Single Sign-On 준비
업데이트: 2015년 6월 25일
적용 대상: Azure, Office 365, Power BI, Windows Intune
참고
이 항목은 중국의 Microsoft Azure 사용자에게 완전히 적용되지 않을 수 있습니다. 중국의 Azure 서비스에 대한 자세한 내용은 windowsazure.cn 참조하세요.
Single Sign-On을 준비하려면 다음 단계를 완료합니다.
1단계: Single Sign-On에 대한 요구 사항 검토
2단계: Active Directory 준비
1단계: Single Sign-On에 대한 요구 사항 검토
이 SSO 솔루션을 구현하려면 다음 요구 사항을 충족해야 합니다.
Active Directory를 Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 또는 Windows Server 2012 R2에서 배포하고 실행합니다.
AD FS를 STS로 사용하려는 경우에는 다음 중 하나를 수행해야 합니다.
Windows Server 2008 또는 Windows Server 2008 R2 서버에 AD FS 2.0을 다운로드, 설치 및 배포합니다. 또한 사용자가 회사 네트워크 외부에서 연결하는 경우 AD FS 2.0 프록시를 배포해야 합니다.
Windows Server 2012 또는 Windows Server 2012 R2 서버에 AD FS 역할 서비스를 설치합니다.
Shibboleth ID 공급자를 STS로 사용하려면 정상 작동하는 Shibboleth ID 공급자를 설치 및 준비해야 합니다.
중요
Microsoft는 이미 설치된 Shibboleth ID 공급자와 Microsoft Intune 또는 Office 365 같은 Microsoft 클라우드 서비스의 통합으로 이 Single Sign-On 환경을 지원합니다. Shibboleth Identity Provider는 타사 제품이므로 Microsoft는 Shibboleth Identity Provider와 관련해서 배포, 구성, 문제 해결, 모범 사례 등의 문제와 질문을 지원하지 않습니다. Shibboleth ID 공급자에 대한 자세한 내용은 다음을 참조하세요 https://go.microsoft.com/fwlink/?LinkID=256497.
설정할 STS 유형에 따라 Windows PowerShell Microsoft Azure Active Directory 모듈을 사용하여 온-프레미스 STS와 Azure AD 간에 페더레이션 트러스트를 설정합니다.
Microsoft 클라우드 서비스 구독의 필수 업데이트를 설치하여 사용자가 Windows 7, Windows Vista 또는 Windows XP의 최신 업데이트를 실행하도록 합니다. 일부 기능은 적절한 버전의 운영 체제, 브라우저 및 소프트웨어가 없으면 정상적으로 작동하지 않을 수 있습니다. 자세한 내용은 부록 A: 소프트웨어 요구 사항 검토를 참조하세요.
2단계: Active Directory 준비
Single Sign-On에서 제대로 작동하려면 Active Directory에 특정 설정이 구성되어 있어야 합니다. 특히 사용자 로그온 이름이라고도 하는 UPN(사용자 이름)을 각 사용자에 특정한 방식으로 설정해야 합니다.
참고
Single Sign-On을 위해 Active Directory 환경을 준비하려면 Microsoft 배포 준비 도구를 실행하는 것이 좋습니다. 이 도구는 Active Directory 환경을 검사하고 Single Sign-On을 설정할 준비가 되었는지 여부에 대한 정보를 포함하는 보고서를 제공합니다. 준비가 되지 않은 경우 Single Sign-On을 준비하는 데 필요한 변경 내용을 나열합니다. 예를 들어 사용자에게 UPN이 있는지, 그러한 UPN이 올바른 형식인지 여부를 확인합니다.
각 도메인에 따라 다음 작업을 수행해야 할 수도 있습니다.
사용자가 UPN을 설정하여 알고 있어야 합니다.
UPN 도메인 접미사가 Single Sign-On에 대해 설정할 도메인 아래에 있어야 합니다.
페더레이션할 도메인이 도메인 등록자나 공용 DNS 서버 내에 공용 도메인으로 등록되어 있어야 합니다.
UPN을 만들려면 Active Directory 항목 사용자 계정 이름 접미사 추가의 지침을 따릅니다. Single Sign-On에 사용되는 UPN에는 문자, 숫자, 마침표, 대시 및 밑줄만 사용할 수 있습니다.
Active Directory 도메인 이름이 공용 인터넷 도메인이 아닌 경우(예: ".local" 접미사로 끝나는 경우) 공개적으로 등록할 수 있는 인터넷 도메인 이름 아래에 도메인 접미사가 있도록 UPN을 설정해야 합니다. 전자 메일 도메인과 같이 사용자에게 익숙한 도메인을 사용하는 것이 좋습니다.
Active Directory 동기화를 이미 설정한 경우에는 사용자의 UPN이 Active Directory에 정의된 사용자의 온-프레미스 UPN과 일치하지 않을 수 있습니다. 이 문제를 해결하려면 Windows PowerShell Microsoft Azure Active Directory 모듈의 Set-MsolUserPrincipalName cmdlet을 사용하여 사용자의 UPN 이름을 바꿉니다.