Azure에서 Active Directory Federation Services 배포

AD FS(Active Directory Federation Services)는 간소화된 보안 ID 페더레이션 및 웹 SSO(Single Sign-On) 기능을 제공합니다. Microsoft Entra ID 또는 Microsoft 365를 사용하여 페더레이션하면 사용자가 온-프레미스 자격 증명을 사용하여 인증하고 모든 클라우드 리소스에 액세스할 수 있습니다. 결과적으로 온-프레미스 및 클라우드에서 리소스에 대한 액세스를 보장하는 항상 사용 가능한 AD FS 인프라가 있는 것이 중요합니다.

Azure에서 AD FS를 배포하면 최소한의 노력으로 필요한 고가용성을 달성하는 데 도움이 될 수 있습니다. Azure에서 AD FS를 배포할 경우 다음과 같은 몇 가지 이점이 있습니다.

  • 고가용성 - Azure 가용성 집합의 기능을 통해 고가용성 인프라를 보장합니다.
  • 크기 조정 하기 쉽습니다. 더 많은 성능이 필요하신가요? Azure에서 몇 가지 선택 사항만으로 더 강력한 머신으로 쉽게 마이그레이션할 수 있습니다.
  • 지역 간 중복성 – Azure 지역 중복성을 사용하면 인프라가 전 세계에서 고가용성을 보장받을 수 있습니다.
  • 관리 하기 쉽습니다. Azure Portal에서 매우 간소화된 관리 옵션을 사용하면 인프라를 쉽게 관리할 수 있으며 번거로움이 없습니다.

설계 원칙

이 다이어그램은 Azure에서 AD FS 인프라 배포를 시작하는 데 권장되는 기본 토폴로지입니다.

Screenshot of deployment design.

다음은 토폴로지의 다양한 구성 요소 뒤에 있는 원칙입니다.

  • DC/AD FS 서버: 사용자가 1,000명 미만인 경우 할 일기본 컨트롤러(DC)에 AD FS 역할을 설치할 수 있습니다. DC에 성능 영향을 주지 않거나 사용자가 1,000명 이상인 경우 별도의 서버에 AD FS를 배포합니다.
  • WAP 서버 – 사용자가 회사 네트워크에 없을 때 AD FS에 연결할 수 있도록 웹 애플리케이션 프록시 서버를 배포해야 합니다.
  • DMZ: 웹 애플리케이션 프록시 서버는 DMZ에 배치되고 DMZ와 내부 서브넷 간에 TCP/443 액세스만 허용됩니다.
  • 부하 분산 장치: AD FS 및 웹 애플리케이션 프록시 서버의 고가용성을 보장하려면 AD FS 서버에 대한 내부 부하 분산 장치와 웹 애플리케이션 프록시 서버에 Azure Load Balancer를 사용하는 것이 좋습니다.
  • 가용성 집합: AD FS 배포에 중복성을 제공하려면 유사한 워크로드에 대한 가용성 집합에서 둘 이상의 VM(가상 머신)을 그룹화하는 것이 좋습니다. 이 구성은 계획되거나 계획되지 않은 기본 테넌트 이벤트 중에 하나 이상의 VM을 사용할 수 있도록 합니다.
  • 스토리지 계정: 두 개의 스토리지 계정이 있는 것이 좋습니다. 단일 스토리지 계정이 있으면 단일 실패 지점이 만들어질 수 있습니다. 스토리지 계정이 하나만 있는 경우 스토리지 계정이 실패할 가능성이 낮은 이벤트에서 배포를 사용할 수 없게 될 수 있습니다. 두 개의 스토리지 계정은 각 오류 줄에 대해 하나의 스토리지 계정을 연결하는 데 도움이 됩니다.
  • 네트워크 분리: 웹 애플리케이션 프록시 서버를 별도의 DMZ 네트워크에 배포해야 합니다. 하나의 가상 네트워크를 두 서브넷으로 나눈 다음, 격리된 서브넷에 웹 애플리케이션 프록시 서버를 배포할 수 있습니다. 각 서브넷에 대한 네트워크 보안 그룹 설정을 구성하고 두 서브넷 간의 필수 통신만 허용할 수 있습니다. 자세한 내용은 다음 배포 시나리오에 따라 제공됩니다.

Azure에서 AD FS를 배포하는 단계

이 섹션에서는 Azure에서 AD FS 인프라를 배포하는 단계를 간략하게 설명합니다.

