내보내기(0) 인쇄
모두 확장

페더레이션

 

적용 대상: Exchange Server 2013

마지막으로 수정된 항목: 2014-06-17

정보 근로자는 외부 받는 사람, 공급업체, 파트너 및 고객과 공동 작업을 하고 약속 있음/없음(일정 있음/없음이라고도 함) 정보를 공유해야 하는 경우가 많습니다. Microsoft Exchange Server 2013의 페더레이션은 이러한 공동 작업에 도움이 됩니다. 페더레이션페더레이션 공유를 지원하는 기본 트러스트 인프라를 나타내며 사용자가 다른 외부 페더레이션 조직의 받는 사람과 일정 정보를 쉽게 공유할 수 있는 방법입니다. 페더레이션 공유에 대한 자세한 내용은 공유를 참조하십시오.

중요중요:
Exchange Server 2013의 이 기능은 현재 중국에서 21Vianet에 의해 운영되는 Office 365와는 완전히 호환되지는 않으며 일부 기능 제한이 적용될 수 있습니다. 자세한 내용은 21Vianet에 의해 운영되는 Office 365 정보를 참조하세요.

목차

주요 용어

Windows Azure AD 인증 시스템

페더레이션 트러스트

페더레이션 조직 식별자

페더레이션 예

페더레이션에 대한 인증서 요구 사항

새 인증서로 전환

페더레이션에 대한 방화벽 고려 사항

다음 표에서는 Exchange 2013의 페더레이션과 관련된 핵심 구성 요소를 정의합니다.

AppID(응용 프로그램 식별자)

Windows Azure AD 인증 시스템에서 Exchange 조직을 식별하기 위해 생성하는 고유한 번호입니다. AppID는 Windows Azure AD 인증 시스템과의 페더레이션 트러스트를 만들 때 자동으로 생성됩니다.

위임 토큰

Windows Azure AD 인증 시스템에서 발급한 SAML(Security Assertion Markup Language) 토큰으로, 특정 페더레이션 조직의 사용자를 다른 페더레이션 조직에서 신뢰할 수 있게 합니다. 위임 토큰에는 사용자의 전자 메일 주소, 변경할 수 없는 식별자, 그리고 작업을 위해 발급된 토큰에 대한 제안과 관련된 정보가 포함됩니다.

외부 페더레이션 조직

Windows Azure AD 인증 시스템과 페더레이션 트러스트가 설정된 외부 Exchange 조직입니다.

페더레이션 공유

프레미스 간 Exchange 배포를 포함하여 Exchange 조직 전체에서 작동하도록 Windows Azure AD 인증 시스템과의 페더레이션 트러스트를 활용하는 Exchange 기능 그룹입니다. 여러 Exchange 조직의 사용자를 대신하여 서버 간 인증된 요청을 만들기 위해 이러한 기능이 함께 사용됩니다.

페더레이션 도메인

Exchange 조직에 대한 OrgID(조직 식별자)에 추가되는 신뢰할 수 있는 허용 도메인입니다.

도메인 증명 암호화 문자열

Exchange 조직이 Windows Azure AD 인증 시스템과 함께 사용되는 도메인을 소유하고 있다는 증거를 제공하기 위해 사용하는 암호화된 보안 문자열입니다. 이 문자열은 페더레이션 트러스트 사용 마법사를 사용할 때 자동으로 생성되거나 Get-FederatedDomainProof cmdlet을 사용하여 생성할 수 있습니다.

페더레이션 공유 정책

사용자가 설정한 일정 정보의 개인 간 공유를 사용하도록 설정하고 제어하는 조직 수준의 정책입니다.

페더레이션

공통의 목적을 달성하기 위해 두 Exchange 조직 간에 신뢰를 기반으로 맺은 계약입니다. 페더레이션을 통해 두 조직은 한 조직의 인증 어설션이 다른 조직에서 인식되기를 원합니다.

페더레이션 트러스트

Exchange 조직의 다음 구성 요소를 정의하는 Windows Azure AD 인증 시스템과의 관계입니다.

