IO 기능: ID 및 액세스 관리 - 합리화 -> 동적
이 페이지의 내용
.gif){kind=icon}
소개
요구 사항: 이기종 시스템에 대한 중앙 집중식 자동 사용자 계정 공급
요구 사항: 외부 고객과 비즈니스 파트너의 디렉터리 기반 인증
소개
ID 및 액세스 관리는 핵심 인프라 최적화 기능으로, 인프라 최적화 모델의 많은 기능을 구현하기 위한 기반입니다.
다음 표에는 ID 및 액세스 관리의 동적 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.
과제 |
솔루션 |
이점 |
|---|---|---|
업무상 과제 사용자가 계속해서 지원 센터의 리소스 액세스를 요구함 — 사용자 공급 없음 조직의 ID가 명확하게 관리되지 않음 IT 과제 ID가 중앙에서 관리되고 설정과 구성이 쉽게 관리되지만 여러 시스템에서 SSO(Single Sign-On)가 구현되지 않음 여러 인증 프롬프트가 지속적으로 매일 사용자에게 표시됨 |
프로젝트 사용자 공급을 중앙에서 관리할 수 있는 솔루션 구현 조직 및 플랫폼 경계에서 페더레이션된 ID 관리 솔루션 구현 |
업무상 이점 여러 시스템에 SSO(Single Sign-On)를 제공하면 관리 비용이 절감되고 사용자 생산성이 증가함 여러 ID 리포지토리가 방화벽 내에서 페더레이션된 상태로 연결되거나 트러스트되어 ID 워크플로 공급이 가능해짐 IT 이점 암호 관리 중앙 집중화 ID 계정 공급 해제 및 수명 주기 관리 자동화 지원 비용 감소 및 사용자 가동 중지 시간 단축 |
Microsoft ID 및 액세스 관리 시리즈에서 개략적으로 설명한 것처럼 지속적인 ID 및 액세스 관리는 다음 기능에 중점을 둡니다.
ID 및 액세스 관리를 위한 기반
ID 수명 주기 관리
액세스 관리 및 SSO(Single Sign On)
위에서 개략적으로 설명한 모든 기능은 어떠한 조직에나 있는 ID 및 액세스 관리 서비스의 핵심 부분입니다. 자세한 내용은 Microsoft ID 및 액세스 관리 시리즈를 참조하십시오.
인프라 최적화 모델 내 표준화 및 합리화 수준의 ID 및 액세스 관리에서는 통합된 디렉터리 서비스 및 자동화된 적용 구성/보안 정책에 대한 주요 영역을 다룹니다. 동적 수준에서는 자동화된 사용자 계정 공급과 네트워크 리소스의 안전한 타사 액세스를 구현함으로써 이러한 기능을 확장합니다.
요구 사항: 이기종 시스템에 대한 중앙 집중식 자동 사용자 계정 공급
대상
이기종 시스템의 80% 이상에 사용자 계정 공급을 위한 중앙 집중식 자동 도구가 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
오늘날 규모가 큰 조직에서 컴퓨터 네트워크 사용자 정보를 시스템에 공급하는 프로세스가 복잡하고 설계가 부실한 경우가 많이 있습니다. 예를 들어 일부 조직에서는 새 정보 근로자가 작업에 필요한 응용 프로그램 및 전자 메일에 액세스하기까지 최대 2주가 소요될 수 있습니다. 일반적으로 ID 공급과 관련된 작업 집약적 수동 프로세스로 인해 오버헤드가 증가하고, 직원 생산성이 감소되며, 종종 네트워크 환경이 안전하지 않은 상태가 됩니다.
공급 작업을 수동으로 관리하면 작업 속도가 느려지고 일반적으로 액세스 및 권한 부여 정책이 일관된 방식으로 적용되지 않습니다. 안정적이고 자동화된 프로세스가 없는 경우 종종 원하는 정책 구현을 시도조차 못하게 됩니다.
조직에서는 ID 정보를 다양한 리포지토리 또는 데이터 저장소에 저장합니다. 메타디렉터리 기능이 포함된 제품을 사용하면 기존 데이터를 동기화하여 이러한 저장소에 저장된 데이터의 일관성을 확보할 수 있습니다. 동적 수준으로 이동하려면 중앙 집중식 자동 공급을 위한 기술을 구현하고 활용해야 합니다.