네트워크 배포

앞에서 설명한 대로 단일 가상 네트워크에 두 개의 서브넷을 만들거나 두 개의 서로 다른 가상 네트워크를 만들 수 있습니다. 이 문서에서는 단일 가상 네트워크를 배포하고 두 서브넷으로 나누는 데 중점을 둡니다. 이 방법은 현재 통신을 위해 가상 네트워크 게이트웨이에 가상 네트워크가 필요하므로 두 개의 별도 가상 네트워크가 더 쉽습니다.

가상 네트워크 만들기

  1. Azure 계정을 사용하여 Azure Portal 에 로그인합니다.

  2. 포털에서 가상 네트워크를 검색하여 선택합니다.

  3. 가상 네트워크 페이지에서 만들기를 선택합니다.

  4. 가상 네트워크 만들기기본 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group 리소스 그룹을 선택합니다. 또는 새로 만들기를 선택하여 새로 만듭니다.
    인스턴스 세부 정보
    가상 네트워크 이름 가상 네트워크의 이름을 입력합니다.
    지역 지역을 선택합니다.
  5. 다음을 선택합니다. Screenshot showing the basics tab for the Create virtual network page.

  6. 보안 탭에서 원하는 보안 서비스를 사용하도록 설정하고 다음을 선택합니다.

  7. IP 주소 탭에서 기본 서브넷이 이미 만들어지고 VM을 추가할 준비가 되어 있습니다. 이 예제에서는 서브넷을 편집하려면 기본값을 선택합니다.

    1. 서브넷 편집 페이지에서 서브넷 이름을 INT바꿉니다.
    2. IP 주소 공간을 정의하는 데 필요한 IP 주소 및 서브넷 크기 정보를 입력합니다.
    3. 네트워크 보안 그룹의 경우 새로 만들기를 선택합니다.
    4. 이 예제에서는 이름 NSG_INT 입력하고 확인을 선택한 다음 저장을 선택합니다. 첫 번째 서브넷을 만들었습니다. Screenshot showing how to edit a subnet and add an internal network security group.
    5. 두 번째 서브넷을 만들려면 + 서브넷 추가를 선택합니다.
    6. 서브넷 추가 페이지에서 두 번째 서브넷 이름에 대한 DMZ를 입력하고 IP 주소 공간을 정의하는 데 필요한 정보를 입력합니다.
    7. 네트워크 보안 그룹의 경우 새로 만들기를 선택합니다.
    8. 이름 NSG_DMZ 입력하고 확인을 선택한 다음 추가를 선택합니다. Screenshot showing how to add a new subnet that includes a network security group.
  8. 검토 + 만들기를 선택하고 모든 항목이 정상인 경우 만들기를 선택합니다.

이제 연결된 네트워크 보안 그룹이 있는 두 개의 서브넷을 포함하는 가상 네트워크가 있습니다.

Screenshot showing the new subnets and their network security groups.

가상 네트워크 보안

NSG(네트워크 보안 그룹)은 ACL(액세스 제어 목록)의 Virtual Network에 VM 인스턴스에 대한 허용 또는 거부 네트워크 트래픽 규칙의 목록을 포함합니다. NSG는 서브넷 또는 서브넷 내의 개별 VM 인스턴스에 연결될 수 있습니다. NSG가 서브넷에 연결된 경우 ACL 규칙은 해당 서브넷의 모든 VM 인스턴스에 적용됩니다.

서브넷과 연결된 NSG에는 일부 기본 인바운드 및 아웃바운드 규칙이 자동으로 포함됩니다. 기본 보안 규칙은 삭제할 수 없지만 우선 순위가 더 높은 규칙으로 재정의할 수 있습니다. 또한 원하는 보안 수준에 따라 인바운드 및 아웃바운드 규칙을 더 추가할 수 있습니다.

이제 두 보안 그룹 각각에 몇 가지 규칙을 추가합니다. 첫 번째 예제에서는 NSG_INT 보안 그룹에 인바운드 보안 규칙을 추가해 보겠습니다.

  1. 가상 네트워크의 서브넷 페이지에서 NSG_INT 선택합니다.

  2. 왼쪽에서 인바운드 보안 규칙을 선택한 다음+ 추가를 선택합니다.

  3. 인바운드 보안 규칙 추가에서 다음 정보를 입력하거나 선택합니다.

