계정 파트너에서 페더레이션 서버 프록시의 역할 검토
AD FS(Active Directory Federation Services)의 계정 파트너 조직의 경계 네트워크에 있는 페더레이션 서버의 주 역할은 인터넷을 통해 로그온하는 클라이언트 컴퓨터에서 인증 자격 증명을 수집하고 해당 자격 증명을 계정 파트너 조직의 회사 네트워크 내부에 위치한 에 전달하는 것입니다. 클라이언트 컴퓨터용 계정은 계정 파트너의 특성 저장소에 저장됩니다.
페더레이션 서버 프록시는 또한 계정 파트너 조직의 요구 사항을 충족하기 위해 구성하는 방법에 따라 다음 역할 중 하나 이상으로 사용할 수 있습니다.
보안 토큰 릴레이 - 페더레이션 서버는 페더레이션 서버 프록시에 보안 토큰을 발급하고, 페더레이션 서버 프록시는 토큰을 클라이언트 컴퓨터로 릴레이합니다. 보안 토큰은 해당 클라이언트 컴퓨터에 특정 신뢰 당사자에 대한 액세스 권한을 제공하기 위해 사용됩니다.
자격 증명 수집 - 페더레이션 서버 프록시는 양식 기반 인증을 통해 암호 기반 자격 증명을 수집하기 위해 기본 클라이언트 로그온 웹 양식(clientlogon.aspx)을 사용합니다. 그러나 SSL(Secure Sockets Layer) 클라이언트 인증과 같은 다른 지원된 인증 형식을 허용하도록 이 양식을 사용자 지정할 수 있습니다. 이 페이지를 사용자 지정하는 방법에 대한 자세한 내용은 클라이언트 로그온 및 홈 영역 검색 페이지 사용자 지정(http://go.microsoft.com/fwlink/?LinkId=104275)을 참조하세요. 페더레이션 서버 프록시는 Windows 통합 인증을 통한 자격 증명을 수락하지 않습니다.
요약하면 계정 파트너의 페더레이션 서버 프록시는 회사 네트워크에 위치한 페더레이션 서버에 클라이언트 로그온을 위한 프록시 역할을 합니다. 또한 페더레이션 서버 프록시는 신뢰 당사자에게 사용되는 인터넷 클라이언트에 대한 보안 토큰의 배포를 용이하게 합니다.
주의
계정 파트너 엑스트라넷상에 페더레이션 서버 프록시가 노출되면 누구나 인터넷 액세스로 클라이언트 로그온 웹 양식에 액세스할 수 있게 합니다. 이는 잠재적으로 조직을 회사 AD DS(Active Directory 도메인 서비스)에 저장된 사용자 계정에 대한 계정 잠금을 트리거할 수 있는 사전 공격 또는 무차별 암호 대입 공격과 같은 일부 암호 기반 공격에 취약한 상태로 만들 수 있습니다.