Microsoft 및 F5 고객을 위한 ID 페더레이션 및 SSO

9월에 있었던 Microsoft Ignite의 기세를 이어받아 Microsoft Active Directory Federation Services(AD FS)를 사용하는 분들에게는 즐거운 일이 생길 것입니다. 나는 믿을 수 없다는 것을 느끼지만, 계속 읽어보세요. 기쁨이 다가온다는 것을 약속합니다.   

AD FS의 큰 장점은 무엇입니까? 제목에서 짐작하셨겠지만, AD FS는 기업 네트워크에서 인트라넷, 엑스트라넷 및 클라우드 애플리케이션에 이르기까지 ID 페더레이션과 SSO(Single Sign-On)를 구현하는 Microsoft 솔루션입니다. 즉, 사용자는 회사 로그인 정보를 사용하여 조직 외부의 애플리케이션에 액세스할 수 있습니다. 예를 들어, AD FS를 사용하면 사용자가 Microsoft/Windows 환경에서 로그인하여 Office 365와 Salesforce 또는 Box와 같은 외부 애플리케이션에 원활하게 액세스할 수 있습니다.

여러분은 기업들이 수년 동안 이런 일을 해왔을 것이라고 생각할 것입니다. 별로 흥미로운 일은 아닙니다. 당신이 약속한 기쁨은 어디에 있나요? 이제 시작입니다. 조금만 기다려 주세요. AD FS를 배포하는 데 익숙한 사람들은 Microsoft WAP(웹 애플리케이션 프록시)에도 익숙할 것입니다. WAP는 AD FS와 같은 내부(방화벽 뒤) 애플리케이션에 대한 외부 액세스를 허용하는 Microsoft의 게이트웨이 제품입니다. WAP는 MS-ADFSPIP (Active Directory Federation Services and Proxy Integration Protocol)를 사용하는 AD FS를 구체적으로 지원합니다. 이는 이 블로그에 나오는 가장 긴 약어가 될 것입니다. 이 프로토콜은 AD FS 서버와 WAP 간의 필수 상호 인증서 기반 인증과 특정 정보 교환을 가능하게 합니다.

외부 사용자는 AD FS에 액세스하려면 WAP를 거쳐야 합니다. WAP는 Windows 서버에서 실행됩니다. 여기가 복잡성과 비용을 증가시키는 부분입니다. 이러한 시스템은 개방형 인터넷에 노출되어 있으므로 일반적으로 부하를 분산하고 보안을 위해 엄격하게 구성해야 하며, 확장성을 위해 많은 시스템이 필요할 수 있습니다.

좋은 점은 다음과 같습니다. F5는 F5 BIG-IP 플랫폼이 MS-ADFSPIP를 지원하도록 했으며, 이를 구현한 최초의 비 Microsoft 제품입니다. 이것은 무엇을 의미하나요? APM( 액세스 정책 관리자 )을 탑재한 F5 BIG-IP는 WAP 서버와 이를 지원하는 로드 밸런서를 대체할 수 있습니다. 인터넷에 노출되도록 설계된 보안 솔루션을 사용하여 AD FS를 프록시할 수 있습니다. AD FS 프록시로 F5를 사용하면 DMZ의 서버 수를 줄이고, 배포를 간소화하고, 더 빠르게 확장할 수 있으며, 여전히 MS-ADFSPIP를 완벽하게 지원할 수 있습니다.

Microsoft의 ID 부문 수석 그룹 프로그램 관리자인 Samuel Devasahayan이 흥미로운 소식을 공개하는 Microsoft Ignite 세션을 여기에서 확인할 수 있습니다. 기쁨의 눈물이 떨어지는 소리가 들리는 듯합니다.