ADFS는 Windows Server 2008 운영 체제의 새로운 기능으로 내부 및 외부 사용자를 위한 브라우저 기반 액세스를 위한 통합 액세스 솔루션을 제공합니다. 이 새로운 기능을 사용하면 완전히 다른 두 네트워크 또는 조직 간의 계정과 애플리케이션 간의 통신도 가능합니다.
ADFS의 작동 방식을 이해하려면 먼저 Active Directory의 작동 방식을 고려해 볼 수 있습니다. 사용자가 Active Directory를 통해 인증하면 도메인 컨트롤러는 사용자의 인증서를 확인합니다. 합법적인 사용자임이 입증된 후 사용자는 다른 서버에 액세스할 때마다 다시 인증할 필요 없이 Windows 네트워크에서 승인된 리소스에 자유롭게 액세스할 수 있습니다. ADFS는 동일한 개념을 인터넷에 적용합니다. 우리 모두는 웹 애플리케이션이 데이터베이스에 있는 백엔드 데이터나 다른 유형의 백엔드 리소스에 액세스해야 할 때 백엔드 리소스에 대한 보안 인증 문제가 종종 복잡하다는 것을 알고 있습니다. 오늘날 이러한 인증을 제공하기 위해 사용할 수 있는 다양한 인증 방법이 있습니다. 예를 들어, 사용자는 RADIUS(Remote Authentication Dial-in User Service) 서버나 애플리케이션 코드의 일부를 통해 소유권 인증 메커니즘을 구현할 수 있습니다. 이러한 인증 메커니즘은 모두 인증 기능을 구현할 수 있지만 몇 가지 단점도 있습니다. 한 가지 단점은 계정 관리입니다. 회사 직원만 애플리케이션에 액세스할 경우 계정 관리는 큰 문제가 되지 않습니다. 그러나 회사의 공급업체와 고객이 모두 해당 애플리케이션을 사용한다면 사용자는 갑자기 다른 회사의 직원을 위해 새로운 사용자 계정을 만들어야 한다는 사실을 깨닫게 될 것입니다. 두 번째 단점은 유지 관리입니다. 다른 회사의 직원이 퇴사하고 새로운 직원을 채용하는 경우에도 사용자는 기존 계정을 삭제하고 새 계정을 만들어야 합니다.
ADFS는 어떤 역할을 할 수 있나요?
사용자가 웹 애플리케이션을 사용하여 계정 관리 작업을 고객, 공급업체 또는 다른 사람에게 오프로드하고 웹 애플리케이션이 다른 기업에 서비스를 제공하고 사용자가 더 이상 해당 직원에 대한 사용자를 생성하거나 재설정할 필요가 없다고 상상해 보십시오. 당신의 비밀번호. 이것이 충분하지 않은 경우 사용자는 더 이상 앱을 사용하기 위해 앱에 로그인할 필요가 없습니다. 그것은 정말 흥미로운 일이 될 것입니다.
ADFS에는 무엇이 필요합니까?
물론 Active Directory 페더레이션 서비스를 사용하려면 다른 구성도 필요하며 사용자가 이러한 기능을 수행하려면 일부 서버가 필요합니다. 가장 기본적인 것은 ADFS의 페더레이션 서비스 구성 요소를 실행하는 페더레이션 서버입니다. 페더레이션 서버의 주요 역할은 다양한 외부 사용자로부터 요청을 보내는 것입니다. 또한 인증된 사용자에게 토큰을 발급하는 일도 담당합니다.
또한 대부분의 경우 공동 대리인이 필요합니다. 외부 네트워크가 사용자의 내부 네트워크와 페더레이션 프로토콜을 설정할 수 있어야 한다면 이는 인터넷을 통해 사용자의 페더레이션 서버에 액세스할 수 있어야 함을 의미합니다. 그러나 Active Directory 페더레이션은 Active Directory에 크게 의존하지 않으므로 페더레이션 서버를 인터넷에 직접 노출하면 큰 위험이 따릅니다. 이로 인해 페더레이션 서버는 인터넷에 직접 연결할 수 없고 페더레이션 프록시를 통해 액세스됩니다. 페더레이션 프록시는 페더레이션 서버가 외부에 직접 노출되지 않도록 외부의 페더레이션 요청을 페더레이션 서버로 전달합니다.
