ADFS(Active Directory Federation Services) 웹 에이전트는 다른 ADFS 역할 서비스와 별도로 설치할 수 있는 ADFS의 역할 서비스입니다. 컴퓨터에 ADFS 웹 에이전트 역할 서비스를 설치하면 해당 컴퓨터가 ADFS 사용 웹 서버가 됩니다.
ADFS 사용 웹 서버는 보안 토큰을 사용하고 웹 응용 프로그램에 대한 사용자 액세스를 허용하거나 거부하는 데 사용됩니다. 이렇게 하려면 필요에 따라 ADFS 사용 웹 서버가 페더레이션 서비스로 사용자를 보낼 수 있도록 해당 웹 서버에는 리소스 페더레이션 서비스와의 관계가 필요합니다.
ADFS 웹 에이전트는 서로 다른 유형의 두 응용 프로그램에 사용할 수 있습니다.
-
클레임 인식 응용 프로그램: ADFS 보안 토큰 클레임에 대한 쿼리를 허용하는 게시된 ADFS 개체에 작성된 Microsoft ASP.NET 응용 프로그램입니다. 이 응용 프로그램은 이러한 클레임에 따라 권한 부여를 결정합니다.
-
Windows NT 토큰 기반 응용 프로그램: Windows 기반 권한 부여 메커니즘을 사용하는 응용 프로그램입니다. ADFS 웹 에이전트는 ADFS 보안 토큰에서 가장 수준의 Windows NT® 액세스 토큰으로의 변환을 지원합니다.
또한 ADFS 사용 웹 서버는 쉬운 SSO(Single Sign-On) 사용을 위해 HTTP(Hypertext Transfer Protocol) 쿠키가 필요한 클라이언트에 쿠키를 저장합니다. ADFS 웹 에이전트는 다음과 같은 별개의 두 구성 요소로 구성되어 있습니다.
-
ADFS Windows 토큰 기반 에이전트 확장
-
ADFS 웹 에이전트 인증 서비스
ADFS Windows 토큰 기반 에이전트 확장
ADFS Windows 토큰 기반 에이전트 확장은 ISAPI(인터넷 서버 응용 프로그래밍 인터페이스) 확장으로서 IIS(인터넷 정보 서비스) 메타베이스의 정보를 구성하는 데 사용할 수 있습니다. IIS 관리자의 페더레이션 서비스 URL 및 ADFS 웹 에이전트 속성 페이지를 사용하여 ADFS 보안 토큰 및 쿠키를 확인하는 정책 및 인증서를 관리할 수 있습니다.
다음 표의 ADFS 웹 에이전트 속성은 상속 가능합니다. ISAPI 확장이 WS-F PRP(WS-Federation Passive Requestor Profile) 프로토콜을 지원할 경우 IIS 리소스에 이러한 속성이 필요합니다.
| 속성 | 설명 |
|---|---|
|
페더레이션 서비스 URL |
페더레이션 서비스의 URL(Uniform Resource Locator)입니다. 트러스트 정보를 확인하기 위해 이 URL을 쿼리할 수 있으므로 이 URL이 반드시 필요합니다. |
|
쿠키 경로 |
인증 쿠키가 작성될 때 지정된 경로입니다. |
|
쿠키 도메인 |
쿠키가 유효한 도메인입니다. |
|
반환 URL |
페더레이션 서비스의 토큰이 페더레이션 서비스에서 인증된 후에 반환되는 URL입니다. 이 URL은 토큰의 대상 요소와 일치해야 합니다. 대상 요소에 대한 검사는 Windows 서비스에서 수행됩니다. |
ADFS 웹 에이전트 인증 서비스
ADFS 웹 에이전트 인증 서비스는 들어오는 토큰과 쿠키의 유효성을 검사합니다. 이 인증 서비스는 로컬 시스템으로 실행되어 암호 없는 UPN(사용자 계정 이름)을 제공하여 클라이언트에 대한 Windows 토큰을 얻을 수 있도록 하는 S4U(Service-for-User) 또는 ADFS 인증 패키지를 사용하여 토큰을 생성합니다. 그러나 IIS 응용 프로그램 풀은 로컬 시스템으로 실행하는 데는 필요하지 않습니다.
ADFS 웹 에이전트 인증 서비스에는 RPC(원격 프로시저 호출)가 아니라 LRPC(로컬 원격 프로시저 호출)로만 호출할 수 있는 인터페이스가 있습니다. ADFS 보안 토큰이나 ADFS 쿠키가 제공된 경우 이 서비스는 가장 Windows NT 액세스 토큰을 반환합니다.