  • 계정 네임스페이스

  • AppID(응용 프로그램 식별자)

  • OrgID(조직 식별자)

  • 페더레이션 도메인

다른 페더레이션 Exchange 조직과의 페더레이션 공유를 구성하려면 Windows Azure AD 인증 시스템과의 페더레이션 트러스트를 설정해야 합니다.

비 페더레이션 조직

Windows Azure AD 인증 시스템과의 페더레이션 트러스트가 설정되지 않은 조직입니다.

OrgID(조직 식별자)

조직에 구성된 신뢰할 수 있는 허용 도메인 중에 어떤 것이 페더레이션에 사용될지를 정의합니다. OrgID에 페더레이션 도메인이 구성된 전자 메일 주소를 가지고 있는 받는 사람만이 Windows Azure AD 인증 시스템에서 인식되며 페더레이션 공유 기능을 사용할 수 있습니다. 이 OrgID는 미리 정의된 문자열과 페더레이션 트러스트 사용 마법사에서 페더레이션에 대해 선택한 첫 번째 허용 도메인의 조합입니다. 예를 들어 페더레이션 도메인 contoso.com을 조직의 기본 SMTP 도메인으로 지정하면 계정 네임스페이스 FYDIBOHF25SPDLT.contoso.com이 페더레이션 트러스트에 대한 OrgID로 자동으로 만들어집니다.

조직 관계

받는 사람이 약속 있음/없음(일정 약속 있음/없음) 정보를 공유하도록 허용하는 두 페더레이션 Exchange 조직 간의 일대일 관계입니다. 조직 관계에는 Windows Azure AD 인증 시스템과의 페더레이션 트러스트가 필요합니다. 조직 관계가 있으므로 Active Directory 조직 간 Exchange 포리스트 또는 도메인 트러스트를 사용할 필요가 없어집니다.

Windows Azure AD 인증 시스템

페더레이션 Microsoft Exchange 조직 사이의 트러스트 브로커로 작동하는 무료 클라우드 기반 ID 서비스입니다. Exchange 받는 사람이 다른 페더레이션 Exchange 조직에 있는 받는 사람의 정보를 요청하는 경우 전자에게 위임 토큰을 발급하는 일을 담당합니다. 자세한 내용은 Windows Azure Active Directory를 참조하세요.

Microsoft에서 제공하는 무료 클라우드 기반 서비스인 Windows Azure AD 인증 시스템은 온-프레미스 Exchange 2013 조직과 다른 페더레이션 Exchange 2010 및 Exchange 2013 조직 사이의 트러스트 브로커로 작동합니다. Exchange 조직에서 페더레이션을 구성하려는 경우 Windows Azure AD 인증 시스템과 일회성 페더레이션 트러스트를 설정해야 조직과의 페더레이션 파트너가 될 수 있습니다. 이 트러스트를 설정하면 Windows Azure AD 인증 시스템에서 Active Directory(ID 공급자)에서 인증된 사용자에게 SAML(Security Assertion Markup Language) 위임 토큰을 발급합니다. 이러한 위임 토큰을 사용하면 한 페더레이션 Exchange 조직의 사용자를 다른 페더레이션 Exchange 조직의 사용자가 신뢰할 수 있습니다. Windows Azure AD 인증 시스템을 트러스트 브로커로 사용하면 조직에서 다른 조직과 개별적으로 여러 개의 트러스트 관계를 설정할 필요가 없으며 사용자가 SSO(Single Sign-On) 환경을 사용하여 외부 리소스에 액세스할 수 있습니다. 자세한 내용은 Windows Azure Active Directory를 참조하세요.

