페더레이션 이해

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

정보 근로자는 외부 받는 사람, 공급업체, 파트너 및 고객과 공동 작업을 하고 약속 있음/없음(일정 있음/없음이라고도 함) 및 연락처 정보를 공유해야 하는 경우가 많습니다. Microsoft Exchange Server 2010의 페더레이션은 이러한 공동 작업에 도움이 됩니다. 페더레이션은 페더레이션 위임을 지원하는 기본 트러스트 인프라를 나타내며 사용자가 다른 외부 페더레이션 조직의 받는 사람과 일정 및 연락처 정보를 쉽게 공유할 수 있는 방법입니다. 페더레이션 위임에 대한 자세한 내용은 페더레이션 위임 이해를 참조하십시오.

페더레이션과 관련된 관리 작업에 대한 자세한 내용은 페더레이션 관리를 참조하십시오.

목차

Microsoft 페더레이션 게이트웨이

페더레이션 트러스트

페더레이션 조직 식별자

페더레이션의 예

페더레이션에 대한 인증서 요구 사항

새 인증서로 전환

Microsoft 페더레이션 게이트웨이

Microsoft에서 제공하는 무료 클라우드 기반 서비스인 Microsoft 페더레이션 게이트웨이는 온-프레미스 Exchange 2010 조직과 다른 페더레이션 Exchange 2010 조직 사이의 트러스트 브로커로 작동합니다. Exchange 조직에서 페더레이션을 구성하려는 경우 Microsoft 페더레이션 게이트웨이와 일회성 페더레이션 트러스트를 설정해야만 조직과의 페더레이션 파트너가 될 수 있습니다. 이 트러스트를 설정하면 Microsoft 페더레이션 게이트웨이에서 Active Directory(ID 공급자)에서 인증된 사용자에게 SAML(Security Assertion Markup Language) 위임 토큰을 발급합니다. 이러한 위임 토큰을 사용하면 한 페더레이션 조직의 사용자를 다른 페더레이션 조직의 사용자가 신뢰할 수 있습니다. Microsoft 페더레이션 게이트웨이를 트러스트 브로커로 사용하면 조직에서 다른 조직과 개별적으로 여러 개의 트러스트 관계를 설정할 필요가 없으며 사용자가 SSO(Single Sign-On) 환경을 사용하여 외부 리소스를 액세스할 수 있습니다. 자세한 내용은 Microsoft 페더레이션 게이트웨이 이해를 참조하십시오.

맨 위로 이동

페더레이션 트러스트

Exchange 2010 페더레이션 위임 기능을 사용하려면 Exchange 2010 조직과 Microsoft 페더레이션 게이트웨이 사이에 페더레이션 트러스트를 설정해야 합니다. Microsoft 페더레이션 게이트웨이와 페더레이션 트러스트를 설정하면 조직의 디지털 보안 인증서를 Microsoft 페더레이션 게이트웨이와 교환하고 Microsoft 페더레이션 게이트웨이 인증서 및 페더레이션 메타데이터를 검색합니다. EMC(Exchange 관리 콘솔)의 새 페더레이션 트러스트 마법사 또는 Exchange 관리 셸의 New-FederationTrust cmdlet을 사용하여 페더레이션 트러스트를 설정할 수 있습니다. 자체 서명 인증서는 새 페더레이션 트러스트 마법사에서 자동으로 만들며 외부 페더레이션 조직에서 사용자를 신뢰할 수 있게 하는 서명 및 암호화 위임 토큰에 사용됩니다. 인증서 요구 사항에 대한 자세한 내용은 이 항목의 뒷부분에 있는 페더레이션에 대한 인증서 요구 사항을 참조하십시오.

페더레이션 트러스트를 만드는 방법에 대한 자세한 내용은 페더레이션 트러스트 만들기를 참조하십시오.

Microsoft 페더레이션 게이트웨이를 사용하여 페더레이션 트러스트를 만들면 Exchange 조직의 응용 프로그램 식별자(AppID)가 생성되어 새 페더레이션 트러스트 마법사 또는 New-FederationTrust cmdlet의 출력에 제공됩니다. AppID는 Microsoft 페더레이션 게이트웨이에서 Exchange 조직을 고유하게 식별하는 데 사용됩니다. 또한 Exchange 조직에서 Microsoft 페더레이션 게이트웨이와 사용할 도메인을 조직이 소유하고 있는지 증명을 제공하는 데에도 사용됩니다. 이 작업을 수행하려면 각 페더레이션 도메인의 DNS(Domain Name System) 영역에 텍스트(TXT) 레코드를 만듭니다.

