설정하십시오. 이 디자인은 같은 조직 내에서 보안 통신을 설정하게 됩니다. |
페더레이션 서비스 계정을 사용하여 개체에 대한 LDAP 검색을 수행할 때 AD DS에 정의되어 있는 사용자 개체 특성에서 전자 메일 클레임, 일반 이름 클레임 및 사용자 지정 클레임을 추출할 수 있습니다.
페더레이션 서비스 계정으로 사용자 개체에 액세스할 수 있어야 합니다. 사용자 개체가 페더레이션 서비스 계정이 있는 도메인과 다른 도메인에 있는 경우 사용자 개체가 있는 도메인에는 페더레이션 서비스 계정이 있는 도메인에 대한 AD DS 도메인 트러스트가 적절하게 있어야 합니다.
지정된 사용자 이름이 AD DS 및 AD DS가 트러스트하는 모든 디렉터리에 있는지 확인할 수 있는 직접적인 방법은 없습니다. AD DS는 정책 제한으로 인해 로그온 시도가 실패한 경우에만 권한 실패를 반환합니다. 정책 제한으로 인한 실패의 예는 다음과 같습니다.
-
계정이 사용할 수 없도록 설정되었습니다.
-
계정 암호가 만료되었습니다.
-
해당 계정으로 이 컴퓨터에 로그온할 수 없습니다.
-
이 계정에 로그온 시간 제한이 있으므로 지금은 로그온할 수 없습니다.
그렇지 않으면 AD DS 계정 저장소 로그온 실패로 인해 항상 권한이 부여되지 않으므로 다음 우선 순위의 계정 저장소가 시도됩니다. 계정 저장소 로그온 실패에 대한 자세한 내용은 ADFS 문제 해결을 참조하십시오.
AD LDS 계정 저장소
AD LDS는 AD DS에 필요한 종속성 없이 디렉터리 사용 응용 프로그램에 대한 데이터 저장소 및 검색 기능을 제공합니다. AD LDS는 AD DS와 동일한 기능을 많이 제공하지만 도메인 또는 도메인 컨트롤러를 배포할 필요가 없습니다. ADFS에서 AD DS 계정 저장소 정보를 사용하는 것과 같은 방식으로 AD LDS로 사용자 특성을 검색하고 사용자를 인증할 수 있습니다.
 | 참고 |
|
ADFS는 계정 이름의 일부로 괄호를 사용하는 AD LDS 계정을 인증할 수 없습니다. 사용자 이름에 여는 괄호가 있는 계정으로 인해 사용자 이름이 잘못된 LDAP 필터를 형성하여 LDAP 검색이 실패합니다. |
페더레이션 서비스 계정은 해당 개체에 대해 LDAP 검색을 수행하는 데 사용되는 클레임을 구합니다. 자세한 내용은 클레임 이해를 참조하십시오. 다음과 같은 두 단계 프로세스로 진행됩니다.
-
먼저 페더레이션 서비스 계정은 제공된 사용자 이름과 같은 특성이 구성된 사용자 개체를 검색합니다. 페더레이션 서비스 계정은 Kerberos 인증 또는 NTLM 암호화를 사용하여 이 통신을 보호합니다.
참고 이 프로세스를 수행하려면 페더레이션 서비스가 속한 도메인을 트러스트하는 도메인에 AD LDS 서버가 가입해야 합니다.
-
그런 다음 제공된 암호를 사용한 검색된 사용자 개체에 대한 LDAP 바인딩을 통해 사용자 자격 증명에 대한 유효성을 검사합니다. TLS/SSL(전송 계층 보안/Secure Sockets Layer)이 트러스트 정책의 AD LDS 계정 저장소 속성에 대해 구성된 경우 사용자 자격 증명이 보호됩니다.
중요 TLS/SSL 또는 IPsec(인터넷 프로토콜 보안) 같은 방법을 통해 AD LDS 서버와 페더레이션 서버 간의 트래픽을 보호하는 것이 좋습니다.
여러 개의 개체가 제공된 사용자 이름과 함께 LDAP 쿼리에서 반환된 경우 인증 실패로 간주됩니다.
구성된 AD LDS 계정 저장소가 있는 경우 이 계정 저장소에서 먼저 사용자 계정이 조회되며 다른 LDAP 저장소는 해당 순서로 구성됩니다. 저장소 중 하나가 해당 사용자 계정을 찾으면 사용자의 권한이 부여된 로그온을 수행하며 사용자 로그온 요청을 처리하기 위해 다른 계정 저장소는 호출되지 않습니다.
사용자 로그온 요청의 우선 순위 결정
사용자가 ADFS 클라이언트를 통해 AD DS 또는 AD LDS로 로그온 요청을 하면 요청은 지정된 계정 저장소로 즉시 전달됩니다. 그러나 계정 저장소 URI(Uniform Resource Identifier)가 지정되지 않은 경우 페더레이션 서비스는 각 저장소의 우선 순위에 따라 사용자를 로그온하려고 합니다. 다음과 같은 경우에는 인증 결과가 반환됩니다.
-
하나의 저장소만 구성되어 있고 자격 증명 확인 정보가 반환된 경우
-
저장소 URI가 로그온 요청에 지정되어 있고 자격 증명 확인 정보가 반환된 경우
-
하나의 저장소에 의한 인증 결과에 권한이 부여된 경우
-
하나의 저장소에 의해 인증이 성공한 경우
계정 저장소 사용 안 함
각 계정 저장소를 사용 또는 사용 안 함으로 설정할 수 있습니다. 계정 저장소를 사용하지 않는 경우 계정 저장소 관련 작업에 참여하지 못합니다. 현재 사용하지 않도록 설정된 계정 저장소에서 시작되는 클레임이 있는 쿠키는 무시되거나 삭제되고 클라이언트는 로그온 페이지로 보냅니다.