계정 파트너에서 페더레이션 서버 프록시의 역할 검토
AD FS(Active Directory Federation Services)에서 계정 파트너 조직의 경계 네트워크에서 페더레이션 서버 프록시의 기본 역할은 인터넷을 통해 로그온하는 클라이언트 컴퓨터에서 인증 자격 증명을 수집하고 계정 파트너 조직의 회사 네트워크 내에 있는 페더레이션 서버에 해당 자격 증명을 전달하는 것입니다. 클라이언트 컴퓨터의 계정은 계정 파트너의 특성 저장소에 저장됩니다.
페더레이션 서버 프록시는 계정 파트너 조직의 요구 사항을 충족하도록 구성하는 방법에 따라 다음 역할 중 하나 이상에서 작동할 수도 있습니다.
릴레이 보안 토큰 - 페더레이션 서버는 페더레이션 서버 프록시에 보안 토큰을 발급한 다음, 토큰을 클라이언트 컴퓨터에 릴레이합니다. 보안 토큰은 해당 클라이언트 컴퓨터에 특정 신뢰 당사자에 대한 액세스 권한을 제공하기 위해 사용됩니다.
자격 증명 수집 - 페더레이션 서버 프록시는 기본 클라이언트 로그온 웹 양식(clientlogon.aspx)을 사용하여 양식 기반 인증을 통해 암호 기반 자격 증명을 수집합니다. 그러나 SSL(Secure Sockets Layer) 클라이언트 인증과 같은 다른 지원된 인증 형식을 허용하도록 이 양식을 사용자 지정할 수 있습니다. 이 페이지를 사용자 지정하는 방법에 대한 자세한 내용은 클라이언트 로그온 및 홈 영역 검색 페이지 사용자 지정(http://go.microsoft.com/fwlink/?LinkId=104275)을 참조하세요. 페더레이션 서버 프록시는 Windows 통합 인증을 통해 자격 증명을 허용하지 않습니다.
요약하자면, 계정 파트너의 페더레이션 서버 프록시는 회사 네트워크에 있는 페더레이션 서버에 클라이언트 로그온을 위한 프록시 역할을 합니다. 페더레이션 서버 프록시를 사용하면 신뢰 당사자를 대상으로 하는 인터넷 클라이언트에 보안 토큰을 쉽게 배포할 수 있습니다.
주의
계정 파트너 엑스트라넷에 페더레이션 서버 프록시를 노출하면 인터넷에 액세스할 수 있는 모든 사용자가 액세스할 수 있는 클라이언트 로그온 웹 양식이 표시됩니다. 이는 잠재적으로 조직을 회사 AD DS(Active Directory 도메인 서비스)에 저장된 사용자 계정에 대한 계정 잠금을 트리거할 수 있는 사전 공격 또는 무차별 암호 대입 공격과 같은 일부 암호 기반 공격에 취약한 상태로 만들 수 있습니다.