ADFS서버란?

Active Directory Federation Services (ADFS)는 Microsoft에서 제공하는서비스 중 하나이다. ADFS는 여러 네트워크 및 서비스 간에 사용자 인증을 가능하게 하는 페더레이션(identity federation) 기능을 제공하며, 페더레이션은 한 시스템에서 인증된 사용자를 다른 시스템에서도 인증된 것으로 간주한다.

 

예를 들어, 사용자가 한 번 자신의 사용자 이름과 비밀번호를 사용하여 로그인하면, 해당 사용자는 네트워크 내의 다른 시스템들에서도 로그인 없이 액세스할 수 있게 되며, 이를 Single Sign-On(SSO)이라 부른다.

ADFS는 웹 서비스(웹 애플리케이션 또는 클라우드 서비스와 같은)에 대한 SSO 기능도 제공하며, 사용자가 자신의 Active Directory 자격 증명을 사용하여 이러한 서비스에 로그인할 수 있게 하는데, 이는 사용자가 다양한 서비스에 대해 별도의 로그인 정보를 유지할 필요를 없애고, 자격증명에 대한 관리를 손쉽게 할 수 있다.

ADFS는 보안 토큰 서비스(Security Token Service, STS)로 동작하며, 이는 사용자가 누구인지 확인하고 (인증) 그에 따라 적절한 권한을 부여 (권한 부여)하는 역할도 한다. ADFS는 SAML (Security Assertion Markup Language)과 같은 표준 프로토콜을 지원하여 다른 시스템과의 호환성을 유지함은 물론, OAuth 2.0과 OpenID Connect와 같은 인증 프로토콜을 지원한다.

OAuth 2.0은 사용자가 서비스에 자신의 자격 증명을 직접 제공하지 않고도, 그 서비스가 사용자를 대신해서 특정 리소스에 액세스하도록 허용하는 열린 표준이며, 이는 사용자의 권한을 위임(delegation)하는 방식으로 동작한다. 예를 들어, 사용자가 페이스북 같은 서비스로 로그인하여 다른 앱이 페이스북 사진에 액세스하도록 허용하는 경우가 이에 해당할 수 있다.

OpenID Connect 도 인증을 위한 수단으로 OAuth 2.0 위에 구축된 간단한 신원 계층이며, 사용자를 인증하고 기본적인 프로필 정보를 가져오는 데 사용된다. 이는 사용자가 OpenID Provider로 인증하고 해당 인증을 다른 웹사이트에 사용할 수 있게 하는 "단일 로그인"을 가능하게 한다.

이러한 프로토콜들을 통해 ADFS는 다양한 클라우드 기반 및 써드파티 애플리케이션에 대한 SSO(single sign-on)를 제공할 수 있으며, 사용자는 Active Directory 자격 증명을 사용하여 ADFS 연동 서비스에 로그온할 수 있게 되며, 이는 별도의 로그인 정보를 유지할 필요를 없애고 보안 관리를 간소화 하는 매우 강력하는 기능이다.

 

다만, 이런 ADFS의 기능은 Azure AD로 통합되어 활용 범위 및 입지가 점점 좁아지고 있다.