[Active Directory] AD FS 용어

계정 파트너는 리소스 파트너의 환경에 있는 리소스에 접근하는 사용자 계정이 사용하는 보안 토큰을 발급하는 조직으로 정의할 수 있다. 계정 파트너의 역할은 사용자 계정을 저장, 인증하고, 사용자 클레임을 만들며, 응용 프로그램과 서비스에 인증하기 위한 리소스 파트너가 사용하는 보안 토큰을 클레임에 넣는 것이다. 계정 파트너와 리소스 파트너는 페더레이션 트러스트 관계에서 SSO 기능을 제공하기 위해 함께 동작한다.

 

AD FS 구성 데이터베이스는 단일 AD FS 인스턴스 또는 페더레이션 서비스를 표현하기 위한 모든 구성 데이터를 저장하는 데 사용된다. 개별 페더레이션에는 서버 팜을 위한 AD FS 구성 데이터베이스가 있다. AD FS에서는 WID(Windows Internal Database) 또는 MS SQL 서버를 사용할 수 있는 옵션을 제공한다. 이 둘을 동시에 실행할 수 없다. SQL은 확장성이 있는 반면 WID는 페더레이션 서버 팜당 5개의 WID 서버 제한이 있다.

 

속성 저장소는 클라이언트에 대한 속성을 저장하는 데이터베이스 또는 디렉터리 서비스로 정의할 수 있다. 클라이언트에 대한 클레임을 발급할 때 이 속성을 사용할 수 있다. 대부분의 경우 AD와 SQL 서버가 속성 저장소로 사용된다. 사용자 정의 연결 문자열과 같은 추가 구성을 하면 사용자 정의 속성을 만들거나 사용할 수 있다.

 

클레임은 자기 자신을 기술하거나 다른 개체를 기술한다. 예를 들어 클레임에 이름, 전자 메일, 그룹, 권한 등을 기술할 수 있다. 클레임은 계정 파트너와 리소스 파트너 사이에서 조직과 서비스를 자유롭게 사용할 수 있도록 사용자 계정에 대한 SSO를 제공하기 위해 발급되고 사용된다. 클레임은 공유되는 응용 프로그램에서 인증과 권한 처리를 위해 사용된다. 클레임은 사용자의 이름과 역할과 같은 사용자 계정에 대한 속성 그룹을 구분한다. 계정 파트너는 보안 토큰에 클레임을 넣고 이 토큰을 리소스 파트너가 갖고 있는 응용 프로그램과 서비스에 사용자 인증을 위해 리소스 파트너에게 보낸다.

 

페더레이션 메타데이터는 릴레이 파티와 클레임 제공자 사이에서 구성 정보를 교환하는 데 사용되는 데이터 형식이다. 또한 클레임 제공자와 릴레이 파티 사이에서 트러스트를 만드는 데 사용된다. 페더레이션 트러스트는 사용자 계정으로 조직, 응용 프로그램, 서비스를 자유롭게 접근하는 데 사용된다.

 

페더레이션 서버는 AD FS 역할 서비스를 위해 만들고 구성하는 서버다. 페더레이션 서버는 인증 요청을 라우팅하고 트러스트 된 조직과 서비스 간의 사용자 계정에 대한 보안 토큰을 저장하는 데 사용된다. 페더레이션 서버의 역할은 페더레이션 서비스를 인증하는 데 사용되는 사용자 계정에 대한 보안 토큰을 만들고 발급하는 것이다.

 

페더레이션 서버 팜 다수의 페더레이션 서버를 같은 네트워크에서 하나의 페더레이션 서비스처럼 사용한다면 이 서버들을 합쳐 ‘페더레이션 서버 팜’이라고 한다. 팜은 페더레이션 서버, 프록시, AD FS 웹 에이전트와 같은 다양한 장치들로 구성될 수 있다.

 

페더레이션 서버 프록시는 회사 네트워크 외부에 위치하면서 인터넷에 있는 클라이언트와 회사 네트워크 사이에 프록시 서비스를 제공하는 페더레이션 서버를 말한다. 스마트폰, 집에 있는 컴퓨터, 인터넷 키오스크 등으로 클라우드 서비스에 원격으로 접속하기 위해서는 인터넷과 회사 네트워크 사이에서 중개자 역할을 하는 페더레이션 서버 프록시를 구축해야 한다.

 

네트워크 로드 밸런서 페더레이션 서버 팜에서 여러 대의 페더레이션 서버가 실행될 때 서버들의 부하를 분산하기 위해 네트워크 로드 밸런서(Network Load Balancer, NLB)가 필요하다. NLB는 스위치와 같은 장비를 사용할 수도 있고, Windows Server에서 제공되는 NLB 소프트웨어를 사용할 수도 있다. AD FS 환경에 로드 밸런서를 추가하면 내결함성이나 고가용성과 같은 장점이 추가된다.

 

신뢰 당사자는 계정 제공자에서 발급하는 클레임을 사용하는 조직이나 응용 프로그램, 서비스다. 파트너 조직이나 오피스 365와 같은 클라우드 서비스가 신뢰 당사자의 좋은 예제다.

 

신뢰 당사자 트러스트는 페더레이션 서비스 간에 만든 트러스트다. AD 포리스트 트러스트와 매우 비슷하게 신뢰 당사자 트러스트는 사용자 계정이 응용 프로그램과 서비스 간에 안전하게 인증할 수 있도록 보안 터널을 제공한다. AD 포리스트 트러스트와 페더레이션 트러스트는 서로 다르게 동작하는 점에 주의하자.

 

리소스 파트너는 계정 파트너와 함께 페더레이션 트러스트 관계에 있는 조직이다. 리소스 파트너의 역할은 계정 파트너의 사용자가 SSO를 통해 접근할 수 있는 응용 프로그램이나 서비스를 갖고 있는 것이다. 리소스 파트너는 계정 파트너가 보내는 보안 토큰을 확인하고 사용자 계정이 응용 프로그램이나 서비스에 접근할 수 있는지를 결정한다.