기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 시나리오 1: AD 커넥터를 사용하여 온-프레미스 Active Directory 서비스에 대한 프록시 인증
<a name="scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service"></a>

 이 시나리오는 온-프레미스 AD 서비스를 확장하고 싶지 않거나 AD DS를 새로 배포할 AWS 수 없는 고객을 위한 것입니다. 다음 그림은 각 구성 요소와 사용자 인증 흐름을 개괄적으로 보여줍니다.

![\[각 구성 요소 및 사용자 인증 흐름을 개괄적으로 보여 주는 샘플 아키텍처.\]](http://docs.aws.amazon.com/ko_kr/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/ad-connector-to-onprem.png)


 이 시나리오에서는 AD Connector를 통해 고객 온-프레미스 AD DS로 프록시되는 모든 사용자 또는 MFA 인증에 AWS 디렉터리 서비스 (AD 커넥터) 가 사용됩니다 (다음 그림 참조). 인증 프로세스에 사용되는 프로토콜 또는 암호화에 대한 자세한 내용은 이 문서의 [보안](security.md) 섹션을 참조하십시오.

![\[AD Connector를 통해 고객 온-프레미스 AD DS로 프록시되는 모든 사용자 또는 MFA 인증에 AD Connector를 사용하는 방법을 보여주는 샘플 아키텍처입니다.\]](http://docs.aws.amazon.com/ko_kr/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/user-authentication-auth-gateway.png)


 시나리오 1은 고객이 이미 리소스를 보유하고 있을 수 있는 하이브리드 아키텍처와 WorkSpaces Amazon을 통해 액세스할 수 있는 온 프레미스 데이터 센터의 리소스를 보여줍니다. AWS 고객은 기존 온프레미스 AD DS 및 RADIUS 서버를 사용자 및 MFA 인증에 활용할 수 있습니다.

 이 아키텍처는 다음 구성 요소 또는 구조를 사용합니다.

## AWS
<a name="aws"></a>
+  **Amazon VPC** — 두 AZ에 걸쳐 최소 두 개의 프라이빗 서브넷이 있는 Amazon VPC를 생성합니다.
+  **DHCP 옵션 세트** — Amazon VPC DHCP 옵션 세트 생성. 이를 통해 고객이 지정한 도메인 이름 및 DNS (도메인 이름 서버) (온프레미스 서비스) 를 정의할 수 있습니다. 자세한 내용은 [DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html) 옵션 세트를 참조하십시오.
+  **Amazon 가상 사설 게이트웨이** — IPsec VPN 터널 또는 AWS Direct Connect 연결을 통해 자체 네트워크와 통신할 수 있습니다.
+  **AWS 디렉터리 서비스** — AD Connector는 한 쌍의 Amazon VPC 프라이빗 서브넷에 배포됩니다.
+  **Amazon WorkSpaces** — AD Connector와 동일한 프라이빗 서브넷에 WorkSpaces 배포됩니다. 자세한 내용은 이 문서의 [Active Directory: 사이트 및 서비스](design-considerations.md#active-directory-sites-and-services) 섹션을 참조하십시오.

## 고객
<a name="customer"></a>
+  **네트워크 연결** — 기업 VPN 또는 Direct Connect 엔드포인트.
+  **AD DS** — 기업 AD DS.
+  **MFA (선택 사항)** — 기업 RADIUS 서버.
+  **최종 사용자 디바이스** — Amazon 서비스에 액세스하는 데 사용되는 기업용 또는 BYOL (BYOL) 최종 사용자 디바이스 (예: Windows, Mac, iPad, Android 태블릿, 제로 클라이언트, 크롬북). WorkSpaces 지원되는 장치 및 [웹 브라우저는 이 클라이언트 애플리케이션 목록을 참조하십시오.](https://docs.aws.amazon.com/workspaces/latest/userguide/workspaces-user-getting-started.html#choose-client)

 이 솔루션은 AD DS를 클라우드에 배포하지 않으려는 고객에게 유용하지만 몇 가지 주의 사항이 있습니다.
+  **연결 의존 — 데이터 센터에 대한** 연결이 끊어지면 사용자는 해당 WorkSpaces 데이터 센터에 로그인할 수 없으며 기존 연결은 Kerberos/Ticket-Granting Ticket (TGT) 수명 기간 동안 활성 상태로 유지됩니다.
+  **지연 시간** — 연결을 통해 대기 시간이 발생하는 경우 (Direct Connect보다 VPN의 경우 더 많음), WorkSpaces 인증 및 모든 ADDS 관련 활동 (예: 그룹 정책 (GPO) 적용에 더 많은 시간이 소요됩니다.
+  **트래픽 비용** — 모든 인증은 VPN 또는 Direct Connect 링크를 통과해야 하므로 연결 유형에 따라 달라집니다. 이는 Amazon EC2에서 인터넷으로의 데이터 전송 또는 데이터 송신 (직접 연결) 입니다.

**참고**  
 AD 커넥터는 프록시 서비스입니다. 사용자 자격 증명을 저장하거나 캐시하지 않습니다. 대신 모든 인증, 조회 및 관리 요청은 AD에서 처리합니다. 디렉터리 서비스에는 모든 사용자 정보를 읽고 컴퓨터를 도메인에 가입시킬 수 있는 권한이 있는 위임 권한이 있는 계정이 필요합니다.

 일반적으로 WorkSpaces 경험은 이전 그림에 표시된 Active Directory 인증 프로세스에 따라 크게 달라집니다. 이 시나리오에서 WorkSpaces 인증 환경은 고객 AD와 WorkSpaces VPC 간의 네트워크 링크에 크게 의존합니다. 고객은 링크의 가용성이 높은지 확인해야 합니다.