주요 용어

Exchange 2013 페더레이션 공유 기능을 사용하려면 Exchange 2013 조직과 Windows Azure AD 인증 시스템 간에 페더레이션 트러스트를 설정해야 합니다. Windows Azure AD 인증 시스템과 페더레이션 트러스트를 설정하면 조직의 디지털 보안 인증서를 Windows Azure AD 인증 시스템과 교환하고 Windows Azure AD 인증 시스템 인증서 및 페더레이션 메타데이터를 검색합니다. EAC(Exchange 관리 센터)의 페더레이션 트러스트 사용 마법사나 Exchange 관리 셸의 New-FederationTrust cmdlet을 사용하여 페더레이션 트러스트를 설정할 수 있습니다. 자체 서명된 인증서가 페더레이션 트러스트 사용 마법사에서 자동으로 만들어지며 사용자를 외부 페더레이션 조직이 신뢰할 수 있게 해 주는 Windows Azure AD 인증 시스템의 위임 토큰을 서명하고 암호화하는 데 사용됩니다. 인증서 요구 사항에 대한 자세한 내용은 이 항목의 뒷부분에 있는 페더레이션에 대한 인증서 요구 사항을 참조하십시오.

Windows Azure AD 인증 시스템과의 페더레이션 트러스트를 만들면 Exchange 조직의 AppID(응용 프로그램 식별자)가 자동으로 생성되어 Get-FederationTrust cmdlet 출력에서 제공됩니다. AppID는 Windows Azure AD 인증 시스템에서 Exchange 조직을 고유하게 식별하는 데 사용됩니다. 또한 Exchange 조직에서 Windows Azure AD 인증 시스템과 함께 사용할 도메인을 조직이 소유하고 있다는 증명을 제공하기 위한 용도로도 사용됩니다. 이 작업을 수행하려면 각 페더레이션 도메인의 공용 DNS(Domain Name System) 영역에 텍스트(TXT) 레코드를 만듭니다.

주요 용어

페더레이션 조직 식별자(OrgID)는 조직에 구성된 신뢰할 수 있는 허용 도메인 중에서 페더레이션에 사용되는 도메인을 정의합니다. OrgID에 허용 도메인이 구성된 전자 메일 주소를 가지고 있는 받는 사람만이 Windows Azure AD 인증 시스템에서 인식되며 페더레이션 공유 기능을 사용할 수 있습니다. 새 페더레이션 트러스트를 만들면 Windows Azure AD 인증 시스템에 OrgID이 자동으로 만들어집니다. 이 OrgID는 미리 정의된 문자열과 마법사에서 기본 공유 도메인으로 선택한 허용 도메인의 조합입니다. 예를 들어 공유 사용 도메인 편집 마법사에서 페더레이션 도메인 contoso.com을 조직의 기본 공유 도메인으로 지정하면 FYDIBOHF25SPDLT.contoso.com 계정 네임스페이스가 Exchange 조직의 페더레이션 트러스트에 대한 OrgID로 자동으로 만들어집니다.

이 도메인은 일반적으로 Exchange 조직의 기본 SMTP 도메인이지만 반드시 Exchange 조직의 허용 도메인이 아니어도 되며 DNS(Domain Name System) 소유 증명 TXT 레코드를 필요로 하지 않습니다. 단, 페더레이션하기 위해 선택한 허용 도메인이 최대 32자로 제한되어야 합니다. 이 하위 도메인의 용도는 Windows Azure AD 인증 시스템의 페더레이션 네임스페이스로 작동하며 SAML 위임 토큰을 요청하는 받는 사람에 대한 고유 식별자를 유지 관리하는 것뿐입니다. SAML 토큰에 대한 자세한 내용은 SAML 토큰 및 클레임을 참조하십시오.

언제든지 허용 도메인을 페더레이션 트러스트에 추가하거나 페더레이션 트러스트에서 제거할 수 있습니다. 조직의 모든 페더레이션 공유 기능을 사용하도록 설정하거나 사용하지 않도록 설정하려면 페더레이션 트러스터에 대한 OrgID를 사용하도록 설정하거나 사용하지 않도록 설정하면 됩니다.

중요중요:
OrgID, 허용 도메인 또는 페더레이션 트러스트에 사용되는 AppID를 변경하는 경우 조직의 모든 페더레이션 공유 기능이 영향을 받습니다. Exchange Online 및 하이브리드 배포 구성을 포함하여 모든 외부 페더레이션 Exchange 조직도 영향을 받습니다. 이러한 페더레이션 트러스트 구성 설정이 변경되면 모든 외부 페더레이션 파트너에게 해당 사항을 알리는 것이 좋습니다.

