ADFS 개념

ADFS (Active Directory Federation Service)

사용자 계정 및 응용 프로그램이 완전히 다른 네트워크나 조직에 있는 경우에도 하나 이상의 보호된 인터넷 연결 응용 프로그램에 대한 완벽한 "단일 프롬프트" 액세스를 가진 브라우저 기반 클라이언트(네트워크 내부 또는 외부)를 제공하는 ID 액세스 솔루션 이다

응용 프로그램이 한 네트워크에 있고 사용자 계정이 다른 네트워크에 있을 경우 일반적으로 사용자가 응용 프로그램에 액세스하려고 할 때 보조 자격 증명을 묻는 메시지가 표시 됩니다.

이러한 보조 자격 증명은 응용 프로그램이 상주하는 영역의 사용자 ID를 나타냅니다. 일반적으로 응용 프로그램을 호스팅하는 웹 서버에서 가장 적절한 권한 부여 결정을 내리는데 이러한 자격증명이 필요하다.

쉽게 말하자면 ADFS는 Office 365, 클라우드 기반 SaaS Application, 내부의 Network, 내부의 Application의 다양한 엑세스 제어 및 Single Sign On (SSO) 를 제공합니다.

[ADFS 역할 서비스]

: 페더레이션 서비스, 프록시 서비스 및 웹 에이전트 서비스가 포함

웹 SSO를 사용하고 웹기반 리소스를 페더레이션 하며 액세스 환경을 사용자 지정하고 응용 프로그램에 액세스하는 권한을 기존 사용자에게 부여하는 방법을 관리하기 위해 이러한 서비스를 구성

 

[페더레이션 서비스]

: 공통된 트러스트 정책을 공유하는 하나 이상의 페더레이션 서버로 구성 됨. 페더레이션 서버를 사용하여 다른 조직의 사용자 계정이나 인터넷의 임의 위치에 있는 클라이언트의 인증요청을 라우팅합니다.

 

[페더레이션 서비스 프록시]

: 경계 네트워크에 있는 페더레이션 서비스에 대한 프록시 입니다.

WS-FPRP(WS-Federation Passive Requester Profile) 프로토콜을 사용하여 브라우저 클라이언트로부터 사용자 자격증명 정보를 수집하고 브라우저 클라이언트를 대신하여 페더레이션 서비스에 사용자 자격증명을 보냄

 

[클레임 인식 에이전트]

: ADFS 보안 토큰 클레임의 쿼리를 허용하기 위해 클레임 인식 응용 프로그램을 호스팅하는 웹 서버에서 클레임 인식 에이전트를 사용합니다. 클레임 인식 응용 프로그램은 권한 부여 결정을 내리고 응용 프로그램을 개인 설정하기 위해 ADFS 보안 토큰에 존재하는 클레임을 사용하는 Microsoft ASP.NET 응용 프로그램입니다.

 

[Windows 토큰 기반 에이전트]

: ADFS 보안 토큰에서 가장 수준 Windows NT 액세스 토큰으로의 변환을 지원하기 위해 Windows NT 토큰 기반 응용 프로그램을 호스트하는 웹 서버에서 Windows 토큰 기반 에이전트를 사용합니다. Windows NT 토큰 기반 응용 프로그램은 Windows 기반 권한 부여 메커니즘을 사용하는 응용 프로그램입니다.