    설정
    원본 10.0.1.0/24.
    원본 포트 범위 별표로 둡니다(또는 선택). 별표(*)는 모든 포트에서 트래픽을 허용합니다. 이 예제에서는 만든 모든 규칙에 대한 별표를 선택합니다.
    대상 10.0.0.0/24.
    서비스 HTTPS를 선택합니다.
    대상 포트 범위 및 프로토콜에 대한 설정은 지정된 서비스에 따라 자동으로 채워집니다.
    작업 허용을 선택합니다.
    우선 순위 1010.
    규칙은 우선 순위대로 처리됩니다. 숫자가 작을수록 우선 순위가 높습니다.
    이름 AllowHTTPSFromDMZ.
    설명 DMZ에서 HTTPS 통신을 허용합니다.
  4. 선택한 후 추가를 선택합니다.

    Screenshot showing how to add an inbound security rule.이제 새 인바운드 보안 규칙이 NSG_INT 규칙 목록의 맨 위에 추가됩니다.

  5. 다음 표에 표시된 값을 사용하여 이 단계를 반복합니다. 만든 새 규칙 외에도 내부 및 DMZ 서브넷을 보호하는 데 도움이 되도록 나열된 우선 순위 순서에 다음 추가 규칙을 추가해야 합니다.

    NSG 규칙 유형 원본 대상 서비스 작업 우선 순위 이름 설명
    NSG_INT 아웃바운드 모두 서비스 태그/인터넷 사용자 지정(80/Any) 거부 100 DenyInternetOutbound 인터넷에 액세스할 수 없습니다.
    NSG_DMZ 인바운드 모두 모두 사용자 지정(별표(*)/Any) 허용 1010 AllowHTTPSFromInternet 인터넷에서 DMZ로 HTTPS를 허용합니다.
    NSG_DMZ 아웃바운드 모두 서비스 태그/인터넷 사용자 지정(80/Any) 거부 100 DenyInternetOutbound HTTPS를 제외한 모든 항목이 차단됩니다.

    각 새 규칙에 대한 값을 입력한 후 추가를 선택하고 각 NSG에 대해 두 개의 새 보안 규칙이 추가될 때까지 다음으로 진행합니다.

구성 후 NSG 페이지는 다음 예제와 같습니다.

Screenshot showing your NSGs after you added security rules.

참고 항목

클라이언트 사용자 인증서 인증(X.509 사용자 인증서를 사용한 clientTLS 인증)이 필요한 경우 AD FS는 인바운드 액세스를 위해 TCP 포트 49443을 사용하도록 설정해야 합니다.

온-프레미스에 대한 연결 만들기

Azure에서 DC를 배포하려면 온-프레미스에 연결해야 합니다. Azure는 온-프레미스 인프라를 Azure 인프라에 연결하는 다양한 옵션을 제공합니다.

  • 지점 및 사이트 간
  • Virtual Network 사이트-사이트
  • ExpressRoute

ExpressRoute를 사용하는 것이 좋습니다. ExpressRoute를 사용하면 Azure 데이터 센터와 온-프레미스 또는 공동 배치 환경에 있는 인프라 간에 프라이빗 연결을 만들 수 있습니다. ExpressRoute 연결은 공용 인터넷을 통해 이동하지 않습니다. 인터넷을 통해 일반적인 연결보다 더 많은 안정성, 더 빠른 속도, 짧은 대기 시간 및 더 높은 보안을 제공합니다.

ExpressRoute를 사용하는 것이 좋지만 조직에 가장 적합한 연결 방법을 선택할 수 있습니다. ExpressRoute 및 ExpressRoute를 사용하는 다양한 연결 옵션에 대해 자세히 알아보려면 ExpressRoute 기술 개요를 참고합니다.

스토리지 계정 만들기

기본 고가용성을 달성하고 단일 스토리지 계정에 대한 의존을 방지하려면 두 개의 스토리지 계정을 만듭니다. 각 가용성 집합의 컴퓨터를 두 그룹으로 나눈 다음 각 그룹에 별도의 스토리지 계정을 할당합니다.

두 개의 스토리지 계정을 만들려면 Azure Portal에서 Storage 계정을 검색하여 선택하고 + 만들기를 선택합니다.

  1. 스토리지 계정 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group 리소스 그룹을 선택합니다. 또는 새로 만들기를 선택하여 새로 만듭니다.
    인스턴스 세부 정보
    스토리지 계정 이름 스토리지 계정의 이름을 입력합니다. 이 예제에서는 contososac1을 입력합니다.
    지역 지역을 선택합니다.
    성능 성능 수준에 대해 프리미엄을 선택합니다.
    프리미엄 계정 유형 필요한 스토리지 계정 유형(블록 Blob, 파일 공유 또는 페이지 Blob)을 선택합니다.
    중복 LRS(로컬 중복 스토리지)를 선택합니다.
  2. 다시 기본 탭을 계속 진행합니다. 준비가 되면 검토 탭에서 만들기선택합니다.