TXT 레코드를 만드는 방법에 대한 자세한 내용은 페더레이션에 대한 TXT 레코드 만들기를 참조하십시오.

맨 위로 이동

페더레이션 조직 식별자

페더레이션 조직 식별자(OrgID)는 조직에 구성된 신뢰할 수 있는 허용 도메인 중에서 페더레이션에 사용되는 도메인을 정의합니다. OrgID에 허용 도메인이 구성된 전자 메일 주소가 있는 받는 사람만 Microsoft 페더레이션 게이트웨이에서 인식되며 페더레이션 위임 기능을 사용할 수 있습니다. 새 페더레이션 트러스트를 만들면 Microsoft 페더레이션 게이트웨이에 OrgID가 자동으로 만들어집니다. 이 OrgID는 미리 정의된 문자열과 마법사에서 페더레이션에 대해 선택한 첫 번째 허용 도메인의 조합입니다. 예를 들어 페더레이션 관리 마법사에서 페더레이션 도메인 contoso.com을 조직의 기본 SMTP 도메인으로 지정하면 페더레이션 트러스트에 대한 OrgID로 FYDIBOHF25SPDLT.contoso.com 계정 네임스페이스가 자동으로 만들어집니다.

이 하위 도메인은 Exchange 조직의 허용 도메인이 아니어도 되며 소유권 TXT 레코드의 DNS(Domain Name System) 증명이 필요하지 않습니다. 단, 페더레이션하기 위해 선택한 허용 도메인이 최대 32자로 제한되어야 합니다. 또한, 하이브리드 구성 관리 마법사를 사용하여 온-프레미스 조직과 Exchange Online 조직 간 하이브리드 배포 구성과 연관된 페더레이션 트러스트를 만드는 경우 페더레이션 트러스트에 대한 OrgID가 자동화된 네임스페이스로 자동으로 구성됩니다. 이 하위 도메인의 유일한 용도는 Microsoft 페더레이션 게이트웨이의 페더레이션 네임스페이스 역할을 하여 SAML 위임 토큰을 요청하는 받는 사람에 대한 고유 식별자를 유지 관리하는 것입니다. SAML 토큰에 대한 자세한 내용은 SAML 토큰 및 클레임을 참조하십시오.

언제든지 허용 도메인을 추가하거나 제거할 수 있습니다. 조직의 모든 페더레이션 기능을 사용하도록 설정하거나 사용하지 않도록 설정하려면 OrgID를 사용하도록 설정하거나 사용하지 않도록 설정하면 됩니다.

페더레이션 OrgID 구성에 대한 자세한 내용은 다음 항목을 참조하십시오.

• 페더레이션 관리

• 페더레이션 위임 구성

맨 위로 이동

페더레이션의 예

두 Exchange 조직인 Contoso, Ltd. 및 Fabrikam, Inc.에서는 사용자가 서로 약속 있음/없음 정보를 공유할 수 있게 하려고 합니다. 각 조직은 Microsoft 페더레이션 게이트웨이와 페더레이션 트러스트를 만들고 사용자의 전자 메일 주소 도메인에 사용되는 도메인을 포함하도록 계정 네임스페이스를 구성합니다. 

Contoso 직원은 contoso.com, contoso.co.uk 또는 contoso.ca라는 전자 메일 주소 도메인 중 하나를 사용합니다. Fabrikam 직원은 fabrikam.com, fabrikam.org 또는 fabrikam.net이라는 전자 메일 주소 도메인 중 하나를 사용합니다. 두 조직은 모든 허용 전자 메일 도메인이 Microsoft 페더레이션 게이트웨이와의 페더레이션 트러스트에 대한 계정 네임스페이스에 포함되도록 합니다. 두 조직 사이에 복잡한 Active Directory 포리스트 또는 도메인 트러스트 구성을 필요로 하는 대신 두 조직은 약속 있음/없음 공유를 사용하도록 서로 간의 조직 관계를 구성합니다.

다음 그림은 Contoso, Ltd. 및 Fabrikam, Inc. 사이의 페더레이션 구성을 보여줍니다.

페더레이션 위임의 예

페더레이션에 대한 인증서 요구 사항

Microsoft 페더레이션 게이트웨이와 페더레이션 트러스트를 설정하려면 자체 서명 인증서 또는 CA(인증 기관)에서 서명한 X.509 인증서를 만들고 트러스트를 만드는 데 사용되는 Exchange 2010 서버에 설치해야 합니다. EMC에서 새 페더레이션 트러스트 마법사를 사용하여 자동으로 만들고 설치할 수 있는 자체 서명 인증서를 사용하는 것이 좋습니다. 이 인증서는 페더레이션 위임에 사용되는 위임 토큰을 서명하고 암호화하는 데에만 사용됩니다. 페더레이션 트러스트에는 인증서가 하나만 필요합니다. Exchange 2010에서는 인증서를 조직의 다른 Exchange 2010 서버에 자동으로 배포합니다.

