AD FS 배포 요구 사항 검토

아티클
11/09/2015

적용 대상: Azure, Office 365, Power BI, Windows Intune

새 AD FS 배포가 Azure AD 신뢰 당사자 트러스트를 성공적으로 만들려면 먼저 회사 네트워크 인프라가 계정, 이름 확인 및 인증서에 대한 AD FS 요구 사항을 지원하도록 구성되어 있는지 확인해야 합니다. AD FS에는 다음과 같은 유형의 요구 사항이 있습니다.

소프트웨어 요구 사항
인증서 요구 사항
네트워크 요구 사항

소프트웨어 요구 사항

AD FS 소프트웨어는 페더레이션 서버 또는 페더레이션 서버 프록시 역할용으로 준비한 컴퓨터에 설치해야 합니다. AD FS 설치 마법사를 사용하거나 명령줄에서 adfssetup.exe /quiet 매개 변수를 사용하여 자동 설치를 수행하여 이 소프트웨어를 설치할 수 있습니다.

기본 설치 플랫폼의 경우 AD FS에는 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 또는 Windows Server 2012 R2 운영 체제가 필요합니다. AD FS에는 Windows Server 2008, Windows Server 2008 R2 운영 체제 플랫폼(일반적으로 AD FS 2.0이라고 함)에 대한 별도의 설치 패키지가 있거나 페더레이션 서비스 서버 역할을 Windows Server 2012 또는 Windows Server 2012 R2 운영 체제의 일부로 추가하여 설치할 수 있습니다.

Windows Server 2012에서 AD FS 2.0 또는 AD FS를 사용하는 경우에는 SSO 솔루션 구현의 일부분으로 페더레이션 서버 프록시를 배포 및 구성합니다.

Windows Server 2012 R2에서 AD FS를 사용하는 경우에는 엑스트라넷 액세스용으로 AD FS 배포를 구성하기 위해 웹 응용 프로그램 프록시를 배포합니다. Windows Server 2012 R2에서는 원격 액세스 서버 역할의 새 역할 서비스인 웹 응용 프로그램 프록시를 사용하여 회사 네트워크 외부에서 액세스할 수 있도록 AD FS를 설정합니다. 자세한 내용은 웹 응용 프로그램 프록시 개요를 참조하십시오.

사전 요구 사항

AD FS 설치 프로세스 중에 설치 마법사는 필수 구성 요소 응용 프로그램과 종속 핫픽스를 자동으로 확인하고 필요한 경우 둘 다 설치하려고 합니다. 대부분의 경우 설치 마법사는 AD FS를 작동 및 설치하는 데 필요한 모든 필수 구성 요소 응용 프로그램을 설치합니다.

그러나 한 가지 예외가 있습니다. Windows Server 2008 플랫폼에 AD FS를 설치하는 경우(AD FS 2.0이라고 하는 별도의 설치 패키지로) 배포 상황에서 이 경우 AD FS 2.0의 필수 구성 요소이며 이 플랫폼의 AD FS 2.0 설치 마법사에서 자동으로 설치되지 않으므로 먼저 AD FS 2.0 소프트웨어를 설치하기 전에 Windows Server 2008을 실행하는 서버에 .NET 3.5 SP1이 설치되어 있는지 확인해야 합니다. .NET 3.5 SP1이 설치되어 있지 않으면 AD FS 2.0 설치 마법사에서 AD FS 2.0 소프트웨어의 설치를 차단합니다.

핫픽스

AD FS 2.0을 설치한 후 AD FS 2.0 핫픽스를 설치해야 합니다. 자세한 내용은 AD FS(Active Directory Federation Services 2.0용 업데이트 롤업 2에 대한 설명을 참조하세요.

가상화

AD FS는 페더레이션 서버 및 페더레이션 서버 프록시 역할 둘 다의 소프트웨어 가상화를 지원합니다. 중복성을 고려하여 각 AD FS 가상 컴퓨터는 별도의 실제 가상 서버에 저장하는 것이 좋습니다.

