내보내기(0) 인쇄
모두 확장

ADFS(Active Directory Federation Services) 역할

업데이트 날짜: 2008년 1월

적용 대상: Windows Server 2008

AD FS(Active Directory(R) Federation Services)는 Windows 및 비 Windows 환경을 비롯한 여러 플랫폼에서 작동할 수 있는, 확장성이 우수하고, 인터넷으로 확장 가능한 보안 ID 액세스 솔루션을 만드는 데 사용할 수 있는 Windows Server® 2008 운영 체제의 서버 역할입니다. 다음 절에서는 Windows Server 2003 R2 운영 체제의 AD FS 버전과 비교하여 Windows Server 2008의 AD FS 추가 기능에 대한 정보를 비롯하여 Windows Server 2008의 AD FS에 대해 자세히 설명합니다.

AD FS에 대한 자세한 내용은 AD FS(Active Directory Federation Service) 개요(http://go.microsoft.com/fwlink/?LinkId=87272)(페이지는 영문일 수 있음)를 참조하십시오. AD FS 테스트 환경을 설치하는 방법에 대한 자세한 내용은 Windows Server 2008의 AD FS에 대한 단계별 가이드(http://go.microsoft.com/fwlink/?LinkID=85685)(페이지는 영문일 수 있음)를 참조하십시오.

이 기능의 대상 사용자

AD FS는 다음 조건을 갖춘 중간 규모 및 대규모 조직에 배포됩니다.

  • 하나 이상의 디렉터리 서비스: AD DS(Active Directory 도메인 서비스) 또는 AD LDS(Active Directory Lightweight Directory Services)(이전의 ADAM(Active Directory Application Mode))

  • 다양한 운영 체제 플랫폼이 실행되는 컴퓨터

  • 도메인에 가입한 컴퓨터

  • 인터넷에 연결된 컴퓨터

  • 하나 이상의 웹 기반 응용 프로그램

다음 중 하나인 경우 AD FS에 대한 추가 설명서와 함께 이 정보를 검토합니다.

  • 기존 AD FS 인프라 지원을 담당하는 IT(정보 기술) 전문가

  • ID 페더레이션 제품을 평가하는 IT 계획자, 분석자 또는 설계자

특별 고려 사항

기존 AD FS 인프라가 있는 경우 페더레이션 서버, 페더레이션 서버 프록시 및 Windows Server 2003 R2가 실행되는 AD FS 사용 웹 서버를 Windows Server 2008로 업그레이드하기 전에 알아야 할 특별 고려 사항이 있습니다. 이러한 고려 사항은 고유한 서비스 계정을 사용하도록 수동으로 구성된 AD FS 서버가 있는 경우에만 적용됩니다.

AD FS는 네트워크 서비스 계정을 AD FS 웹 에이전트 인증 서비스 및 ADFSAppPool 응용 프로그램 풀 ID의 기본 계정으로 사용합니다. 기본 네트워크 서비스 계정이 아닌 서비스 계정을 사용하도록 기존 AD FS 배포에 있는 하나 이상의 AD FS 서버를 수동으로 구성한 경우 고유한 서비스 계정을 사용하는 AD FS 서버를 추적하고 각 서비스 계정의 사용자 이름과 암호를 기록합니다.

서버를 Windows Server 2008로 업그레이드하는 경우 업그레이드 프로세스에서 자동으로 모든 서비스 계정을 원래 기본값으로 복원합니다. 따라서 Windows Server 2008이 완전히 설치된 후 해당하는 각 서버에 대해 수동으로 서비스 계정 정보를 다시 입력해야 합니다.

새로운 기능

Windows Server 2008의 AD FS에는 Windows Server 2003 R2에서 사용할 수 없었던 새로운 기능이 포함되어 있습니다. 이 새로운 기능은 관리자 오버헤드를 줄여주고 주요 응용 프로그램을 좀 더 폭넓게 지원합니다.

  • 향상된 설치 - AD FS가 Windows Server 2008에 서버 역할로 포함되어 있으며, 설치 마법사에 새로운 서버 유효성 검사가 있습니다.

  • 향상된 응용 프로그램 지원 - AD FS가 Microsoft Office SharePoint(R) Server 2007 및 Active Directory Rights Management Services(AD RMS)와 더욱 긴밀하게 통합되었습니다.

  • 페더레이션 트러스트를 설정할 때 관리 경험 향상 - 향상된 트러스트 정책 가져오기 및 내보내기 기능은 일반적으로 페더레이션 트러스트 설정과 연결된 파트너 기반 구성 문제를 최소화하는 데 도움이 됩니다.

