적용 대상: 워크포스 테넌트 흰색 확인 표시가 있는 녹색 원 외부 테넌트(Green circle with a white check mark symbol.자세히 알아보기)
Microsoft Entra 테넌트는 SAML 또는 IDP(WS-Fed ID 공급자)를 사용하는 외부 조직과 직접 페더레이션될 수 있습니다. 외부 조직의 사용자는 새 Microsoft Entra 자격 증명을 만들지 않고도 자신의 IdP 관리 계정을 사용하여 초대 상환 또는 셀프 서비스 등록 중에 앱 또는 리소스에 로그인할 수 있습니다. 사용자가 앱에 등록하거나 로그인할 때 IdP로 리디렉션된 다음 성공적으로 로그인하면 Microsoft Entra로 돌아갑니다.
필수 조건
- SAML/WS-Fed ID 공급자의 구성 고려 사항을 검토합니다.
- 인력 테넌트 또는 외부 테넌트.
SAML/WS-Fed IdP 페더레이션을 구성하는 방법
1단계: 파트너가 DNS 텍스트 레코드를 업데이트해야 하는지 확인
다음 단계를 사용하여 파트너가 사용자와의 페더레이션을 사용하도록 DNS 레코드를 업데이트해야 하는지 확인합니다.
파트너의 IdP 수동 인증 URL을 확인하여 도메인이 대상 도메인 또는 대상 도메인 내의 호스트와 일치하는지 확인합니다. 즉,
fabrikam.com에 대한 페더레이션을 설정하는 경우:- 수동 인증 엔드포인트가
https://fabrikam.com또는https://sts.fabrikam.com/adfs(동일한 도메인의 호스트)인 경우 DNS를 변경할 필요가 없습니다. - 수동 인증 엔드포인트가
https://fabrikamconglomerate.com/adfs또는https://fabrikam.co.uk/adfs인 경우 도메인이 fabrikam.com 도메인과 일치하지 않으므로 파트너가 DNS 구성에서 인증 URL에 대한 텍스트 레코드를 추가해야 합니다.
- 수동 인증 엔드포인트가
이전 단계에 따라 DNS 변경이 필요한 경우 다음 예제와 같이 파트너에게 해당 도메인의 DNS 레코드에 TXT 레코드를 추가할 것을 요청합니다.
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
2단계: 파트너 조직의 IdP 구성
다음으로, 파트너 조직은 필요한 클레임과 신뢰 당사자 트러스트를 포함하여 IdP를 구성해야 합니다. 페더레이션이 제대로 작동하려면 Microsoft Entra 외부 ID에서 외부 IdP가 특정 특성 및 클레임을 보내고 이를 구성해야 합니다.
비고
페더레이션에 대한 SAML/WS-Fed IdP를 구성하는 방법을 설명하기 위해 AD FS(Active Directory Federation Services)를 예로 사용합니다. 페더레이션을 준비하기 위해 AD FS를 SAML 2.0 또는 WS-Fed IdP로 구성하는 방법에 대한 예제를 제공하는 AD FS를 사용하여 SAML/WS-Fed IdP 페더레이션 구성 문서를 참조하세요.
SAML 2.0 ID 공급자를 구성하려면
Microsoft Entra 외부 ID에는 특정 특성 및 클레임을 포함하려면 외부 IdP의 SAML 2.0 응답이 필요합니다. 필요한 특성 및 클레임은 다음 중 하나를 통해 외부 IdP에서 구성할 수 있습니다.
- 온라인 보안 토큰 서비스 XML 파일에 연결 또는
- 수동으로 값 입력
필요한 값은 다음 표를 참조하세요.
비고
이 값이 외부 페더레이션을 설정하는 클라우드와 일치하는지 확인합니다.