Microsoft 가상화 기술을 사용하여 가상 서버 환경을 설정하는 방법에 대한 자세한 내용은 Hyper-V 시작 가이드를 참조하세요.

인증서 요구 사항

인증서는 페더레이션 서버, 웹 애플리케이션 프록시, 페더레이션 서버 프록시, 클라우드 서비스 및 웹 클라이언트 간의 통신을 보호하는 데 가장 중요한 역할을 합니다. 인증서 요구 사항은 다음 표에서 설명하는 대로 설정하는 항목(페더레이션 서버, 웹 응용 프로그램 프록시 또는 페더레이션 서버 프록시 컴퓨터)에 따라 달라집니다.

페더레이션 서버 인증서

페더레이션 서버에는 다음 표에 나와 있는 인증서가 필요합니다.

인증서 종류	설명	배포하기 전에 알아야 할 사항
Windows Server 2012 R2의 AD FS용 SSL 인증서(서버 인증 인증서라고도 함)	페더레이션 서버, 클라이언트, 웹 응용 프로그램 프록시 및 페더레이션 서버 프록시 컴퓨터 간의 통신을 보호하는 데 사용되는 표준 SSL(Secure Sockets Layer) 인증서입니다.	AD FS를 사용하려면 페더레이션 서버 팜의 각 페더레이션 서버에 SSL 서버 인증용 인증서가 필요합니다. 팜의 각 페더레이션 서버에서 같은 인증서를 사용해야 합니다. 인증서와 해당 프라이빗 키는 모두 사용할 수 있는 상태여야 합니다. 예를 들어 인증서와 개인 키가 .pfx 파일에 포함되어 있으면 해당 파일을 Active Directory Federation Services 구성 마법사로 직접 가져올 수 있습니다. 이 SSL 인증서에는 다음 사항이 포함되어 있어야 합니다. 주체 이름과 주체 대체 이름에는 fs.contoso.com과 같은 사용자의 페더레이션 서비스 이름이 포함되어야 합니다. 주체 대체 이름에는 enterpriseregistration 값과 조직의 UPN 접미사(예: enterpriseregistration.corp.contoso.com)가 차례로 포함되어야 합니다.
레거시 AD FS 버전용 SSL 인증서(서버 인증 인증서라고도 함)	페더레이션 서버, 클라이언트, 웹 응용 프로그램 프록시 및 페더레이션 서버 프록시 컴퓨터 간의 통신을 보호하는 데 사용되는 표준 SSL(Secure Sockets Layer) 인증서입니다.	AD FS를 사용하려면 페더레이션 서버 설정을 구성할 때 SSL 인증서가 필요합니다. 기본적으로 AD FS는 IIS(인터넷 정보 서비스)에서 기본 웹 사이트용으로 구성된 SSL 인증서를 사용합니다. 이 SSL 인증서의 주체 이름을 사용하여 배포하는 각 AD FS 인스턴스의 페더레이션 서비스 이름을 확인합니다. 이러한 이유로 클라우드 서비스에 대한 회사 또는 조직의 이름을 가장 잘 나타내는 새로운 CA(인증 기관) 발급 인증서에서 주체 이름을 선택하는 것이 좋습니다. 이 이름은 인터넷 라우팅이 가능해야 합니다. 예를 들어 이 문서의 앞부분에서 제공한 다이어그램(“2단계" 참조)에서 인증서의 주체 이름은 fs.fabrikam.com입니다. 중요 AD FS를 사용하려면 이 SSL 인증서의 주체 이름은 점이 없는 짧은 이름이어야 합니다. 필수: 이 인증서는 AD FS 및 Microsoft 클라우드 서비스의 클라이언트에서 신뢰할 수 있어야 하므로 퍼블릭(타사) CA 또는 공개적으로 신뢰할 수 있는 루트에 종속된 CA에서 발급한 SSL 인증서를 사용합니다. 예를 들어 VeriSign 또는 Thawte입니다.
토큰 서명 인증서	페더레이션 서버에서 발급하고 클라우드 서비스가 수락하고 유효성을 검사하는 모든 토큰을 안전하게 서명하는 데 사용되는 표준 X.509 인증서입니다.	토큰 서명 인증서는 프라이빗 키를 포함해야 하며, 페더레이션 서비스의 신뢰할 수 있는 루트에 연결해야 합니다. 기본적으로 AD FS는 자체 서명된 인증서를 만듭니다. 그러나 조직 요구 사항에 따라 AD FS 관리 스냅인을 사용하여 나중에 이 인증서를 CA 발급 인증서로 변경할 수 있습니다. 추천: AD FS에서 생성된 자체 서명된 토큰 서명 인증서를 사용합니다. 그러면 AD FS에서 이 인증서를 기본적으로 자동 관리합니다. 예를 들어 이 인증서가 만료되는 경우 AD FS가 사용할 새 자체 서명된 인증서를 미리 생성합니다.