ADFS의 또 다른 주요 구성 요소는 ADFS 웹 에이전트입니다. 웹 애플리케이션에는 외부 사용자를 인증하는 메커니즘이 있어야 합니다. 이러한 메커니즘은 ADFS 웹 프록시입니다. ADFS 웹 프록시는 웹 서버에 발급된 보안 토큰과 인증 쿠키를 관리합니다.
다음 문서에서는 ADFS 서비스가 기업에 제공하는 새로운 경험을 경험할 수 있도록 시뮬레이션된 테스트 환경을 안내합니다. 이제 ADFS 구성 테스트를 시작해 보겠습니다.
1단계: 설치 전 작업
다음 실험을 완료하려면 사용자는 ADFS를 설치하기 전에 최소 4대의 컴퓨터를 준비해야 합니다.
1) 컴퓨터의 운영체제 및 네트워크 환경을 구성합니다.
다음 표를 사용하여 테스트를 위한 컴퓨터 시스템 및 네트워크 환경을 구성하십시오.
2) AD DS 설치
사용자는 Dcpromo 도구를 사용하여 각 페더레이션 서버(FS)에 대한 새 Active Directory 포리스트를 만듭니다. 구체적인 이름은 아래 구성 표를 참조하세요.
3) 사용자 계정 및 자원 계정 생성
두 포리스트를 설정한 후 사용자는 "사용자 계정 및 컴퓨터"(Active Directory 사용자 및 컴퓨터) 도구를 사용하여 다음 실험을 준비하기 위해 일부 계정을 만들 수 있습니다. 다음 목록은 사용자 참조를 위한 몇 가지 예를 제공합니다.
4) 테스트 컴퓨터를 적절한 도메인에 가입시킵니다.
해당 컴퓨터를 적절한 도메인에 추가하려면 아래 표를 따르십시오. 이러한 컴퓨터를 도메인에 추가하기 전에 사용자는 해당 도메인 컨트롤러에서 방화벽을 비활성화해야 합니다.
2단계: AD FS 역할 서비스 설치 및 인증서 구성
이제 컴퓨터를 구성하고 도메인에 추가했으므로 각 서버에 ADFS 구성 요소도 설치했습니다.
1) 제휴 서비스 설치
두 대의 컴퓨터에 Alliance 서비스를 설치합니다. 설치가 완료되면 두 대의 컴퓨터가 Alliance 서버가 됩니다. 다음 단계에서는 새로운 신뢰 정책 파일과 SSL 및 인증서를 생성하는 과정을 안내합니다.
시작을 클릭하고 관리 도구를 선택한 후 서버 관리자를 클릭합니다. 역할 관리를 마우스 오른쪽 버튼으로 클릭하고 역할 추가를 선택하여 역할 추가 마법사를 시작합니다. 시작하기 전에 페이지에서 다음을 클릭합니다. 서버 역할 선택 페이지에서 Active Directory Federation Services를 선택하고 다음을 클릭합니다. 역할 서비스 선택에서 페더레이션 서비스 확인란을 선택합니다. 시스템에서 사용자에게 웹 서버(IIS) 또는 Windows 활성화 서비스(WAS) 역할 서비스를 설치하라는 메시지를 표시하면 필수 역할 서비스 추가를 클릭하고 완료되면 다음을 클릭합니다. SSL 암호화를 위한 인증서 선택 페이지에서 SSL 암호화를 위한 자체 서명 인증서 만들기를 클릭하고 계속하려면 다음을 클릭한 다음 토큰 서명 인증서 선택 페이지에서 자체 서명된 토큰 서명 인증서 만들기를 클릭하고 다음을 클릭합니다. 신뢰 정책 선택 페이지에서 새 신뢰 정책 만들기를 선택한 후 역할 서비스 선택 페이지로 이동하고 다음을 클릭하여 기본값을 확인합니다. 설치 옵션 확인의 정보를 확인한 후 설치를 클릭하여 설치를 시작할 수 있습니다.
[컷 페이지]
2) 로컬 시스템 계정을 ADFSAppPool ID에 할당합니다.
