ADFS(Active Directory Federation Services)는 하나의 온라인 세션이 시작할 때부터 끝날 때까지 여러 관련 웹 응용 프로그램에 대해 사용자를 인증하는 웹 SSO(Single Sign-On) 기술을 제공하는 Windows Server® 2003 R2, Windows Server 2008 및 Windows Server 2008 R2 운영 체제의 기능입니다. ADFS는 보안 및 엔터프라이즈 경계 전체에 디지털 ID와 권한 또는 "클레임"을 안전하게 공유하여 이 기능을 수행합니다.

ADFS의 기능

Windows Server 2008 및 Windows Server 2008 R2의 ADFS에는 Windows Server 2003 R2에서 사용할 수 없었던 새 기능이 포함되어 있습니다. 이러한 새 기능에 대한 자세한 내용은 Windows Server 2008 ADFS의 새로운 기능(https://go.microsoft.com/fwlink/?LinkID=85684(페이지는 영문일 수 있음))을 참조하십시오.

ADFS의 일부 주요 기능은 다음과 같습니다.

  • 페더레이션 및 웹 SSO

    조직에서 AD DS(Active Directory 도메인 서비스)를 사용할 때 조직의 보안 또는 엔터프라이즈 경계 내에서 Windows 통합 인증을 통해 SSO 기능의 이점을 누릴 수 있습니다. ADFS는 이러한 기능을 인터넷 기반 응용 프로그램으로 확장합니다. 이를 통해 고객, 파트너 및 공급자는 조직의 웹 기반 응용 프로그램에 액세스할 때 효율적이며 일관된 웹 SSO를 사용할 수 있습니다. 또한 페더레이션 서버를 여러 조직에 배포하여 파트너 조직 간에서 B2B(business-to-business) 페더레이션 트랜잭션을 이용할 수 있습니다. ADFS 페더레이션에 대한 자세한 내용은 페더레이션 디자인 이해를 참조하십시오.

  • WS(Web Services)-* 상호 운용성

    ADFS는 WS-* Web Services 아키텍처를 지원하는 다른 보안 제품과 상호 운용되는 페더레이션 ID 관리 솔루션을 제공합니다. 이 솔루션을 제공하기 위해 ADFS는 WS-Federation이라고 하는 WS-*의 페더레이션 사양을 사용합니다. WS-Federation 사양을 사용하면 Microsoft® Windows® ID 모델을 사용하지 않는 환경에서도 Windows 환경과 페더레이션할 수 있습니다. WS-* 사양에 대한 자세한 내용은 ADFS 관련 리소스를 참조하십시오.

  • 확장할 수 있는 아키텍처

    ADFS는 포리스트 트러스트와 페더레이션된 웹 SSO 디자인에서 SAML(Security Assertion Markup Language) 1.1 토큰 형식 및 Kerberos 인증을 지원하는 확장할 수 있는 아키텍처입니다. 또한 ADFS는 클레임 매핑을 수행할 수 있습니다. 예를 들어 액세스 요청의 변수로 사용자 지정 비즈니스 논리를 사용하여 클레임을 수정할 수 있습니다. 조직은 이러한 ADFS 수정 확장성을 이용하여 조직의 현재 보안 인프라와 비즈니스 정책을 유지할 수 있습니다. 클레임 수정에 대한 자세한 내용은 클레임 이해를 참조하십시오.

AD DS를 인터넷으로 확장

AD DS는 많은 조직에서 기본 ID 및 인증 서비스의 역할을 합니다. Windows Server 2003 Active Directory와 Windows Server 2008 및 Windows Server 2008 R2 AD DS를 사용하면 두 개 이상의 Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2 포리스트 간에 포리스트 트러스트를 만들어 서로 다른 비즈니스 단위 또는 조직에 있는 리소스에 대한 액세스를 제공할 수 있습니다. 포리스트 트러스트에 대한 자세한 내용은 도메인 및 포리스트 트러스트 작동 방식(https://go.microsoft.com/fwlink/?LinkID=35356(페이지는 영문일 수 있음))(페이지는영문일 수 있음)을 참조하십시오.

반면 포리스트 트러스트가 실행 가능한 옵션이 아닌 디자인도 있습니다. 예를 들어 조직 간 액세스를 포리스트의 모든 구성원이 아니라 소규모의 개별 하위 집합으로 제한해야 할 수 있습니다.

ADFS를 사용하면 조직에서 기존의 Active Directory 인프라를 확장하여 트러스트된 파트너가 인터넷을 통해 제공하는 리소스에 대한 액세스를 부여할 수 있습니다. 이러한 트러스트된 파트너에는 외부의 제3자, 동일한 조직의 다른 부서나 자회사가 포함될 수 있습니다.

ADFS는 인터넷을 통한 분산 인증과 권한 부여를 지원합니다. ADFS를 조직이나 부서의 기존 액세스 관리 솔루션으로 통합하여 조직에서 사용되는 클레임을 페더레이션의 일부로서 동의된 클레임으로 전환할 수 있습니다. ADFS는 조직 간에 이동하는 클레임을 만들고 안전하게 보호하고 확인할 수 있습니다. 또한 조직 및 부서 간 통신 활동을 감사하고 모니터링하여 트랜잭션을 보호할 수 있도록 도와줍니다.

ADFS에 대한 개요 정보를 보려면 다음 항목을 참조하십시오.

목차