AD FS를 사용하는 Single Sign-On 확인 및 관리

업데이트: 2015년 6월 25일

적용 대상: Azure, Office 365, Power BI, Windows Intune

관리자는 Single Sign-On(ID 페더레이션이라고도 함)을 확인하고 관리하기 전에 정보를 검토하고 검사 목록의 단계를 수행합니다. AD FS를 사용하여 Single Sign-On을 구현하고 관리합니다.

Single Sign-On을 설정한 후 올바르게 작동하는지 확인해야 합니다. 또한 원활한 실행을 위해 여러 가지 관리 작업을 정기적으로 수행할 수 있습니다.

원하는 작업을 선택하세요.

• Single Sign-On이 올바르게 설정되었는지 확인

• Single Sign-On 관리

Single Sign-On이 올바르게 설정되었는지 확인

Single Sign-On이 올바르게 설정되었는지 확인하려면 다음 절차를 수행하여 회사 자격 증명으로 클라우드 서비스에 로그인하고, 다른 사용 시나리오에 대한 Single Sign-On을 테스트하고, Microsoft Remote Connectivity Analyzer를 사용할 수 있는지 확인할 수 있습니다.

Single Sign-On이 올바르게 설정되었는지 확인하려면 다음 단계를 완료합니다.

1. 도메인에 가입된 컴퓨터에서 회사 자격 증명에 사용하는 것과 같은 로그인 이름을 사용하여 Microsoft 클라우드 서비스에 로그인합니다.

2. 암호 상자 내부를 클릭합니다. Single Sign-On이 설정된 경우 암호 상자가 음영 처리되고 다음과 같은 메시지가 표시됩니다. "이제 회사에서> 로그인<해야 합니다."

3. 회사> 링크에서 <로그인을 클릭합니다.

   로그인할 수 있으면 Single Sign-On이 설정된 것입니다.

다른 사용 시나리오에 대해 Single Sign-On 테스트

Single Sign-On이 완료되었는지 확인한 후 다음 로그인 시나리오를 테스트하여 Single Sign-On 및 AD FS 2.0 배포가 올바르게 구성되었는지 확인합니다. 다음 환경에서 브라우저 및 리치 클라이언트 애플리케이션(예: Microsoft Office 2010)에서 클라우드 서비스 서비스에 대한 액세스를 테스트하도록 사용자 그룹에 요청합니다.

• 도메인에 가입된 컴퓨터에서

• 도메인에 가입되지 않은 회사 네트워크 내부의 컴퓨터에서

• 도메인에 가입된 회사 네트워크 외부의 로밍 컴퓨터에서

• 회사에서 사용하는 여러 운영 체제에서

• 가정용 컴퓨터에서

• 인터넷 키오스크에서(브라우저를 통해서만 클라우드 서비스에 대한 액세스 테스트)

• 스마트폰에서(예: Microsoft Exchange ActiveSync 사용하는 스마트폰)

Microsoft 원격 연결 분석기 사용

Single Sign-On 연결을 테스트하려면 Microsoft 원격 연결 분석기를 사용할 수 있습니다. Office 365 탭, Microsoft Single Sign-On, 다음을 차례로 클릭합니다. 테스트를 수행하려면 다음의 화면 프롬프트를 따릅니다. 분석기는 회사 자격 증명을 사용하여 클라우드 서비스에 로그온하는 기능의 유효성을 검사합니다. 또한 몇 가지 기본 AD FS 2.0 구성의 유효성을 검사합니다.

원하는 작업을 선택하세요.

토큰 서명 인증서가 더 이상 권장 사항이 없는 경우 Azure AD 업데이트하도록 태스크를 예약합니다.

AD FS 2.0 이상을 사용하는 경우 Office 365 및 Azure AD 만료되기 전에 인증서를 자동으로 업데이트합니다.  수동 단계를 수행하거나 스크립트를 예약된 작업으로 실행할 필요가 없습니다.  이렇게 하려면 다음 기본 AD FS 구성 설정이 모두 적용되어야 합니다.