외부 CA에서 서명한 X.509 인증서를 사용하려는 경우 해당 인증서가 다음 요구 사항을 충족해야 합니다.

• 신뢰할 수 있는 CA   가능한 경우 X.509 SSL(Secure Sockets Layer) 인증서는 Windows Live에서 신뢰하는 CA에서 발급해야 합니다. 그러나 Microsoft가 현재 인증하지 않는 CA에서 발급한 인증서도 사용할 수 있습니다. 신뢰할 수 있는 CA의 최신 목록은 페더레이션 트러스트에 대한 신뢰할 수 있는 루트 인증 기관을 참조하십시오.

• 주체 키 식별자   인증서에는 주체 키 식별자 필드가 있어야 합니다. 상업용 CA에서 발급된 X.509 인증서에는 대부분 이 식별자가 있습니다.

• CryptoAPI CSP(암호화 서비스 공급자)   인증서는 CryptoAPI CSP를 사용해야 합니다. CNG(Cryptography API: Next Generation) 공급자를 사용하는 인증서는 페더레이션에서 지원되지 않습니다. Exchange를 사용하여 인증서를 요청하면 CryptoAPI 공급자가 사용됩니다. 자세한 내용은 암호화 API: 차세대(영문)를 참조하십시오.

• RSA 서명 알고리즘   인증서는 서명 알고리즘으로 RSA를 사용해야 합니다.

• 내보낼 수 있는 개인 키   인증서 생성에 사용한 개인 키는 내보낼 수 있어야 합니다. EMC의 새 Exchange 인증서 마법사나 셸의 New-ExchangeCertificate cmdlet을 사용하여 인증서 요청을 만들 때 개인 키를 내보낼 수 있도록 지정할 수 있습니다.

• 현재 인증서   인증서는 현재 인증서여야 합니다. 만료되거나 해지된 인증서를 사용하여 페더레이션 트러스트를 만들 수는 없습니다.

• 확장된 키 사용   인증서에는 EKU(확장된 키 사용) 유형 **클라이언트 인증 (1.3.6.1.5.5.7.3.2)**을 포함해야 합니다. 이 사용 유형은 원격 컴퓨터에 ID를 증명하기 위해 사용됩니다. EMC 또는 셸을 사용하여 인증서 요청을 생성하는 경우에는 이 사용 유형이 기본적으로 포함됩니다.

맨 위로 이동

새 인증서로 전환

페더레이션 트러스트를 만드는 데 사용한 인증서는 현재 인증서로 지정됩니다. 하지만 정기적으로 페더레이션 트러스트에 대한 새 인증서를 설치하고 사용해야 할 수 있습니다. 예를 들어 현재 인증서가 만료되는 경우 또는 새 비즈니스 또는 보안 요구 사항을 충족하도록 하기 위해 새 인증서를 사용해야 할 수 있습니다. 새 인증서로 원활하게 전환하려면 Exchange 2010 서버에 새 인증서를 설치하고 페더레이션 트러스트를 구성하여 다음 인증서로 지정해야 합니다. Exchange 2010은 다음 인증서를 조직의 다른 Exchange 2010 서버에 자동으로 배포합니다. Active Directory 토폴로지에 따라 인증서 배포에 시간이 오래 걸릴 수도 있습니다. EMC의 페더레이션 관리 마법사 또는 셸의 Test-FederationTrustCertificate cmdlet을 사용하여 인증서 상태를 확인할 수 있습니다.

인증서의 배포 상태를 확인하고 나면 트러스트를 구성하여 다음 인증서를 사용할 수 있습니다. 인증서 전환 후 현재 인증서가 이전 인증서로 지정되고 다음 인증서가 현재 인증서로 지정됩니다. 새 인증서는 Microsoft 페더레이션 게이트웨이에 게시되며 Microsoft 페더레이션 게이트웨이로 교환한 새 토큰 모두는 새 인증서를 사용하여 암호화됩니다. 다음 그림은 페더레이션 관리 마법사를 사용하여 이 전환을 구성할 수 있는 방법을 보여줍니다.

인증서 전환

새 인증서 전환 방법에 대한 자세한 내용은 페더레이션 관리를 참조하십시오.

맨 위로 이동

 © 2010 Microsoft Corporation. 모든 권리 보유.