특성 저장소의 역할

AD FS(Active Directory Federation Services)에서 특성 저장소라는 용어는 조직에서 사용자 계정 및 해당 특성 값을 저장하는 데 사용하는 디렉터리 또는 데이터베이스를 나타냅니다. ID 공급자 조직에서 구성된 후 AD FS는 저장소에서 이러한 특성 값을 검색합니다. 신뢰 당사자 조직에서 호스트되는 웹 애플리케이션 또는 서비스가 페더레이션된 사용자(ID 공급자 조직에 계정이 저장된 사용자)가 애플리케이션 또는 서비스에 액세스하려고 할 때 적절한 권한 부여 결정을 내릴 수 있도록 해당 정보를 기반으로 클레임을 만듭니다.

클레임 생성 방법에 대한 자세한 내용은 클레임의 역할을 참조하세요.

특성 저장소가 AD FS 배포 목표를 맞추는 방법

사용자 특성 저장소의 위치와 사용자가 인증하는 위치는 사용자 ID를 지원하도록 AD FS를 디자인하는 방법을 결정합니다. 특성 저장소의 위치와 사용자가 애플리케이션에 액세스할 위치(인트라넷 또는 인터넷)에 따라 다음 배포 목표 중 하나가 있을 수 있습니다.

• Active Directory 사용자에게 클레임 인식 애플리케이션 및 서비스에 대한 액세스 권한을 부여합니다. 이 시나리오에서 조직의 사용자는 사용자가 회사 인트라넷의 Active Directory에 로그인할 때 AD FS로 보호되는 애플리케이션 또는 서비스에 액세스합니다. 애플리케이션 또는 서비스는 사용자 고유 또는 파트너일 수 있습니다.

• Active Directory 사용자에게 다른 조직의 애플리케이션 및 서비스에 대한 액세스 권한을 부여합니다. 이 시나리오에서 조직의 사용자는 사용자가 회사 인트라넷의 특성 저장소에 로그인하고 인터넷에서 원격으로 로그인할 때 AD FS로 보호되는 애플리케이션 또는 서비스에 액세스합니다. 애플리케이션 또는 서비스는 사용자 고유 또는 파트너일 수 있습니다.

• 다른 조직의 사용자에게 클레임 인식 애플리케이션 및 서비스에 대한 액세스 권한을 부여합니다. 이 시나리오에서는 해당 조직의 회사 인트라넷에 있는 특성 저장소에 있는 다른 조직의 사용자 계정이 조직의 AD FS로 보호되는 애플리케이션에 액세스해야 합니다. 이 시나리오는 조직의 경계 네트워크에 있는 특성 저장소에 있는 소비자 기반 사용자 계정에 조직의 AD FS로 보호되는 애플리케이션에 대한 액세스 권한을 부여해야 하는 경우에도 작동합니다.

특성 저장소 배치 및 조직의 다른 요구 사항에 따라 이러한 배포 목표 중 몇 가지를 결합하여 AD FS 배포 디자인을 완료할 수 있습니다.

AD FS에서 지원하는 특성 저장소

AD FS는 다양한 디렉터리 및 데이터베이스 저장소를 지원합니다. 이를 사용하여 관리자 정의 특성 값을 추출하고 클레임을 해당 값으로 채울 수 있습니다. AD FS는 이러한 디렉터리 또는 데이터베이스를 특성 저장소로 지원합니다.

• Windows Server 2012 및 2012 R2 및 Windows Server 2016 이상에서 Microsoft Entra Do기본 서비스

• SQL Server 2012, SQL Server 2014 및 SQL Server 2016 이상의 모든 버전

• 사용자 지정 특성 저장소