표 1. IdP의 SAML 2.0 응답에 필요한 특성입니다.
| 속성 | 인력 임차인에 대한 가치 | 외부 테넌트에 대한 값 |
|---|---|---|
| AssertionConsumerService (어설션 소비자 서비스) | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| 청중 |
https://login.microsoftonline.com/<tenant ID>/(권장) <tenant ID>를 페더레이션을 설정할 Microsoft Entra 테넌트의 테넌트 ID로 바꿉니다.외부 페더레이션을 위해 Microsoft Entra ID에서 보낸 SAML 요청에서 발급자 URL은 테넌트 엔드포인트입니다(예: https://login.microsoftonline.com/<tenant ID>/). 새 페더레이션의 경우 모든 파트너가 SAML 또는 WS-Fed 기반 IdP의 대상을 테넌트 엔드포인트로 설정하는 것이 좋습니다. 전역 엔드포인트(예: urn:federation:MicrosoftOnline)로 구성된 기존 페더레이션은 계속 작동하지만 외부 IdP가 Microsoft Entra ID에서 보낸 SAML 요청에서 전역 발급자 URL을 예상하는 경우 새 페더레이션의 작동이 중지됩니다. |
https://login.microsoftonline.com/<tenant ID>/Microsoft Entra 테넌트의 테넌트 ID로 <tenant ID>을(를) 교체하여 페더레이션을 설정합니다. |
| 발급자 | 파트너 IdP의 발급자 URI입니다(예: http://www.example.com/exk10l6w90DHM0yi...). |
파트너 IdP의 발급자 URI입니다(예: http://www.example.com/exk10l6w90DHM0yi...). |
표 2. IdP에서 발급한 SAML 2.0 토큰에 대한 필수 클레임입니다.
| 특성 이름 | 가치 |
|---|---|
| NameID 형식 | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
사용자의 이메일 주소 |
WS-Fed ID 공급자를 구성하려면
Microsoft Entra 외부 ID를 사용하려면 외부 IdP의 WS-Fed 메시지가 특정 특성 및 클레임을 포함해야 합니다. 필요한 특성 및 클레임은 다음 중 하나를 통해 외부 IdP에서 구성할 수 있습니다.
- 온라인 보안 토큰 서비스 XML 파일에 연결 또는
- 수동으로 값 입력
비고
현재 Microsoft Entra ID와의 호환성을 테스트한 두 WS-Fed 공급자는 AD FS 및 Shibboleth입니다.
필요한 WS-Fed 속성 및 클레임
다음 표에는 타사 WS-Fed IdP에서 구성해야 하는 특정 특성 및 클레임에 대한 요구 사항이 나와 있습니다. 페더레이션을 설정하려면 IdP의 WS-Fed 메시지에서 다음 특성을 받아야 합니다. 이러한 특성은 온라인 보안 토큰 서비스 XML 파일에 연결하거나 수동으로 입력하여 구성할 수 있습니다.
필요한 값은 다음 표를 참조하세요.
비고
이 값이 외부 페더레이션을 설정하는 클라우드와 일치하는지 확인합니다.
표 3. IdP의 WS-Fed 메시지에 필요한 특성입니다.
| 속성 | 인력 임차인에 대한 가치 | 외부 테넌트에 대한 값 |
|---|---|---|
| 패시브 요청자 엔드포인트 | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| 청중 |
https://login.microsoftonline.com/<tenant ID>/(권장) <tenant ID>를 페더레이션을 설정할 Microsoft Entra 테넌트의 테넌트 ID로 바꿉니다.외부 페더레이션을 위해 Microsoft Entra ID에서 보낸 SAML 요청에서 발급자 URL은 테넌트 엔드포인트입니다(예: https://login.microsoftonline.com/<tenant ID>/). 새 페더레이션의 경우 모든 파트너가 SAML 또는 WS-Fed 기반 IdP의 대상을 테넌트 엔드포인트로 설정하는 것이 좋습니다. 전역 엔드포인트(예: urn:federation:MicrosoftOnline)로 구성된 기존 페더레이션은 계속 작동하지만 외부 IdP가 Microsoft Entra ID에서 보낸 SAML 요청에서 전역 발급자 URL을 예상하는 경우 새 페더레이션의 작동이 중지됩니다. |
https://login.microsoftonline.com/<tenant ID>/ Microsoft Entra 테넌트의 테넌트 ID로 <tenant ID>을(를) 교체하여 페더레이션을 설정합니다. |
| 발급자 | 파트너 IdP의 발급자 URI입니다(예: http://www.example.com/exk10l6w90DHM0yi...). |
파트너 IdP의 발급자 URI입니다(예: http://www.example.com/exk10l6w90DHM0yi...). |
표 4. IdP에서 발급한 WS-Fed 토큰에 대한 필수 클레임입니다.