1단계: 평가
평가 단계에서는 직원이 조직에 참여하고, 직원 이동 또는 재편성이 수행되고, 암호가 재설정되고, 사용자 디렉터리에 대해 다른 일반 요청이 자체적으로 발생할 때 수행하는 일반적인 작업을 따라야 합니다. 이러한 프로세스 또는 워크플로는 항상 조직 내에서 발생하며, 일부 변경 워크플로는 다른 워크플로에 비해 수동으로 처리해야 할 부분이 많습니다. 평가 단계에서는 일반 디렉터리 공급 요청을 처리하는 워크플로, 액세스 및 권한 부여와 관련된 기존의 모든 정책 및 변경이나 액세스 권한 부여를 위한 필수 수동 제어의 식별 기능이 포함된 카탈로그 제품을 사용합니다. 또한, 초기 요청에서 변경 해결까지 소요되는 일반적인 시간을 기록해두면 공급 솔루션이 구현된 후 어떤 작업을 높은 우선 순위로 지정하여 사용할지를 계획함으로써 생산성 향상 정도를 예측하는 데 도움이 됩니다.
2단계: 식별
일반 사용자 공급 작업을 수행하는 데 필요한 기본 워크플로, 정책 및 노력을 확인한 후 식별 단계에서는 기존 디렉터리 또는 사용자 작업에 대한 개선 영역을 파악합니다.
본 문서에서는 식별 단계를 수행하기 위한 3가지 기본 시나리오에 대해 중점적으로 다룹니다.
HR 기반 공급
그룹 관리
셀프 서비스 공급
이러한 시나리오는 일반적으로 조직의 계정 공급 및 디렉터리 서비스와 관련된 수많은 과제와 연결되지만 종합적인 목록을 제공하지는 않습니다. 본 단계의 결과는 해당 프로젝트의 평가 및 계획 단계에서 다루게 되는 개선 또는 현재 정책 위반에 대한 다양한 주요 영역을 파악하는 데 사용됩니다. 성공 기준에는 다음 절에서 다룬 문제에 대한 해결 및 작업 관련 효율성 획득이 포함되어야 합니다.
HR 기반 공급
이 시나리오에서는 ID 정보 동기화만이 필수 솔루션에 포함됩니다. 사용자에 대한 종합적 보기 사용뿐 아니라 자동화된 공급 솔루션도 필요합니다.
HR 기반 공급은 다음 문제를 처리하고 해결합니다.
유형이 다른 데이터 저장소를 유지 관리하는 데 드는 노력
일관성 없는 데이터
다른 사용자의 계정 “도용”
오래된 계정(바로 비활성화되거나 제거되지 않은 계정)
부적절한 액세스
그룹 관리
조직에서는 일반적으로 배포 그룹을 사용하여 전자 메일을 배포하고 보안 그룹을 사용하여 유사한 권한을 가진 사용자를 간편하게 그룹화합니다. 해결해야 할 과제는 가장 효율적인 전자 메일 라우팅과 최적의 사용자 환경을 제공하면서 비즈니스 규칙에 따라 올바른 권한을 적시에 부여하거나 해지할 수 있도록 이러한 다른 유형의 그룹을 관리하는 것입니다.
중앙 집중식 자동 공급 솔루션이 없는 경우에는 공급 프로세스 도중 사용자를 적절한 그룹에 배치하기 어려우며, 사용자의 업무상 역할, 직책 및 위치가 변경될 때 그룹을 관리하기 어렵습니다. 이러한 상황은 사용자 업무 방해, 지원 센터 문의량 증가 및 일부 사용자에 잘못된 액세스 권한 부여 등의 결과를 초래할 수 있습니다.
그룹 관리는 다음 문제를 처리하고 해결합니다.
새 사용자 액세스 지연
잘못된 배포 목록
오래된 그룹
중복 전자 메일
직원이 그룹에서 나갈 때 제거되지 않은 권한
과도하게 많은 관리자 계정
셀프 서비스 공급
HR 기반 공급은 보통 정규직을 위한 권한 소스로 간주되지만, 반드시 계약자 및 임시직을 위한 완전 자동화된 공급을 수행하는 권한 데이터 소스는 아닙니다.
셀프 서비스 공급은 다음 문제를 처리하고 해결합니다.
계약자의 작업 수행 지연
오래된 계정
비효율적이거나 안전하지 못한 암호 전달
중복 계정
3단계: 평가 및 계획
평가 및 계획 단계에서는 사용자 계정 공급 및 셀프 서비스를 자동화하는 데 도움이 될 수 있는 기술을 확인합니다. 도구 및 도구의 구현과 관련된 기능 및 비용을 평가하고 비교해야 합니다. 기술을 선택한 후 계획 단계에서 공급 기술의 구현을 논의하고 시나리오의 우선 순위를 지정해야 합니다. Microsoft에서는 이기종 컴퓨팅 환경에서 사용자 공급을 중앙 집중화하고 자동화하는 데 사용할 수 있는 여러 가지 도구를 제공합니다.
Microsoft Identity Lifecycle Manager 2007(ILM 2007)
Microsoft Identity Integration Server(MIIS) 2003
Zero Touch Provisioning(ZTP)
Microsoft Identity Lifecycle Manager 2007
Microsoft Identity Lifecycle Manager 2007(ILM 2007)은 사용자 계정 공급의 자동화에 권장되는 기술입니다. ILM 2007은 사용자 ID 및 관련 자격 증명의 전체 수명 주기를 관리할 수 있는 종합적인 통합 솔루션을 제공합니다. ILM 2007은 Microsoft Identity Integration Server 2003(MIIS 2003)에서 메타디렉터리 및 사용자 공급 기능을 강화하고, 스마트 카드와 같은 강력한 자격 증명을 관리하기 위한 새 기능을 Certificate Lifecycle Manager 2007(CLM 2007)에 추가합니다. 이는 Microsoft Windows® 및 기타 조직 시스템 작동의 단일 솔루션으로 ID 동기화, 인증서/암호 관리 및 사용자 공급을 제공합니다. 따라서, 조직은 ID 생성에서 해지까지 관리하는 데 사용되는 프로세스를 정의하고 자동화할 수 있습니다. ILM 2007용 기술 리소스 지침은 지속적으로 개발되고 있습니다. 자세한 내용은 TechNet 매거진 2007년 5월 에디션에 실린 한 단계로 공급 워크플로를 구축하는 방법을 참조하십시오.
Microsoft Identity Integration Server 2003
Microsoft Identity Integration Server(MIIS) 2003은 다중 디렉터리를 사용하여 조직의 ID 정보를 저장 및 통합하는 중앙 집중식 서비스입니다. MIIS 2003의 사용 목표는 사용자, 응용 프로그램 및 네트워크 리소스에 대한 알려진 모든 ID 정보의 통합 보기를 조직에 제공하는 것입니다. Microsoft TechNet, 특히 Microsoft ID 및 액세스 관리 시리즈의 공급 및 워크플로에서는 MIIS 2003을 사용하는 자동화된 사용자 공급 서비스를 계획 및 구현하는 데 필요한 몇 가지 리소스를 제공합니다.
Zero Touch Provisioning
Zero Touch Provisioning은 사용자가 서비스 및 소프트웨어에 스스로 가입할 수 있도록 하는 데 필요한 조치, 워크플로 및 작업의 구현입니다. ZTP를 사용하려면 ID가 이미 관리되고 있어야 하며, ZTP를 사용하면 공급 범위가 ID 및 액세스 서비스에서 조직의 다른 IT 서비스 요청으로 확장됩니다. ZTP를 사용하면 대리인이 암호 재설정, 전자 메일 공급 및 선택적 응용 프로그램 설치와 같은 일반 공급 작업을 수행할 수 있도록 해주는 관리되는 셀프 서비스 공급 포털로 조직이 이동할 수 있습니다. ZTP는 Microsoft BizTalk Server를 기반으로 하며 Systems Management Server 2003 사용이 필요합니다. ZTP는 기업 또는 호스트된 상용 서비스 및 응용 프로그램을 안정적으로 공급하는 기반을 제공하므로, 공급 단계에서 관리자 작업이 줄어듭니다. BizTalk Server 2004를 사용하는 초기 ZTP 버전은 Solution Accelerator for Business Desktop Deployment Enterprise Edition 버전 2.5 다운로드를 통해 제공됩니다. BizTalk Server 2006을 사용하는 최신 버전의 Zero Touch Provisioning을 구하려면 Microsoft Services에 문의하십시오.
기술 평가
기타 공급업체에서 제공하는 기술 및 위에서 설명한 각 기술은 계정 또는 ID 개체 공급 자동화를 달성하는 데 도움이 될 수 있습니다. 또한, ZTP 솔루션은 새 응용 프로그램 및 암호 재설정의 셀프 서비스 요청 및 공급과 같은 자동화된 일반 서비스 요청 공급을 제공함으로써 ID 수명 주기 관리 기능에 또 다른 계층의 기능을 추가해줍니다. 관련 비용 및 구현 요구 사항 이외에 기술 옵션을 평가할 때 중점적으로 다룬 리소스를 읽도록 권장합니다.
솔루션 계획
다른 IT 프로젝트를 설계하고 계획한 것과 동일한 방법으로 공급 솔루션을 설계하고 계획할 수 있습니다. 이 프로세스에서는 요구 사항을 수집하고, 개념적, 논리적 및 물리적 설계를 구현하고, 개념을 증명한 다음 프로젝트 계획, 일정 및 예산을 수립해야 합니다. 자세한 내용은 ID 집계 및 동기화를 참조하십시오.
MIIS 2003 솔루션 설계에 대한 자세한 내용은 MIIS 2003 설계 및 계획 컬렉션을 참조하십시오.
ILM 2007에 대한 프로젝트 관련 지침은 현재 개발 중에 있습니다. ID 및 액세스 관리 시리즈에서 중점적으로 다룬 지침은 MIIS 2003에 대해 작성되고 테스트되었지만 핵심 개념의 대부분은 ILM 2007의 계획 및 배포 대상과 해당 기능에도 적용할 수 있습니다. 추가 지침을 보려면 ILM 2007용 기술 라이브러리를 방문하십시오.
4단계: 배포
공급 솔루션을 평가하고 프로젝트를 계획한 후 마지막 단계로 배포 작업을 수행합니다. 워크플로 및 공급 솔루션을 배포할 때 몇 가지 선행 조건이 있으며, 이 절에서는 다음과 같이 공급과 관련된 ID 및 액세스의 선행 조건에 대해서만 중점적으로 다룹니다.
ID 집계 및 동기화 구축
선행 조건을 충족한 후에는 MIIS 2003 또는 ILM 2007을 구성하고 기존의 모든 데이터 가져오기 및 동기화를 포함한 ID 관리 작업을 시작하여 배포를 구현함으로써 지속적으로 진행되는 작업을 수행할 수 있도록 준비합니다.
ILM 2007을 사용한 공급 솔루션 배포에 대한 자세한 내용은 TechNet 매거진 2007년 5월 에디션에 실린 한 단계로 공급 워크플로를 구축하는 방법을 참조하십시오.
사용자 계정 공급을 위한 MIIS 2003 구현에 대한 자세한 내용은 Microsoft ID 및 액세스 관리 시리즈의 워크플로 및 공급 솔루션 구현 절을 참조하십시오.
추가 정보
사용자 공급에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 “user provisioning”을 검색하십시오.
Microsoft에서 공급을 처리하는 방법을 보려면 https://www.microsoft.com/technet/itshowcase/content/ensidcon.mspx를 방문하십시오.
항목 체크포인트
|
요구 사항 |
|---|---|
조직의 현재 ID 개체 공급 워크플로와 개선 또는 최적화 대상 영역을 정의했습니다. |
|
|
개체 ID 수명 주기를 관리하는 데 사용되는 기술을 확인했습니다. |
|
일반 사용자 계정 공급 워크플로를 자동화하는 통합 솔루션을 구현했습니다. |
.gif)
위에서 설명한 단계를 완료했다면 인프라 최적화 모델의 중앙 집중식 자동 사용자 공급 기능에 필요한 동적 수준의 최소 요구 사항을 충족한 것입니다. 사용자 액세스 및 네트워크 보안 수준을 알려진 표준 상태로 유지 관리하려면 사용자 공급에 대해 추가로 제공된 최적의 방법 지침을 따르는 것이 좋습니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 외부 고객과 비즈니스 파트너의 디렉터리 기반 인증
대상
외부 고객 및 비즈니스 파트너에게 인증된 액세스 권한을 부여하기 위한 디렉터리 기반의 도구를 사용하고 있지 않으면 이 절을 읽어야 합니다.
개요
구현자용 인프라 최적화 계획 가이드: 기초 -> 표준화에서는 사용자 인증을 위한 디렉터리 서비스 사용에 대해 설명했습니다. 핵심 인프라 최적화의 동적 수준으로 이동하려면 필요 시 인증 범위를 외부 고객 및 비즈니스 파트너로 안전하게 확장할 수 있어야 합니다. 대부분의 조직은 지속적인 토대 위에서 임의의 형식으로 외부 고객 및 비즈니스 파트너에게 정보를 제공해야 합니다. IT 조직은 ID 페더레이션을 사용하여 다른 조직의 ID 데이터를 기반으로(이때 조직에서 선택한 고유 사용자 ID 정보를 공유할 수도 있음) 의사 결정을 내릴 수 있습니다. 페더레이션은 공통 목표를 가진 2개의 조직 간 계약을 나타내며, 일반적으로 각 조직이 고유 내부 정보, 액세스 정책 및 ID 개체 관리를 유지할 수 있도록 구성됩니다.
1단계: 평가
데이터 및 정보는 필연적으로 조직 외부의 이해 관계자와 공유됩니다. 평가 단계에서는 공유 데이터 및 현재 데이터 공유를 수행하는 방법에 대한 인벤토리를 수행합니다. 평가 단계의 결과는 데이터 및 정보가 공유되는 리소스를 알려주며, 페더레이션이 신뢰할 수 있는 외부 이해 관계자에게 액세스 권한을 제공함으로써 어떤 부분에서 효율성을 향상시킬 수 있는지를 보여줍니다.
2단계: 식별
평가 단계에서 확인한 리소스별로, 데이터 흐름을 제어하기 위한 수동 프로세스를 사용하여 기존의 워크플로를 보다 안전하게 구성할 수 있는지 여부를 확인할 수 있습니다. 외부 고객 또는 파트너의 안전하고 인증된 액세스가 조직 시스템을 손상시키지 않는다면 이 식별 단계를 통해 ID 페더레이션 솔루션에 참여하는 우선 순위 리소스, 파트너 및 고객을 분리합니다. 식별 단계의 결과에는 관련 리소스 및 초기 프로젝트에서 대상으로 지정한 ID 개체의 해당 목록 이외에도 해당 조직의 상세 목록이 포함됩니다.
3단계: 평가 및 계획
핵심 인프라 최적화 모델의 과정을 진행하고 표준화 수준의 선행 조건을 달성했다면 조직은 Active Directory 인프라를 구축한 상태입니다. 또한, 합리화 수준의 조직이라면 ADAM(Active Directory Application Mode)에 대한 지식을 보유하고 있는 상태입니다. 평가 및 계획 단계에서는 디렉터리 서비스 인증을 외부 이해 관계자로 확장할 수 있는 기술, ADFS(Active Directory Federation Service) 및 솔루션 구현을 위한 계획을 검사합니다. 엑스트라넷 리소스 액세스 관리를 위한 추가 옵션은 Microsoft TechNet의 엑스트라넷 액세스 관리: 엑스트라넷 액세스 관리 접근 방법을 참조하십시오.
ADAM(Active Directory Application Mode)
ADAM은 디렉터리 사용 응용 프로그램에만 디렉터리 서비스를 제공합니다. ADAM에는 Active Directory 도메인이나 포리스트가 필요 없습니다. 그러나, ADAM은 Active Directory가 구축된 환경에서 Active Directory를 Windows 보안 사용자의 인증에 사용할 수 있습니다.
ADFS(Active Directory Federation Service)
ADFS(Active Directory Federation Service)는 사용자 계정 및 응용 프로그램이 완전히 다른 네트워크나 조직에 있는 경우에도 브라우저 기반의 클라이언트(네트워크 내부 또는 외부)에 보호된 인터넷 연결 응용 프로그램에 대한 SSO(Single Sign-On) 액세스를 제공하는 Microsoft Windows Server 2003 R2의 한 구성 요소입니다.
응용 프로그램과 사용자 계정이 서로 다른 네트워크에 있는 경우 일반적으로 사용자가 응용 프로그램 액세스를 시도할 때 보조 자격 증명을 요구하는 프롬프트가 표시됩니다. 이러한 보조 자격 증명은 응용 프로그램이 상주하는 영역에서 사용자 ID를 나타내며, 일반적으로 응용 프로그램이 가장 적절한 권한 부여 결정을 내릴 수 있도록 응용 프로그램을 호스트하는 웹 서버에서 요청됩니다.
ADFS를 사용하면 사용자 디지털 ID 및 트러스트된 파트너의 액세스 권한을 예상하는 데 사용할 수 있는 트러스트 관계(페더레이션 트러스트)를 제공함으로써 보조 자격 증명에 대한 요청을 우회할 수 있습니다. 이러한 페더레이션된 환경에서 각 조직은 고유 ID를 계속해서 관리하면서 다른 조직의 ID를 안전하게 예상하고 승인할 수도 있습니다.
ADFS는 Active Directory와 긴밀하게 통합되어 있습니다. ADFS는 Active Directory에서 사용자 특성을 검색하고 Active Directory에 대해 사용자를 인증합니다. ADFS는 Windows 통합 인증도 사용합니다.
ADFS를 통해 기존 Active Directory 인프라를 확장하여 트러스트된 파트너가 인터넷을 통해 제공하는 리소스에 액세스 권한을 부여할 수 있습니다. 이러한 트러스트된 파트너에는 타사 및 해당 조직의 타 부서나 자회사가 포함될 수 있습니다.
페더레이션 시나리오
ADFS는 다음과 같은 3가지의 페더레이션 ID 시나리오를 지원합니다.
페더레이션 웹 SSO
포리스트 트러스트가 포함된 페더레이션 웹 SSO
웹 SSO
페더레이션 웹 SSO 및 웹 SSO는 핵심 인프라 최적화 모델의 동적 수준으로 이동하는 데 필요한 시나리오입니다.
페더레이션 웹 SSO
ADFS 페더레이션 웹 SSO 시나리오에는 전체 인터넷 라우팅 구조뿐 아니라 종종 여러 방화벽, 경계 네트워크 및 이름 확인 서버를 통과하는 보안 통신이 포함됩니다. 페더레이션 웹 SSO 환경을 활용한 통신은 페더레이션 트러스트 관계에 참여한 조직 간의 온라인 트랜잭션을 보다 효율적이고 안전하게 만드는 데 도움이 될 수 있습니다.
.gif)
그림 3. 페더레이션 웹 SSO
포리스트 트러스트가 포함된 페더레이션 웹 SSO
ADFS의 포리스트 트러스트가 포함된 페더레이션 웹 SSO 시나리오에는 다음 그림에 설명된 것처럼 하나의 조직에 2개의 Active Directory 포리스트가 포함됩니다.
.gif)
그림 4. 포리스트 트러스트가 포함된 페더레이션 웹 SSO
웹 SSO
ADFS 웹 SSO 시나리오에서는 사용자가 한 번의 인증으로 여러 웹 기반 응용 프로그램에 액세스할 수 있어야 합니다. 이 시나리오에서 모든 사용자는 외부에 있으며 페더레이션 트러스트는 존재하지 않습니다. 웹 서버는 인터넷에 연결되고 Active Directory 도메인에도 참여해야 하므로 2개의 네트워크(멀티홈)에 연결됩니다. 첫 번째 네트워크는 인터넷에 연결되는 경계 네트워크로 필요한 연결을 제공합니다. 두 번째 네트워크는 보호된 네트워크로 Active Directory 포리스트가 포함되어 있으며 인터넷에 직접 연결되지 않습니다.
.gif)
그림 5. 웹 SSO
ADFS 구현 계획
ADFS 구현을 계획할 때는 기술 선행 조건, 프로젝트 목표, 파트너 또는 페더레이션 계획, 페더레이션된 응용 프로그램 전략 및 인프라 설계를 고려해야 합니다.
전제 조건
ADFS를 구현하기 전에 다음 서비스 또는 기능이 마련되어 있어야 합니다.
Active Directory. Active Directory 도메인은 리소스 페더레이션 서버에만 필요합니다. 고객 계정을 호스트하는 데에는 사용되지 않습니다.
ADAM. ADAM은 ADFS 토큰을 생성하는 데 사용되는 고객 계정을 포함하는 데 사용됩니다. Active Directory 또는 ADAM에 대한 자세한 내용은 부록 B: 주요 ADFS 개념 검토를 참조하십시오.
계정/리소스 페더레이션 서버. 이 페더레이션 서버는 계정 역할 및 리소스 역할을 모두 제공합니다. 계정/리소스 페더레이션 서버는 응용 프로그램의 값과 고객 계정이 포함된 계정 저장소(이 경우 ADAM)의 값이 페더레이션 서비스에 모두 포함되도록 구성됩니다. 자세한 내용은 계정 파트너 조직에서 페더레이션 서버의 역할 검토 및 리소스 파트너 조직에서 페더레이션 서버의 역할 검토를 참조하십시오.
ADFS 사용 웹 서버. ADFS 사용 웹 서버는 요구 인식 응용 프로그램 또는 Windows NT® 토큰 기반의 응용 프로그램을 호스트할 수 있습니다. ADFS 웹 에이전트는 보호된 웹 사이트에 대한 액세스를 허용하기 전에 고객 계정에서 유효한 ADFS 토큰을 받았는지 여부를 확인합니다. 자세한 내용은 ADFS 사용 웹 서버 구축 시점을 참조하십시오.
고객. 고객은 지원되는 웹 브라우저를 사용하여 인터넷을 통해 ADFS 보안 웹 응용 프로그램에 액세스합니다. 인터넷에 연결된 고객 클라이언트 컴퓨터는 인증 시 페더레이션 서버와 직접 통신합니다.
계획 시 기본 고려 사항
다음 가이드는 ADFS 서비스를 계획하는 데 필요한 기술 리소스입니다. ADFS 서비스를 구현하는 프로젝트 계획을 개발하려면 이 리소스를 사용하십시오.
4단계: 배포
환경에 대한 정보를 수집하고 ADFS 설계 가이드의 지침에 따라 ADFS(Active Directory Federation Service) 설계를 결정한 후 ADFS 설계에 대한 배포 계획을 수립할 수 있습니다. ADFS 설계를 완료한 후 이 항목의 정보를 활용하여 조직에서 ADFS를 배포하기 위해 수행할 작업을 결정할 수 있습니다. ADFS 배포를 위한 상세 기술 지침은 Windows Server 2003 R2 기술 라이브러리의 ADFS 배포 가이드를 참조하십시오.
ADFS 설정 및 관리에 대한 단계별 가이드를 보려면 http://technet2.microsoft.com/WindowsServer/f/?en/library/d022ac37-9b74-4ba1-95aa-55868c0ebd8c1033.mspx를 방문하십시오.
추가 정보
ADFS에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 “ADFS”를 검색하십시오.
항목 체크포인트
|
요구 사항 |
|---|---|
|
외부 엔터티에 인증된 액세스를 제공하기 위한 요구 사항 및 사용의 유효성을 검사했습니다. |
|
정의된 리소스에 대한 외부 액세스를 제공하기 위한 전략과 정책을 판단했습니다. |
|
정의된 외부 사용자가 정의된 서비스에 안전하게 액세스할 수 있도록 해주는 기술을 구현했습니다. |
위에서 설명한 단계를 완료했다면 인프라 최적화 모델의 외부 고객과 비즈니스 파트너의 디렉터리 기반 인증 기능에 필요한 동적 수준의 최소 요구 사항을 충족한 것입니다. 파트너 및 클라이언트 인증에 대하여 추가로 제공된 최적의 방법 지침을 따르는 것이 좋습니다.
다음 자체 평가 질문으로 이동하십시오.