시작을 클릭하고 관리 도구의 IIS(인터넷 정보 서비스) 관리자에서 ADFSRESOURCE 또는 ADFSACCOUNT를 두 번 클릭하고 응용 프로그램 풀을 선택한 다음 중앙 패널에서 ADFSAppPool을 마우스 오른쪽 단추로 클릭하고 ID 유형에서 응용 프로그램 풀 기본값 설정을 선택한 다음 LocalSystem을 클릭합니다. 확인을 선택합니다.
3) AD FS 웹 에이전트 설치
관리 도구의 서버 관리자에서 역할 관리를 마우스 오른쪽 단추로 클릭하고 역할 추가를 선택한 다음 마법사에 따라 서버 역할 선택 페이지에서 Active Directory Federation Services를 선택하고 다음을 클릭한 후 역할 서비스 선택 창에서 클레임 인식 에이전트 확인란을 선택합니다. . 마법사가 사용자에게 웹 서버(IIS) 또는 Windows 활성화 서비스(WAS) 역할 서비스를 설치하라는 메시지를 표시하면 필수 역할 서비스 추가를 클릭하여 설치를 완료합니다. 완료 후 역할 서비스 선택 페이지에서 클라이언트 인증서 매핑 인증 확인란을 선택합니다. (이 단계를 수행하려면 IIS에서 자체 서명된 서비스 인증을 만들어야 합니다.) 정보를 확인한 후 설치를 시작할 수 있습니다.
웹 서버와 제휴 서버를 성공적으로 설정하기 위한 또 다른 중요한 단계는 인증서 생성, 가져오기 및 내보내기입니다. 이전에는 역할 추가 마법사를 사용하여 제휴 서버 간에 서버 인증 인증서를 만들었습니다. 남은 작업은 adfsweb 컴퓨터에 대한 해당 인증 인증서를 만드는 것뿐입니다. 지면의 제약으로 인해 여기서는 자세히 소개하지 않겠습니다. 관련된 내용은 시리즈의 자격증 관련 글을 확인하시면 됩니다.
3단계: 웹 서버 구성
이 단계에서 주로 완료하려는 작업은 웹 서버(adfsweb)에서 클레임 인식 응용 프로그램을 설정하는 방법입니다.
먼저 IIS를 구성하려면 adfsweb 기본 웹 사이트의 SSL 설정을 활성화해야 합니다. 완료 후 IIS의 ADFSWEB에서 웹 사이트를 두 번 클릭하고 기본 웹 사이트를 마우스 오른쪽 버튼으로 클릭한 다음 응용 프로그램 추가를 선택하고 Claimapp을 입력합니다. 애플리케이션 추가 대화 상자의 별칭... 버튼을 클릭하고 Claimapp이라는 새 폴더를 생성한 후 확인합니다. 새 폴더 이름을 지정할 때 대문자를 사용하지 않는 것이 가장 좋습니다. 그렇지 않으면 나중에 사용할 때 해당 대문자를 사용해야 합니다.
4단계: Alliance Server 구성
이제 ADFS 서비스를 설치하고 클레임 인식 응용 프로그램에 액세스하도록 웹 서버를 구성했으므로 테스트 환경에서 두 회사(Trey Research 및 A. Datum Corporation)의 제휴 서비스를 구성해 보겠습니다.
먼저 관리 도구에서 Active Directory Federation Services를 클릭하고 페더레이션 서비스를 두 번 클릭한 후 마우스 오른쪽 버튼을 클릭하고 신뢰 정책을 선택한 다음 속성을 선택합니다. 일반 탭의 페더레이션 서비스 URI 옵션에 urn:federation:adatum을 입력합니다. 그런 다음 페더레이션 서비스 끝점 URL 텍스트 상자 https://adfsaccount.adatum.com/adfs/ls/에서 다음 URL이 올바른지 확인하십시오. 마지막으로 표시 이름 탭의 이 신뢰 정책에 대한 표시 이름에 A. Datum을 입력하고 확인을 선택하세요. 완료 후 Active Directory Federation Services를 다시 입력하고 페더레이션 서비스, 신뢰 정책, 내 조직을 두 번 클릭하고 조직 클레임을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 클릭하고 Create a에서 클레임 이름에 Trey ClaimApp Claim을 입력합니다. 새 조직 클레임 대화 상자. 그룹 클레임이 선택되었는지 확인하고 확인을 클릭합니다. 다른 회사의 구성은 기본적으로 위의 작업과 유사하므로 자세한 내용은 다시 설명하지 않겠습니다.
