내보내기(0) 인쇄
모두 확장
이 항목은 아직 평가되지 않았습니다.- 이 항목 평가

Single Sign-On 준비

게시: 2012년 6월

업데이트 날짜: 2013년 2월

적용 대상: Office 365, Windows Intune

note참고
이 항목에서는 Windows Intune, Office 365 등의 여러 Microsoft 클라우드 서비스에 적용되는 온라인 도움말 내용을 제공합니다.

Single Sign-On을 사용하면 사용자는 기존 Active Directory 회사 자격 증명(사용자 이름 및 암호)으로 Microsoft 클라우드 서비스에 액세스할 수 있습니다. Single Sign-On을 설정하려면 하나 이상의 온-프레미스 서버를 STS(보안 토큰 서비스)로 구성해야 합니다. STS를 사용하면 중앙에서 관리되는 인증, 권한 부여 및 SSO의 개념을 어디서든 사용할 수 있는 웹 응용 프로그램 및 서비스(예: 경계 네트워크, 파트너 네트워크 및 클라우드)로 확장하는 ID 페더레이션이 가능합니다. Microsoft 클라우드 서비스에 Single Sign-On 액세스할 수 있도록 STS를 구성하면 온-프레미스 STS와 Windows Azure Active Directory에 지정된 페더레이션된 도메인 간에 페더레이션된 트러스트가 생성됩니다.

Windows Azure AD는 다음 보안 토큰 서비스 중 하나를 사용하는 Single Sign-On을 지원합니다.

  • AD FS(Active Directory Federation Services)

  • Shibboleth Identity Provider

이 문서의 다음 단원에서는 Single Sign-On 사용 시의 이점, 사용자 환경 및 요구 사항에 대해 설명합니다. 또한 Active Directory 설정이 Single Sign-On 요구 사항과 호환되는지 확인하는 방법을 보여 줍니다.

문서 내용

Single Sign-On 사용 시의 이점

Single Sign-On을 설치하면 사용자에게 분명한 이점이 있습니다. 즉, 사용자는 자신의 회사 자격 증명을 사용하여 귀사에서 구독하는 클라우드 서비스에 액세스할 수 있습니다. 사용자는 다시 로그인할 필요가 없으며 암호를 여러 개 기억할 필요도 없습니다.

사용자뿐 아니라 관리자도 다음과 같은 많은 이점을 누릴 수 있습니다.

  • 정책 제어: 관리자는 Active Directory를 통해 계정 정책을 제어함으로써 클라우드에서 추가 작업을 수행할 필요 없이 암호 정책, 워크스테이션 제한 사항, 잠금 제어 등을 관리할 수 있습니다.

  • 액세스 제어: 관리자는 클라우드 서비스에 대한 액세스를 제한하여 회사 환경이나 온라인 서버, 또는 두 방식 모두를 통해 해당 서비스에 액세스하도록 구성할 수 있습니다.

  • 지원 요청 감소: 암호를 잊어버려 지원을 요청하는 것은 모든 회사에서 매우 흔한 일입니다. 많은 암호를 기억하지 않아도 된다면 암호를 잊어버릴 가능성도 줄어들 것입니다.

  • 보안: Single Sign-On에서 사용되는 모든 서버 및 서비스는 온-프레미스로 마스터되고 제어되므로 사용자 ID 및 정보가 보호됩니다.

  • 강력한 인증 지원: 클라우드 서비스에서 강력한 인증(2단계 인증이라고도 함)을 사용할 수 있습니다. 하지만 강력한 인증을 사용하는 경우 Single Sign-On을 사용해야 합니다. 강력한 인증 사용에는 제한 사항이 있습니다. AD FS를 STS로 사용하려는 경우 자세한 내용은 Configuring Advanced Options for AD FS 2.0(AD FS 2.0에 대한 고급 옵션 구성)을 참조하십시오.

문서 내용

다양한 위치에서 Single Sign-On 사용 시의 사용자 환경

Single Sign-On 사용 시의 사용자 환경은 컴퓨터가 회사 네트워크에 연결된 방식, 컴퓨터에서 실행되는 운영 체제, 그리고 관리자의 STS 인프라 구성 방식 등에 따라 달라집니다.

다음 목록에서는 네트워크 내에서 Single Sign-On 사용 시의 사용자 환경에 대해 설명합니다.

  • 회사 네트워크의 작업 컴퓨터: 회사에서 회사 네트워크에 로그인되어 있는 사용자의 경우 Single Sign-On을 사용하면 다시 로그인하지 않고 클라우드 서비스에 액세스할 수 있습니다.

다음 상황과 같이 사용자가 회사 네트워크 외부에서 연결하거나 특정 장치 또는 응용 프로그램으로 액세스하는 경우 STS 프록시를 배포해야 합니다. AD FS를 STS로 사용하려는 경우 AD FS 프록시를 설정하는 방법에 대한 자세한 내용은 Plan for and deploy AD FS for use with single sign-on를 참조하십시오.

  • 작업 컴퓨터, 로밍: 회사 네트워크에 연결되어 있지 않지만 회사 자격 증명을 사용하여 도메인에 가입된 컴퓨터에 로그온한 사용자(예: 가정이나 호텔의 작업 컴퓨터를 사용하는 사용자)는 클라우드 서비스에 액세스할 수 있습니다.

  • 가정용 컴퓨터 또는 공용 컴퓨터: 회사 도메인에 가입되지 않은 컴퓨터를 사용하는 사용자는 클라우드 서비스에 액세스하려면 회사 자격 증명을 사용하여 로그인해야 합니다.

