페더레이션 서버 프록시를 배치하는 위치

  • 아티클

AD FS(Active Directory Federation Services) 페더레이션 서버 프록시를 경계 네트워크에 배치하여 인터넷에서 들어오는 악의적인 사용자에 대해 보호 계층을 제공할 수 있습니다. 페더레이션 서버 프록시는 토큰을 만드는 데 사용되는 프라이빗 키에 액세스할 수 없으므로 경계 네트워크 환경에 적합합니다. 그러나 페더레이션 서버 프록시는 들어오는 요청을 이러한 토큰의 생성 권한이 있는 페더레이션 서버로 효율적으로 라우팅할 수 있습니다.

회사 네트워크에 연결된 클라이언트 컴퓨터가 페더레이션 서버와 직접 통신할 수 있으므로 회사 네트워크 내부에 계정 파트너 또는 리소스 파트너에 대한 페더레이션 서버 프록시를 배치할 필요가 없습니다. 이 시나리오에서 페더레이션 서버는 회사 네트워크에서 들어오는 클라이언트 컴퓨터에 대해 페더레이션 서버 프록시 기능도 제공합니다.

경계 네트워크에서 일반적인 경우처럼 인트라넷 연결 방화벽은 경계 네트워크와 회사 네트워크 간에 설정되고 인터넷 연결 방화벽은 대체로 경계 네트워크와 인터넷 간에 설정됩니다. 이 시나리오에서 페더레이션 서버 프록시는 경계 네트워크에서 이러한 두 방화벽 사이에 배치됩니다.

페더레이션 서버 프록시에 대한 방화벽 서버 구성

페더레이션 서버 프록시 리디렉션 프로세스가 성공하려면 HTTPS(Secure Hypertext Transfer Protocol) 트래픽을 허용하도록 모든 방화벽 서버를 구성해야 합니다. 방화벽 서버는 경계 네트워크의 페더레이션 서버 프록시가 회사 네트워크의 페더레이션 서버에 액세스할 수 있도록 포트 443을 사용하여 페더레이션 서버 프록시를 게시해야 하므로 HTTPS를 사용해야 합니다.

참고 항목

클라이언트 컴퓨터와의 모든 통신도 HTTPS를 통해 발생합니다.

또한 Microsoft ISA(Internet Security and Acceleration) 서버를 실행하는 서버와 같은 인터넷 연결 방화벽 서버는 서버 게시라고 알려진 프로세스를 사용하여 인터넷 클라이언트 요청을 해당 경계 및 회사 네트워크 서버(예: 페더레이션 서버 프록시 또는 페더레이션 서버)에 분산합니다.

서버 게시 규칙은 서버 게시의 작동 방식을 결정하며, 기본적으로 ISA Server 컴퓨터를 통해 들어오고 나가는 모든 요청을 필터링합니다. 서버 게시 규칙은 들어오는 클라이언트 요청을 ISA Server 컴퓨터 뒤의 해당 서버에 매핑합니다. 서버를 게시하도록 ISA Server를 구성하는 방법에 대한 자세한 내용은 보안 웹 게시 규칙 만들기를 참조하세요.

페더레이션된 AD FS 환경에서는 이러한 클라이언트 요청이 일반적으로 특정 URL(예: http://fs.fabrikam.com. 같은 페더레이션 서버 식별자 URL)에 대해 수행됩니다. 이러한 클라이언트 요청은 인터넷을 통해 들어오므로 인터넷 연결 방화벽 서버가 경계 네트워크에 배포된 각 페더레이션 서버 프록시에 대한 페더레이션 서버 식별자 URL을 게시하도록 구성되어야 합니다.

SSL을 허용하도록 ISA Server 구성

안전한 AD FS 통신을 지원하려면 다음 간의 SSL(Secure Sockets Layer) 통신을 허용하도록 ISA Server를 구성해야 합니다.

  • 페더레이션 서버와 페더레이션 서버 프록시. 페더레이션 서버와 페더레이션 서버 프록시 사이의 모든 통신에 SSL 채널이 필요합니다. 따라서 회사 네트워크와 경계 네트워크 간에 SSL 연결을 허용하도록 ISA Server를 구성해야 합니다.

  • 클라이언트 컴퓨터, 페더레이션 서버, 페더레이션 서버 프록시. 클라이언트 컴퓨터와 페더레이션 서버 간 또는 클라이언트 컴퓨터와 페더레이션 서버 프록시 간에 통신이 발생할 수 있도록 페더레이션 서버 또는 페더레이션 서버 프록시 앞에 ISA 서버를 실행하는 컴퓨터를 배치할 수 있습니다.

    조직이 페더레이션 서버 또는 페더레이션 서버 프록시에서 SSL 클라이언트 인증을 수행하는 경우 ISA Server를 실행하는 컴퓨터를 페더레이션 서버나 페더레이션 서버 프록시 앞에 배치하면 SSL 연결이 페더레이션 서버 또는 페더레이션 서버 프록시에서 종료되어야 하므로 SSL 연결의 통과를 위해 서버를 구성해야 합니다.

    조직이 페더레이션 서버 또는 페더레이션 서버 프록시에서 SSL 클라이언트 인증을 수행하지 않는 경우 ISA Server를 실행하는 컴퓨터에서 SSL 연결을 종료한 다음 페더레이션 서버 또는 페더레이션 서버 프록시에 대해 SSL 연결을 다시 설정하는 추가 옵션이 있습니다.

참고 항목

페더레이션 서버 또는 페더레이션 서버 프록시에서는 보안 토큰의 내용을 보호하기 위해 연결을 SSL로 보호해야 합니다.

참고 항목

Windows Server 2012의 AD FS 디자인 가이드