1. AD FS 속성 AutoCertificateRollover를 True로 설정해야 하며, 이는 AD FS가 새 토큰 서명 및 토큰 암호 해독 인증서가 만료되기 전에 자동으로 생성됨을 나타냅니다. 값이 False이면 사용자 지정 인증서 설정을 사용합니다.  포괄적인 지침을 보려면 여기로 이동하세요.

2. 페더레이션 메타데이터는 공용 인터넷에서 사용할 수 있어야 합니다.

Single Sign-On 관리

Single Sign-On의 원활한 실행을 돕는 다른 선택적 작업 또는 정기적 작업이 있습니다.

단원 내용

• Internet Explorer의 신뢰할 수 있는 사이트에 URL 추가

• 클라우드 서비스에 대한 사용자 로그인 제한

• 현재 설정 보기

• 트러스트 속성 업데이트

• AD FS 서버 복구

• 로컬 인증 유형 사용자 지정

Internet Explorer의 신뢰할 수 있는 사이트에 URL 추가

Single Sign-On 설정의 일부분으로 도메인을 추가하거나 변환한 후에는 Internet Explorer의 신뢰할 수 있는 사이트 목록에 AD FS 서버의 정규화된 도메인 이름을 추가할 수 있습니다. 그러면 AD FS 서버의 암호를 입력하라는 메시지가 사용자에게 표시되지 않습니다. 이 변경 작업은 클라이언트에서 수행해야 합니다. 도메인에 가입된 컴퓨터의 신뢰할 수 있는 사이트 목록에 이 URL을 자동으로 추가할 그룹 정책 설정을 지정하여 사용자에 대해 이 변경 작업을 수행할 수도 있습니다. 자세한 내용은 Internet Explorer 정책 설정 참조하세요.

클라우드 서비스에 대한 사용자 로그인 제한

AD FS에서는 사용자 액세스 권한을 부여하거나 거부하는 사용자 지정 규칙을 정의하는 옵션을 관리자에게 제공합니다. Single Sign-On의 경우 사용자 지정 규칙을 클라우드 서비스와 연결된 신뢰 당사자 트러스트에 적용해야 합니다. Windows PowerShell cmdlet을 실행하여 Single Sign-On을 설정할 때 이 트러스트를 만들었습니다.

사용자가 서비스에 로그인하지 못하도록 제한하는 방법에 대한 자세한 내용은 들어오는 클레임에 따라 사용자를 허용하거나 거부하는 규칙 만들기를 참조하세요. Single Sign-On을 설정하기 위해 cmdlet을 실행하는 방법에 대한 자세한 내용은 AD FS를 사용한 Single Sign-On에 대한 Windows PowerShell 설치를 참조하세요.

현재 설정 보기

언제든지 현재 AD FS 서버 및 클라우드 서비스 설정을 보려면 Windows PowerShell Microsoft Azure Active Directory 모듈을 열고 실행Connect-MSOLService한 다음 실행할 Get-MSOLFederationProperty –DomainName <domain>수 있습니다. 이를 통해 AD FS 서버의 설정이 클라우드 서비스의 설정과 일치하는지 확인할 수 있습니다. 설정이 일치하지 않으면 Update-MsolFederatedDomain –DomainName <domain>을 실행할 수 있습니다. 자세한 내용은 다음 단원인 "트러스트 속성 업데이트"를 참조하십시오.

원하는 작업을 선택하세요.

트러스트 속성 업데이트

다음과 같은 경우 클라우드 서비스에서 Single Sign-On 트러스트 속성을 업데이트해야 합니다.

• URL이 변경됩니다 . AD FS 서버의 URL을 변경하는 경우 트러스트 속성을 업데이트해야 합니다.

• 기본 토큰 서명 인증서가 변경되었습니다. 기본 토큰 서명 인증서를 변경하면 AD FS 서버에 대한 이벤트 뷰어 이벤트 ID 334 또는 이벤트 ID 335가 트리거됩니다. 최소 매주 정기적으로 이벤트 뷰어를 확인하는 것이 좋습니다.

  AD FS 서버의 이벤트를 확인하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 제어판을 클릭합니다. 범주 보기에서 시스템 및 보안, 관리 도구, 이벤트 뷰어를 차례로 클릭합니다.

