Outlook Web App 및 EAC에서 AD FS 클레임 기반 인증 사용Using AD FS claims-based authentication with Outlook Web App and EAC

적용 대상: Exchange Server 2013 SP1Applies to: Exchange Server 2013 SP1

요약:Summary:

온-프레미스 Exchange 2013 SP1(서비스 팩 1) 배포에서 AD FS(Active Directory Federation Services)를 설치 및 구성하면 이제 AD FS 클레임 기반 인증을 사용하여 Outlook Web App 및 EAC에 연결할 수 있습니다.For on-premises Exchange 2013 Service Pack 1 (SP1) deployments, installing and configuring Active Directory Federation Services (AD FS) means you can now use AD FS claims-based authentication to connect to Outlook Web App and EAC. AD FS 및 클레임 기반 인증을 Exchange 2013 s p 1과 통합할 수 있습니다.You can integrate AD FS and claims-based authentication with Exchange 2013 SP1. 클레임 기반 인증은 다음과 같은 기존 인증 방법 대신 사용할 수 있습니다.Using claims-based authentication replaces traditional authentication methods, including the following:

  • Windows 인증Windows authentication

  • 폼 인증Forms authentication

  • 다이제스트 인증Digest authentication

  • 기본 인증Basic authentication

  • Active Directory 클라이언트 인증서 인증Active Directory client certificate authentication

인증은 사용자의 id를 확인 하는 프로세스입니다.Authentication is the process of confirming the identity of a user. 인증은 사용자가 자신이 주장 하는 사람 인지 확인 합니다.Authentication validates that the user is who he or she claims to be. 클레임 기반 id는 인증의 또 다른 방법입니다.Claims-based identity is another approach to authentication. 클레임 기반 인증은 응용 프로그램의 인증 관리 (이 경우 Outlook Web App 및 EA)를 제거 하 여 인증을 중앙에서 관리 하는 계정을 쉽게 관리할 수 있도록 합니다.Claims-based authentication removes the management of authentication from the application (in this case, Outlook Web App and EA) to make it easier to manage accounts by centralizing authentication. Outlook Web App 및 EAC는 사용자 인증, 사용자 계정 및 암호 저장, 사용자 id 세부 정보 조회 또는 다른 id 시스템과의 통합을 담당 하지 않습니다.Outlook Web App and EAC aren't responsible for authenticating users, storing user accounts and passwords, looking up user identity details, or integrating with other identity systems. 인증을 중앙 집중화 하면 나중에 인증 방법으로 쉽게 업그레이드할 수 있습니다.Centralizing authentication helps make it easier to upgrade to authentication methods in the future.

참고

장치용 OWA에서는 AD FS 클레임 기반 인증을 지원하지 않습니다.OWA for Devices doesn't support AD FS claims-based authentication.

여러 AD FS 버전을 사용할 수 있으며 아래 표에 이러한 버전에 대한 설명이 요약되어 있습니다.There are multiple versions of AD FS that can be used, as summarized by the following table.

Windows Server 버전Windows Server version 설치Installation AD FS 버전AD FS version

Windows Server 2008 R2Windows Server 2008 R2

다운로드 및 설치 AD FS 2.0-추가 기능 Windows 구성 요소입니다.Download and install AD FS 2.0, which is an add-on Windows component.

AD FS 2.0AD FS 2.0

Windows Server 2012Windows Server 2012

기본 제공 AD FS 서버 역할을 설치합니다.Install the built-in AD FS server role.

AD FS 2.1AD FS 2.1

Windows Server 2012 R2Windows Server 2012 R2

기본 제공 AD FS 서버 역할을 설치합니다.Install the built-in AD FS server role.

AD FS 3.0AD FS 3.0

여기서 수행하는 작업은 AD FS 역할 서비스가 포함된 Windows Server 2012 R2를 기준으로 합니다.The tasks that you will perform here are based on Windows Server 2012 R2 that includes the AD FS role service.

필수 단계 개요Overview of the required steps

Step 1 - Review the certificate requirements for AD FSStep 1 - Review the certificate requirements for AD FS

Step 2 - Install and configure Active Directory Federation Services (AD FS)Step 2 - Install and configure Active Directory Federation Services (AD FS)

3 단계-Outlook Web App 및 EAC에 대 한 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙을 만듭니다.Step 3 - Create a relying party trust and custom claim rules for Outlook Web App and EAC

4 단계-웹 응용 프로그램 프록시 역할 서비스 설치 (선택 사항)Step 4 - Install the Web Application Proxy role service (optional)

5 단계-웹 응용 프로그램 프록시 역할 서비스 구성 (선택 사항)Step 5 - Configure the Web Application Proxy role service (optional)

6 단계-웹 응용 프로그램 프록시를 사용 하 여 Outlook Web App 및 EAC 게시 (선택 사항)Step 6 - Publish Outlook Web App and EAC using Web Application Proxy (optional)

7 단계-AD FS 인증을 사용 하도록 Exchange 2013 구성Step 7 - Configure Exchange 2013 to use AD FS authentication

8 단계-OWA 및 ECP 가상 디렉터리에서 AD FS 인증을 사용 하도록 설정Step 8 - Enable AD FS authentication on the OWA and ECP virtual directories

9 단계-IIS (인터넷 정보 서비스) 다시 시작 또는 재활용Step 9 - Restart or recycle Internet Information Services (IIS)

10 단계-Outlook Web App 및 EAC에 대 한 AD FS 클레임 테스트Step 10 - Test the AD FS claims for Outlook Web App and EAC

Additional information you might want to knowAdditional information you might want to know

시작하기 전에 알아두어야 할 사항What do I need to know before I begin?

  • 최소한 개별 Windows Server 2012 R2 서버를 설치해야 합니다. 서버 중 하나는 AD DS(Active Directory 도메인 서비스), Exchange 2013 서버, 웹 응용 프로그램 프록시 서버 및 AD FS(Active Directory Federation Services) 서버를 사용하는 도메인 컨트롤러로 설치합니다. 모든 업데이트가 설치되어 있는지 확인합니다.At a minimum, you need to install separate Windows Server 2012 R2 servers: one as a domain controller that uses Active Directory Domain Services (AD DS), an Exchange 2013 server, a Web Application Proxy server, and an Active Directory Federation Services (AD FS) server. Verify that all updates are installed.

  • 조직에서 적절한 수의 Windows Server 2012 R2 서버에 AD DS를 설치합니다. **Server Manager******>의 알림을 사용하여 이 서버를 도메인 컨트롤러로 승격할 수도 있습니다.Install AD DS on the appropriate number of Windows Server 2012 R2 servers in your organization. You can also use Notifications in Server Manager > Dashboard to Promote this server to a domain controller.

  • 조직에 적합한 수의 클라이언트 액세스 서버 및 사서함 서버를 설치합니다. 조직의 모든 Exchange 2013 서버에 SP1을 포함한 모든 업데이트가 설치되어 있는지 확인합니다. SP1을 다운로드하려면 Exchange 2013용 업데이트를 참조하세요.Install the appropriate number of Client Access and Mailbox servers for your organization. Verify that all updates are installed, including SP1, on all Exchange 2013 servers in your organization. To download SP1, see Updates for Exchange 2013.

  • 서버에서 웹 응용 프로그램 프록시를 배포하려면 로컬 관리자 권한이 필요합니다. 조직에서 Windows Server 2012 R2를 실행 중인 서버에 AD FS를 배포해야 웹 응용 프로그램 프록시를 배포할 수 있습니다.Deploying Web Application Proxy on a server requires local administrator permissions. You must deploy AD FS on a server running Windows Server 2012 R2 in your organization before you can deploy Web Application Proxy.

  • Windows Server 2012 R2에서 AD FS 역할을 설치 및 구성하고 신뢰 당사자 트러스트 및 클레임 규칙을 만듭니다. 이 작업을 수행하려면 Domain Admins, Enterprise Admins 또는 로컬 Administrators 그룹 구성원인 사용자 계정으로 로그인해야 합니다.Install and configure the AD FS role and create relying party trusts and claim rules on Windows Server 2012 R2. To do this, you need to log on with a user account that is a member of the Domain Admins, Enterprise Admins, or local Administrators group.

  • 기능 사용 권한 을 확인하여 Exchange 2013에 필요한 사용 권한을 결정합니다.Determine the required permissions for Exchange 2013 by seeing Feature permissions.

  • Outlook Web App을 관리하는 데 필요한 사용 권한을 할당받아야 합니다.You need to be assigned permissions for managing Outlook Web App. 필요한 사용 권한을 확인 하려면 클라이언트 및 모바일 장치 사용 권한 항목의 "Outlook Web App 사용 권한" 항목을 참조 하십시오.To see what permissions you need, see the "Outlook Web App permissions" entry in the Clients and mobile devices permissions topic.

  • EAC를 관리하는 데 필요한 사용 권한을 할당받아야 합니다.You need to be assigned permissions for managing EAC. 필요한 사용 권한을 확인 하려면 exchange 및 셸 인프라 사용 권한 항목의 "exchange 관리 센터 연결" 항목을 참조 하십시오.To see what permissions you need, see the "Exchange admin center connectivity" entry in the Exchange and Shell infrastructure permissions topic.

