ADFS에서 사용하는 쿠키 이해

페더레이션 서비스와 ADFS 웹 에이전트는 모두 인증 쿠키를 발급할 수 있습니다. ADFS 웹 에이전트는 받은 ADFS 보안 토큰을 수락하고 쿠키 값으로 이 토큰을 사용합니다. ADFS 사용 웹 서버의 이점은 자체 쿠키에 서명하고 확인할 수 있는 공개/개인 키 쌍으로 구성할 필요가 없다는 데 있습니다. 페더레이션 서비스는 해당 토큰의 유효성을 검사하는 데 필요한 모든 정보를 게시합니다.

페더레이션 서비스에서 쿠키의 보안 토큰은 클라이언트에 대한 조직 클레임을 보유합니다. 조직 클레임은 특정 리소스의 나가는 클레임에 매핑될 수 있습니다. 또한 ADFS 웹 에이전트는 페더레이션 서비스에서 발급한 쿠키를 인증하고 사용할 수 있습니다. ADFS 사용 웹 서버는 클라이언트가 ADFS 사용 웹 서버에 연결되면 쿠키를 받습니다. 그런 다음 ADFS 웹 에이전트는 이 쿠키를 인증하고 쿠키에 포함된 클레임을 사용할 수 있습니다. 페더레이션 서비스가 토큰, 클레임 및 인증 쿠키를 사용하는 방법에 대한 자세한 내용은 페더레이션 서비스 역할 서비스 이해를 참조하십시오.

인증 쿠키는 SSO(Single Sign-On)를 사용하기 쉽게 해 줍니다. 페더레이션 서비스가 클라이언트의 유효성을 한 번 검사하면 인증 쿠키가 클라이언트에 기록됩니다. 페더레이션 서비스가 인증 쿠키의 내용을 생성하고 사용한 후에는 인증 쿠키의 내용이 페더레이션 서버 프록시에 의해 읽히지 않습니다. 추후 인증은 클라이언트 자격 증명을 반복해서 수집하기보다는 쿠키를 사용하여 진행됩니다. 페더레이션 서버 프록시에 대한 자세한 내용은 페더레이션 서비스 프록시 역할 서비스 이해를 참조하십시오.

다음 그림에서는 인증 쿠키의 내용과 인증 쿠키를 사용하는 ADFS 역할 서비스를 보여줍니다. ADFS 웹 에이전트는 ADFS 웹 에이전트 인증 서비스와 ADFS Windows 토큰 기반 에이전트 확장으로 구성됩니다.

인증 쿠키는 항상 세션 쿠키입니다. 인증 쿠키는 서명되어 있지만 암호화되어 있지 않으므로 ADFS에서 TLS/SSL(전송 계층 보안/Secure Sockets Layer)을 반드시 사용해야 합니다.

계정 파트너 쿠키는 SSO를 사용하기 쉽게 해 줍니다. 대화형 계정 파트너 구성원 자격이 검색된 후 계정 파트너 쿠키에 유효한 토큰이 있는 경우 쿠키가 클라이언트에 기록됩니다. 추후 상호 작용에서는 클라이언트에 계정 파트너 구성원 자격 정보를 다시 묻는 대신 이 쿠키의 정보를 사용합니다. 계정 파트너 쿠키는 계정 파트너 검색 프로세스의 결과로 설정됩니다. 계정 파트너 검색에 대한 자세한 내용은 페더레이션 서비스 역할 서비스 이해를 참조하십시오.

계정 파트너 쿠키는 오랫동안 지속되는 영구적인 쿠키로 서명되거나 암호화되어 있지 않습니다.

로그아웃 쿠키는 로그오프를 쉽게 할 수 있도록 해 줍니다. 페더레이션 서비스가 토큰을 발급할 때마다 토큰의 리소스 파트너 또는 대상 서버가 로그아웃 쿠키에 추가됩니다. 서버가 로그오프 요청을 받으면 페더레이션 서비스나 페더레이션 서비스 프록시는 요청을 각 토큰 대상 서버에 보내고 리소스 파트너 또는 ADFS 사용 웹 서버가 클라이언트에 기록했을 수도 있는 캐시된 쿠키와 같은 불필요한 인증을 지울 것인지 확인합니다. 리소스 파트너의 경우 클라이언트가 사용한 모든 ADFS 사용 웹 서버에 정리 요청을 보냅니다.

로그아웃 쿠키는 항상 세션 쿠키이며 서명되거나 암호화되어 있지 않습니다.