주요 용어

두 Exchange 조직인 Contoso, Ltd. 및 Fabrikam, Inc.에서는 사용자들이 서로 약속 있음/없음 일정 정보를 공유할 수 있게 하려고 합니다. 각 조직은 Windows Azure AD 인증 시스템과 페더레이션 트러스트를 만들고 사용자의 전자 메일 주소 도메인에 사용되는 도메인을 포함하도록 계정 네임스페이스를 구성합니다.

Contoso 직원은 contoso.com, contoso.co.uk 또는 contoso.ca라는 전자 메일 주소 도메인 중 하나를 사용합니다. Fabrikam 직원은 fabrikam.com, fabrikam.org 또는 fabrikam.net이라는 전자 메일 주소 도메인 중 하나를 사용합니다. 두 조직은 모든 허용 전자 메일 도메인이 Windows Azure AD 인증 시스템과의 페더레이션 트러스트에 대한 계정 네임스페이스에 포함되도록 합니다. 두 조직 사이에 복잡한 Active Directory 포리스트 또는 도메인 트러스트 구성을 필요로 하는 대신 두 조직은 약속 있음/없음 일정 공유를 사용하도록 서로 간의 조직 관계를 구성합니다.

다음 그림은 Contoso, Ltd. 및 Fabrikam, Inc. 사이의 페더레이션 구성을 보여 줍니다.

페더레이션 공유 예

페더레이션 트러스트 및 페더레이션 공유

Windows Azure AD 인증 시스템과의 페더레이션 트러스트를 설정하려면 자체 서명 인증서 또는 CA(인증 기관)에서 서명한 X.509 인증서를 만들고 트러스트를 만드는 데 사용되는 Exchange 2013 서버에 설치해야 합니다. EAC의 페더레이션 트러스트 사용 마법사를 사용하여 자동으로 만들어지고 설치되는 자체 서명된 인증서를 사용하는 것이 좋습니다. 이 인증서는 페더레이션 공유에 사용되는 위임 토큰을 서명하고 암호화하는 데에만 사용됩니다. 페더레이션 트러스트에는 인증서가 하나만 필요합니다. Exchange 2013에서는 인증서를 조직의 다른 모든 Exchange 2013 서버에 자동으로 배포합니다.

외부 CA에서 서명한 X.509 인증서를 사용하려는 경우 해당 인증서가 다음 요구 사항을 충족해야 합니다.

  • 신뢰할 수 있는 CA   가능한 경우 X.509 SSL(Secure Sockets Layer) 인증서는 Windows Live에서 신뢰하는 CA에서 발급해야 합니다. 그러나 Microsoft가 현재 인증하지 않는 CA에서 발급한 인증서도 사용할 수 있습니다. 신뢰할 수 있는 CA의 최신 목록은 페더레이션 트러스트에 대한 신뢰할 수 있는 루트 인증 기관을 참조하십시오.

  • 주체 키 식별자   인증서에는 주체 키 식별자 필드가 있어야 합니다. 상업용 CA에서 발급된 X.509 인증서에는 대부분 이 식별자가 있습니다.

  • CryptoAPI CSP(암호화 서비스 공급자)   인증서는 CryptoAPI CSP를 사용해야 합니다. CNG(Cryptography API: Next Generation) 공급자를 사용하는 인증서는 페더레이션에서 지원되지 않습니다. Exchange를 사용하여 인증서를 요청하면 CryptoAPI 공급자가 사용됩니다. 자세한 내용은 암호화 API: 차세대를 참조하십시오.

  • RSA 서명 알고리즘   인증서는 서명 알고리즘으로 RSA를 사용해야 합니다.

  • 내보낼 수 있는 개인 키   인증서 생성에 사용한 개인 키는 내보낼 수 있어야 합니다. EAC의 새 Exchange 인증서 마법사나 셸의 New-ExchangeCertificate cmdlet을 사용하여 인증서 요청을 만들 때 개인 키를 내보낼 수 있도록 지정할 수 있습니다.