  • 스마트 폰: 스마트 폰에서 Microsoft Exchange ActiveSync를 사용하여 Microsoft Exchange Online과 같은 클라우드 서비스에 액세스하려면 사용자가 회사 자격 증명으로 로그인해야 합니다.

  • Microsoft Outlook 또는 다른 전자 메일 클라이언트: 사용자가 Outlook 또는 Office에 포함되지 않은 전자 메일 클라이언트(예: IMAP 또는 POP 클라이언트)를 사용하여 전자 메일에 액세스하는 경우 회사 자격 증명으로 로그인해야 합니다.

    Shibboleth를 STS로 사용하는 경우 스마트 폰, Microsoft Outlook 또는 기타 클라이언트에서 Single Sign-On을 사용하려면 Shibboleth Identity Provider ECP 확장을 설치해야 합니다. 자세한 내용은 Single Sign-On에 사용할 Shibboleth 구성을 참조하십시오.

AD FS를 사용하는 Single Sign-On에 대한 자세한 내용은 How single sign-on works(Single Sign-On 작동 방식)를 참조하십시오.

문서 내용

Single Sign-On을 위한 요구 사항

Single Sign-On을 사용하려면 다음 조건을 충족해야 합니다.

  • 혼합 모드나 기본 모드의 기능 수준으로 Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012에 Active Directory를 배포하고 실행합니다.

  • AD FS를 STS로 사용하려는 경우 다음 중 하나를 수행해야 합니다.

  • 설정할 STS 유형에 따라 적절한 Windows PowerShell용 Windows Azure Active Directory 모듈을 사용하여 온-프레미스 STS와 Windows Azure AD 간에 페더레이션 트러스트를 설정합니다.

  • 사용자가 Windows 7, Windows Vista 또는 Windows XP의 최신 업데이트를 실행하도록 클라우드 서비스 다운로드 페이지에서 Microsoft 클라우드 서비스의 필수 업데이트를 설치합니다. 클라우드 서비스 다운로드 페이지에 액세스하려면 클라우드 서비스 포털에 로그인한 다음 리소스에서 다운로드를 클릭합니다. 적절한 버전의 운영 체제, 브라우저 및 소프트웨어가 없을 경우 클라우드 서비스의 기능이 제대로 작동하지 않습니다. 자세한 내용은 소프트웨어 요구 사항을 참조하십시오.

문서 내용

Active Directory 준비

Active Directory가 Single Sign-On과 함께 제대로 작동하려면 특정 설정을 구성해야 합니다. 특히 사용자 로그온 이름이라고도 하는 UPN(사용자 이름)을 각 사용자에 특정한 방식으로 설정해야 합니다.

note참고
Single Sign-On에 대한 Active Directory 환경을 준비하려면 Microsoft 배포 준비 도구를 실행하는 것이 좋습니다. 이 도구는 Active Directory 환경을 검사하고 Single Sign-On을 설정할 준비가 되었는지 여부에 대한 정보가 포함된 보고서를 제공합니다. 준비가 되지 않은 경우 Single Sign-On을 준비하는 데 필요한 변경 내용을 나열합니다. 예를 들어 사용자에게 UPN이 있는지, 그러한 UPN이 올바른 형식인지 여부를 확인합니다.

각 도메인에 따라 다음 작업을 수행해야 할 수도 있습니다.

  • 사용자가 UPN을 설정하여 알고 있어야 합니다.

  • UPN 도메인 접미사가 Single Sign-On에 대해 설정할 도메인 아래에 있어야 합니다.

  • 페더레이션할 도메인이 도메인 등록 기관이나 공용 DNS 서버 내에 공용 도메인으로 등록되어 있어야 합니다.

  • UPN을 만들려면 Active Directory 항목인 UPN(사용자 이름) 접미사 추가의 지침을 따르십시오. Single Sign-On에 사용되는 UPN에는 문자, 숫자, 마침표, 대시 및 밑줄만 사용할 수 있습니다.

  • Active Directory 도메인 이름이 공용 인터넷 도메인이 아닌 경우(예: ".local" 접미사로 끝나는 경우) 공개적으로 등록할 수 있는 인터넷 도메인 이름 아래의 도메인 접미사를 사용하도록 UPN을 설정해야 합니다. 전자 메일 도메인과 같이 사용자에게 익숙한 도메인을 사용하는 것이 좋습니다.

  • Active Directory 동기화를 이미 설정한 경우에는 사용자의 UPN이 Active Directory에 정의된 사용자의 온-프레미스 UPN과 일치하지 않을 수 있습니다. 이 문제를 해결하려면 Windows PowerShell용 Windows Azure Active Directory 모듈에 있는 Set-MsolUserPrincipalName cmdlet을 사용하여 사용자의 UPN의 이름을 바꿉니다.

문서 내용

다음 단계

이제 Single Sign-On 준비가 완료되었으므로 STS를 설정해야 합니다. 단계별 지침을 보려면 조직에서 사용할 STS 옵션에 따라 다음 링크 중 하나를 클릭합니다.

note참고
위 STS 옵션 링크의 각 항목에는 온-프레미스 환경에서 특정 STS 구현을 설정하는 방법을 안내하는 단계가 포함되어 있습니다. Windows Azure AD에서 Single Sign-On을 성공적으로 구성하려면 각 STS 옵션에 맞게 제공되는 단계를 따라야 합니다.

문서 내용

참고 항목

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft. All rights reserved.