AD FS 배포 토폴로지 계획
AD FS(Active Directory Federation Services) 배포를 계획하는 첫 번째 단계는 조직의 요구 사항에 맞게 올바른 배포 토폴로지를 결정하는 것입니다.
이 문서를 읽기 전에 AD FS 데이터가 저장되고 페더레이션 서버 팜의 다른 페더레이션 서버에 복제본(replica) 방법을 검토하고 AD FS 구성 데이터베이스에 저장된 기본 데이터에 사용할 수 있는 복제본(replica) 방법 및 용도를 이해했는지 확인합니다.
AD FS 구성 데이터를 저장하는 데 사용할 수 있는 데이터베이스 유형에는 WID(Windows 내부 데이터베이스) 및 Microsoft SQL Server의 두 가지 유형이 있습니다. 자세한 내용은 AD FS 구성 데이터베이스의 역할을 참조하세요. WID 또는 SQL Server를 AD FS 구성 데이터베이스로 사용하는 것과 관련된 다양한 이점과 제한 사항을 검토하고 지원하는 다양한 애플리케이션 시나리오를 검토한 다음 선택합니다.
Important
기본 중복성, 부하 분산 및 페더레이션 서비스 크기를 조정하는 옵션(필요한 경우)을 구현하려면 사용할 데이터베이스 유형에 관계없이 모든 프로덕션 환경에 대해 페더레이션 서버 팜당 페더레이션 서버를 두 개 이상 배포하는 것이 좋습니다.
사용할 AD FS 구성 데이터베이스의 유형 결정
AD FS는 데이터베이스를 사용하여 구성 및 경우에 따라 페더레이션 서비스와 관련된 트랜잭션 데이터를 저장합니다. AD FS 소프트웨어를 사용하여 기본 제공 WID(Windows 내부 데이터베이스) 또는 Microsoft SQL Server 2008 이상 중 하나를 선택하여 페더레이션 서비스에 데이터를 저장할 수 있습니다.
대부분의 용도에는 두 가지 데이터베이스 유형이 비교적 동일합니다. 그러나 AD FS와 함께 사용할 수 있는 다양한 배포 토폴로지에 대해 자세히 알아보기 전에 알아야 할 몇 가지 차이점이 있습니다. 다음 표에서는 WID 데이터베이스와 SQL Server 데이터베이스 간에 지원되는 기능의 차이점을 설명합니다.
| 설명 | 기능 | WID에서 지원? | SQL Server에서 지원? |
|---|---|---|---|
| AD FS 기능 | 페더레이션 서버 팜 배포 | 예. 신뢰 당사자 트러스트가 100개 이하인 경우 WID 팜에는 페더레이션 서버가 30개로 제한됩니다.WID 팜은 토큰 재생 검색 또는 아티팩트 확인(SAML(Security Assertion Markup Language) 프로토콜의 일부)을 지원하지 않습니다. | 예. 단일 팜에 배포할 수 있는 페더레이션 서버 수에 대한 제한 없음 |
| AD FS 기능 | SAML 아티팩트 해결 참고: 이 기능은 Microsoft Online Services, Microsoft Office 365, Microsoft Exchange 또는 Microsoft Office SharePoint 시나리오에는 필요하지 않습니다. | 예 | 예 |
| AD FS 기능 | SAML/WS-Federation 토큰 재생 검색 | 예 | 예 |
| 데이터베이스 기능 | 끌어오기 복제를 사용하는 기본 데이터베이스 중복성(데이터베이스의 읽기 전용 복사본을 호스트하는 하나 이상의 서버가 데이터베이스의 읽기/쓰기 복사본을 호스트하는 원본 서버에 적용된 변경 내용을 요청) | 예 | 아니요 |
| 데이터베이스 기능 | 장애 조치(failover) 클러스터링 또는 미러(데이터베이스 계층에만 해당)와 같은 고가용성 솔루션을 사용하는 데이터베이스 중복성 참고: 모든 AD FS 배포 토폴로지에서 AD FS 서비스 계층의 클러스터링 지원합니다. | 예 | 예 |
SQL Server 고려 사항
AD FS 배포를 위한 구성 데이터베이스로 SQL Server를 선택한 경우 다음 배포 정보를 고려해야 합니다.