  • 현재 인증서   인증서는 현재 인증서여야 합니다. 만료되거나 해지된 인증서를 사용하여 페더레이션 트러스트를 만들 수는 없습니다.

  • 확장된 키 사용   인증서에는 EKU(확장된 키 사용) 유형 클라이언트 인증 (1.3.6.1.5.5.7.3.2)을 포함해야 합니다. 이 사용 유형은 원격 컴퓨터에 ID를 증명하기 위해 사용됩니다. EAC 또는 셸을 사용하여 인증서 요청을 생성하면 이 사용 유형이 기본적으로 포함됩니다.

참고참고:
인증서가 인증에 사용되지 않으므로 주체 이름이나 주체 대체 이름 요구 사항은 없습니다. 호스트 이름, 도메인 이름 또는 다른 이름과 동일한 이름의 주체 이름이 지정된 인증서를 사용할 수 있습니다.

주요 용어

페더레이션 트러스트를 만드는 데 사용한 인증서는 현재 인증서로 지정됩니다. 하지만 정기적으로 페더레이션 트러스트에 대한 새 인증서를 설치하고 사용해야 할 수 있습니다. 예를 들어 현재 인증서가 만료되는 경우 또는 새 비즈니스 또는 보안 요구 사항을 충족하도록 하기 위해 새 인증서를 사용해야 할 수 있습니다. 새 인증서로 원활하게 전환하려면 Exchange 2013 서버에 새 인증서를 설치하고 페더레이션 트러스트를 구성하여 새 인증서로 지정해야 합니다. 그러면 Exchange 2013에서 새 인증서를 조직의 다른 모든 Exchange 2013 서버에 자동으로 배포합니다. Active Directory 토폴로지에 따라 인증서 배포에 시간이 오래 걸릴 수도 있습니다. 셸의 Test-FederationTrustCertificate cmdlet을 사용하여 인증서 상태를 확인할 수 있습니다.

인증서의 배포 상태를 확인하고 나면 트러스트를 구성하여 새 인증서를 사용할 수 있습니다. 인증서 전환 후 현재 인증서가 이전 인증서로 지정되고 새 인증서가 현재 인증서로 지정됩니다. 새 인증서는 Windows Azure AD 인증 시스템에 게시되며 Windows Azure AD 인증 시스템과 교환하는 모든 새 토큰은 새 인증서를 사용하여 암호화됩니다.

참고참고:
이 인증서 전환 프로세스는 페더레이션에서만 사용됩니다. 인증서를 필요로 하는 다른 Exchange 2013 기능에 동일한 인증서를 사용할 경우에는 새 인증서의 확보, 설치 또는 전환을 계획할 때 기능 요구 사항을 고려해야 합니다.

주요 용어

페더레이션 기능을 사용하려면 조직에 있는 사서함 및 클라이언트 액세스 서버에서 HTTPS를 통해 아웃바운드 인터넷 액세스를 해야 합니다. 조직에 있는 모든 Exchange 2013 사서함 및 클라이언트 액세스 서버에서의 아웃바운드 HTTPS 액세스(TCP의 경우 포트 443)를 허용해야 합니다.

외부 조직에서 내부의 약속 있음/없음 정보에 액세스하게 만들려면 클라이언트 액세스 서버 하나를 인터넷에 게시해야 합니다. 그러려면 인터넷에서 클라이언트 액세스 서버로 인바운드 HTTPS 액세스를 해야 합니다. 인터넷에 클라이언트 액세스 서버를 게시하지 않은 Active Directory 사이트의 클라이언트 액세스 서버도 인터넷에서 액세스가 가능한 다른 Active Directory 사이트의 클라이언트 액세스 서버를 사용할 수 있습니다. 인터넷에 게시되지 않은 클라이언트 액세스 서버는 외부 조직에 표시되는 URL로 설정된 웹 서비스 가상 디렉터리의 외부 URL이 있어야 합니다.

주요 용어

 
이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft