ADFS(Active Directory Federation Services) 배포를 디자인하는 중에 AD DS에 의해 보안을 유지할 페더레이션 응용 프로그램 유형을 지정해야 합니다. 페더레이션할 응용 프로그램은 다음 섹션에 설명된 응용 프로그램 유형 중 하나여야 합니다.

이 ADFS 버전의 향상된 응용 프로그램 지원에 대한 자세한 내용은 Windows Server 2008 ADFS의 새로운 기능(https://go.microsoft.com/fwlink/?LinkID=85684(페이지는 영문일 수 있음))을 참조하십시오.

클레임 인식 응용 프로그램

클레임은 사용자에 대한 설명(예: 이름, ID, 키, 그룹, 권한 또는 기능)이며 응용 프로그램에서 권한 부여를 위해 사용되는 ADFS 페더레이션의 두 파트너가 이해하는 설명입니다.

클레임 인식 응용 프로그램은 ADFS 클래스 라이브러리를 사용하여 작성된 Microsoft ASP.NET 응용 프로그램입니다. 이러한 종류의 응용 프로그램은 ADFS 클레임의 모든 기능을 사용하여 권한 부여를 직접 결정할 수 있습니다. 클레임 인식 응용 프로그램은 페더레이션 서비스에서 보내는 ADFS 보안 토큰의 클레임을 수락합니다. 페더레이션 서비스가 보안 토큰 및 클레임을 사용하는 방법은 페더레이션 서비스 역할 서비스 이해를 참조하십시오.

클레임 매핑은 들어오는 클레임을 매핑, 제거 또는 필터링하거나 나가는 클레임에 전달하는 작업입니다. 클레임이 응용 프로그램에 전송될 경우에는 클레임 매핑이 수행되지 않습니다. 대신 리소스 파트너의 페더레이션 서비스 관리자가 지정한 조직 클레임만 응용 프로그램에 전송됩니다. 조직 클레임은 조직의 네임스페이스 내에서 중간 형태이거나 정규화된 형태인 클레임입니다. 클레임 및 클레임 매핑에 대한 자세한 내용은 클레임 이해를 참조하십시오.

다음 목록에서는 클레임 인식 응용 프로그램에서 사용할 수 있는 조직 클레임에 대해 설명합니다.

  • ID 클레임(UPN, 전자 메일, 일반 이름)

    응용 프로그램을 구성할 때 이러한 ID 클레임 중에서 응용 프로그램에 전송될 ID 클레임을 지정합니다. 매핑이나 필터링은 수행되지 않습니다.

  • 그룹 클레임

    응용 프로그램을 구성할 때 응용 프로그램에 전송될 조직 그룹 클레임을 지정합니다. 응용 프로그램에 전송되도록 지정되지 않은 조직 그룹 클레임은 무시됩니다.

  • 사용자 지정 클레임

    응용 프로그램을 구성할 때 응용 프로그램에 전송될 조직 사용자 지정 클레임을 지정합니다. 응용 프로그램에 전송되도록 지정되지 않은 조직 사용자 지정 클레임은 무시됩니다.

클레임 인식 권한 부여

클레임 인식 권한 부여는 ADFS 보안 토큰에 포함된 클레임을 쿼리하기 위한 개체 및 HTTP(Hypertext Transfer Protocol) 모듈로 구성됩니다. 클레임 인식 권한 부여는 Microsoft ASP.NET 응용 프로그램에서만 지원됩니다.

HTTP 모듈은 웹 응용 프로그램의 Web.config 파일에 있는 구성 설정에 따라 ADFS 프로토콜 메시지를 처리합니다. 웹 페이지는 인증 및 권한 부여 작업을 수행합니다. 또한 HTTP 모듈은 쿠키를 인증하고 쿠키의 클레임을 가져옵니다.

Windows NT 토큰 기반 응용 프로그램

Windows NT 토큰 기반 응용 프로그램은 기존의 Windows 기본 권한 부여 메커니즘을 사용하도록 작성된 IIS(인터넷 정보 서비스) 응용 프로그램입니다. 이 유형의 응용 프로그램은 ADFS 클레임을 사용할 준비가 되지 않았습니다.

Windows NT 토큰 기반 응용 프로그램은 로컬 영역이나 로컬 영역에서 트러스트하는 영역의 Windows 사용자, 즉 Windows NT 토큰 기반 인증 메커니즘을 사용하여 컴퓨터에 로그온할 수 있는 사용자만 사용할 수 있습니다.

참고

따라서 페더레이션 디자인의 경우 Windows NT 토큰 기반 인증에 리소스 계정 또는 리소스 그룹이 필요할 수 있습니다.

Windows NT 토큰 기반 에이전트로 전송된 ADFS 보안 토큰에는 다음 유형의 클레임이 포함될 수 있습니다.

  • 사용자에 대한 UPN(사용자 계정 이름) 클레임

  • 사용자에 대한 전자 메일 클레임

  • 그룹 클레임

  • 사용자에 대한 사용자 지정 클레임

  • 사용자 계정의 SID(보안 식별자)가 포함된 UPN, 전자 메일, 그룹 또는 사용자 지정 클레임. 이 클레임은 Windows 트러스트 옵션이 사용 가능하게 설정된 경우에만 적용됩니다.

ADFS 사용 웹 서버는 Windows 가장 수준의 액세스 토큰을 생성합니다. 가장 수준의 액세스 토큰은 클라이언트 프로세스의 보안 정보를 캡처하여 보안 작업에서 서비스가 클라이언트 프로세스를 "가장"할 수 있도록 합니다.

Windows NT 토큰 기반 웹 응용 프로그램의 경우 다음과 같은 프로세스 순서에 따라 Windows NT 토큰이 생성되는 방법이 결정됩니다.

  1. SAML(Security Assertion Markup Language) 토큰에 SAML 조언 요소의 SID가 포함되어 있는 경우 SID는 Windows NT 토큰을 생성하는 데 사용됩니다.

  2. SAML 토큰에 SID가 포함되어 있지 않고 대신 UPN ID 클레임이 있는 경우 UPN 클레임은 Windows NT 토큰을 생성하는 데 사용됩니다.

  3. SAML 토큰에 SID가 포함되어 있지 않고 전자 메일 ID 클레임의 UPN ID 클레임이 있는 경우 이 클레임은 UPN으로 해석되고 Windows NT 토큰을 생성하는 데 사용됩니다.

웹 응용 프로그램에 대한 트러스트 정책 항목이 페더레이션 서비스에 만들어지면 이러한 동작은 UPN 또는 전자 메일 ID 클레임이 Windows NT 토큰을 생성하는 데 사용되는 ID 클레임으로 지정되는지 여부와 관계가 없습니다.

기존의 Windows 기반 권한 부여

ADFS 보안 토큰을 가장 수준의 Windows NT 액세스 토큰으로 변환하도록 지원하려면 많은 수의 구성 요소가 필요합니다.

  • ISAPI(인터넷 서버 응용 프로그래밍 인터페이스) 확장: 이 구성 요소는 ADFS 쿠키를 검사하고 페더레이션 서비스의 ADFS 보안 쿠키를 검사하고 적합한 프로토콜을 리디렉션하고 필요한 쿠키를 작성하여 ADFS가 작동하게 해 줍니다.

  • ADFS 인증 패키지: ADFS 인증 패키지는 도메인 계정에 대한 UPN이 제공된 경우 가장 수준의 액세스 토큰을 생성합니다. 패키지를 사용하려면 호출자에게 TCB(Trusted Computing Base) 권한이 있어야 합니다.

  • IIS 관리자 스냅인의 ADFS 웹 에이전트페더레이션 서비스 URL 속성 페이지: 이러한 속성 페이지에서 ADFS 보안 토큰 및 쿠키를 확인하기 위한 정책 및 인증서를 관리할 수 있습니다.

  • ADFS 웹 에이전트 인증 서비스: ADFS 웹 에이전트 인증 서비스는 로컬 시스템으로 실행되어 S4U(Service-for-User)를 사용하거나 ADFS 인증 패키지를 사용하여 토큰을 생성합니다. 그러나 IIS(인터넷 정보 서비스) 응용 프로그램 풀은 로컬 시스템으로 실행하는 데는 필요하지 않습니다. ADFS 웹 에이전트 인증 서비스에는 RPC(원격 프로시저 호출)가 아니라 LRPC(로컬 원격 프로시저 호출)로만 호출할 수 있는 인터페이스가 있습니다. ADFS 보안 토큰이나 ADFS 쿠키가 제공된 경우 서비스는 가장 수준의 Windows NT 액세스 토큰을 반환합니다.

  • ADFS 웹 에이전트 ISAPI 필터: 기존의 특정 IIS 웹 응용 프로그램은 URL(Uniform Resource Locator)과 같이 받는 데이터를 수정할 수 있는 ISAPI 필터를 사용합니다. 이런 경우 ADFS 웹 에이전트 ISAPI 필터를 사용 가능하도록 설정하고 우선 순위가 가장 높은 필터로 구성해야 합니다. 이 필터는 기본적으로 사용하도록 설정되어 있지 않습니다.


목차