[Active Directory] AD FS

※ AD FS에서 SSO를 사용하기 때문에 SSO에 대해서도 간단하게 알아보고 넘어갑시다!

 

* SSO(Single Sign-On)

- 여러 개의 사이트에서 한 번의 로그인으로 여러 가지 다른 사이트들을 자동적으로 접속하여 이용하는 방법

- 서로 다른 시스템 및 사이트에서 각각의 사용자 정보를 관리하게 되는데, 필요에 따라서 사용자 정보를 연동하여 사용해야 하는 경우도 생기게 된다. 이때, 하나의 사용자 정보를 기반으로 여러 시스템을 하나의 통합 인증을 사용하게 하는 것을 말한다.

이미지 출처 : https://qualifio.com/blog/en/4-reasons-connect-sso-qualifio/

- 하나의 아이디 및 패스워드를 통해 여러 시스템에 접근할 수 있는 통합 로그인(인증) 솔루션이다.

 

* 일상 속의 SSO

- 실제로 SSO 절차는 생각보다 일반적이다. Google계정을 사용하여 YouTube 또는 Gmail등에 액세스 한 적이 있다면 SSO 기술을 경험한 것이다.

 

* SSO 등장 배경

- 최근 회사들이 그룹화되거나 대형화가 되어서 여러 사이트들을 통합 관리하는 경우 SSO를 사용한다. 이때, 통합 인증 SSO를 사용하게 되면, 관리자는 보다 수월하게 관리 대상(사용자 및 고객)을 관리할 수 있게 된다.

- 기술적 측면 : 기업 내 다양한 정보 시스템의 구축에 따른 복잡성 증가, PKI, 생체 인식 등 다양한 인증 기술의 활성화

- 관리적 측면 : 중앙 관리를 통한 업무 단순화 및 표준화 실현, 중앙 집중적인 사용자 관리를 통한 보안 기능 강화

 

* SSO의 기술 요소

- 인증 : PKI(Public Key Infra structure), 생체인식, OTP(One Time Password)

- 관리 : LDAP(Lightweight Directory Access Protocol), 쿠키(Cookie)

- 암호화 통신 : SSL(Secure Socket Layer), IPSec(IP Security Protocol)

 

* Domain Trust

위의 사진의 토폴로지에서 Domain Trust는 kite.org도메인의 사용자가 ktrain.org도메인에 있는 서비스를 이용하고 싶을 때 사용한다. kite.org와 ktrain.org가 서로 트러스트 관계를 맺으면 kite.org의 사용자가 ktrain.org의 서비스를 이용할 수 있게 되는 것이다. 하지만 kite.org도메인과 ktrain.org도메인이 서로 자원을 공유하려면 트러스트를 맺으면 되지만, 도메인에 가입되지 않은 외부 사용자는 AD내부의 자원을 이용할 수 없다.

 

* AD FS(Active Directory Federation Service)

이미지 출처 : https://searchwindowsserver.techtarget.com/tip/Set-up-an-ADFS-server-to-manage-Office-365-identities

AD FS는 사용자 계정과 응용 프로그램이 완전히 다른 네트워크(외부) 또는 조직(내부)에 있는 경우에도 응용 프로그램 또는 서비스에 대한 원활한 SSO 액세스를 클라이언트 컴퓨터(네트워크 내부 또는 외부)에 제공하는  ID 액세스 설루션이다.

 

예를 들어 외부에서 AD안에 있는 리소스를 이용하고 싶다고 가정해보자. 외부 사용자라면 AD구성원이 아니라 AD의 리소스를 사용할 수가 없다. 그때 AD FS에서 제공해주는 웹사이트 ex) https://adfs.hajin.com에 접속을 한 후 SSO를 통해 AD안에 있는 리소스를 이용할 수 있게 한다. AD FS는 두 단계의 로그인을 하기 때문에 Trust보다 보안성이 좀 더 높다.

 

* AD FS Proxy

- 외부 사용자를 인증과 통과 두 가지 방식을 이용해 AD 내부 서비스에 접속할 수 있게 해 준다.

- 인증은 사용자 인증을 사용해서 인증에 성공하면 벡 엔드 서버로 보낸다. 

- 통과는 다른 인증 없이 모든 요청을 백 엔드 서버로 보낸다.

- AD FS Proxy에 대한 더 자세한 내용은 여기에서 확인하실 수 있습니다!

 

* AD FS를 사용하는 이유

- Trust : 실무에서 구축하기 힘들고 보안이 취약하다. 또 CRL처럼 필요하지 않은 정보까지 같이 전송한다.

- AD FS : 트러스트에 비해 구축하기 쉽고 DB에서 필요한 정보만 전송한다.