SAML 기능과 해당 기능이 데이터베이스 크기 및 증가에 미치는 영향. SAML 아티팩트 확인 또는 SAML 토큰 재생 검색 기능을 사용하는 경우 AD FS는 발급된 각 AD FS 토큰에 대한 정보를 SQL Server 구성 데이터베이스에 저장합니다. 이 활동의 결과로 인한 SQL Server 데이터베이스의 증가는 중요한 것으로 간주되지 않으며, 구성된 토큰 재생 보존 기간에 따라 다릅니다. 각 아티팩트 레코드는 크기가 약 30KB입니다.
배포에 필요한 서버 수. SQL Server 인스턴스의 전용 호스트 역할을 하는 하나 이상의 추가 서버(AD FS 인프라를 배포하는 데 필요한 총 서버 수)를 추가해야 합니다. 장애 조치(failover) 클러스터링 또는 미러링을 사용하여 SQL Server 구성 데이터베이스에 대한 내결함성 및 확장성을 제공하려면 두 대 이상의 SQL Server가 필요합니다.
선택한 구성 데이터베이스 유형이 하드웨어 리소스에 미치는 영향
SQL Server 데이터베이스를 사용하는 팜에 배포된 페더레이션 서버와 달리, WID를 사용하는 팜에 배포된 페더레이션 서버의 하드웨어 리소스에 대한 영향은 중요하지 않습니다. 그러나 팜에 WID를 사용할 경우 해당 팜의 각 페더레이션 서버는 페더레이션 서비스에 필요한 정상 작업을 계속 제공하는 동시에 AD FS 구성 데이터베이스의 로컬 복사본에 대한 복제 변경 내용을 저장, 관리 및 유지해야 합니다.
반면, SQL Server 데이터베이스를 사용하는 팜에 배포된 페더레이션 서버는 AD FS 구성 데이터베이스의 로컬 인스턴스를 포함할 필요가 없습니다. 따라서 하드웨어 리소스에 대한 수요가 조금 더 적습니다.
페더레이션 서버를 배치할 위치
보안 모범 사례로 AD FS 페더레이션 서버를 방화벽 뒤에 배치하고 회사 네트워크에 연결하여 인터넷에서 노출되지 않도록 합니다. 페더레이션 서버에는 보안 토큰을 부여할 수 있는 완전한 권한 부여가 있기 때문에 중요합니다. 따라서 도메인 컨트롤러와 동일하게 보호되어야 합니다. 페더레이션 서버가 손상된 경우 악의적인 사용자는 모든 웹 애플리케이션 및 AD FS로 보호되는 페더레이션 서버에 대한 모든 액세스 토큰을 발급할 수 있습니다.
참고 항목
보안 모범 사례로 페더레이션 서버가 인터넷에서 직접 액세스할 수 없도록 합니다. 테스트 랩 환경을 설정하거나 조직에 경계 네트워크가 없는 경우에만 페더레이션 서버에 직접 인터넷 액세스를 제공하는 것이 좋습니다.
일반적인 회사 네트워크에 대한 인트라넷 방화벽은 회사 네트워크와 경계 네트워크 간에 설정하고 인터넷 방화벽은 경계 네트워크와 인터넷 간에 자주 설정합니다. 이 경우 페더레이션 서버는 회사 네트워크 내에 있으며 인터넷 클라이언트에서 직접 액세스할 수 없습니다.
참고 항목
회사 네트워크에 연결된 클라이언트 컴퓨터는 Windows 통합 인증을 통해 페더레이션 서버와 직접 통신할 수 있습니다.
AD FS에서 사용할 방화벽 서버를 구성하기 전에 페더레이션 서버 프록시를 경계 네트워크에 배치해야 합니다.
지원되는 배포 토폴로지
다음 문서에서는 AD FS와 함께 사용할 수 있는 다양한 배포 토폴로지에 대해 설명합니다. 또한 특정 비즈니스 요구 사항에 가장 적합한 토폴로지를 선택할 수 있도록 각 배포 토폴로지와 연관된 이점 및 제한 사항을 설명합니다.