계정 파트너 - 리소스 계정

ADFS(Active Directory Federation Services)에서 리소스 계정은 직원 등의 사용자가 현재 사용하고 있으며 다른 Active Directory 포리스트(계정 파트너 포리스트)에 저장되어 있는 사용자 계정을 가장하기 위한 목적으로만 특정 Active Directory 포리스트(리소스 파트너 포리스트)에 저장된 사용자 계정입니다.

계정 파트너 포리스트에 사용자 계정이 있는 직원이 ADFS를 통해 웹 기반의 Windows NT 토큰 기반 응용 프로그램에 액세스할 수 있도록 리소스 계정을 리소스 파트너 포리스트에 만들어야 합니다. 또한 리소스 계정 및 리소스 그룹은 클레임 인식 응용 프로그램에 필요합니다.

리소스 쪽의 웹 리소스는 리소스 파트너 포리스트에 있는 사용자 계정 또는 그룹의 ACL(액세스 제어 목록)로 보호됩니다. 관리자는 리소스 계정을 만들고 리소스 계정에 대한 ACL을 리소스에 추가해야 합니다.

관리 부담을 줄이기 위해 리소스 쪽 관리자는 해당 계정 파트너로부터 들어오는 그룹 클레임에 매핑하는 데 사용되며 AD DS(Active Directory 도메인 서비스)에 만들어진 하나 이상의 보안 그룹을 구성할 수 있습니다. ADFS에서 사용하는 들어오는 그룹 클레임에 매핑되는 보안 그룹을 리소스 그룹이라고 합니다.

다음 절차를 사용하여 리소스 그룹을 구성할 수 있습니다.

리소스 그룹을 구성하려면

들어오는 그룹 클레임을 리소스 그룹에 매핑하면 리소스 파트너 포리스트에 있는 관리자는 ADFS로 보호되는 Windows NT 토큰 기반 응용 프로그램에 액세스해야 하는 계정 파트너 포리스트의 각 사용자에 대해 리소스 계정을 만들지 않아도 됩니다.

기본적으로 ADFS는 리소스 파트너 관리자가 들어오는 그룹 클레임을 하나 이상의 리소스 그룹에 매핑할 수 있도록 계정 파트너 속성을 구성합니다. 그러나 다음 리소스 계정 옵션 중 하나를 선택하여 이 기본 동작을 변경할 수 있습니다.

• 모든 사용자에 대한 리소스 계정이 있음 - 리소스에 액세스해야 하는 계정 파트너의 각 사용자에 대해 리소스 계정이 구성되도록 지정합니다. 이 경우에는 리소스 그룹이 구성되어 있어도 들어오는 그룹 클레임이 리소스 그룹에 매핑되지 않습니다.
  
  
• 일부 사용자에 대한 리소스 계정이 있음(리소스 계정 선호) - 일부 사용자 계정에 대해 리소스 그룹을 사용해야 하는지 여부를 지정합니다. 즉, 일부 사용자에 대해서는 개별 리소스 계정이 만들어지는 반면 일부 사용자는 리소스 그룹을 사용하도록 구성되었을 수 있습니다. 이 옵션을 선택하면 먼저 ADFS가 들어오는 토큰에 지정된 UPN/전자 메일 클레임과 일치하는 리소스 계정을 찾습니다. ADFS가 그러한 리소스 계정을 찾으면 그대로 사용합니다. 그렇지 않으면 리소스 그룹에 매핑된 그룹 클레임이 토큰에 있을 경우 리소스 그룹을 사용합니다.
  
  
• 일부 사용자에 대한 리소스 계정이 있음(토큰의 그룹 선호) - 기본 설정입니다. 들어오는 각 토큰이 리소스 그룹에 매핑되어야 하는지 또는 리소스 계정을 찾아야 하는지를 결정할 때 ADFS에서 이 논리를 사용할 수 있도록 지정합니다. 이 옵션을 선택하면 먼저 ADFS가 리소스 그룹에 매핑될 수 있는 들어오는 그룹 클레임에 대한 토큰을 찾습니다. 이러한 들어오는 그룹 클레임이 있으면 ADFS에서 리소스 그룹을 사용합니다. 그러한 들어오는 그룹 클레임이 없으면 ADFS에서 사용할 리소스 계정을 찾습니다.
  
  
• 이 계정 파트너에 대한 리소스 계정이 없음 - 이 계정 파트너에 있는 모든 사용자에 대해 하나 이상의 리소스 그룹이 사용되도록 지정합니다. 즉, 이 계정 파트너에서 발급한 모든 토큰에는 리소스 파트너 포리스트에 있는 하나 이상의 리소스 그룹에 매핑되는 그룹 클레임이 하나 이상 포함되어 있어야 합니다.