ADFS의 정의

Teju Shyamsundar June 21, 2018

Active Directory Federation Services(ADFS)는 Microsoft에서 개발한 SSO(Single Sign-On) 솔루션입니다. Windows Server 운영 체제의 구성요소로서, 사용자에게 Active Directory(AD)를 통해 Integrated Windows Authentication(IWA)를 사용할 수 없는 애플리케이션에 인증을 받아 액세스할 수 있는 방법을 제공합니다.

ADFS는 유연성을 목적으로 개발되어 기업이 직원 계정을 관리하는 동시에 사용자 경험까지 간소화할 수 있습니다. 직원들은 SSO를 통해 여러 애플리케이션에 액세스하기 때문에 자격 증명 세트 하나만 기억하면 됩니다.

ADFS의 원리

ADFS는 AD와 대상 애플리케이션 사이에 프록시 서비스를 호스팅하여 인증을 관리합니다. 또한 페더레이션 트러스트를 사용해 ADFS와 대상 애플리케이션을 연결하여 사용자에게 액세스 권한을 부여합니다. 따라서 사용자는 애플리케이션에서 직접 자신의 아이덴티티를 인증할 필요 없이 SSO를 통해 페더레이션 애플리케이션에 로그인할 수 있습니다.

인증 프로세스는 일반적으로 다음과 같이 4단계로 이루어집니다.

  1. 사용자가 ADFS 서비스에서 제공된 URL로 이동합니다.
  2. ADFS 서비스가 기업의 AD 서비스를 통해 사용자를 인증합니다.
  3. 인증이 완료되면 ADFS 서비스가 사용자에게 인증 클레임을 제공합니다.
  4. 인증 클레임이 사용자의 브라우저에서 대상 애플리케이션으로 전송되고, 여기에서 생성된 페더레이션 트러스트 서비스에 따라 액세스를 허용 거부합니다.

기업들이 ADFS를 사용하는 이유

ADFS는 온라인 연결이 점차 확산되는 세상에서 AD로 인해 발생하는 인증 문제를 해결하기 위해 탄생했습니다. AD와 IWA는 최신 인증 서비스와 비교했을 때 제약이 따르기 때문에 외부의 AD 통합 애플리케이션에 액세스하는 사용자는 인증하지 못합니다. 하지만 오늘날 작업 환경에서는 사용자가 AD 부서에서 소유하거나 관리하지 않는 애플리케이션에도 액세스해야 하는 경우가 많기 때문에 이러한 제약이 문제가 될 수 있습니다.

ADFS는 이러한 타사 인증 문제를 해결하고 간소화하는 장점이 있지만 위험과 단점이 있는 것도 사실입니다.

ADFS는 웹 인터페이스에서 기업의 표준 AD 자격 증명을 사용하여 유연하게 인증할 수 있는 솔루션을 제공함으로써 원격 근무 시 AD 통합 애플리케이션에 액세스해야 하는 사용자들의 문제를 해결합니다. 따라서 기업 사용자들은 자사의 AD 도메인 영역에서 벗어나 타사 애플리케이션에도 액세스할 수 있습니다. 대표적으로 파트너 기업의 애플리케이션이나 오늘날 확장된 기업 IT 환경을 구성하는 최신 클라우드 서비스가 여기에 해당합니다.

90% 이상의 기업들이 Active Directory를 사용하고 있는데, 이는 ADFS를 사용하는 기업도 많다는 것을 의미합니다.

ADFS의 위험과 단점

ADFS 역시 단점이 있기 때문에 이상적인 인증 솔루션이라고 할 수는 없습니다. 숨겨진 인프라와 유지보수 비용, 그리고 보안 위험이 있기 때문입니다.

ADFS가 Windows Server에서 무료로 제공되는 기능이라고 해도 ADFS를 시작하려면 Windows Server 라이선스와 ADFS 서비스를 호스팅할 서버가 필요하기 때문에 비용이 발생할 수밖에 없습니다. 더욱이 이제는 코어 단위로 라이선스 비용이 결정되기 때문에 Windows Server 2016 릴리스 이후로 서버 라이선스 비용이 증가했습니다.

숨겨진 유지보수 비용

기업은 ADFS 시작에 따른 직접 비용 외에도 ADFS 서비스를 관리하고 유지보수하는 데 필요한 운영 비용을 감안해야 합니다. 또한 AD 도메인 사이의 트러스트는 직원이 직접 유지보수해야 하기 때문에 직원에게 기술적으로 깊이 있는 역량이 필요할 뿐만 아니라 ADFS 서버에 대한 패치, 업데이트 및 백업이 정기적으로 이루어져야 합니다. 게다가 ADFS는 핵심 서비스이기 때문에 고가용성이 필수입니다. 그 밖에도 ADFS는 필요한 인프라가 늘어날수록 직접적으로, 그리고 복잡성이 커질수록 간접적으로, 구성 방식에 따라 예상치 못한 비용이 발생할 수 있습니다.

복잡성

ADFS 솔루션을 시작하고, 구성하고, 유지보수하는 작업은 간단하지 않습니다. 나아가서 애플리케이션이 ADFS 서비스에 추가될 때마다 처리 시간이 오래 걸리고 기술적으로 복잡하기 때문에 IT 팀의 민첩성을 해치기도 합니다.

보안 위험

즉석에서 일어나는 ADFS 표준 설치는 생각만큼 안전하지 않습니다. 이를 안전하게 보호하기 위해서는 IT 팀이 몇 가지 단계 거쳐야 합니다.. 또한 ADFS가 Windows Server에서 실행되기 때문에 ADFS 솔루션이 위험에 노출되지 않으려면 Windows Server도 강력한 보안이 필요합니다.

ADFS와 클라우드 아이덴티티의 비교

ADFS가 페더레이션 아이덴티티 솔루션을 찾는 기업들에게 인기가 있는 데는 분명 그만한 이유가 있습니다. 하지만 단점 역시 무시할 수 없습니다.

타사 클라우드 기반 아이덴티티 서비스도 ADFS 서비스에 버금갈 뿐만 아니라 경우에 따라 능가하는 기능을 제공할 수 있습니다. 또한 운영비가 낮아서 비용 효율이 더욱 높습니다. 그 밖에도 고가용성은 물론이고 수백 개의 애플리케이션과 원활하게 통합되는 기능까지 기본적으로 지원합니다. Okta는 안전한 클라우드 기반의 아이덴티티 솔루션, 즉 인증 문제를 해결하는 것은 물론이고 보안을 일관되게 최우선으로 고려하는 솔루션을 사용자에게 제공합니다.

자사에게 적합한 인증 솔루션을 찾는 방법을 자세히 알아보세요.

Twitter image