5단계: 클라이언트 컴퓨터를 통해 파일럿 애플리케이션에 액세스
adfsaccount 페더레이션 서비스에 대한 브라우저 설정 구성
alansh 사용자로 adfsclient에 로그인하고, IE를 시작하고, 도구 메뉴에서 인터넷 옵션을 클릭하고, 보안 탭에서 로컬 인트라넷을 클릭한 다음, 영역에 이 웹 사이트 추가에 https://adfsaccount를 입력합니다. adatum.com에서 추가를 클릭합니다. 그런 다음 IE 브라우저에 https://adfsweb.treyresearch.net/claimapp/을 입력합니다. 그러나 홈 영역을 묻는 메시지가 나타나면 A. Datum을 클릭한 다음 제출을 클릭합니다. 이렇게 하면 클레임 인식 샘플 응용 프로그램이 브라우저에 나타나고 사용자는 SingleSignOnIdentity.SecurityPropertyCollection에서 응용 프로그램이 선택한 클레임을 볼 수 있습니다. 액세스하는 동안 문제가 발생하면 사용자는 iisreset을 실행하거나 adfsweb 컴퓨터를 다시 시작한 다음 다시 액세스를 시도할 수 있습니다.
이제 기본 ADFS 테스트 모델이 구축되었습니다. 물론 ADFS는 여전히 포괄적이고 복잡한 신기술입니다. 그러나 구성에 관계없이 수행해야 할 작업과 구성은 여전히 많습니다. 위에서 언급했듯이 ADFS는 웹 애플리케이션의 기능을 크게 확장하고 회사 외부 비즈니스의 정보화 수준을 확장할 것입니다. Windows Server 2008의 ADFS 기술이 실제 애플리케이션에서 어떻게 사용되는지 기다려 보겠습니다.
[컷 페이지]2) 로컬 시스템 계정을 ADFSAppPool ID에 할당합니다.
시작을 클릭하고 관리 도구의 IIS(인터넷 정보 서비스) 관리자에서 ADFSRESOURCE 또는 ADFSACCOUNT를 두 번 클릭하고 응용 프로그램 풀을 선택한 다음 중앙 패널에서 ADFSAppPool을 마우스 오른쪽 단추로 클릭하고 ID 유형에서 응용 프로그램 풀 기본값 설정을 선택한 다음 LocalSystem을 클릭합니다. 확인을 선택합니다.
3) AD FS 웹 에이전트 설치
관리 도구의 서버 관리자에서 역할 관리를 마우스 오른쪽 단추로 클릭하고 역할 추가를 선택한 다음 마법사에 따라 서버 역할 선택 페이지에서 Active Directory Federation Services를 선택하고 다음을 클릭한 후 역할 서비스 선택 창에서 클레임 인식 에이전트 확인란을 선택합니다. . 마법사가 사용자에게 웹 서버(IIS) 또는 Windows 활성화 서비스(WAS) 역할 서비스를 설치하라는 메시지를 표시하면 필수 역할 서비스 추가를 클릭하여 설치를 완료합니다. 완료 후 역할 서비스 선택 페이지에서 클라이언트 인증서 매핑 인증 확인란을 선택합니다. (이 단계를 수행하려면 IIS에서 자체 서명된 서비스 인증을 만들어야 합니다.) 정보를 확인한 후 설치를 시작할 수 있습니다.
웹 서버와 제휴 서버를 성공적으로 설정하기 위한 또 다른 중요한 단계는 인증서 생성, 가져오기 및 내보내기입니다. 이전에는 역할 추가 마법사를 사용하여 제휴 서버 간에 서버 인증 인증서를 만들었습니다. 남은 작업은 adfsweb 컴퓨터에 대한 해당 인증 인증서를 만드는 것뿐입니다. 지면의 제약으로 인해 여기서는 자세히 소개하지 않겠습니다. 관련된 내용은 시리즈의 자격증 관련 글을 확인하시면 됩니다.