  2. AD FS의 이벤트를 확인하려면 이벤트 뷰어 왼쪽에서 응용 프로그램 및 서비스 로그, AD FS 2.0, 관리를 차례로 클릭합니다.

• 토큰 서명 인증서는 매년 만료됩니다. 토큰 서명 인증서는 페더레이션 서비스의 안정성에 중요합니다. 변경되는 경우 Azure AD 이 변경에 대한 알림을 받아야 합니다. 그렇지 않으면 클라우드 서비스에 대한 요청이 실패합니다.

트러스트 속성을 수동으로 업데이트하려면 다음 단계를 따르세요.

1. Windows PowerShell용 Microsoft Azure Active Directory 모듈을 엽니다.

2. $cred=Get-Credential을 실행합니다. 이 cmdlet에서 자격 증명을 물어보면 클라우드 서비스 관리자 계정 자격 증명을 입력합니다.

3. Connect-MsolService –Credential $cred을 실행합니다. 이 cmdlet을 실행하면 클라우드 서비스에 연결됩니다. 도구를 통해 설치되는 추가 cmdlet을 실행하려면 먼저 클라우드 서비스에 연결되는 컨텍스트를 만들어야 합니다.

4. 실행 Set-MSOLAdfscontext -Computer <AD FS primary server>- 여기서 <AD FS 주 서버> 는 기본 AD FS 서버의 내부 FQDN 이름입니다. 이 cmdlet은 AD FS에 연결되는 컨텍스트를 만듭니다.

   참고

   주 서버에 Microsoft Azure Active Directory 모듈을 설치한 경우 이 cmdlet을 실행할 필요가 없습니다.

5. Update-MSOLFederatedDomain –DomainName <domain>을 실행합니다. 이 cmdlet은 AD FS에서 클라우드 서비스로 설정을 업데이트하고 둘 사이의 트러스트 관계를 구성합니다.

원하는 작업을 선택하세요.

AD FS 서버 복구

주 서버가 손실되었으며 복구할 수 없는 경우 다른 서버의 수준을 올려 주 서버로 만들어야 합니다. 자세한 내용은 AD FS 2.0 - WID 팜에서 기본 페더레이션 서버를 설정하는 방법을 참조하세요.

팜의 모든 서버가 손실되면 다음 단계를 수행하여 트러스트를 다시 작성해야 합니다.

1. Microsoft Azure Active Directory 모듈을 엽니다.

2. $cred=Get-Credential을 실행합니다. cmdlet에서 자격 증명을 묻는 메시지를 표시하면 클라우드 서비스 관리자 계정 자격 증명을 입력합니다.

3. Connect-MsolService –Credential $cred을 실행합니다. 이 cmdlet을 실행하면 클라우드 서비스에 연결됩니다. 도구를 통해 설치되는 추가 cmdlet을 실행하려면 먼저 클라우드 서비스에 연결되는 컨텍스트를 만들어야 합니다.

4. 실행 Set-MSOLAdfscontext -Computer <AD FS primary server>- 여기서 <AD FS 주 서버> 는 기본 AD FS 서버의 내부 FQDN 이름입니다. 이 cmdlet은 AD FS에 연결되는 컨텍스트를 만듭니다.

   참고

   기본 AD FS 서버에 Microsoft Azure Active Directory 모듈을 설치한 경우 이 cmdlet을 실행할 필요가 없습니다.

5. 실행 Update-MsolFederatedDomain –DomainName <domain>- 도메인 <> 은 속성을 업데이트하려는 도메인입니다. 이 cmdlet은 속성을 업데이트하고 트러스트 관계를 설정합니다.

6. <도메인이 속성을 보려는 도메인>인 경우 실행Get-MsolFederationProperty –DomainName <domain>합니다. 그런 다음 기본 AD FS 서버의 속성과 클라우드 서비스의 속성을 비교하여 일치하는지 확인할 수 있습니다. 속성이 일치하지 않으면 Update-MsolFederatedDomain –DomainName <domain>을 다시 실행하여 속성을 동기화합니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리
Single Sign-On 로드맵