검사 목록: 페더레이션 서버 설정
이 검사 목록에는 AD FS(Active Directory Federation Services)에서 페더레이션 서버 역할에 대한 Windows Server® 2012를 실행하는 서버를 준비하는 데 필요한 배포 작업이 포함됩니다.
참고 항목
이 검사 목록의 작업을 순서대로 완료하세요. 참조 링크가 절차를 안내하는 경우 이 검사 목록의 나머지 작업을 계속 진행하려면 해당 절차의 단계를 완료한 후 이 항목으로 돌아와야 합니다.
검사 목록: 페더레이션 서버 설정
| 작업 | 참조 |
|---|---|
| AD FS 페더레이션 서버 배포를 시작하기 전에 다음을 검토합니다. 1) AD FS 구성 데이터베이스를 저장하기 위해 WID(Windows 내부 데이터베이스) 또는 SQL 서버 중 하나를 선택하는 경우의 장점 및 단점 2) AD FS 배포 토폴로지 유형 및 연결 된 서버 배치와 네트워크 레이아웃 권장 합니다. |  AD FS 배포 토폴로지 결정 |
| 프로덕션 환경에서 사용 해야 하는 페더레이션 서버는 적절 한 수를 확인 하려면 AD FS 용량 계획 지침을 검토 합니다. | 페더레이션 서버 용량 계획 |
| AD FS 디자인 가이드에서 조직의 페더레이션 서버 배치 위치에 대 한 정보를 검토 | 페더레이션 서버 배치 계획 |
| 독립 실행형 페더레이션 서버 또는 페더레이션 서버 팜 중 배포에 더 좋은 항목을 결정합니다. | 페더레이션 서버를 만들어야 하는 경우 |
| 계정 파트너 조직 또는 리소스 파트너 조직에서이 새 페더레이션 서버를 만들 수 있는지 여부를 결정 합니다. | 계정 파트너에서 페더레이션 서버의 역할 검토 |
| 페더레이션 서버에서 서비스 통신 인증서 및 토큰을 사용하는 방법에 대한 정보를 검토하고 토큰 서명 인증서를 안전하게 클라이언트 및 페더레이션 서버 프록시 요청을 인증합니다. 주의: 정규화되지 않은 호스트 이름(예: https://myserver)과 함께 인증서를 사용하는 것은 오래된 관행이지만 이러한 인증서는 보안 가치가 없으므로 공격자가 AD FS 페더레이션 서비스를 엔터프라이즈 클라이언트로 가장할 수 있습니다. 따라서 https://myserver.contoso.com와 같이 FQDN(정규화된 도메인 이름)을 사용하고 페더레이션 서비스의 FQDN에 발급된 SSL 인증서만 사용하는 것이 좋습니다. | 페더레이션 서버에 대한 인증서 요구 사항 |
| 페더레이션 서버에 성공적인 이름 확인이 발생할 수 있도록 회사 네트워크 DNS(도메인 이름 시스템)를 업데이트하는 방법에 대한 정보를 검토합니다. | 페더레이션 서버에 대한 이름 확인 요구 사항 |
| 계정 파트너 포리스트 또는 위치에 사용할 것 또는 포리스트를 신뢰 하는 해당 포리스트의 사용자를 인증 하는 리소스 파트너 포리스트에 도메인에 페더레이션 서버 될 컴퓨터를 가입 합니다. 참고: 계정 파트너 조직의 페더레이션 서버를 설정 하려면 페더레이션 서버를 사용 하는 해당 포리스트 또는 포리스트를 신뢰 하에서 사용자를 인증 하는 위치 포리스트의 모든 도메인에 컴퓨터 가입 먼저 있어야 합니다. |  컴퓨터를 도메인에 조인 |
| 회사 네트워크의 페더레이션 서버 DNS 호스트 이름을 페더레이션 서버의 IP 주소를 가리키는 DNS의 새로운 리소스 레코드를 만듭니다. | 페더레이션 서버에 대한 회사 DNS에 호스트(A) 리소스 레코드 추가 |