    Screenshot showing how to create storage accounts.

  3. 이전 단계를 반복하여 contososac2라는 이름의 두 번째 스토리지 계정을 만듭니다.

가용성 집합 만들기

각 역할(DC/AD FS 및 WAP)에 대해 각각 두 대 이상의 컴퓨터를 포함하는 가용성 집합을 만듭니다. 이 구성은 각 역할에 대해 더 높은 가용성을 달성하는 데 도움이 됩니다. 가용성 집합을 만드는 동안 다음 작업을 결정해야 기본.

  • Fault Do기본s: 동일한 오류의 VM은 동일한 전원 및 물리적 네트워크 스위치를 공유합니다기본. 최소 2개의 오류 기본 권장합니다. 기본값은 2이며 이 배포의 경우 그대로 둘 수 있습니다.
  • 업데이트 도메인: 업데이트하는 동안 동일한 업데이트 도메인에 속한 컴퓨터는 모두 다시 시작됩니다. 최소 2개의 업데이트를 수행하는 것이 좋습니다기본. 기본값은 5이며 이 배포의 경우 그대로 둘 수 있습니다.

가용성 집합을 만들려면 Azure Portal에서 가용성 집합을 검색하여 선택하고 + 만들기를 선택합니다.

  1. 가용성 집합 만들기에서 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group 리소스 그룹을 선택합니다. 또는 새로 만들기를 선택하여 새로 만듭니다.
    인스턴스 세부 정보
    이름 가용성 집합의 이름을 입력합니다. 이 예제에서는 contosodcset를 입력 합니다.
    지역 지역을 선택합니다.
    장애 도메인 2
    업데이트 도메인 5
    관리 디스크 사용 이 예제에서는 아니요(클래식)를 선택합니다.

    Screenshot showing how to create availability sets.

  2. 모든 선택을 수행한 후 검토 + 만들기를 선택하고 모든 항목이 제대로 표시되면 만들기를 선택합니다.

  3. 이전 단계를 반복하여 contososac2라는 이름의 두 번째 가용성 집합을 만듭니다.

가상 머신 배포

다음 단계는 인프라에서 다양한 역할을 호스트하는 VM을 배포하는 것입니다. 각 가용성 집합에서 최소 두 대의 컴퓨터를 사용하는 것이 좋습니다. 따라서 이 예제에서는 기본 배포를 위해 4개의 VM을 만듭니다.

VM을 만들려면 Azure Portal에서 가상 머신을 검색하고 선택합니다.

  1. 가상 머신 페이지에서 + 만들기를 선택한 다음, Azure 가상 머신을 선택합니다.

  2. 가상 머신 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group 리소스 그룹을 선택합니다. 또는 새로 만들기를 선택하여 새로 만듭니다.
    인스턴스 세부 정보
    가상 머신 이름 VM의 이름을 입력합니다. 첫 번째 컴퓨터의 경우 contosodc1을 입력합니다.
    지역 지역을 선택합니다.
    가용성 옵션 가용성 집합을 선택합니다.
    가용성 집합 contosodcset를 선택합니다.
    보안 유형 표준을 선택합니다.
    이미지 이미지를 선택합니다. 그런 다음, VM 생성 구성을 선택하고 1세대를 선택합니다. 이 예제에서는 Gen 1 이미지를 사용해야 합니다.
    관리자 계정
    인증 유형 SSH 공개 키를 선택합니다.
    사용자 이름 사용자 이름을 입력합니다.
    키 쌍 이름 키 쌍 이름을 입력합니다.

    지정하지 않은 항목의 경우 기본값을 그대로 둘 수 있으며, 준비가 되면 다음 : 디스크를 선택합니다. Screenshot showing the first steps in how to create a virtual machine.

  3. 고급의 디스크 탭에서 관리 디스크 사용을 선택 취소한 다음 이전에 만든 contososac1 스토리지 계정을 선택합니다. 준비가 되면 다음: 네트워킹을 선택합니다. Screenshot showing the Disks tab for how to create a virtual machine.

  4. 네트워킹 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    가상 네트워크 이전에 만든 서브넷이 포함된 가상 네트워크를 선택합니다.
    서브넷 이 첫 번째 VM의 경우 INT 서브넷을 선택합니다.
    NIC 네트워크 보안 그룹 추가 없음을 선택합니다.

    지정하지 않은 항목의 경우 기본값을 그대로 둘 수 있습니다. Screenshot showing the Networking tab for how to create a virtual machine.

모든 선택을 수행한 후 검토 + 만들기를 선택하고 모든 항목이 제대로 표시되면 만들기를 선택합니다.

이 표의 정보를 사용하여 다음 단계를 반복하여 세 개의 다시 기본 VM을 만듭니다.

가상 머신 이름 서브넷 가용성 옵션 가용성 집합 스토리지 계정
contosodc2 INT 가용성 집합 contosodcset contososac2
contosowap1 DMZ 가용성 집합 contosowapset contososac1
contosowap2 DMZ 가용성 집합 contosowapset contososac2

Azure에서 서브넷 수준에서 NSG를 사용할 수 있으므로 NSG가 지정되지 않았습니다. 그런 다음 서브넷 또는 NIC 개체와 연결된 개별 NSG를 사용하여 컴퓨터 네트워크 트래픽을 제어할 수 있습니다. 자세한 내용은 NSG(네트워크 보안 그룹)란?을 참조하세요.

DNS를 관리하는 경우 고정 IP 주소를 사용하는 것이 좋습니다. Azure DNS를 사용하고 DNS 레코드에서 Azure FQDN으로 새 머신을 참조할 수 있습니다기본. 자세한 내용은 개인 IP 주소를 정적으로 변경하세요.

가상 머신 페이지에는 배포가 완료된 후 4개의 VM이 모두 표시됩니다.

DC/AD FS 서버 구성

들어오는 요청을 인증하려면 AD FS가 DC에 문의해야 합니다. 인증을 위해 Azure에서 온-프레미스 DC로의 비용이 많이 드는 여정을 절약하려면 Azure에서 DC의 복제본(replica) 배포하는 것이 좋습니다. 고가용성을 얻으려면 두 개 이상의 DC 가용성 집합을 만드는 것이 좋습니다.

도메인 컨트롤러 역할 스토리지 계정
contosodc1 복제본 contososac1
contosodc2 복제본 contososac2
  • DNS를 사용하여 두 서버를 복제본(replica) DC로 승격
  • 서버 관리자를 사용하여 AD FS 역할을 설치하여 AD FS 서버를 구성합니다.

ILB(내부 부하 분산 장치) 만들기 및 배포

ILB를 만들고 배포하려면 Azure Portal에서 Load Balancer를 검색하여 선택하고 + 만들기를 선택합니다.

  1. 부하 분산 장치 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group 리소스 그룹을 선택합니다. 또는 새로 만들기를 선택하여 새로 만듭니다.
    인스턴스 세부 정보
    이름 부하 분산 장치의 이름을 입력합니다.
    지역 지역을 선택합니다.
    Type 이 부하 분산 장치는 AD FS 서버 앞에 배치되고 내부 네트워크 연결 전용이므로 내부를 선택합니다.

    SKU 및 계층을 기본값으로 두고 다음: 프런트 엔드 IP 구성을 선택합니다.Screenshot showing the Basics tab for how to create a load balancer.

  2. + 프런트 엔드 IP 구성 추가를 선택한 다음 프런트 엔드 IP 구성 추가 페이지에서 이 정보를 입력하거나 선택합니다.

    설정
    속성 프런트 엔드 IP 구성 이름을 입력합니다.
    가상 네트워크 AD FS를 배포하는 가상 네트워크를 선택합니다.
    서브넷 내부 서브넷 INT를 선택합니다.
    양도 정적을 선택합니다.
    IP 주소 IP 주소를 입력합니다.

    가용성 영역을 기본값으로 두고 추가를 선택합니다. Screenshot showing how to add a frontend IP configuration when you create a load balancer.

  3. 다음: 백 엔드 풀을 선택한 다음, + 백 엔드 풀 추가를 선택합니다.

  4. 백 엔드 풀 추가 페이지에서 이름을 입력한 다음 IP 구성 영역에서 + 추가 선택합니다.

  5. 백 엔드 풀 추가 페이지에서 백 엔드 풀에 맞출 VM을 선택하고 추가를 선택한 다음 저장을 선택합니다. Screenshot showing how to add a backend pool when you create a load balancer.

  6. 다음: 인바운드 규칙을 선택합니다.

  7. 인바운드 규칙 탭에서 부하 분산 규칙 추가를 선택한 다음 부하 분산 규칙 추가 페이지에서 이 정보를 입력하거나 선택합니다.

    설정
    속성 규칙의 이름을 입력합니다.
    프런트 엔드 IP 주소 이전 단계에서 만든 프런트 엔드 IP 주소를 선택합니다.
    백 엔드 풀 이전 단계에서 만든 백 엔드 풀을 선택합니다.
    프로토콜 TCP를 선택합니다.
    포트 443을 입력합니다.
    백 엔드 포트 443을 입력합니다.
    상태 프로브 새로 만들기를 선택한 다음, 다음 값을 입력하여 상태 프로브를 만듭니다.
    이름: 상태 프로브의 이름
    프로토콜: HTTP
    포트: 80(HTTP)
    경로: /adfs/probe
    간격: 5(기본값) – ILB가 백 엔드 풀의 컴퓨터를 검색하는 간격
    저장을 선택합니다.
  8. 저장을 선택하여 인바운드 규칙을 저장합니다. Screenshot showing how to add load balancing rules.

  9. 검토 + 만들기를 선택하고 모든 항목이 제대로 표시되면 만들기를 선택합니다.

만들기를 선택하고 ILB가 배포되면 부하 분산 장치 목록에서 볼 수 있습니다.

Screenshot showing the new load balancer you just created.

ILB를 사용하여 DNS 서버 업데이트

내부 DNS 서버를 사용하여 ILB에 대한 A 레코드를 만듭니다. A 레코드는 ILB의 IP 주소를 가리키는 IP 주소가 있는 페더레이션 서비스에 대한 레코드여야 합니다. 예를 들어 ILB IP 주소가 10.3.0.8이고 설치된 페더레이션 서비스가 fs.contoso.com 경우 10.3.0.8을 가리키는 fs.contoso.com 대한 A 레코드를 만듭니다.

이 설정을 사용하면 fs.contoso.com 전송된 모든 데이터가 ILB에서 종료되고 적절하게 라우팅됩니다.

Warning

AD FS 데이터베이스에 WID(Windows 내부 데이터베이스)를 사용하는 경우 이 값을 대신 기본 AD FS 서버를 일시적으로 가리키도록 설정하거나 웹 애플리케이션 프록시가 등록에 실패합니다. 모든 웹 애플리케이션 프록시 서버를 성공적으로 등록한 후 부하 분산 장치를 가리키도록 이 DNS 항목을 변경합니다.

참고 항목

배포에서 IPv6도 사용하는 경우 해당 AAAA 레코드를 만듭니다.

AD FS 서버에 연결하도록 웹 애플리케이션 프록시 서버 구성

웹 애플리케이션 프록시 서버가 ILB 뒤에 있는 AD FS 서버에 연결할 수 있도록 하려면 ILB에 대한 %systemroot%\system32\drivers\etc\hosts 파일에 레코드를 만듭니다. DN(고유 이름)은 페더레이션 서비스 이름(예: fs.contoso.com)이어야 합니다. 또한 IP 항목은 ILB의 IP 주소(예제와 같이 10.3.0.8)여야 합니다.

Warning

AD FS 데이터베이스에 WID(Windows 내부 데이터베이스)를 사용하는 경우 이 값을 대신 기본 AD FS 서버를 일시적으로 가리키도록 설정하거나 웹 애플리케이션 프록시가 등록에 실패합니다. 모든 웹 애플리케이션 프록시 서버를 성공적으로 등록한 후 부하 분산 장치를 가리키도록 이 DNS 항목을 변경합니다.

웹 애플리케이션 프록시 역할 설치

웹 애플리케이션 프록시 서버가 ILB 뒤에 있는 AD FS 서버에 연결할 수 있는지 확인하면 다음으로 웹 애플리케이션 프록시 서버를 설치할 수 있습니다. 웹 애플리케이션 프록시 서버는 할 일기본 조인할 필요가 없습니다. 원격 액세스 역할을 선택하여 두 웹 애플리케이션 프록시 서버에 웹 애플리케이션 프록시 역할을 설치합니다. 서버 관리자가 WAP 설치를 완료하도록 안내합니다.

WAP를 배포하는 방법에 대한 자세한 내용은 웹 애플리케이션 프록시 서버 설치 및 구성을 참조 하세요.

인터넷 연결(공용) 부하 분산 장치 만들기 및 배포

  1. Azure Portal에서 부하 분산 장치를 선택한 다음 만들기를 선택합니다.

  2. 부하 분산 장치 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group 리소스 그룹을 선택합니다. 또는 새로 만들기를 선택하여 새로 만듭니다.
    인스턴스 세부 정보
    이름 부하 분산 장치의 이름을 입력합니다.
    지역 지역을 선택합니다.
    Type 이 부하 분산 장치에는 공용 IP 주소가 필요하므로 공용을 선택합니다.

    SKU 및 계층을 기본값으로 두고 다음: 프런트 엔드 IP 구성을 선택합니다.

    Screenshot showing how to add public-facing load balancing rules.

  3. + 프런트 엔드 IP 구성 추가를 선택한 다음 프런트 엔드 IP 구성 추가 페이지에서 이 정보를 입력하거나 선택합니다.

    설정
    속성 프런트 엔드 IP 구성 이름을 입력합니다.
    IP 유형 IP 주소를 선택합니다.
    공용 IP 주소 드롭다운 목록에서 공용 IP 주소를 선택하거나 필요에 따라 새 IP 주소를 만든 다음 추가를 선택합니다.

    Screenshot showing how to add a frontend IP configuration when you create a public load balancer.

  4. 다음: 백 엔드 풀을 선택한 다음, + 백 엔드 풀 추가를 선택합니다.

  5. 백 엔드 풀 추가 페이지에서 이름을 입력한 다음 IP 구성 영역에서 + 추가 선택합니다.

  6. 백 엔드 풀 추가 페이지에서 백 엔드 풀에 맞출 VM을 선택하고 추가를 선택한 다음 저장을 선택합니다. Screenshot showing how to add a backend pool when you create a public load balancer.

  7. 다음: 인바운드 규칙을 선택하고 부하 분산 규칙 추가를 선택한 다음 부하 분산 규칙 추가 페이지에서 이 정보를 입력하거나 선택합니다.

    설정
    속성 규칙의 이름을 입력합니다.
    프런트 엔드 IP 주소 이전 단계에서 만든 프런트 엔드 IP 주소를 선택합니다.
    백 엔드 풀 이전 단계에서 만든 백 엔드 풀을 선택합니다.
    프로토콜 TCP를 선택합니다.
    포트 443을 입력합니다.
    백 엔드 포트 443을 입력합니다.
    상태 프로브 새로 만들기를 선택한 다음, 다음 값을 입력하여 상태 프로브를 만듭니다.
    이름: 상태 프로브의 이름
    프로토콜: HTTP
    포트: 80(HTTP)
    경로: /adfs/probe
    간격: 5(기본값) – ILB가 백 엔드 풀의 컴퓨터를 검색하는 간격
    저장을 선택합니다.
  8. 저장을 선택하여 인바운드 규칙을 저장합니다. Screenshot showing how to create an inbound rule.

  9. 검토 + 만들기를 선택하고 모든 항목이 제대로 표시되면 만들기를 선택합니다.

만들기를 선택하고 공용 ILB가 배포되면 부하 분산 장치 목록에서 볼 수 있습니다.

Screenshot showing how to save an inbound rule.

공용 IP에 DNS 레이블 할당

리소스 검색 기능을 사용하고 공용 IP 주소를 검색합니다. 다음 단계를 사용하여 공용 IP에 대한 DNS 레이블을 구성합니다.

  1. 리소스를 선택하고 설정 아래에서 구성을 선택합니다.
  2. DNS 레이블 제공(선택 사항)에서 외부 부하 분산 장치의 DNS 레이블(예: contosofs.westus.cloudapp.azure.com)으로 확인되는 텍스트 필드(예: fs.contoso.com)에 항목을 추가합니다.
  3. 저장을 선택하여 DNS 레이블 할당을 완료합니다.

AD FS 로그인 테스트

AD FS를 테스트하는 가장 쉬운 방법은 IdpInitiatedSignon.aspx 페이지를 사용하는 것입니다. 이렇게 하려면 AD FS 속성에서 IdpInitiatedSignOn을 사용하도록 설정해야 합니다. 다음 단계를 사용하여 AD FS 설정을 확인합니다.

  1. PowerShell에서 AD FS 서버에서 다음 cmdlet을 실행하여 사용하도록 설정합니다. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. 외부 컴퓨터에서 액세스 https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx합니다.
  3. 다음 AD FS 페이지가 표시됩니다.

Screenshot of test login page.

로그인에 성공하면 다음과 같이 성공 메시지를 제공합니다.

Screenshot that shows the test success message.

Azure에서 AD FS를 배포하는 템플릿

템플릿은 Do기본 컨트롤러, AD FS 및 WAP에 대해 각각 2개인 6개 컴퓨터 설정을 배포합니다.

Azure 배포 템플릿에서 AD FS

이 템플릿을 배포하는 동안 기존 가상 네트워크를 사용하거나 새 가상 네트워크를 만들 수 있습니다. 이 표에서는 배포 프로세스에서 매개 변수를 사용하는 방법에 대한 설명을 포함하여 배포를 사용자 지정하는 데 사용할 수 있는 다양한 매개 변수를 나열합니다.

매개 변수 설명
위치 리소스를 배포할 지역(예: 미국 동부)
StorageAccountType 생성된 스토리지 계정의 유형
VirtualNetworkUsage 새 가상 네트워크를 만들거나 기존 가상 네트워크를 사용할지 여부를 나타냅니다.
VirtualNetworkName 만들 가상 네트워크의 이름입니다. 기존 또는 새 가상 네트워크 사용량 모두에 필수입니다.
VirtualNetworkResourceGroupName 기존 가상 네트워크가 있는 리소스 그룹의 이름을 지정합니다. 기존 가상 네트워크를 사용하는 경우 이 옵션은 필수 매개 변수이므로 배포에서 기존 가상 네트워크의 ID를 찾을 수 있습니다.
VirtualNetworkAddressRange 새 가상 네트워크의 주소 범위입니다. 새 가상 네트워크를 만드는 경우 필수입니다.
InternalSubnetName 내부 서브넷의 이름, 두 가상 네트워크 사용 옵션 모두에 필수, 신규 또는 기존
InternalSubnetAddressRange 새 가상 네트워크를 만드는 경우 필수인 Do기본 Controller 및 AD FS 서버를 포함하는 내부 서브넷의 주소 범위입니다.
DMZSubnetAddressRange 새 가상 네트워크를 만드는 경우 필수인 Windows 애플리케이션 프록시 서버를 포함하는 DMZ 서브넷의 주소 범위입니다.
DMZSubnetName 내부 서브넷의 이름입니다. 두 가상 네트워크 사용 옵션(신규 또는 기존) 모두에 필수입니다.
ADDC01NICIPAddress 첫 번째 Do기본 컨트롤러의 내부 IP 주소이며, 이 IP 주소는 DC에 정적으로 할당되며 내부 서브넷 내에서 유효한 IP 주소여야 합니다.
ADDC02NICIPAddress 두 번째 Do기본 컨트롤러의 내부 IP 주소이며, 이 IP 주소는 DC에 정적으로 할당되며 내부 서브넷 내에서 유효한 IP 주소여야 합니다.
ADFS01NICIPAddress 첫 번째 AD FS 서버의 내부 IP 주소인 이 IP 주소는 AD FS 서버에 정적으로 할당되며 내부 서브넷 내에서 유효한 IP 주소여야 합니다.
ADFS02NICIPAddress 두 번째 AD FS 서버의 내부 IP 주소인 이 IP 주소는 AD FS 서버에 정적으로 할당되며 내부 서브넷 내에서 유효한 IP 주소여야 합니다.
WAP01NICIPAddress 첫 번째 WAP 서버의 내부 IP 주소인 이 IP 주소는 WAP 서버에 정적으로 할당되며 DMZ 서브넷 내에서 유효한 IP 주소여야 합니다.
WAP02NICIPAddress 두 번째 WAP 서버의 내부 IP 주소인 이 IP 주소는 WAP 서버에 정적으로 할당되며 DMZ 서브넷 내에서 유효한 IP 주소여야 합니다.
ADFSLoadBalancerPrivateIPAddress AD FS 부하 분산 장치의 내부 IP 주소이며, 이 IP 주소는 부하 분산 장치에 정적으로 할당되며 내부 서브넷 내에서 유효한 IP 주소여야 합니다.
ADDCVMNamePrefix Do기본 Controllers의 VM 이름 접두사
ADFSVMNamePrefix AD FS 서버에 대한 VM 이름 접두사
WAPVMNamePrefix WAP 서버의 VM 이름 접두사
ADDCVMSize Do기본 컨트롤러의 VM 크기
ADFSVMSize AD FS 서버의 VM 크기
WAPVMSize WAP 서버의 VM 크기
관리UserName VM의 로컬 관리주체의 이름입니다.
관리패스워드 VM의 로컬 관리istrator 계정에 대한 암호입니다.

다음 단계