향상된 설치

Windows Server 2008의 AD FS는 설치 경험에 몇 가지 향상된 기능을 제공합니다. Windows Server 2003 R2에서 AD FS를 설치하려면 프로그램 추가/제거를 사용하여 AD FS 구성 요소를 찾아 설치해야 했습니다. 그러나 Windows Server 2008에서는 서버 관리자를 사용하여 AD FS를 서버 역할로 설치할 수 있습니다.

AD FS 서버 역할 설치를 계속하기 전에 향상된 AD FS 구성 마법사 페이지를 사용하여 서버 유효성 검사를 수행할 수 있습니다. 또한 서버 관리자는 AD FS 서버 역할 설치 중에 AD FS가 종속된 모든 서비스를 자동으로 나열하고 설치합니다. 이러한 서비스에는 Microsoft ASP.NET 2.0 및 웹 서버(IIS) 서버 역할에 속한 다른 서비스가 포함됩니다.

향상된 응용 프로그램 지원

Windows Server 2008의 AD FS에는 Office SharePoint Server 2007 및 AD RMS와 같은 다른 응용 프로그램과의 통합 기능을 개선하는 향상된 기능이 포함되어 있습니다.

Office SharePoint Server 2007과 통합

Office SharePoint Server 2007은 이 버전의 AD FS에 통합된 SSO 기능을 최대한 활용합니다. Windows Server 2008의 AD FS에는 Office SharePoint Server 2007 구성원 자격과 역할 공급자를 지원하는 기능이 포함되어 있습니다. 따라서 AD FS에서 효과적으로 Office SharePoint Server 2007을 클레임 인식 응용 프로그램으로 구성할 수 있으며, 구성원 자격 및 역할 기반 액세스 제어를 사용하여 Office SharePoint Server 2007 사이트를 관리할 수 있습니다. 이 버전의 AD FS에 포함된 구성원 자격과 역할 공급자는 Office SharePoint Server 2007에서만 사용됩니다.

AD RMS와 통합

조직에서 기존 페더레이션 트러스트 관계를 이용하여 외부 파트너와 협력하고 권한이 보호된 콘텐츠를 공유할 수 있도록 AD RMS와 AD FS가 통합되었습니다. 예를 들어 AD RMS를 배포한 조직은 AD FS를 사용하여 외부 조직과 페더레이션을 설정할 수 있습니다. 그런 다음 이 관계를 사용하여 두 조직에 모두 AD RMS를 배포하도록 요구하지 않고 두 조직에서 권한이 보호된 콘텐츠를 공유할 수 있습니다.

페더레이션 트러스트를 설정할 때 관리 경험 향상

Windows Server 2003 R2 및 Windows Server 2008 모두에서 AD FS 관리자는 정책 파일을 가져오고 내보내는 프로세스나 URI(Uniform Resource Indicator), 클레임 유형, 클레임 매핑, 표시 이름 등의 파트너 값을 상호 교환하는 수동 프로세스를 사용하여 두 조직 간에 페더레이션 트러스트를 만들 수 있습니다. 수동 프로세스에서는 이 데이터를 받는 관리자가 받은 데이터를 모두 파트너 추가 마법사의 해당 페이지에 입력해야 하며, 이 경우 맞춤법 오류가 발생할 수 있습니다. 또한 수동 프로세스에서는 마법사를 통해 인증서를 추가할 수 있도록 계정 파트너 관리자가 페더레이션 서버에 대한 확인 인증서 복사본을 리소스 파트너 관리자에게 보내야 합니다.

정책 파일을 가져오고 내보내는 기능은 Windows Server 2003 R2에서도 사용할 수 있었지만 Windows Server 2008에서는 정책 기반 내보내기 및 가져오기 기능이 향상되어 더 쉽게 파트너 조직 간에 페더레이션 트러스트를 만들 수 있습니다. 이러한 향상된 기능은 파트너 추가 마법사에서 가져오기 기능의 유연성을 높여 관리 작업을 간편하게 하기 위한 것입니다. 예를 들어 파트너 정책을 가져온 경우 관리자는 파트너 추가 마법사를 사용하여 마법사 프로세스가 완료되기 전에 가져온 값을 수정할 수 있습니다. 여기에는 다른 계정 파트너 확인 인증서를 지정하는 기능과 파트너 간에 들어오거나 나가는 클레임을 매핑하는 기능이 포함됩니다.

Windows Server 2008의 AD FS에 포함된 내보내기 및 가져오기 기능을 사용할 경우 관리자는 트러스트 정책 설정을 .xml 파일로 내보낸 다음 해당 파일을 파트너 관리자에게 보내기만 하면 됩니다. 이러한 파트너 정책 파일의 교환을 통해 모든 URI, 클레임 유형, 클레임 매핑 및 기타 값과 두 파트너 조직 간에 페더레이션 트러스트를 만드는 데 필요한 확인 인증서가 제공됩니다.