| (선택 사항) 페더레이션 서버를 페더레이션 서버 팜에 추가하는 경우 다른 페더레이션 서버에서 동일한 인증서를 내보낼 때 인증서의 파일 형식을 준비하도록 기존 토큰 서명 인증서의 프라이빗 키를 먼저 내보내야할 수 있습니다(팜의 첫 번째 페더레이션 서버에서). 프라이빗 키 내보내기는 발급된 서버 인증 인증서를 여러 컴퓨터에서 내보내기할 필요 없이 재사용할 수 있거나 팜에서 각 페더레이션 서버에 대해 고유한 서버 인증 인증서를 가져오는 경우 필요하지 않습니다. 참고: AD FS 관리 스냅인은 서비스 통신 인증서로 페더레이션 서버에 대한 서버 인증 인증서를 참조합니다. |
서버 인증 인증서의 프라이빗 키 부분 내보내기 |
| CA(인증 기관)에서 서버 인증 인증서(또는 프라이빗 키)를 가져온 후 각 페더레이션 서버에 대해 인증서 파일을 기본 웹 사이트에 가져와야 합니다. 참고: AD FS 페더레이션 서버 구성 마법사를 사용 하기 전에 요구 사항이 기본 웹 사이트에이 인증서를 설치 합니다. | 기본 웹 사이트로 서버 인증 인증서 가져오기 |
| (선택 사항) CA에서 서버 인증 인증서를 가져오는 대신 페더레이션 서버에 대해 샘플 인증서를 만들도록 IIS(인터넷 정보 서비스)를 사용할 수 있습니다. 주의: 자체 서명된 서버 인증 인증서를 사용하여 프로덕션 환경에서 페더레이션 서버를 배포하는 보안 모범 사례가 아닙니다. | IIS: 자체 서명된 서버 인증서를 만든 다음 기본 웹 사이트로 서버 인증 인증서를 가져오기 절차를 완료합니다. |
| 계정 파트너 조직에서 페더레이션 서버 팜 환경을 구성하는 경우 팜이 남아 있으며 이 계정을 사용하도록 팜에서 각 페더레이션 서버를 구성하는 AD DS(Active Directory Domain Services)에서 전담 서비스 계정을 만들어 구성해야 합니다. 이 절차를 수행 하 여 클라이언트에 Windows 통합 인증을 사용 하 여 팜에 페더레이션 서버를 인증 하기 위해 회사 네트워크로 지정 하면 있습니다. | 페더레이션 서버 팜에 대한 서비스 계정을 수동으로구성 |
| 역할을 할 페더레이션 서버 컴퓨터에서 페더레이션 서비스 역할 서비스를 설치 합니다. | 페더레이션 서비스 역할 서비스 설치 |
| AD FS 페더레이션 서버 구성 마법사를 사용 하 여 페더레이션 서버 역할을 하도록 컴퓨터에 AD FS 소프트웨어를 구성 합니다. 독립 실행형 페더레이션 서버를 설정하고, 새 팜에서 먼저 페더레이션 서버를 만들거나 기존 페더레이션 서버 팜에 컴퓨터를 조인하려는 경우 이 절차를 따릅니다. 참고: 페더레이션된 웹 SSO(Single Sign-On) 디자인의 경우 계정 파트너 조직에 1개 이상의 페더레이션 서버와 리소스 파트너 조직에 1개 이상의 페더레이션 서버가 있어야 합니다. |
독립 실행형 페더레이션 서버 만들기 |
| (선택 사항) AD FS 관리 스냅인을 사용하여 디자인을 배포하는 데 필요한 필수 AD FS 인증서를 추가하고 구성합니다. 스냅인을 사용하여 인증서를 추가하거나 변경하는 경우에 대한 자세한 내용은 페더레이션 서버에 대한 인증서 요구 사항을 참조하세요. |  토큰 서명 인증서 추가 |
| 조직에서 첫 번째 페더레이션 서버를 AD FS 디자인에 맞도록 페더레이션 서비스를 구성 합니다. | 검사 목록: 계정 파트너 조직 구성 |
| 클라이언트 컴퓨터에서 페더레이션 서버가 작동 하는지 확인 합니다. | 페더레이션 서버 작동 여부 확인 |