  • 일부 절차를 수행하려면 셸만 사용해야 할 수 있습니다. 온-프레미스 Exchange 조직에서 셸을 여는 방법을 확인하려면 Open the Shell를 참조하세요.You might be able to use only the Shell to perform some procedures. To learn how to open the Shell in your on-premises Exchange organization, see Open the Shell.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

문제가 있습니까?Having problems? Exchange 포럼에서 도움을 요청하세요.Ask for help in the Exchange forums. Exchange Server에서 포럼을 방문 합니다.Visit the forums at Exchange Server.

Step 1 - Review the certificate requirements for AD FSStep 1 - Review the certificate requirements for AD FS

인증서는 Exchange 2013 SP1 서버, Outlook Web App 등의 웹 클라이언트와 EAC, Windows Server 2012 R2 서버(AD FS(Active Directory Federation Services) 서버 및 웹 응용 프로그램 프록시 서버 포함) 간의 통신을 보호하는 데 핵심적인 역할을 합니다. 인증서의 요구 사항은 설정 중인 항목(AD FS 서버, AD FS 프록시 또는 웹 응용 프로그램 프록시 서버)에 따라 달라집니다. `SSL 및 토큰 서명 인증서를 비롯하여 AD FS 서비스에 사용되는 인증서는 모든 Exchange, AD FS 및 웹 응용 프로그램 프록시 서버의 신뢰 루트 인증 기관 저장소로 가져와야 합니다. 가져오는 인증서의 지문은 Set-OrganizationConfig cmdlet을 사용할 때 Exchange 2013 SP1 서버에서도 사용됩니다.Certificates play a critical role in securing communications between Exchange 2013 SP1 servers; web clients such as Outlook Web App; and EAC, Windows Server 2012 R2 servers, including Active Directory Federation Services (AD FS) servers and Web Application Proxy servers. The requirements for certificates vary depending on whether you are setting up an AD FS server, AD FS Proxy, or Web Application Proxy server. The certificates that are used for AD FS services including the SSL and token signing certificates must be imported into the Trust Root Certification Authorities store on all of your Exchange, AD FS and Web Application Proxy servers. The thumbprint for the certificate that is imported is also used on the Exchange 2013 SP1 servers when you use the Set-OrganizationConfig cmdlet.

모든 AD FS 디자인에서는 여러 인증서를 사용하여 AD FS 서버와 인터넷의 사용자 간 통신을 보호해야 합니다. 각 페더레이션 서버에는 서비스 통신 인증서 또는 SSL(Secure Sockets Layer) 인증서와 토큰 서명 인증서가 있어야 AD FS 서버, Active Directory 도메인 컨트롤러 및 Exchange 2013 서버가 통신 및 인증을 할 수 있습니다. 보안 및 예산 요구 사항에 따라 공용 CA 또는 엔터프라이즈 CA를 통해 얻을 인증서를 세심하게 고려하세요. 엔터프라이즈 루트 또는 하위 CA를 설치 및 구성하려면 AD CS(Active Directory 인증서 서비스)를 사용하면 됩니다. AD CS에 대한 자세한 내용은Active Directory 인증서 서비스 개요를 참조하세요.In any AD FS design, various certificates must be used to secure communication between users on the Internet and AD FS servers. Each federation server must have a service communication certificate or Secure Socket Layer (SSL) certificate and a token-signing certificate before AD FS servers, Active Directory domain controllers, and Exchange 2013 servers can communicate and authenticate. Depending on your security and budget requirements, carefully consider which of your certificates will be obtained by a public CA or an Enterprise CA. If you want to install and configure an Enterprise Root or Subordinate CA, you can use Active Directory Certificate Services (AD CS). If you want to know more about AD CS, see Active Directory Certificate Services Overview.

AD FS에서는 CA가 인증서를 발급하지 않아도 되지만 SSL 인증서, 즉 기본적으로 서비스 통신 인증서로도 사용되는 SSL 인증서를 AD FS 클라이언트가 신뢰해야 합니다. 자체 서명 인증서는 사용하지 않는 것이 좋습니다. 페더레이션 서버는 SSL 인증서를 사용하여 웹 클라이언트 및 페더레이션 서버 프록시와의 SSL 통신에 대한 웹 서비스 트래픽을 보호합니다. 클라이언트 컴퓨터에서 SSL 인증서를 신뢰해야 하므로 신뢰할 수 있는 CA에서 서명한 인증서를 사용하는 것이 좋습니다. 선택하는 모든 인증서에는 해당 개인 키가 있어야 합니다. 엔터프라이즈 또는 공용 CA에서 인증서를 받은 후에는 모든 서버의 신뢰 루트 인증 기관 저장소로 인증서를 가져왔는지 확인하세요. Certificates MMC 스냅인을 사용하여 인증서를 저장소로 가져오거나 Active Directory 인증서 서비스를 사용하여 인증서를 배포할 수 있습니다. 가져온 인증서가 만료되면 다른 유효한 인증서를 수동으로 가져옵니다.Although AD FS doesn't require certificates be issued by a CA, the SSL certificate (the SSL certificate that is also used by default as the service communications certificate) must be trusted by the AD FS clients. We recommend that you don't use self-signed certificates. Federation servers use an SSL certificate to secure web services traffic for SSL communication with web clients and with federation server proxies. Because the SSL certificate must be trusted by client computers, we recommend that you use a certificate that is signed by a trusted CA. All certificates that you select must have a corresponding private key. After you receive a certificate from a CA (Enterprise or public), make sure that all certificates are imported into the Trust Root Certification Authorities store on all servers. You can import certificates into the store with the Certificates MMC snap-in or distribute the certificates by using Active Directory Certificate Services. It's important that if the certificate that you imported expires, you manually import another valid certificate.

중요

AD FS의 자체 서명된 토큰 서명 인증서를 사용하는 경우에는 모든 Exchange 2013 서버의 신뢰 루트 인증 기관 저장소로 이 인증서를 가져와야 합니다. 자체 서명된 토큰 서명 인증서를 사용하지 않고 웹 응용 프로그램 프록시를 배포하는 경우에는 웹 응용 프로그램 프록시 구성과 모든 AD FS 신뢰 당사자 트러스트에서 공개 키를 업데이트해야 합니다.If you use the self-signed token signing certificate from AD FS, you must import this certificate into the Trust Root Certification Authorities store on all of your Exchange 2013 servers. If the self-signed token signing certificate isn't used and Web Application Proxy is deployed, then you must update the public key in the Web Application Proxy configuration and all AD FS relying party trusts.

Exchange 2013 SP1, AD FS 및 웹 응용 프로그램 프록시를 설정할 때는 다음의 인증서 관련 권장 사항을 따르세요.When you are setting up Exchange 2013 SP1, AD FS, and Web Application Proxy, follow these certificate recommendations:

  • 사서함 서버: 사서함 서버에서 사용 되는 인증서는 자체 서명 된 인증서 이며 Exchange 2013이 설치 될 때 만들어집니다.Mailbox servers: The certificates that are used on the Mailbox servers are self-signed certificates are they are created when Exchange 2013 is installed. 모든 클라이언트는 Exchange 2013 클라이언트 액세스 서버를 통해 Exchange 2013 사서함 서버에 연결하므로 클라이언트 액세스 서버의 인증서만 관리하면 됩니다.Because all clients connect to an Exchange 2013 Mailbox server through an Exchange 2013 Client Access server, the only certificates that you need to manage are those on the Client Access servers.

  • 클라이언트 액세스 서버: 서비스 통신에 사용 되는 SSL 인증서가 필요 합니다.Client Access servers: An SSL certificate used for service communications is required. 신뢰 당사자 트러스트 끝점을 설정하는 데 사용하는 FQDN이 기존 SSL 인증서에 이미 포함되어 있으면 추가 인증서는 필요하지 않습니다.If your existing SSL certificate already includes the FQDN you are using to set up the relying party trust endpoint, no additional certificates are required.

  • AD fs: ad fs에는 다음과 같은 두 가지 유형의 인증서가 필요 합니다.AD FS: Two types of certificates are required by AD FS:

    • 서비스 통신에 사용되는 SSL 인증서SSL certificate used for service communications

      • 주체 이름: adfs.contoso.com(AD FS 배포 이름)Subject name: adfs.contoso.com (AD FS deployment name)

      • SAN(주체 대체 이름): 없음Subject Alternative Name (SAN): None

    • 토큰 서명 인증서Token signing certificate

      • 주체 이름: tokensigning.contoso.comSubject name: tokensigning.contoso.com

      • SAN(주체 대체 이름): 없음Subject Alternative Name (SAN): None

    참고

    AD FS에서 토큰 서명 인증서를 바꿀 때는 새 토큰 서명 인증서를 사용하도록 기존 신뢰 당사자 트러스트를 업데이트해야 합니다.When you are replacing the token signing certificate on AD FS any existing relying party trusts must be updated to use the new token-signing certificate.