다음 그림과 이후 지침에서는 파트너 간의 성공적인 정책 교환(이 경우 계정 파트너 조직의 관리자가 시작함)을 통해 두 가상 조직(A. Datum Corporation 및 Trey Research) 간에 페더레이션 트러스트를 설정하는 프로세스를 단순화하는 방법을 보여 줍니다.

AD FS 가져오기 / 내보내기 프로세스
  1. 계정 파트너 관리자가 트러스트 정책 폴더를 마우스 오른쪽 단추로 클릭하여 기본 파트너 정책 내보내기를 지정하고 A. Datum Corporation에 대한 URI, 표시 이름, 페더레이션 서버 프록시 URL(Uniform Resource Locator) 및 확인 인증서가 포함된 파트너 정책 파일을 내보냅니다. 그런 다음 계정 파트너 관리자는 전자 메일이나 기타 수단을 통해 파트너 정책 파일을 리소스 파트너 관리자에게 보냅니다.

  2. 리소스 파트너 관리자가 계정 파트너 추가 마법사를 사용하여 새 계정 파트너를 만들고 계정 파트너 정책 파일을 가져오는 옵션을 선택합니다. 리소스 파트너 관리자는 계속해서 파트너 정책 파일의 위치를 지정하고, 정책 가져오기의 결과로 미리 채워진 각 마법사 페이지에 제공된 모든 값이 정확한지 확인한 다음 마법사를 완료합니다.

  3. 이제 리소스 파트너 관리자가 해당 계정 파트너와 관련된 추가 클레임 또는 트러스트 정책 설정을 구성할 수 있습니다. 이 구성이 완료된 후 관리자는 A. Datum Corporation 계정 파트너를 마우스 오른쪽 단추로 클릭하여 정책 내보내기 옵션을 지정합니다. 리소스 파트너 관리자는 Trey Research 조직에 대한 URI, 페더레이션 서버 프록시 URL, 표시 이름, 클레임 유형 및 클레임 매핑이 포함된 파트너 정책 파일을 내보냅니다. 그런 다음 리소스 파트너 관리자는 파트너 정책 파일을 계정 파트너 관리자에게 보냅니다.

  4. 계정 파트너 관리자가 리소스 파트너 추가 마법사를 사용하여 새 리소스 파트너를 만들고 리소스 파트너 정책 파일을 가져오는 옵션을 선택합니다. 계정 파트너 관리자는 리소스 파트너 정책 파일의 위치를 지정하고, 정책 가져오기의 결과로 미리 채워진 각 마법사 페이지에 제공된 모든 값이 정확한지 확인한 다음 마법사를 완료합니다.

이 프로세스가 완료되면 두 파트너 간에 성공적인 페더레이션 트러스트가 설정됩니다. 정책 가져오기 및 내보내기 프로세스는 여기에 설명되어 있지 않지만 리소스 파트너 관리자가 해당 프로세스를 시작할 수도 있습니다.

추가 또는 변경된 설정

IIS 관리자 스냅인을 사용하여 Windows NT 토큰 기반 웹 에이전트 설정을 구성합니다. IIS(인터넷 정보 서비스) 7.0과 함께 제공되는 새로운 기능을 지원하기 위해 Windows Server 2008 AD FS에는 AD FS 웹 에이전트 역할 서비스에 대한 UI(사용자 인터페이스) 업데이트가 포함되어 있습니다. 다음 표에서는 사용되는 IIS 버전에 따라 각 AD FS 웹 에이전트 속성 페이지에 대한 IIS 6.0 또는 IIS 7.0용 IIS 관리자의 다른 위치를 보여 줍니다.

 

IIS 6.0 속성 페이지 이전 위치 IIS 7.0 속성 페이지 새 위치

AD FS 웹 에이전트

<컴퓨터 이름>\Web Sites

페더레이션 서비스 URL

<컴퓨터 이름>(가운데 창의 기타 섹션)

AD FS 웹 에이전트

<컴퓨터 이름>\Web Sites\<사이트 또는 가상 디렉터리>

AD FS 웹 에이전트

<컴퓨터 이름>\Web Sites\<사이트 또는 가상 디렉터리>(가운데 창의 IIS\Authentication 섹션)

note참고
Windows Server 2008의 AD FS(Active Directory Federation Services) 스냅인과 Windows Server 2003 R2의 AD FS(Active Directory Federation Services) 스냅인 간의 UI 차이는 크게 없습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft