AD FS 배포 계획

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

Microsoft 클라우드 서비스에 대한 AD FS 배포를 계획하는 첫 번째 단계는 조직의 Single Sign-On 요구를 충족하는 올바른 배포 토폴로지 선택입니다. AD FS에서는 WID(Windows 내부 데이터베이스) 또는 SQL Server 데이터베이스를 사용하여 페더레이션 서비스에서 사용하는 AD FS 구성 데이터를 저장해야 합니다.

대부분의 Microsoft 클라우드 서비스 고객에게 권장되는 AD FS 토폴로지는 다음의 WID 및 프록시 토폴로지와 함께 페더레이션 서버 팜을 사용하는 것입니다. 이 단원의 뒷부분에서 언급되는 SQL 서버 프록시로 페더레이션 서버 팜을 만드는 고급 옵션도 있습니다.

또한 이 섹션에서는 조직에서 배포할 AD FS 서버의 수를 결정하는 데 참조할 수 있는 표와 성능을 개선하기 위해 페더레이션을 추가하는 방법에 대한 정보도 제공합니다.

  • 권장 토폴로지: WID 및 프록시를 사용하는 페더레이션 서버 팜

  • 고급 옵션: SQL Server 및 프록시가 있는 페더레이션 서버 팜

  • 예측 테이블: 조직에 배포할 AD FS 서버 수 결정

  • 페더레이션 서버를 추가하여 성능 확장

Microsoft 클라우드 서비스의 기본 토폴로지는 조직의 페더레이션 서비스를 호스트하는 여러 서버로 구성된 AD FS 페더레이션 서버 팜입니다. 이 토폴로지에서 AD FS는 해당 팜에 연결되는 모든 페더레이션 서버에 대해 AD FS 구성 데이터베이스로 WID를 사용합니다. 팜에서는 각 서버의 페더레이션 데이터를 구성 데이터베이스에 복제하고 유지 관리합니다.

또한 팜의 첫 번째 페더레이션 서버를 만드는 작업에서는 새 페러데이션 서비스도 만듭니다. WID를 AD FS 구성 데이터베이스로 사용할 때 팜에서 처음 작성되는 페더레이션 서버를 기본 페더레이션 서버라고 합니다. 즉, 이 컴퓨터가 AD FS 구성 데이터베이스의 읽기/쓰기 복사본으로 구성됩니다.

이 팜에 대해 구성되는 기타 모든 페더레이션 서버는 보조 페더레이션 서버입니다. 이러한 서버는 기본 페더레이션 서버에서 수행된 모든 변경 내용을 로컬에 저장되는 AD FS 구성 데이터베이스의 읽기 전용 복사본으로 복제해야 합니다.

참고

부하 분산 구성에서는 둘 이상의 페더레이션 서버를 사용하는 것이 좋습니다.

이러한 기본 페더레이션 서버 팜 토폴로지를 설정하는 것이 AD FS 배포의 첫 단계입니다. 두 번째 단계에서는 다음 중 하나를 배포하여 외부 사용자에게 액세스 제어 기능을 제공하는 방법을 결정합니다.

  • 웹 응용 프로그램 프록시(Windows Server 2012 R2에서 AD FS를 사용하는 경우)

  • 페더레이션 서버 프록시(Windows Server 2012에서 AD FS 2.0 또는 AD FS를 사용하는 경우)

1단계: 페더레이션 서버 팜 배포

팜 배포를 시작할 준비가 되면 NLB(네트워크 부하 분산) 호스트 뒤의 회사 네트워크에서 전용 클러스터 DNS 이름 및 클러스터 IP 주소를 사용하여 NLB에 대해 구성할 수 있는 모든 페더레이션 서버를 배치할 계획을 세워야 합니다.

중요

이 클러스터 DNS 이름은 fs.fabrikam.com과 같은 페더레이션 서비스 이름과 일치해야 하며 배포할 AD FS 인스턴스에 대해 인터넷 라우팅이 가능해야 합니다. 이름이 일치하지 않는 경우 인증 요청이 올바른 DNS 서버 또는 페더레이션 서버로 라우팅되지 않습니다.

NLB 호스트는 이 NLB 클러스터에 정의된 설정을 사용하여 클라이언트 요청을 개별 페더레이션 서버에 할당할 수 있습니다. 다음 다이어그램에서는 Fabrikam, Inc.에서 WID를 사용하는 두 대의 컴퓨터로 구성된 페더레이션 서버 팜(fs1 및 fs2)을 사용하여 배포의 첫 번째 단계를 설정하고 회사 네트워크에 연결된 단일 NLB 호스트와 DNS 서버를 배치할 수 있는 방법을 보여 줍니다.

Federation Server Farm with WID

참고

이 단일 NLB 호스트에 오류가 있는 경우 사용자는 클라우드 서비스에 액세스할 수 없습니다. 비즈니스 요구 사항이 단일 지점에서 실패하는 것을 허용하지 않는 경우 추가 NLB 호스트를 추가합니다.

2단계: 프록시 배포

일반적으로 프록시 서버는 회사 네트워크 외부에서 페더레이션 서버 팜으로 들어오는 클라이언트 인증 요청을 리디렉션하는 데 사용됩니다. 즉, 엑스트라넷 액세스를 구성합니다.

중요

사용하려는 AD FS 버전에 따라 웹 응용 프로그램 프록시(Windows Server 2012 R2의 AD FS) 또는 페더레이션 서버 프록시(Windows Server 2012의 AD FS 2.0 및 AD FS)를 배포할 수 있습니다. 웹 애플리케이션 프록시 및 페더레이션 서버 프록시의 함수에 대한 정의 및 설명은 AD FS 용어 검토를 참조하세요.

Microsoft 클라우드 서비스 고객의 경우 다음 사용자 시나리오를 사용하도록 설정하려면 기존 AD FS 인프라에 프록시를 배포해야 합니다.

  • 작업 컴퓨터, 로밍: 회사 자격 증명을 사용하여 도메인에 가입된 컴퓨터에 로그온했지만 회사 네트워크에 연결되지 않은 사용자(예: 집 또는 호텔의 회사 컴퓨터)는 클라우드 서비스에 액세스할 수 있습니다.

  • 가정용 또는 공용 컴퓨터: 사용자가 회사 도메인에 가입되지 않은 컴퓨터를 사용하는 경우 클라우드 서비스에 액세스하려면 회사 자격 증명으로 로그인해야 합니다.

  • 스마트폰: 스마트폰에서 Microsoft Exchange ActiveSync 사용하여 Microsoft Exchange Online 같은 클라우드 서비스에 액세스하려면 사용자가 회사 자격 증명으로 로그인해야 합니다.

  • Microsoft Outlook 또는 기타 전자 메일 클라이언트: 사용자가 Outlook 또는 Office 일부가 아닌 전자 메일 클라이언트(예: IMAP 또는 POP 클라이언트)를 사용하는 경우 회사 자격 증명으로 로그인하여 Office 365 전자 메일에 액세스해야 합니다.

이러한 시나리오를 지원하기 위해 이 두 번째 단계는 앞에서 설명한 배포의 1단계를 기반으로 구축됩니다. 여기서는 웹 응용 프로그램 프록시 또는 페더레이션 서버 프록시 두 개를 추가하여 경계 네트워크의 DNS 서버 액세스 권한과 경계 네트워크의 두 번째 NLB 호스트 액세스 권한을 제공합니다.

두 번째 NLB 호스트는 인터넷 액세스 가능한 클러스터 IP 주소를 사용하는 NLB 클러스터에 구성되고 1단계에서 회사 네트워크에 구성한 이전 NLB 클러스터와 동일한 클러스터 DNS 이름 설정(fs.fabrikam.com)을 사용해야 합니다. 웹 응용 프로그램 프록시 또는 페더레이션 서버 프록시도 인터넷 액세스 가능 IP 주소를 사용하여 구성됩니다.

다음 다이어그램에서는 기존 1단계 배포와 함께 Fabrikam, Inc.에서 경계 DNS 서버에 대한 액세스를 제공하고, 클러스터 DNS 이름(fs.fabrikam.com)이 같은 두 번째 NLB 호스트를 추가하며, 경계 네트워크에 두 개의 페더레이션 서버 프록시(fsp1 및 fsp2)를 추가할 수 있는 방법을 보여 줍니다.

아래 다이어그램에서는 기존의 1단계 배포와, Fabrikam, Inc.에서 경계 DNS 서버 액세스 권한을 제공하고 같은 클러스터 DNS 이름(fs.fabrikam.com)을 사용하여 두 번째 NLB 호스트를 추가하고 두 웹 응용 프로그램 프록시(wap1 및 wap2)를 경계 네트워크에 추가하는 방법을 보여 줍니다.

ADFSProxyDeploymentSSO

참고

  • 타사 HTTP 역방향 프록시 솔루션을 사용하여 엑스트라넷에 AD FS를 게시할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 AD FS 2.0에 대한 고급 옵션 구성을 참조하세요.

  • 방화벽을 통과하는 모든 AD FS 통신은 HTTPS를 기반으로 합니다.

  • AD FS에서 사용자가 액세스를 요청하는 클라이언트 컴퓨터 또는 클라이언트 디바이스의 물리적 위치에 따라 클라우드 서비스에 대한 사용자의 액세스를 제한하는 사용자 지정 클레임 규칙을 만들 수 있습니다. 이러한 규칙을 만드는 방법에 대한 자세한 내용은 클라이언트 위치에 따라 Office 365 서비스에 대한 액세스 제한을 참조하세요.

고급 옵션: SQL Server 및 프록시가 있는 페더레이션 서버 팜

이 고급 AD FS 배포 토폴로지 옵션은 웹 응용 프로그램 프록시 또는 페더레이션 서버 프록시와 SQL Server 구성을 사용하여 팜의 모든 페더레이션 서버가 공통 SQL Server 데이터베이스에서 데이터를 읽고 해당 데이터베이스에 데이터를 쓸 수 있도록 설정합니다. AD FS 구성 데이터베이스와 SQL Server 데이터베이스를 사용 하 여 WID에 비해 다음과 같은 이점을 제공 합니다.

  • 관리자가 사용할 수 있는 SQL Server의 고가용성 기능.

  • 더 많은 페더레이션 서버를 사용하여 스케일 아웃하는 기능을 포함하여 추가 성능 향상(신뢰 당사자 트러스트가 100개 이하인 경우 WID 팜에는 30개의 페더레이션 서버 제한이 있습니다.) 신뢰 당사자 트러스트가 100개 이상인 경우 WID 팜에는 페더레이션 서버가 5개 제한됩니다. ).

  • 지리적 부하 분산을 통해 위치별 트래픽 증가에 대응할 수 있습니다.

참고

이 토폴로지는 고급 AD FS 배포 옵션이므로 이 토폴로지의 작동 방식과 배포 방법에 대한 세부 사항은 이 문서에서 다루지 않습니다.

이 토폴로지 옵션에 대한 자세한 내용은 AD FS 2.0에 대한 고급 옵션 구성을 참조하세요.

예측 테이블: 조직에 배포할 AD FS 서버 수 결정

다음 표를 사용하여 Single Sign-On 액세스가 필요한 사용자 수에 따라 회사 네트워크 인프라 전체에서 WID로 구성된 페더레이션 서버 팜에 배치해야 하는 AD FS 페더레이션 서버 및 웹 애플리케이션 프록시 또는 페더레이션 서버 프록시의 최소 수를 예측할 수 있습니다. 클라우드 서비스에 대한 원격 액세스를 포함합니다.

참고

페더레이션 서버 또는 페더레이션 서버 프록시 역할에 대해 구성할 모든 컴퓨터는 Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012 운영 체제를 실행해야 합니다. 웹 응용 프로그램 프록시 역할 서비스를 실행하도록 구성할 모든 컴퓨터는 Windows Server 2012 R2 운영 체제만 실행해야 합니다.

하나의 페더레이션 서버를 중복성에 대비하여 유지해 두는 것이 좋습니다. 다음 표에서는 이 권장 사항을 따릅니다.

클라우드 서비스에 액세스하는 사용자 수 배포할 최소 서버 수 권장 사항 및 단계

1,000명 미만

전용 페더레이션 서버 0대

전용 프록시 0개

전용 NLB 서버 1대

페더레이션 서버의 경우 두 개의 기존 Active Directory DC(도메인 컨트롤러)를 사용하고 페더레이션 서버 역할에 대해 둘 다 구성합니다. 이렇게 하려면 먼저 두 개의 기존 DC를 선택하고 다음을 수행합니다.

  1. 두 도메인 컨트롤러에 모두 AD FS를 설치합니다.

  2. 하나를 새 팜의 첫 번째 페더레이션 서버로 구성합니다.

  3. 나머지 하나를 페더레이션 서버 팜에 가입시킵니다.

NLB의 경우 기존 NLB 호스트를 구성하거나 전용 서버를 가져온 다음 NLB 서버 역할을 설치하고 NLB 서버를 구성합니다.

프록시의 경우 기존 웹 또는 프록시 서버 두 대를 사용하고 두 서버 모두 페더레이션 서버 프록시 역할 또는 웹 응용 프로그램 프록시 역할용으로 구성합니다. 이렇게 하려면 엑스트라넷에 상주하는 두 개의 기존 웹 또는 프록시 서버를 선택하고 다음을 수행합니다.

  1. 두 서버에 모두 AD FS를 설치합니다.

  2. 두 서버를 웹 응용 프로그램 프록시 역할 또는 페더레이션 서버 프록시 역할용으로 구성합니다.