3단계: 웹 서버 구성
이 단계에서 주로 완료하려는 작업은 웹 서버(adfsweb)에서 클레임 인식 응용 프로그램을 설정하는 방법입니다.
먼저 IIS를 구성하려면 adfsweb 기본 웹 사이트의 SSL 설정을 활성화해야 합니다. 완료 후 IIS의 ADFSWEB에서 웹 사이트를 두 번 클릭하고 기본 웹 사이트를 마우스 오른쪽 버튼으로 클릭한 다음 응용 프로그램 추가를 선택하고 Claimapp을 입력합니다. 애플리케이션 추가 대화 상자의 별칭... 버튼을 클릭하고 Claimapp이라는 새 폴더를 생성한 후 확인합니다. 새 폴더 이름을 지정할 때 대문자를 사용하지 않는 것이 가장 좋습니다. 그렇지 않으면 나중에 사용할 때 해당 대문자를 사용해야 합니다.
4단계: Alliance Server 구성
이제 ADFS 서비스를 설치하고 클레임 인식 응용 프로그램에 액세스하도록 웹 서버를 구성했으므로 테스트 환경에서 두 회사(Trey Research 및 A. Datum Corporation)의 제휴 서비스를 구성해 보겠습니다.
먼저 관리 도구에서 Active Directory Federation Services를 클릭하고 페더레이션 서비스를 두 번 클릭한 후 마우스 오른쪽 버튼을 클릭하고 신뢰 정책을 선택한 다음 속성을 선택합니다. 일반 탭의 페더레이션 서비스 URI 옵션에 urn:federation:adatum을 입력합니다. 그런 다음 페더레이션 서비스 끝점 URL 텍스트 상자 https://adfsaccount.adatum.com/adfs/ls/에서 다음 URL이 올바른지 확인하십시오. 마지막으로 표시 이름 탭의 이 신뢰 정책에 대한 표시 이름에 A. Datum을 입력하고 확인을 선택하세요. 완료 후 Active Directory Federation Services를 다시 입력하고 페더레이션 서비스, 신뢰 정책, 내 조직을 두 번 클릭하고 조직 클레임을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 클릭하고 Create a에서 클레임 이름에 Trey ClaimApp Claim을 입력합니다. 새 조직 클레임 대화 상자. 그룹 클레임이 선택되었는지 확인하고 확인을 클릭합니다. 다른 회사의 구성은 기본적으로 위의 작업과 유사하므로 자세한 내용은 다시 설명하지 않겠습니다.
5단계: 클라이언트 컴퓨터를 통해 파일럿 애플리케이션에 액세스
adfsaccount 페더레이션 서비스에 대한 브라우저 설정 구성
alansh 사용자로 adfsclient에 로그인하고, IE를 시작하고, 도구 메뉴에서 인터넷 옵션을 클릭하고, 보안 탭에서 로컬 인트라넷을 클릭한 다음, 영역에 이 웹 사이트 추가에 https://adfsaccount를 입력합니다. adatum.com에서 추가를 클릭합니다. 그런 다음 IE 브라우저에 https://adfsweb.treyresearch.net/claimapp/을 입력합니다. 그러나 홈 영역을 묻는 메시지가 나타나면 A. Datum을 클릭한 다음 제출을 클릭합니다. 이렇게 하면 클레임 인식 샘플 응용 프로그램이 브라우저에 나타나고 사용자는 SingleSignOnIdentity.SecurityPropertyCollection에서 응용 프로그램이 선택한 클레임을 볼 수 있습니다. 액세스하는 동안 문제가 발생하면 사용자는 iisreset을 실행하거나 adfsweb 컴퓨터를 다시 시작한 다음 다시 액세스를 시도할 수 있습니다.
이제 기본 ADFS 테스트 모델이 구축되었습니다. 물론 ADFS는 여전히 포괄적이고 복잡한 신기술입니다. 그러나 구성에 관계없이 수행해야 할 작업과 구성은 여전히 많습니다. 위에서 언급했듯이 ADFS는 웹 애플리케이션의 기능을 크게 확장하고 회사 외부 비즈니스의 정보화 수준을 확장할 것입니다. Windows Server 2008의 ADFS 기술이 실제 애플리케이션에서 어떻게 사용되는지 기다려 보겠습니다.