  • 웹 응용 프로그램 프록시Web Application Proxy

    - <span data-ttu-id="0d2b8-203">서비스 통신에 사용되는 SSL 인증서</span><span class="sxs-lookup"><span data-stu-id="0d2b8-203">SSL certificate used for service communications</span></span>
    
      - <span data-ttu-id="0d2b8-204">주체 이름: **owa.contoso.com**</span><span class="sxs-lookup"><span data-stu-id="0d2b8-204">Subject name: **owa.contoso.com**</span></span>
    
      - <span data-ttu-id="0d2b8-205">SAN(주체 대체 이름): 없음</span><span class="sxs-lookup"><span data-stu-id="0d2b8-205">Subject Alternative Name (SAN): None</span></span>
    
      > [!NOTE]
      > <span data-ttu-id="0d2b8-206">웹 응용 프로그램 프록시 외부 URL이 내부 URL과 같으면 Exchange의 SSL 인증서를 여기서 다시 사용할 수 있습니다.</span><span class="sxs-lookup"><span data-stu-id="0d2b8-206">If your Web Application Proxy External URL is the same as your internal URL, you can reuse Exchange's SSL certificate here.</span></span>
    
    - <span data-ttu-id="0d2b8-207">AD FS 프록시 SSL 인증서</span><span class="sxs-lookup"><span data-stu-id="0d2b8-207">AD FS Proxy SSL certificate</span></span>
    
      - <span data-ttu-id="0d2b8-208">주체 이름: **adfs.contoso.com**(AD FS 배포 이름)</span><span class="sxs-lookup"><span data-stu-id="0d2b8-208">Subject name: **adfs.contoso.com** (AD FS deployment name)</span></span>
    
      - <span data-ttu-id="0d2b8-209">SAN(주체 대체 이름): 없음</span><span class="sxs-lookup"><span data-stu-id="0d2b8-209">Subject Alternative Name (SAN): None</span></span>
    
    - <span data-ttu-id="0d2b8-p118">토큰 서명 인증서 - 아래 단계의 일부분으로 AD FS에서 자동으로 복사됩니다. 이 인증서를 사용하는 경우 조직의 Exchange 2013 서버에서 인증서를 신뢰해야 합니다.</span><span class="sxs-lookup"><span data-stu-id="0d2b8-p118">Token signing certificate - This will be copied over from AD FS automatically as part of the steps below. If this certificate is used, it must be trusted by the Exchange 2013 servers in your organization.</span></span>
    

인증서에 대한 자세한 내용은 AD FS 배포를 위한 요구 사항 검토의 인증서 요구 사항 섹션을 참조하세요.See the certificate requirements section in Review the requirements for deploying AD FS for more information about certificates.

참고

AD FS용 SSL 인증서가 있어도 Outlook Web App 및 EAC에는 SSL 암호화 인증서가 계속 필요합니다. SSL 인증서는 OWA 및 ECP 가상 디렉터리에서 사용됩니다.An SSL encryption certificate is still needed for Outlook Web App and EAC even if you have an SSL certificate for AD FS. The SSL certificate is used on the OWA and ECP virtual directories.

Step 2 - Install and configure Active Directory Federation Services (AD FS)Step 2 - Install and configure Active Directory Federation Services (AD FS)

Windows Server 2012 R2의 AD FS에서는 간소화된 보안 ID 페더레이션 및 웹 SSO(Single Sign-On) 기능이 제공됩니다. AD FS에는 브라우저 기반 웹 SSO, 다단계 및 클레임 기반 인증을 사용할 수 있도록 하는 페더레이션 서비스가 포함되어 있습니다. AD FS는 클레임 기반 인증 및 액세스 권한 부여 메커니즘을 사용하여 응용 프로그램 보안을 유지함으로써 시스템과 응용 프로그램 액세스를 간소화합니다.AD FS in Windows Server 2012 R2 provides simplified, secured identity federation and web single sign-on (SSO) capabilities. AD FS includes a federation service that enables browser-based web SSO, multifactor, and claims-based authentication. AD FS simplifies access to systems and applications by using a claims-based authentication and access authorization mechanism to maintain application security.

Windows Server 2012 R2에서 AD FS를 설치하려면 다음을 수행합니다.To install AD FS on Windows Server 2012 R2:

  1. 바탕 화면 작업 표시줄의 Server Manager 또는 시작 화면에서 Server Manager를 엽니다. 관리 메뉴에서 역할 및 기능 추가를 클릭합니다.Open Server Manager on the Start screen or Server Manager on the taskbar on the desktop. Click Add Roles and Features on the Manage menu.

  2. 시작하기 전에 페이지에서 다음을 클릭합니다.On the Before You Begin page, click Next.

  3. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 후 다음을 클릭합니다.On the Select Installation Type page, click Role-based or Feature-based installation, and then click Next.

  4. 대상 서버 선택 페이지의 서버 풀에서 서버 선택을 클릭하고 로컬 컴퓨터가 선택되어 있는지 확인한 후에 다음을 클릭합니다.On the Select Destination Server page, click Select a server from the server pool, verify that the local computer is selected, and then click Next.

  5. 서버 역할 선택 페이지에서 Active Directory Federation Services를 클릭하고 다음을 클릭합니다.On the Select Server Roles page, click Active Directory Federation Services, and then click Next.

  6. 기능 선택 페이지에서 다음을 클릭합니다. 필요한 필수 구성 요소 또는 기능은 미리 선택되어 있습니다. 다른 기능은 선택할 필요가 없습니다.On the Select Features page, click Next. The required prerequisites or features are already selected for you. You do not need to select any other features.

  7. AD FS(Active Directory Federation Service) 페이지에서 다음을 클릭합니다.On the Active Directory Federation Service (AD FS) page, click Next.

  8. 설치 선택 확인 페이지에서 필요한 경우 자동으로 대상 서버 다시 시작을 선택한 후 설치를 클릭합니다.On the Confirm Installation Selections page, check Restart the destination server automatically if required, and then click Install.

    참고

    설치 프로세스 중에 마법사를 닫지 마세요.Do not close the wizard during the installation process.

필수 AD FS 서버를 설치하고 필수 인증서를 생성한 후에는 AD FS를 구성하고 AD FS가 정상적으로 작동하는지 테스트해야 합니다. AD FS를 쉽게 설정 및 구성하기 위한 검사 목록: 페더레이션 서버 설정의 검사 목록을 사용할 수도 있습니다.After you install the required AD FS servers and generate the required certificates, you must configure AD FS and then test that AD FS is working correctly. You can also use the checklist here to help you in setting up and configuring AD FS: Checklist: Setting Up a Federation Server.

Active Directory Federation Services를 구성하려면 다음을 수행합니다.To configure Active Directory Federation Services:

  1. 설치 진행률 페이지의 Active Directory Federation Services 아래 창에서 이 서버에 페더레이션 서비스를 구성을 클릭합니다. Active Directory Federation Service 구성 마법사가 열립니다.On the Installation Progress page, in the window under Active Directory Federation Services, click Configure the federation service on this server. The Active Directory Federation Service Configuration Wizard opens.

  2. 시작 페이지에서 페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다. 를 클릭하고 다음을 클릭합니다.On the Welcome page, click Create the first federation server in a federation server farm, and then click Next.

  3. AD DS에 연결 페이지에서 이 컴퓨터가 구독된 올바른 Active Directory 도메인에 대한 도메인 관리자 권한이 있는 계정을 지정하고 다음을 클릭합니다. 다른 사용자를 선택하려면 변경을 클릭합니다.On the Connect to AD DS page, specify an account with domain administrator rights for the correct Active Directory domain that this computer is joined to, and then click Next. If you need to select a different user, click Change.

  4. 서비스 속성 지정 페이지에서 다음 작업을 수행하고 다음을 클릭합니다.On the Specify Service Properties page, do the following, and then click Next:

    • 이전 단계에서 AD CS 또는 공용 CA로부터 얻은 SSL 인증서를 가져옵니다. 이 인증서가 필수 서비스 인증 인증서입니다. SSL 인증서 위치로 이동합니다. SSL 인증서 만들기 및 가져오기에 대한 자세한 내용은 서버 인증서를 참조하세요.Import the SSL certificate that you obtained earlier from AD CS or a public CA. This certificate is the required service authentication certificate. Browse to the location of your SSL certificate. For details on creating and importing SSL certificates, see Server Certificates.

    • 페더레이션 서비스의 이름 (예: adfs.contoso.com형식)을 입력 합니다.Enter a name for your federation service (for example, type adfs.contoso.com).

    • 페더레이션 서비스의 표시 이름을 지정 하려면 조직 이름 (예: Contoso, 대만)을 입력 합니다.To provide a display name for your federation service, type the name of your organization (for example, Contoso, Ltd.).

  5. 서비스 계정 지정 페이지에서 기존 도메인 사용자 계정 또는 그룹 관리 서비스 계정 사용을 선택하고 도메인 컨트롤러를 만들 때 만든 GMSA 계정(FsGmsa)을 지정합니다. 계정 암호를 입력하고 다음을 클릭합니다.On the Specify Service Account page, select Use an existing domain user account or group Managed Service Account, and then specify the GMSA account (FsGmsa) that you created when you created the domain controller. Include the account password, and then click Next.

    참고

    GMSA(전역 관리 서비스 계정)는 도메인 컨트롤러를 구성할 때 만들어야 하는 계정입니다. AD FS 설치 및 구성 중에는 GMSA 계정이 필요합니다. 이 계정을 아직 만들지 않았으면 다음 Windows PowerShell 명령을 실행합니다. 이 명령은 contoso.com 도메인 및 AD FS 서버에 대해 계정을 만듭니다.Globally Managed Service Account (GMSA) is an account that must be created when you configure a domain controller. The GMSA account is required during the AD FS installation and configuration. If you haven't created this account yet, run the following Windows PowerShell command. It creates the account for the contoso.com domain and the AD FS server:

  6. 다음 명령을 실행합니다.Run the following command.

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    
  7. 이 예에서는 adfs.contoso.com 이라는 페더레이션 서비스용 FsGmsa 라는 새 GMSA 계정을 만듭니다.This example creates a new GMSA account named FsGmsa for the Federation Service named adfs.contoso.com. 페더레이션 서비스 이름은 클라이언트에 표시 되는 값입니다.The Federation Service name is the value that's visible to clients.

    New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    
  8. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용하여 이 서버에 데이터베이스를 만듭니다. 를 선택하고 다음을 클릭합니다.On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and then click Next.

  9. 옵션 검토 페이지에서 구성 선택을 확인합니다. 원하는 경우 스크립트 보기 단추를 사용하여 추가 AD FS 설치를 자동화할 수 있습니다. 다음을 클릭합니다.On the Review Options page, verify your configuration selections. You can optionally use the View Script button to automate additional AD FS installations. Click Next.

  10. 필수 구성 요소 확인 페이지에서 모든 필수 구성 요소 확인이 정상적으로 완료되었는지 확인하고 구성을 클릭합니다.On the Prerequisite Checks page, verify that all the prerequisite checks were successfully completed, and then click Configure.

  11. 설치 진행률 페이지에서 모든 항목이 정상적으로 설치되었는지 확인하고 닫기를 클릭합니다.On the Installation progress page, verify that everything installed correctly, and then click Close.

  12. 결과 페이지에서 결과를 검토하여 구성이 정상적으로 완료되었는지 확인한 후에 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭합니다.On the Results page, review the results, check whether the configuration completed successfully, and then click Next steps required for completing your federation service deployment.

다음 Windows PowerShell 명령은 위의 단계와 동일한 작업을 수행 합니다.The following Windows PowerShell commands do the same thing as the preceding steps.

Import-Module ADFS
Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"

자세한 정보와 구문은 Install-AdfsFarm을 참조하세요.For details and syntax, see Install-AdfsFarm.

설치를 확인 하려면 AD FS 서버에서 웹 브라우저를 열고 페더레이션 메타 데이터의 URL (예: https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml)을 찾습니다.To verify the installation: On the AD FS server, open your web browser, and then browse to the URL of the federation metadata (for example, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml).

3 단계-Outlook Web App 및 EAC에 대 한 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙을 만듭니다.Step 3 - Create a relying party trust and custom claim rules for Outlook Web App and EAC

웹 응용 프로그램 프록시를 통해 게시 하려는 모든 응용 프로그램 및 서비스에 대해 AD FS 서버에서 신뢰 당사자 트러스트를 구성 해야 합니다.For all applications and services that you want to publish through Web Application Proxy, you must configure a relying party trust on the AD FS server. 여러 Active Directory 사이트가 서로 다른 네임스페이스를 사용하는 배포의 경우에는 각 네임스페이스에 대해 Outlook Web App 및 EAC용 신뢰 당사자 트러스트를 추가해야 합니다.For deployments with multiple Active Directory sites that use separate namespaces, a relying party trust for Outlook Web App and EAC must be added for each namespace.

EAC는 ECP 가상 디렉터리를 사용합니다.EAC uses the ECP virtual directory. Get-EcpVirtualDirectorySet-EcpVirtualDirectory cmdlet을 사용하여 EAC에 대한 설정을 확인하거나 구성할 수 있습니다.You can view or configure settings for EAC by using the Get-EcpVirtualDirectory and the Set-EcpVirtualDirectory cmdlets. EAC에 액세스 하려면 웹 브라우저를 사용 하 고로 **http://server1.contoso.com/ecp**이동 해야 합니다.To access EAC, you must use a web browser and go to http://server1.contoso.com/ecp.

참고

아래에 표시 된 URL 예제 / 에는 후행 슬래시를 포함 하는 것이 의도적인 것입니다.The inclusion of the trailing slash / in the URL examples shown below is intentional. AD FS 신뢰 당사자 트러스트와 Exchange 대상 그룹 URI를 모두 동일하 게 유지 하는 것이 중요 합니다.It's important to ensure that both the AD FS relying party trusts and Exchange Audience URI's are identical. 즉, AD FS 신뢰 당사자 트러스트 및 Exchange 대상 그룹 URI 둘 다 url에 후행 슬래시를 내보내야 합니다.This means the AD FS relying party trusts and Exchange Audience URI's should both have or both emit the trailing slashes in their URLs. 이 섹션의 예제에는 "owa /" (/owa/) 또는 "ecp" (/ecp/)로 끝나는 모든 url 뒤에 후행이 포함 되어 있습니다.The examples in this section contain the trailing /'s after any url ending with "owa" ( /owa/) or "ecp" (/ecp/).

Outlook Web App의 경우 Windows Server 2012 R2에서 AD FS 관리 스냅인을 사용하여 신뢰 당사자 트러스트를 만들려면 다음을 수행합니다.For Outlook Web App, to create relying party trusts by using the AD FS Management snap-in in Windows Server 2012 R2:

  1. Server Manager에서 도구를 클릭하고 AD FS 관리를 선택합니다.In Server Manager, click Tools, and then select AD FS Management.

  2. AD fs 스냅인\Ad Fs 트러스트 관계에서 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭 하 고 신뢰 당사자 트러스트 추가를 클릭 하 여 신뢰 당사자 트러스트 추가 마법사를 엽니다.In AD FS snap-in, under AD FS\Trust Relationships, right-click Relying Party Trusts, and then click Add Relying Party Trust to open the Add Relying Party Trust wizard.

  3. 시작 페이지에서 시작을 클릭합니다.On the Welcome page, click Start.

  4. 데이터 원본 선택 페이지에서 신뢰 당사자에 대한 데이터를 수동으로 입력을 클릭하고 다음을 클릭합니다.On the Select Data Source page, click Enter data about the relying party manually, and then click Next.

  5. 표시 이름 지정 페이지의 표시 이름 상자에 Outlook Web App을 입력 하 고 메모에이 신뢰 당사자 트러스트에 대 한 설명 (예: **트러스트 https://mail.contoso.com/owa/ **)을 입력 한 후 다음을 클릭 합니다. ** **.On the Specify Display Name page, in the Display Name box, type Outlook Web App, and then under Notes, type a description for this relying party trust (such as This is a trust for https://mail.contoso.com/owa/) and then click Next.

  6. 프로필 선택 페이지에서 AD FS 프로필을 클릭하고 다음을 클릭합니다.On the Choose Profile page, click AD FS profile, and then click Next.

  7. 인증서 구성 페이지에서 다음을 클릭합니다.On the Configure Certificate page, click Next.

  8. URL 구성 페이지에서 ws-federation 수동 프로토콜에 대 한 지원 사용을 클릭 하 고 신뢰 당사자 ws-federation 수동 프로토콜 URL에 **type을 입력 https://mail.contoso.com/owa/ **한 후 다음을 클릭 합니다.On the Configure URL page, click Enable support for the WS-Federation Passive protocol, and then under Relying party WS-Federation Passive protocol URL, type https://mail.contoso.com/owa/, and then click Next.

  9. 식별자 구성 페이지에서 이 신뢰 당사자에 대한 식별자를 하나 이상 지정하고 추가를 클릭하여 식별자를 목록에 추가한 후에 다음을 클릭합니다.On the Configure Identifiers page, specify one or more identifiers for this relying party, click Add to add them to the list, and then click Next.

  10. 지금 다단계 인증을 구성하시겠습니까? 페이지에서 이 신뢰 당사자 트러스트에 대해 다단계 인증 설정 구성을 선택합니다.On the Configure Multi-factor Authentication Now? page, select Configure multi-factor authentication settings for this relying party trust.

  11. 다단계 인증 구성 페이지에서 지금 이 신뢰 당사자 트러스트에 대해 다단계 인증 설정을 구성하지 않음이 선택되어 있는지 확인한 후에 다음을 클릭합니다.On the Configure Multi-factor Authentication page, verify that I do not want to configure multi-factor authentication settings for this relying party trust at this time is selected, and then click Next.

  12. 발급 권한 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 선택한 후 다음을 클릭합니다.On the Choose Issuance Authorization Rules page, select Permit all users to access this relying party, and then click Next.