  3. 구성된 프록시 중 하나에 NLB 서버 역할을 설치하거나 기존 NLB 호스트를 구성합니다.

참고

두 개의 기존 DC와 두 개의 웹 또는 프록시 서버가 없거나 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 또는 Windows Server 2012 R2를 실행하지 않는 경우 이 표의 다음 행에 설명된 대로 전용 서버를 대신 배포해야 합니다.

중요

Windows Server 2012에서 AD FS 2.0 또는 AD FS를 사용하는 경우에는 페더레이션 서버 프록시를 배포 및 구성해야 합니다.

Windows Server 2012 R2에서 AD FS를 사용하는 경우에는 웹 응용 프로그램 프록시만 구성 및 배포할 수 있습니다. Windows Server 2012 R2에서는 원격 액세스 서버 역할의 새 역할 서비스인 웹 응용 프로그램 프록시를 사용하여 엑스트라넷 액세스용으로 AD FS를 구성합니다.

1,000 ~ 15,000명

전용 페더레이션 서버 2대

전용 프록시 2개

페더레이션 서버의 경우 두 개의 전용 서버를 가져온 후 다음을 수행합니다.

  1. 두 서버에 모두 AD FS를 설치합니다.

  2. 하나를 새 팜의 첫 번째 페더레이션 서버로 구성합니다.

  3. 나머지 하나를 팜에 가입시킵니다.

  4. 페더레이션 서버 중 하나에 NLB 서버 역할을 설치하거나 기존 NLB 호스트를 구성합니다.

프록시의 경우 엑스트라넷에 배치할 수 있는 전용 서버 두 대를 확보하고 다음을 수행합니다.

  1. 두 서버에 모두 AD FS를 설치합니다.

  2. 두 서버를 웹 응용 프로그램 프록시 역할 또는 페더레이션 서버 프록시 역할용으로 구성합니다.

  3. 구성된 프록시 중 하나에 NLB 서버 역할을 설치하거나 기존 NLB 호스트를 구성합니다.

중요

Windows Server 2012에서 AD FS 2.0 또는 AD FS를 사용하는 경우에는 페더레이션 서버 프록시를 배포 및 구성해야 합니다.

Windows Server 2012 R2에서 AD FS를 사용하는 경우에는 웹 응용 프로그램 프록시만 구성 및 배포할 수 있습니다. Windows Server 2012 R2에서는 원격 액세스 서버 역할의 새 역할 서비스인 웹 응용 프로그램 프록시를 사용하여 엑스트라넷 액세스용으로 AD FS를 구성합니다.

15,000~60,000명의 사용자

전용 페더레이션 서버 3~5대

전용 프록시 2개 이상

전용 페더레이션 서버당 약 15,000명의 사용자를 지원할 수 있습니다. 따라서 클라우드 서비스에 액세스해야 하는 15,000명의 사용자마다 이전에 설명한 기본 2개의 페더레이션 서버 배포에 전용 페더레이션 서버를 추가합니다( 팜에서 최대 5개의 페더레이션 서버 또는 60,000명의 사용자).

참고

WID를 사용하도록 구성된 AD FS 페더레이션 서버 팜은 페더레이션 서버를 5대까지 지원합니다. 페더레이션 서버가 6대 이상 필요한 경우에는 SQL Server 데이터베이스에 AD FS 구성 데이터베이스를 저장하도록 구성해야 합니다. 이 옵션에 대한 자세한 내용은 AD FS 2.0에 대한 고급 옵션 구성을 참조하세요.

이전 표에 제공된 최소 사용자-서버 수 권장 사항은 다음 하드웨어를 기반으로 계산된 것입니다.

하드웨어 사양

CPU 속도

듀얼 쿼드 코어 2.27GHz CPU(8코어)

RAM

4GB

네트워크

기가비트

페더레이션 서버를 추가하여 성능 확장

NLB 기술을 사용하는 팜에 페더레이션 서버가 두 대 이상 구성되어 있으면 서비스의 전반적인 성능은 그대로 유지하면서 AD FS 페더레이션 서비스로 들어오는 사용자 요청 로드를 보다 쉽게 처리할 수 있도록 두 서버가 서로 독립적으로 작동할 수 있습니다. 따라서 초기 페더레이션 서버를 네트워크에 전략적으로 배포한 후 기존 프로덕션 환경에 페더레이션 서버를 추가하더라도 오버헤드가 거의 발생하지 않습니다.

다음 단계

이제 AD FS 배포를 계획했으므로 다음 단계는 AD FS 배포 요구 사항을 검토하는 것입니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리