.png)
어제 ADFS로 도메인 간 인증을 설정할 수 있는지 묻는 질문을 받았습니다.
대본:
- 트러스트 구성이 없는 두 개의 서로 다른 Windows 도메인(A 및 B)
- IPSec Site2Site를 통해 도메인 간 네트워크 액세스가 설정됩니다(모든 포트를 별도로 열어야 함).
- 도메인 A에 있는 서버의 특정 Windows 서비스 하나는 로그온을 위해 도메인 B의 AD 계정을 사용해야 합니다(Windows 서비스 -> 로그온 -> 이 계정 -> 도메인 B의 계정).
파트너는 보안상의 이유로 도메인 신뢰 구축을 원하지 않으므로 ADFS를 통해 이 인증 프로세스를 실현할 수 있는지 묻습니다.
ADFS는 나에게 아주 새로운데 이 시나리오가 ADFS에서도 가능한지 잘 모르겠습니다.
답변1
이는 도메인 신뢰 없이는 불가능합니다.
ADFS를 사용하면 응용 프로그램이 AD(또는 다른 ID 공급자)에 직접 액세스하지 않고도 인증할 수 있습니다. 하지만 애플리케이션은 이 인증 방법을 명시적으로 지원해야 합니다.
Windows 로그온은 그렇지 않습니다.
Windows 시스템에 로그온하려면 다음 중 하나를 수행해야 합니다.
- 로컬 사용자 계정을 사용하여 로그인
- 시스템이 가입된 도메인의 사용자 계정을 사용하여 로그인합니다.
- 신뢰할 수 있는 도메인의 사용자 계정을 사용하여 로그인
답변2
@Massimo 답변에 추가하려면 클라이언트 자격 증명 흐름과 함께 OpenID Connect를 사용하도록 Windows 서비스를 변경할 수 있는 경우(예: 사용자가 아닌 서비스이므로 명시적인 로그온이 없음) 이것이 작동합니다.
다른 옵션은 서비스가 구식 WS-Trust, 즉 WCF를 사용하는 것입니다.
이 두 가지 모두 ADFS에서 지원됩니다.