포리스트에 클레임 배포

적용 대상: Windows Server 2012

Windows Server 2012에서 클레임 유형은 연결된 개체에 대한 어설션입니다. 클레임 유형은 Active Directory에서 포리스트별로 정의됩니다. 보안 주체가 트러스트된 포리스트의 리소스에 액세스하기 위해 트러스트 경계를 트래버스해야 하는 시나리오가 많이 있습니다.Windows Server 2012의 포리스트 간 클레임 변환을 사용하면 트러스팅 포리스트와 트러스트된 포리스트에서 클레임이 인식 및 허용되도록 포리스트를 트래버스하는 송신 및 수신 클레임을 변환할 수 있습니다. 클레임 변환에 대한 몇 가지 실제 시나리오는 다음과 같습니다.

• 트러스팅 포리스트는 특정 값으로 들어오는 클레임을 필터링하여 권한 상승에 대한 보호 기능으로 클레임 변환을 사용할 수 있습니다.

  또한 트러스팅 포리스트는 트러스트된 포리스트가 클레임을 지원 또는 발급하지 않는 경우 트러스트 경계를 넘어서 들어오는 보안 주체에 대한 클레임을 발급할 수 있습니다.

• 트러스트된 포리스트는 특정 클레임 유형 및 특정 값을 가진 클레임이 트러스팅 포리스트로 나가지 않도록 차단하기 위해 클레임 변환을 사용할 수 있습니다.

• 클레임 변환을 사용하여 트러스팅 포리스트와 트러스트된 포리스트 간에 다양한 클레임 유형을 매핑할 수도 있습니다. 이 기능을 통해 클레임 유형, 클레임 값 또는 둘 다를 일반화할 수 있습니다. 이렇게 하지 않으면 먼저 포리스트 간에 데이터를 표준화해야 클레임을 사용할 수 있습니다. 트러스팅 포리스트와 트러스트된 포리스트 간에 클레임을 일반화하면 IT 비용이 절감됩니다.

클레임 변환 규칙

변환 규칙 언어 구문은 단일 규칙을 일련의 조건문과 발급 문의 두 주요 부분으로 나눕니다. 각 조건문에는 클레임 식별자와 조건의 두 하위 구성 요소가 있습니다. 발급 문에는 키워드, 구분 기호 및 발급 식이 포함됩니다. 필요에 따라 조건문은 일치된 입력 클레임을 나타내는 클레임 식별자 변수로 시작합니다. 조건은 식을 확인합니다. 입력 클레임이 조건과 일치하지 않으면 변환 엔진이 발급 문을 무시하고 변환 규칙에 대해 다음 입력 클레임을 평가합니다. 모든 조건이 입력 클레임과 일치하면 발급 문을 처리합니다.

클레임 규칙 언어에 대한 자세한 내용은 클레임 변환 규칙 언어를 참조하세요.

포리스트에 클레임 변환 정책 연결

클레임 변환 정책 설정에 관련된 클레임 정책 개체 변환 및 변형 링크라는 두 구성 요소가 있습니다. 정책 개체는 포리스트의 구성 명명 컨텍스트에 있으며 클레임에 대한 매핑 정보를 포함합니다. 링크는 매핑이 적용되는 트러스팅 포리스트와 트러스트된 포리스트를 지정합니다.

변환 정책 개체를 연결하는 기초가 되기 때문에 포리스트가 트러스팅 포리스트인지 또는 트러스트된 포리스트인지 파악하는 것이 중요합니다. 예를 들어 트러스트된 포리스트는 액세스 권한이 필요한 사용자 계정을 포함하는 포리스트입니다. 트러스팅 포리스트는 사용자에게 액세스 권한을 부여하려는 리소스를 포함하는 포리스트입니다. 클레임은 액세스 권한이 필요한 보안 주체와 동일한 방향으로 이동합니다. 예를 들어 contoso.com 포리스트에서 adatum.com 포리스트로의 단방향 트러스트가 있는 경우 클레임이 adatum.com에서 contoso.com으로 이동하며, adatum.com의 사용자가 contoso.com의 리소스에 액세스할 수 있습니다.

기본적으로 트러스트된 포리스트는 나가는 클레임을 모두 허용하고 트러스팅 포리스트는 수신되는 들어오는 클레임을 모두 삭제합니다.

이 시나리오의 내용

이 시나리오에 대해 제공되는 지침은 다음과 같습니다.

• (데모 단계) 포리스트 간 클레임 배포

• 클레임 변환 규칙 언어

이 시나리오에 포함된 역할 및 기능

다음 표에는 이 시나리오에 포함된 역할 및 기능이 나열되어 있으며, 이러한 역할 및 기능이 시나리오를 지원하는 방법에 대한 설명이 나와 있습니다.