  13. 트러스트 추가 준비 페이지에서 설정을 검토한 후 다음을 클릭하여 신뢰 당사자 트러스트 정보를 저장합니다.On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information.

  14. 마침 페이지에서 마법사를 닫을 때 이 신뢰 당사자 트러스트에 대한 클레임 규칙 편집 대화 상자 열기가 선택되어 있지 않은지 확인한 후 닫기를 클릭합니다.On the Finish page, verify that Open the Edit Claim Rules dialog for this relying party trust when the wizard closes isn't selected, and then click Close.

EAC에 대해 신뢰 당사자 트러스트를 만들려면 위의 단계를 다시 수행하여 두 번째 신뢰 당사자 트러스트를 만들되 표시 이름으로 Outlook Web App이 아닌 EAC를 입력해야 합니다.To create a relying party trust for EAC, you must do these steps again and create a second relying party trust, but instead of putting in Outlook Web App for the display name, enter EAC. 설명으로는 Exchange 관리 센터에 대 한 트러스트를 입력 하 고, 신뢰 당사자 WS-FEDERATION 수동 프로토콜 URL 은 **https://mail.contoso.com/ecp**입니다.For the description, enter This is a trust for the Exchange admin center, and the Relying party WS-Federation Passive protocol URL is https://mail.contoso.com/ecp.

클레임 기반 ID 모델에서 페더레이션 서비스로서의 AD FS(Active Directory Federation Services) 기능은 클레임 집합이 포함된 토큰을 발급하는 것입니다. 클레임 규칙은 AD FS에서 발급하는 클레임과 관련한 결정을 관리합니다. 클레임 규칙 및 모든 서버 구성 데이터는 AD FS 구성 데이터베이스에 저장됩니다.In a claims-based identity model, the function of Active Directory Federation Services (AD FS) as a federation service is to issue a token that contains a set of claims. Claims rules govern the decisions in regard to claims that AD FS issues. Claim rules and all server configuration data are stored in the AD FS configuration database.

다음과 같은 두 개의 클레임 규칙을 만들어야 합니다.It's required that you create two claim rules:

  • Active Directory 사용자 SIDActive Directory user SID

  • Active Directory UPNActive Directory UPN

필요한 클레임 규칙을 추가 하려면 다음을 수행 합니다.To add the required claims rules:

  1. Server Manager에서 도구를 클릭하고 AD FS 관리를 클릭합니다.In Server Manager, click Tools, and then click AD FS Management.

  2. 콘솔 트리의 \AD FS 트러스트 관계에서 클레임 공급자 트러스트 또는 신뢰 당사자 트러스트를 클릭 한 다음 Outlook Web App에 대 한 신뢰 당사자 트러스트를 클릭 합니다.In the console tree, under AD FS\Trust Relationships, click either Claims Provider Trusts or Relying Party Trusts, and then click the relying party trust for Outlook Web App.

  3. 신뢰 당사자 트러스트 창에서 Outlook Web App 트러스트를 마우스 오른쪽 단추로 클릭한 다음 클레임 규칙 편집을 클릭합니다.In the Relying Party Trusts window, right-click the Outlook Web App trust, and then click Edit Claim Rules.

  4. 클레임 규칙 편집 창의 발급 변환 규칙 탭에서 규칙 추가를 클릭하여 변환 클레임 규칙 추가 마법사를 시작합니다.In the Edit Claim Rules window, on the Issuance Transform Rules tab, click Add Rule to start the Add Transform Claim Rule Wizard.

  5. 규칙 서식 파일 선택 페이지의 클레임 규칙 서식 파일에 있는 목록에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택한 후 다음을 클릭합니다.On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule in the list, and then click Next.

  6. 규칙 구성 페이지의 규칙 유형 선택 단계에서 클레임 규칙 이름 아래에 클레임 규칙의 이름을 입력합니다.On the Configure Rule page, in the Choose Rule Type step, under Claim rule name, enter the name for the claim rule. 클레임 규칙에 대 한 설명이 포함 된 이름을 사용 합니다 (예: ActiveDirectoryUserSID).Use a descriptive name for the claim rule (for example, ActiveDirectoryUserSID). 사용자 지정 규칙에 이 규칙에 대한 다음 클레임 규칙 언어 구문을 입력합니다.Under Custom rule, enter the following claim rule language syntax for this rule:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
    
  7. 규칙 구성 페이지에서 마침을 클릭합니다.On the Configure Rule page, click Finish.

  8. 클레임 규칙 편집 창의 발급 변환 규칙 탭에서 규칙 추가를 클릭하여 변환 클레임 규칙 추가 마법사를 시작합니다.In the Edit Claim Rules window, on the Issuance Transform Rules tab, click Add Rule to start the Add Transform Claim Rule Wizard.

  9. 규칙 서식 파일 선택 페이지의 클레임 규칙 서식 파일에 있는 목록에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택한 후 다음을 클릭합니다.On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule in the list, and then click Next.

  10. 규칙 구성 페이지의 규칙 유형 선택 단계에서 클레임 규칙 이름 아래에 클레임 규칙의 이름을 입력합니다.On the Configure Rule page, on the Choose Rule Type step, under Claim rule name, enter the name for the claim rule. 클레임 규칙에 대 한 설명이 포함 된 이름을 사용 합니다 (예: ActiveDirectoryUPN).Use a descriptive name for the claim rule (for example, ActiveDirectoryUPN). 사용자 지정 규칙에 이 규칙에 대한 다음 클레임 규칙 언어 구문을 입력합니다.Under Custom rule, enter the following claim rule language syntax for this rule:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    
  11. 마침을 클릭합니다.Click Finish.

  12. 클레임 규칙 편집 창에서 적용확인을 차례로 클릭합니다.In the Edit Claim Rules window, click Apply, and then OK.

  13. EAC 신뢰 당사자 트러스트에 대해이 절차의 3-12 단계를 반복 합니다.Repeat steps 3-12 of this procedure for the EAC relying party trust.

또는 Windows PowerShell을 사용 하 여 릴레이 파티 트러스트 및 클레임 규칙을 만들 수 있습니다.Alternatively, you can create relaying party trusts and claim rules by using Windows PowerShell:

  1. .txt 파일 두 개(IssuanceAuthorizationRules.txt 및 IssuanceTransformRules.txt)를 만듭니다.Create the two .txt files IssuanceAuthorizationRules.txt and IssuanceTransformRules.txt.

  2. 파일의 내용을 두 변수로 가져옵니다.Import their content into two variables.

  3. 다음의 두 cmdlet을 실행하여 신뢰 당사자 트러스트를 만듭니다. 이 예에서는 cmdlet을 실행하면 클레임 규칙도 구성됩니다.Run the following two cmdlets to create the relying party trusts. In this example, this will also configure the claim rules.

IssuanceAuthorizationRules.txt에는 다음 내용이 포함되어 있습니다.IssuanceAuthorizationRules.txt contains:

@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

IssuanceTransformRules.txt에는 다음 내용이 포함되어 있습니다.IssuanceTransformRules.txt contains:

@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

다음 명령을 실행합니다.Run the following commands:

[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt

[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt

Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

4 단계-웹 응용 프로그램 프록시 역할 서비스 설치 (선택 사항)Step 4 - Install the Web Application Proxy role service (optional)

참고

4 단계, 5 단계 및 6 단계는 사용자가 웹 응용 프로그램 프록시를 사용 하 여 Exchange OWA 및 ECP를 게시 하 고, 웹 응용 프로그램 프록시가 AD FS 인증을 수행 하려는 사람을 위한 것입니다.Step 4, Step 5, and Step 6 are for users want to publish Exchange OWA and ECP using Web Application Proxy, and who want to have Web Application Proxy perform the AD FS authentication. 그러나 웹 응용 프로그램 프록시를 사용 하 여 Exchange를 게시 해야 하는 것은 아니지만, 웹 응용 프로그램 프록시를 사용할 필요가 없고 Exchange에서 AD FS 인증을 수행 하도록 하려면 7 단계로 건너뛸 수 있습니다.However, publishing Exchange with Web Application Proxy is not required, so you can skip to Step 7 if you don't use Web Application Proxy and you do want Exchange to perform the AD FS authentication itself.

웹 응용 프로그램 프록시는 Windows Server 2012 R2에서 새롭게 제공되는 원격 액세스 역할 서비스로, 회사 네트워크 내부의 웹 응용 프로그램에 대해 역방향 프록시 기능을 제공하여 사용자가 다양한 장치를 통해 회사 네트워크 외부에서도 웹 응용 프로그램에 액세스할 수 있도록 합니다. 웹 응용 프로그램 프록시는 AD FS(Active Directory Federation Services)를 사용하여 웹 응용 프로그램에 대한 액세스를 미리 인증하며 AD FS 프록시로도 사용됩니다. 웹 응용 프로그램 프록시를 반드시 사용해야 하는 것은 아니지만 외부 클라이언트가 AD FS에 액세스할 수 있는 경우에는 사용하는 것이 좋습니다. 그러나 웹 응용 프로그램 프록시를 통해 AD FS 인증을 사용할 때는 Outlook Web App에서 오프라인 액세스가 지원되지 않습니다. 웹 응용 프로그램 프록시와의 통합 방법에 대한 자세한 내용은 내부 응용 프로그램 게시를 위해 웹 응용 프로그램 프록시 설치 및 구성에서 확인할 수 있습니다.Web Application Proxy is a new Remote Access role service in Windows Server 2012 R2. Web Application Proxy provides reverse proxy functionality for web applications inside your corporate network to allow users on many devices to access them from outside the corporate network. Web Application Proxy preauthenticates access to web applications by using Active Directory Federation Services (AD FS) and also functions as an AD FS proxy. Although Web Application Proxy isn't required, it is recommended when AD FS is accessible to external clients. However, offline access in Outlook Web App isn't supported when using AD FS authentication through Web Application Proxy. You can find more information about integrating with Web Application Proxy by seeing Installing and Configuring Web Application Proxy for Publishing Internal Applications

경고

AD FS가 설치되어 있는 것과 같은 서버에는 웹 응용 프로그램 프록시를 설치할 수 없습니다.You can't install Web Application Proxy on the same server with AD FS installed.

웹 응용 프로그램 프록시를 배포하려면 웹 응용 프로그램 프록시 서버로 사용할 서버에 웹 응용 프로그램 프록시 역할 서비스가 포함된 원격 액세스 서버 역할을 설치해야 합니다. 웹 응용 프로그램 프록시 역할 서비스를 설치하려면 다음을 수행합니다.To deploy Web Application Proxy, you must install the Remote Access server role with the Web Application Proxy role service on a server that will act as the Web Application Proxy server. To install the Web Application Proxy role service:

  1. 웹 응용 프로그램 프록시 서버의 Server Manager에서 관리역할 및 기능 추가를 차례로 클릭합니다.On the Web Application Proxy server, in Server Manager, click Manage, and then click Add Roles and Features.

  2. 역할 및 기능 추가 마법사에서 다음을 세 번 클릭하여 서버 역할 페이지로 이동합니다.In the Add Roles and Features Wizard, click Next three times to get to the Server Roles page.

  3. 서버 역할 페이지의 목록에서 원격 액세스를 선택하고 다음을 클릭합니다.On the Server Roles page, select Remote Access in the list, and then click Next.

  4. 기능 페이지에서 다음을 클릭합니다.On the Features page, click Next.

  5. 원격 액세스 페이지에서 정보를 확인하고 다음을 클릭합니다.On the Remote Access page, read the information, and then click Next.

  6. 역할 서비스 페이지에서 웹 응용 프로그램 프록시를 선택합니다. 그런 다음 역할 및 기능 추가 마법사 창에서 기능 추가다음을 차례로 클릭합니다.On the Role Services page, select Web Application Proxy. Then in the Add Roles and Features Wizard window, click Add Features, and then click Next.

  7. 확인 창에서 설치를 클릭합니다. 필요한 경우 자동으로 대상 서버 다시 시작을 선택할 수도 있습니다.In the Confirmation window, click Install. You can also check Restart the destination server automatically if required.

  8. 설치 진행률 대화 상자에서 설치가 정상적으로 수행되었는지 확인한 후 닫기를 클릭합니다.In the Installation progress dialog box, verify that the installation was successful, and then click Close.

다음 Windows PowerShell cmdlet은 위의 단계와 동일한 작업을 수행합니다.The following Windows PowerShell cmdlet does the same thing as the preceding steps.

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

5 단계-웹 응용 프로그램 프록시 역할 서비스 구성 (선택 사항)Step 5 - Configure the Web Application Proxy role service (optional)

AD FS 서버에 연결하도록 웹 응용 프로그램 프록시를 구성해야 합니다. 웹 응용 프로그램 프록시 서버로 배포할 모든 서버에 대해 이 절차를 반복합니다.You must configure Web Application Proxy to connect to the AD FS server. Repeat this procedure for all of the servers that you want to deploy as Web Application Proxy servers.

웹 응용 프로그램 역할 서비스를 구성하려면 다음을 수행합니다.To configure the Web Application role service:

  1. 웹 응용 프로그램 프록시 서버의 Server Manager에서 도구원격 액세스 관리를 차례로 클릭합니다.On the Web Application Proxy server, in Server Manager, click Tools, and then click Remote Access Management.

  2. 구성 창에서 웹 응용 프로그램 프록시를 클릭합니다.In the Configuration pane, click Web Application Proxy.

  3. 원격 액세스 관리 콘솔의 가운데 창에서 웹 응용 프로그램 프록시 구성 마법사 실행을 클릭합니다.In the Remote Access Management console, in the middle pane, click Run the Web Application Proxy Configuration Wizard.

  4. 웹 응용 프로그램 프록시 구성 마법사의 시작 대화 상자에서 다음을 클릭합니다.In the Web Application Proxy Configuration Wizard, in the Welcome dialog box, click Next.

  5. 페더레이션 서버 페이지에서 다음 작업을 수행한 후 다음을 클릭합니다.On the Federation Server page, do the following, and then click Next:

    • 페더레이션 서비스 이름 상자에 AD FS 서버의 FQDN (정규화 된 도메인 이름)을 입력 합니다 (예: adfs.contoso.com).In the Federation service name box, enter the fully qualified domain name (FQDN) of the AD FS server (for example, adfs.contoso.com).

    • 사용자 이름암호 상자에 AD FS 서버의 로컬 관리자 계정 자격 증명을 입력합니다.In the User name and Password boxes, type the credentials of a local administrator account on the AD FS servers.

  6. AD FS 프록시 인증서 대화 상자의 웹 응용 프로그램 프록시 서버에 현재 설치되어 있는 인증서 목록에서 AD FS 프록시 기능을 위해 웹 응용 프로그램 프록시에서 사용하도록 할 인증서를 선택하고 다음을 클릭합니다.In the AD FS Proxy Certificate dialog box, in the list of certificates currently installed on the Web Application Proxy server, select the certificate to be used by Web Application Proxy for AD FS proxy functionality, and then click Next. 여기서 선택 하는 인증서는 해당 주체가 페더레이션 서비스 이름 (예: adfs.contoso.com)입니다.The certificate you choose here should be the one whose subject is the Federation Service name (for example, adfs.contoso.com).

  7. 확인 대화 상자에서 설정을 검토합니다. 필요한 경우 Windows PowerShell cmdlet을 복사하여 추가 설치를 자동화할 수 있습니다. 구성을 클릭합니다.In the Confirmation dialog box, review the settings. If required, you can copy the Windows PowerShell cmdlet to automate additional installations. Click Configure.

  8. 결과 대화 상자에서 구성이 정상적으로 완료되었는지 확인한 후 닫기를 클릭합니다.In the Results dialog box, verify that the configuration was successful, and then click Close.

다음 Windows PowerShell cmdlet은 위의 단계와 동일한 작업을 수행합니다.The following Windows PowerShell cmdlet does the same thing as the preceding steps.

Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com

6 단계-웹 응용 프로그램 프록시를 사용 하 여 Outlook Web App 및 EAC 게시 (선택 사항)Step 6 - Publish Outlook Web App and EAC by using Web Application Proxy (optional)

3 단계에서는 Outlook Web App 및 EAC에 대 한 클레임 릴레이 파티 트러스트를 만들었으므로 이제 이러한 응용 프로그램을 모두 게시 해야 합니다.In step 3, you created claims relaying party trusts for Outlook Web App and EAC, and you now need to publish both of these applications. 그러나이 작업을 수행 하기 전에 해당 항목에 대 한 신뢰 당사자 트러스트가 만들어졌는지 확인 하 고, Outlook Web App 및 EAC에 적합 한 웹 응용 프로그램 프록시 서버에 인증서가 있는지 확인 합니다.But before you do this, verify that a relying party trust for them was created, and verify that you have a certificate on the Web Application Proxy server that is suitable for Outlook Web App and EAC. 웹 응용 프로그램 프록시를 통해 게시 해야 하는 모든 AD FS 끝점에 대해 AD FS 관리 콘솔에서 끝점을 프록시 사용으로 설정 해야 합니다.For all the AD FS endpoints that you require to be published by Web Application Proxy, in the AD FS Management console, you must set the endpoint to be Proxy Enabled.

웹 응용 프로그램 프록시를 사용하여 Outlook Web App을 게시하려면 다음 단계를 수행합니다. EAC에 대해서도 이러한 단계를 반복합니다. EAC를 게시할 때는 이름, 외부 URL, 외부 인증서 및 백 엔드 URL을 변경해야 합니다.Follow the steps to publish Outlook Web App by using Web Application Proxy. For EAC, you repeat these steps. When you publish EAC, you need to change the name, external URL, external certificate, and back-end URL.

웹 응용 프로그램 프록시를 사용하여 Outlook Web App 및 EAC를 게시하려면 다음을 수행합니다.To publish Outlook Web App and EAC by using Web Application Proxy:

  1. 웹 응용 프로그램 프록시 서버의 원격 액세스 관리 콘솔 탐색 창에서 웹 응용 프로그램 프록시를 클릭하고 작업 창에서 게시를 클릭합니다.On the Web Application Proxy server, in the Remote Access Management console, in the Navigation pane, click Web Application Proxy, and then in the Tasks pane, click Publish.

  2. 새 응용 프로그램 게시 마법사의 시작 페이지에서 다음을 클릭합니다.In the Publish New Application Wizard, on the Welcome page, click Next.

  3. 사전 인증 페이지에서 AD FS(Active Directory Federation Services) 를 클릭하고 다음을 클릭합니다.On the Preauthentication page, click Active Directory Federation Services (AD FS), and then click Next.

  4. 신뢰 당사자 페이지의 신뢰 당사자 목록에서 게시할 응용 프로그램의 신뢰 당사자를 선택하고 다음을 클릭합니다.On the Relying Party page, in the list of relying parties, select the relying party for the application that you want to publish, and then click Next.

  5. 게시 설정 페이지에서 다음 작업을 수행한 후 다음을 클릭합니다.On the Publishing Settings page, do the following, and then click Next:

    1. 이름 상자에 응용 프로그램의 이름을 입력합니다. 이 이름은 원격 액세스 관리 콘솔의 게시된 응용 프로그램 목록에서만 사용됩니다. 이름으로 OWAEAC를 사용할 수 있습니다.In the Name box, enter a friendly name for the application. This name is used only in the list of published applications in the Remote Access Management console. You can use OWA and EAC for the names.

    2. 외부 url 상자에이 응용 프로그램의 외부 url (예: https://external.contoso.com/owa/ OUTLOOK Web App 및 https://external.contoso.com/ecp/ EAC 용)을 입력 합니다.In the External URL box, enter the external URL for this application (for example, https://external.contoso.com/owa/ for Outlook Web App and https://external.contoso.com/ecp/ for EAC).

    3. 외부 인증서 목록에서 주체 이름이 외부 URL의 호스트 이름과 일치하는 인증서를 선택합니다.In the External certificate list, select a certificate whose subject name matches the host name of the external URL.

    4. 백 엔드 서버 URL 상자에 백 엔드 서버의 URL을 입력합니다.In the Backend server URL box, enter the URL of the back-end server. 외부 URL을 입력할 때이 값이 자동으로 입력 되므로 백 엔드 서버 URL이 다른 경우 (예: Outlook Web App 및 https://mail.contoso.com/owa/ https://mail.contoso.com/ecp/ EAC 용)에만 변경 해야 합니다.Note that this value is automatically entered when you enter the external URL, and you should change it only if the back-end server URL is different (for example, https://mail.contoso.com/owa/ for Outlook Web App and https://mail.contoso.com/ecp/ for EAC).

    참고

    웹 응용 프로그램 프록시는 URL의 호스트 이름은 변환할 수 있지만 경로는 변환할 수 없습니다.Web Application Proxy can translate host names in URLs but cannot translate paths. 따라서 다른 호스트 이름을 입력할 수는 있지만 경로는 동일하게 입력해야 합니다.Therefore, you can enter different host names, but you must enter the same path. 예를 들어의 외부 URL https://external.contoso.com/app1/ 및 백 엔드 서버 URL을 입력할 수 있습니다. https://mail.contoso.com/app1/For example, you can enter an external URL of https://external.contoso.com/app1/ and a back-end server URL of https://mail.contoso.com/app1/. 그러나의 https://external.contoso.com/app1/ https://mail.contoso.com/internal-app1/외부 url 및 백 엔드 서버 URL을 입력할 수는 없습니다.However, you cannot enter an external URL of https://external.contoso.com/app1/ and a back-end server URL of https://mail.contoso.com/internal-app1/.

  6. 확인 페이지에서 설정을 검토하고 게시를 클릭합니다. Windows PowerShell 명령을 복사하여 게시되는 응용 프로그램을 추가로 설정할 수 있습니다.On the Confirmation page, review the settings, and then click Publish. You can copy the Windows PowerShell command to set up additional published applications.

  7. 결과 페이지에서 응용 프로그램이 정상적으로 게시되었는지 확인하고 닫기를 클릭합니다.On the Results page, make sure that the application published successfully, and then click Close.

다음 Windows PowerShell cmdlet은 위의 Outlook Web App용 절차와 동일한 작업을 수행합니다.The following Windows PowerShell cmdlet performs the same tasks as the preceding procedure for Outlook Web App.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'

다음 Windows PowerShell cmdlet은 위의 EAC용 절차와 동일한 작업을 수행합니다.The following Windows PowerShell cmdlet performs the same tasks as the preceding procedure for EAC.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'

이러한 단계를 완료 하면 웹 응용 프로그램 프록시는 Outlook Web App 및 EAC 클라이언트에 대해 AD FS 인증을 수행 하 고 대신 Exchange에 대 한 연결을 프록시 합니다.After you complete these steps, Web Application Proxy will perform AD FS authentication for Outlook Web App and EAC clients, and it will also proxy the connections to Exchange on their behalf. AD FS 인증을 위해 Exchange 자체를 구성 하지 않아도 되는 경우에는 10 단계로 진행 하 여 구성을 테스트 합니다.You do not need to configure Exchange itself for AD FS authentication, so proceed to step 10 to test your configuration.

7 단계-AD FS 인증을 사용 하도록 Exchange 2013 구성Step 7 - Configure Exchange 2013 to use AD FS authentication

Exchange 2013에서 Outlook Web App 및 EAC에 대해 클레임 기반 인증에 사용되도록 AD FS를 구성할 때는 Exchange 조직에 대해 AD FS를 사용하도록 설정해야 합니다. Set-OrganizationConfig cmdlet을 사용하여 조직의 AD FS 설정을 구성해야 합니다.When you are configuring AD FS to be used for claims-based authentication with Outlook Web App and EAC in Exchange 2013, you must enable AD FS for your Exchange organization. You must use the Set-OrganizationConfig cmdlet to configure AD FS settings for your organization:

  • AD FS 발급자를로 https://adfs.contoso.com/adfs/ls/ 설정 합니다.Set the AD FS issuer to https://adfs.contoso.com/adfs/ls/.

  • AD FS Uri를 및 https://mail.contoso.com/owa/ https://mail.contoso.com/ecp/ 로 설정 합니다.Set the AD FS URIs to https://mail.contoso.com/owa/ and https://mail.contoso.com/ecp/.

  • AD FS 서버에서 Windows PowerShell을 사용 하 고를 입력 Get-ADFSCertificate -CertificateType "Token-signing"하 여 ad fs 토큰 서명 인증서 지문을 찾습니다.Find the AD FS token signing certificate thumbprint by using Windows PowerShell on the AD FS server and entering Get-ADFSCertificate -CertificateType "Token-signing". 그런 다음 발견된 토큰 서명 인증서 지문을 할당합니다.Then, assign the token-signing certificate thumbprint that you found. AD FS 토큰 서명 인증서가 만료된 경우에는 Set-OrganizationConfig cmdlet을 사용하여 새 AD FS 토큰 서명 인증서의 지문을 업데이트해야 합니다.If the AD FS token-signing certificate has expired, the thumbprint from the new AD FS token-signing certificate must be updated by using the Set-OrganizationConfig cmdlet.

Exchange 관리 셸에서 다음 명령을 실행 합니다.Run the following commands in the Exchange Management Shell.

$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

참고

-AdfsEncryptCertificateThumbprint 매개 변수는 이러한 시나리오에서 지원 되지 않습니다.The -AdfsEncryptCertificateThumbprint parameter isn't supported for these scenarios.

자세한 내용 및 구문은 Set-OrganizationConfigGet-ADFSCertificate를 참조하세요.For details and syntax, see Set-OrganizationConfig and Get-ADFSCertificate.

8 단계-OWA 및 ECP 가상 디렉터리에서 AD FS 인증을 사용 하도록 설정Step 8 - Enable AD FS authentication on the OWA and ECP virtual directories

OWA 및 ECP 가상 디렉터리에 대해 유일한 인증 방법으로 AD FS 인증을 사용하도록 설정하고 기타 모든 인증 형식은 사용하지 않도록 설정합니다.For the OWA and ECP virtual directories, enable AD FS authentication as the only authentication method and disable all other forms of authentication.

경고

OWA 가상 디렉터리를 구성하기 전에 ECP 가상 디렉터리를 구성해야 합니다.You must configure the ECP virtual directory before you configure the OWA virtual directory.

Exchange 관리 셸을 사용하여 ECP 가상 디렉터리를 구성합니다.Configure the ECP virtual directory by using the Exchange Management Shell. 셸 창에서 다음 명령을 실행 합니다.In the Shell window, run the following command.

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Exchange 관리 셸을 사용하여 OWA 가상 디렉터리를 구성합니다.Configure the OWA virtual directory by using the Exchange Management Shell. 셸 창에서 다음 명령을 실행 합니다.In the Shell window, run the following command.

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

참고

위의 Exchange 관리 셸 명령은 조직의 모든 클라이언트 액세스 서버에서 OWA 및 ECP 가상 디렉터리를 구성합니다.The preceding Exchange Management Shell commands configure the OWA and ECP virtual directories on every Client Access server in your organization. 모든 클라이언트 액세스 서버에 이러한 설정을 적용 하지 않으려면 -Identity 매개 변수를 사용 하 고 클라이언트 액세스 서버를 지정 합니다.If you don't want to apply these settings to all Client Access servers, use the -Identity parameter and specify the Client Access server. 조직에서 인터넷에 연결되는 클라이언트 액세스 서버에만 이러한 설정을 적용하면 됩니다.It's likely you will want to apply these settings only to the Client Access servers in your organization that are Internet facing.

자세한 내용과 구문은 Get-OwaVirtualDirectorySet-OwaVirtualDirectory 또는 Get-EcpVirtualDirectorySet-EcpVirtualDirectory를 참조하세요.For details and syntax, see Get-OwaVirtualDirectory and Set-OwaVirtualDirectory or Get-EcpVirtualDirectory and Set-EcpVirtualDirectory.

9 단계-IIS (인터넷 정보 서비스) 다시 시작 또는 재활용Step 9 - Restart or recycle Internet Information Services (IIS)

Exchange 가상 디렉터리 변경을 비롯하여 필수 단계를 모두 완료한 후에는 인터넷 정보 서비스를 다시 시작해야 합니다. 이렇게 하려면 다음 방법 중 하나를 사용하면 됩니다.After you have completed all of the required steps, including making changes to Exchange virtual directories, you need to restart Internet Information Services. To do this, you can use one of the following methods:

  • Windows PowerShell 사용:Using Windows PowerShell:

    Restart-Service W3SVC,WAS -force
    
  • 명령줄 사용: 시작, 실행을 차례로 클릭 하 고를 IISReset /noforce입력 한 다음 확인을 클릭 합니다.Using a command line: Click Start, click Run, type IISReset /noforce, and then click OK.

  • IIS(인터넷 정보 서비스) 관리자 사용: Server Manager > IIS에서 도구를 클릭하고 IIS(인터넷 정보 서비스) 관리자를 클릭합니다. IIS(인터넷 정보 서비스) 관리자 창의 작업 창에 있는 서버 관리에서 다시 시작을 클릭합니다.Using Internet Information Servers (IIS) Manager: In Server Manager > IIS, click Tools, and then click Internet Information Services (IIS) Manager. In the Internet Information Servers (IIS) Manager window, in the action pane under Manage Server, click Restart.

10 단계-Outlook Web App 및 EAC에 대 한 AD FS 클레임 테스트Step 10 - Test the AD FS claims for Outlook Web App and EAC

Outlook Web App에 대해 AD FS 클레임을 테스트하려면 다음을 수행합니다.To test the AD FS claims for Outlook Web App:

  • 웹 브라우저에서 Outlook Web App에 로그인 합니다 (예: https://mail.contoso.com/owa).In your web browser, sign in to Outlook Web App (for example, https://mail.contoso.com/owa).

  • 브라우저 창에서 인증서 오류가 표시되어도 Outlook Web App 웹 사이트로 계속해서 이동합니다.In the browser window, if you get a certificate error, just continue on to the Outlook Web App website. ADFS 로그인 페이지 또는 자격 증명에 대 한 ADFS 음성 안내로 리디렉션됩니다.You should be redirected to the ADFS sign-in page or the ADFS prompt for credentials.

  • 사용자 이름 (도메인\사용자) 및 암호를 입력 하 고 로그인을 클릭 합니다.Type your user name (domain\user) and password, and then click Sign in.

Outlook Web App이 창에 로드 됩니다.Outlook Web App will load in the window.

EAC에 대해 AD FS 클레임을 테스트하려면 다음을 수행합니다.To test the AD FS claims for EAC:

  1. 웹 브라우저에서로 **https://mail.contoso.com/ecp**이동 합니다.In your web browser, go to https://mail.contoso.com/ecp.

  2. 브라우저 창에서 인증서 오류가 표시되어도 ECP 웹 사이트로 계속 이동합니다.In the browser window, if you get a certificate error, just continue on to the ECP website. ADFS 로그인 페이지 또는 자격 증명에 대 한 ADFS 음성 안내로 리디렉션됩니다.You should be redirected to the ADFS sign-in page or the ADFS prompt for credentials.

  3. 사용자 이름 (도메인\사용자) 및 암호를 입력 하 고 로그인을 클릭 합니다.Type your user name (domain\user) and password, and then click Sign in.

  4. EAC가 창에 로드됩니다.EAC should load in the window.

알고 있으면 유용한 추가 정보Additional information you might want to know

다단계 인증Multifactor authentication

온-프레미스 Exchange 2013 SP1 배포의 경우 클레임을 사용하여 AD FS(Active Directory Federation Services) 2.0을 배포 및 구성하면 Exchange 2013 SP1의 Outlook Web App 및 EAC가 인증서 기반 인증, 인증 또는 보안 토큰, 지문 인증 등의 다단계 인증 방법을 지원할 수 있습니다. 2단계 인증을 다른 인증 형식과 혼동하는 경우가 많습니다. 다단계 인증을 사용하려면 세 가지 인증 단계 중 두 가지를 사용해야 합니다. 이러한 단계는 다음과 같습니다.For on-premises Exchange 2013 SP1 deployments, deploying and configuring Active Directory Federation Services (AD FS) 2.0 by using claims means that Outlook Web App and EAC in Exchange 2013 SP1 can support multifactor authentication methods, such as certificate-based authentication, authentication or security tokens, and fingerprint authentication. Two-factor authentication is often confused with other forms of authentication. Multifactor authentication requires the use of two of the three authentication factors. These factors are:

  • 암호, PIN, 패턴 등 사용자만 알고 있는 요소Something only the user knows (for example, the password, PIN, or pattern)

  • ATM 카드, 보안 토큰, 스마트 카드, 휴대폰 등 사용자만 가지고 있는 요소Something only the user has (for example, an ATM card, security token, smart card, or mobile phone)

  • 지문 등의 생체 인식 특성과 같이 사용자에게만 있는 요소Something only the user is (for example, a biometric characteristic, such as a fingerprint)

Windows Server 2012 R2의 다단계 인증에 대한 자세한 내용은 개요: 추가 Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리연습 가이드: Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리를 참조하세요.For details on multifactor authentication in Windows Server 2012 R2, see Overview: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications and Walkthrough Guide: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications.

Windows Server 2012 R2 AD FS 역할 서비스에서 페더레이션 서비스는 보안 토큰 서비스로 작동하고 클레임에 사용되는 보안 토큰을 제공하며 다단계 인증 지원 기능을 제공합니다. 페더레이션 서비스는 제공되는 자격 증명을 기준으로 토큰을 발급합니다. 계정 저장소에서 사용자 자격 증명을 확인하면 트러스트 정책의 규칙에 따라 사용자에 대한 클레임이 생성되어 클라이언트에게 발급된 보안 토큰에 추가됩니다. 클레임에 대한 자세한 내용은 클레임 이해를 참조하세요.In the Windows Server 2012 R2 AD FS role service, the federation service functions as a security token service, provides the security tokens that are used with claims, and gives you the ability to support multifactor authentication. The federation service issues tokens based on the credentials that are presented. After the account store verifies a user's credentials, the claims for the user are generated according to the rules of the trust policy and then added to a security token that is issued to the client. For more information about claims, see Understanding Claims.

다른 Exchange 버전과 동시 사용Co-Existing with Other Versions of Exchange

조직에 배포 된 Exchange 버전이 둘 이상인 경우 Outlook Web App 및 EAC에 대해 AD FS 인증을 사용할 수 있습니다.It's possible to use AD FS authentication for Outlook Web App and EAC when you have more than one version of Exchange deployed in your organization. 이 시나리오는 Exchange 2010 및 Exchange 2013 배포에 대해서만 지원 되며, 모든 클라이언트가 Exchange 2013 서버를 통해 연결 하 고 있고 AD FS 인증을 위해 해당 exchange 2013 서버가 구성 되어 있는 경우에만 가능 합니다.This scenario is only supported for Exchange 2010 and Exchange 2013 deployments, and only if all clients are connecting through the Exchange 2013 servers and those Exchange 2013 servers have been configured for AD FS authentication.

Exchange 2010 서버에 사서함이 있는 사용자는 AD FS 인증용으로 구성 된 Exchange 2013 서버를 통해 사서함에 액세스할 수 있습니다.Users with a mailbox on an Exchange 2010 Server can access their mailboxes through an Exchange 2013 server configured for AD FS authentication. Exchange 2013 서버에 대 한 초기 클라이언트 연결이 AD FS 인증을 사용 합니다.The initial client connection to the Exchange 2013 server will use AD FS authentication. 그러나 프록시 되는 Exchange 2010 서버 연결에서는 Kerberos를 사용 합니다.The proxied connection to the Exchange 2010 server, however, will use Kerberos. 직접 AD FS 인증을 위해 Exchange Server 2010를 구성 하는 방법은 지원 되지 않습니다.There is no supported way to configure Exchange Server 2010 for direct AD FS authentication.