Windows Server 2012 R2의 AD FS용 SSL 인증서(서버 인증 인증서라고도 함)

페더레이션 서버, 클라이언트, 웹 응용 프로그램 프록시 및 페더레이션 서버 프록시 컴퓨터 간의 통신을 보호하는 데 사용되는 표준 SSL(Secure Sockets Layer) 인증서입니다.

AD FS를 사용하려면 페더레이션 서버 팜의 각 페더레이션 서버에 SSL 서버 인증용 인증서가 필요합니다. 팜의 각 페더레이션 서버에서 같은 인증서를 사용해야 합니다. 인증서와 해당 프라이빗 키는 모두 사용할 수 있는 상태여야 합니다. 예를 들어 인증서와 개인 키가 .pfx 파일에 포함되어 있으면 해당 파일을 Active Directory Federation Services 구성 마법사로 직접 가져올 수 있습니다. 이 SSL 인증서에는 다음 사항이 포함되어 있어야 합니다.

주체 이름과 주체 대체 이름에는 fs.contoso.com과 같은 사용자의 페더레이션 서비스 이름이 포함되어야 합니다.
주체 대체 이름에는 enterpriseregistration 값과 조직의 UPN 접미사(예: enterpriseregistration.corp.contoso.com)가 차례로 포함되어야 합니다.

레거시 AD FS 버전용 SSL 인증서(서버 인증 인증서라고도 함)

AD FS를 사용하려면 페더레이션 서버 설정을 구성할 때 SSL 인증서가 필요합니다. 기본적으로 AD FS는 IIS(인터넷 정보 서비스)에서 기본 웹 사이트용으로 구성된 SSL 인증서를 사용합니다.

이 SSL 인증서의 주체 이름을 사용하여 배포하는 각 AD FS 인스턴스의 페더레이션 서비스 이름을 확인합니다. 이러한 이유로 클라우드 서비스에 대한 회사 또는 조직의 이름을 가장 잘 나타내는 새로운 CA(인증 기관) 발급 인증서에서 주체 이름을 선택하는 것이 좋습니다. 이 이름은 인터넷 라우팅이 가능해야 합니다. 예를 들어 이 문서의 앞부분에서 제공한 다이어그램(“2단계" 참조)에서 인증서의 주체 이름은 fs.fabrikam.com입니다.

중요

AD FS를 사용하려면 이 SSL 인증서의 주체 이름은 점이 없는 짧은 이름이어야 합니다.

필수: 이 인증서는 AD FS 및 Microsoft 클라우드 서비스의 클라이언트에서 신뢰할 수 있어야 하므로 퍼블릭(타사) CA 또는 공개적으로 신뢰할 수 있는 루트에 종속된 CA에서 발급한 SSL 인증서를 사용합니다. 예를 들어 VeriSign 또는 Thawte입니다.

토큰 서명 인증서

페더레이션 서버에서 발급하고 클라우드 서비스가 수락하고 유효성을 검사하는 모든 토큰을 안전하게 서명하는 데 사용되는 표준 X.509 인증서입니다.

토큰 서명 인증서는 프라이빗 키를 포함해야 하며, 페더레이션 서비스의 신뢰할 수 있는 루트에 연결해야 합니다. 기본적으로 AD FS는 자체 서명된 인증서를 만듭니다. 그러나 조직 요구 사항에 따라 AD FS 관리 스냅인을 사용하여 나중에 이 인증서를 CA 발급 인증서로 변경할 수 있습니다.

추천: AD FS에서 생성된 자체 서명된 토큰 서명 인증서를 사용합니다. 그러면 AD FS에서 이 인증서를 기본적으로 자동 관리합니다. 예를 들어 이 인증서가 만료되는 경우 AD FS가 사용할 새 자체 서명된 인증서를 미리 생성합니다.

경고

토큰 서명 인증서는 페더레이션 서비스의 안정성에 중요합니다. 변경되는 경우 클라우드 서비스에 이 변경에 대한 알림을 받아야 합니다. 그렇지 않으면 클라우드 서비스에 대한 요청이 실패합니다. AD FS 페더레이션 서버 팜 및 클라우드 서비스에서 인증서를 관리하는 방법에 대한 자세한 내용은 신뢰 속성 업데이트를 참조하세요.

프록시 컴퓨터 인증서

페더레이션 서버 프록시에는 다음 표의 인증서가 필요합니다.

인증서 종류	설명	배포하기 전에 알아야 할 사항
SSL 인증서	페더레이션 서버, 페더레이션 서버 프록시 또는 웹 응용 프로그램 프록시와 인터넷 클라이언트 컴퓨터 간의 통신을 보호하는 데 사용되는 표준 SSL 인증서입니다.	회사 네트워크의 페더레이션 서버에서 사용하는 것과 같은 서버 인증 인증서입니다. 이 인증서의 주체 이름은 회사 네트워크의 페더레이션 서버에 구성된 SSL 인증서의 주체 이름과 같습니다. Windows Server 2008 또는 Windows Server 2012에서 AD FS를 사용하는 경우 페더레이션 서버 프록시 컴퓨터의 기본 웹 사이트에 이 인증서를 설치해야 합니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우에는 웹 응용 프로그램 프록시로 사용할 컴퓨터의 개인 인증서 저장소로 이 인증서를 가져와야 합니다. 추천: 이 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시 연결할 페더레이션 서버에 구성된 것과 동일한 서버 인증 인증서를 사용합니다.

SSL 인증서

페더레이션 서버, 페더레이션 서버 프록시 또는 웹 응용 프로그램 프록시와 인터넷 클라이언트 컴퓨터 간의 통신을 보호하는 데 사용되는 표준 SSL 인증서입니다.

회사 네트워크의 페더레이션 서버에서 사용하는 것과 같은 서버 인증 인증서입니다. 이 인증서의 주체 이름은 회사 네트워크의 페더레이션 서버에 구성된 SSL 인증서의 주체 이름과 같습니다.

Windows Server 2008 또는 Windows Server 2012에서 AD FS를 사용하는 경우 페더레이션 서버 프록시 컴퓨터의 기본 웹 사이트에 이 인증서를 설치해야 합니다.

Windows Server 2012 R2에서 AD FS를 사용하는 경우에는 웹 응용 프로그램 프록시로 사용할 컴퓨터의 개인 인증서 저장소로 이 인증서를 가져와야 합니다.

추천: 이 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시 연결할 페더레이션 서버에 구성된 것과 동일한 서버 인증 인증서를 사용합니다.

페더레이션 서버 및 페더레이션 서버 프록시에서 사용하는 인증서에 대한 자세한 내용은 AD FS 2.0 디자인 가이드 또는 AD FS 디자인 가이드를 Windows Server 2012 참조하세요.

네트워크 요구 사항

다음 네트워크 서비스를 적절 하 게 구성 하는 것이 조직에서 AD FS의 성공적인 배포에 대 한 중요 합니다.

TCP/IP 네트워크 연결

AD FS가 작동하려면 클라이언트, 도메인 컨트롤러, 페더레이션 서버 및 페더레이션 서버 프록시 간에 TCP/IP 네트워크 연결이 있어야 합니다.

DNS

Active Directory 이외의 AD FS 작업에 중요한 기본 네트워크 서비스는 DNS(Domain Name System)입니다. DNS가 배포된 경우 사용자는 기억하기 쉬운 친숙한 컴퓨터 이름을 사용하여 컴퓨터 및 IP 네트워크의 다른 리소스에 연결할 수 있습니다.

AD FS를 지원하도록 DNS를 업데이트하는 프로세스에서는 다음 항목을 구성합니다.

클러스터 DNS 이름을 회사 네트워크 NLB 호스트에 구성한 NLB 클러스터의 클러스터 IP 주소로 확인하도록 회사 네트워크의 내부 DNS 서버를 구성합니다. 예를 들어 fs.fabrikam.com을 172.16.1.3으로 확인합니다.
클러스터 DNS 이름을 경계 네트워크 NLB 호스트에 구성한 NLB 클러스터의 클러스터 IP 주소로 확인하도록 경계 네트워크 DNS 서버를 구성합니다. 예를 들어 fs.fabrikam.com을 192.0.2.3으로 확인합니다.

NLB 요구 사항

NLB는 여러 노드 간의 내결함성, 고가용성 및 부하 분산을 제공하는 데 필요하며, 하드웨어, 소프트웨어 또는 이 둘의 조합으로 구현될 수 있습니다. NLB 클러스터의 페더레이션 서비스 이름을 기준으로 DNS 리소스 레코드를 구성할 수 있습니다. 그러면 이 문서에서 클러스터 DNS 이름으로도 지칭되는 클러스터의 FQDN(정규화된 도메인 이름)이 해당 클러스터 IP 주소로 확인됩니다.

NLB 클러스터 IP 주소 또는 클러스터 FQDN에 대한 일반적인 내용은 클러스터 매개 변수 지정을 참조하세요.

인증에 대한 확장된 보호 사용

컴퓨터에 인증에 대한 확장 보호가 있고 Firefox, Chrome 또는 Safari를 사용하는 경우 회사 네트워크 내에서 통합 Windows 인증 사용하여 클라우드 서비스에 로그인하지 못할 수 있습니다. 이 경우 사용자에게 정기적으로 로그온 프롬프트가 제공될 수 있습니다. 이는 AD FS 및 인증에 대한 확장된 보호에 대한 기본 구성(Windows 7 및 패치된 클라이언트 운영 체제)에 기인합니다.

Firefox, Chrome 및 Safari가 인증에 대한 확장된 보호를 지원할 때까지 권장되는 옵션은 클라우드 서비스에 액세스하는 모든 클라이언트가 internet Explorer 8에 Windows 설치하고 사용하는 것입니다. Firefox, Chrome 또는 Safari와 함께 클라우드 서비스에 Single Sign-On을 사용하려는 경우 고려해야 할 두 가지 다른 솔루션이 있습니다. 하지만 이러한 방법을 사용할 경우 보안 문제가 발생할 수 있습니다. 자세한 내용은 Microsoft 보안 권고: 인증에 대한 확장된 보호를 참조하세요. 이 솔루션에는 다음이 포함됩니다.

컴퓨터에서 인증에 대한 확장된 보호 패치를 제거합니다.
AD FS 서버에서 인증에 대해 확장된 보호 설정을 변경합니다. 자세한 내용은 AD FS 2.0에 대한 고급 옵션 구성을 참조하세요.
각 페더레이션 서버에서 AD FS 웹 페이지에 대한 인증 설정을 Windows 통합 인증에서 양식 기반 인증을 사용하도록 다시 구성합니다.

다음 단계

AD FS를 배포하기 위한 요구 사항을 검토했으므로 다음 단계는 페더레이션 서버에 대한 네트워크 인프라를 준비하는 것입니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리