| 속성 | 가치 |
|---|---|
| ImmutableID (변경 불가능한 ID) | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| 이메일 주소 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
3단계: Microsoft Entra 외부 ID에서 SAML/WS-Fed IdP 페더레이션 구성
다음으로, Microsoft Entra 외부 ID의 1단계에서 구성된 IdP를 사용하여 페더레이션을 구성합니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용할 수 있습니다. 페더레이션 정책이 적용될 때까지 5-10분 정도 걸릴 수 있습니다. 이 시간 동안 셀프 서비스 가입을 완료하거나 연합 도메인 초대를 수락하지 마세요. 다음과 같은 특성이 필요합니다.
- 파트너 IdP의 발급자 URI
- 파트너 IdP의 수동 인증 엔드포인트(https만 지원됨)
- 인증서
Microsoft Entra 관리 센터에서 테넌트에 IdP를 추가하려면
Microsoft Entra 관리 센터에 적어도 외부 ID 공급자 관리자로 로그인합니다.
여러 테넌트에 액세스할 수 있는 경우 위쪽 메뉴의 설정 아이콘
사용하고 디렉터리 메뉴에서 테넌트로 전환합니다.Entra ID>외부 ID>모든 ID 공급자로 이동합니다.
사용자 지정 탭을 선택한 다음 새 항목 추가>SAML/WS-Fed를 선택합니다.
새 SAML/WS-Fed IdP 페이지에서 다음을 입력합니다.
- 표시 이름 - 파트너 IdP를 식별하는 데 도움이 되는 이름을 입력합니다.
- ID 공급자 프로토콜 - SAML 또는 WS-Fed를 선택합니다.
- 페더레이션 IdP의 도메인 이름 - 페더레이션에 대한 파트너의 IdP 대상 도메인 이름을 입력합니다. 이 초기 구성 중에는 도메인 이름을 하나만 입력합니다. 나중에 더 많은 도메인을 추가할 수 있습니다.
메타데이터를 채우는 방법을 선택합니다. 메타데이터가 포함된 파일이 있는 경우 메타데이터 파일 구문 분석을 선택하고 파일을 찾아 필드를 자동으로 채울 수 있습니다. 또는 메타데이터 수동 입력을 선택하고 다음 정보를 입력할 수 있습니다.
- 파트너 SAML IdP의 발급자 URI 또는 파트너 WS-Fed IdP의 엔터티 ID입니다.
- 파트너 SAML IdP의 수동 인증 엔드포인트 또는 파트너 WS-Fed IdP의 수동 요청자 엔드포인트입니다.
- 인증서 - 서명 인증서 ID입니다.
- 메타데이터 URL - 서명 인증서의 자동 갱신을 위한 IdP 메타데이터의 위치입니다.
비고
메타데이터 URL은 선택 사항입니다. 그러나, 우리는 강력하게 권장합니다. 메타데이터 URL을 제공하면 Microsoft Entra ID는 서명 인증서가 만료될 때 자동으로 갱신할 수 있습니다. 만료 시간 전에 어떤 이유로든 인증서를 회전하거나 메타데이터 URL을 제공하지 않으면 Microsoft Entra ID에서 인증서를 갱신할 수 없습니다. 이 경우 서명 인증서를 수동으로 업데이트해야 합니다.
저장을 선택합니다. ID 공급자가 SAML/WS-Fed ID 공급자 목록에 추가됩니다.
(선택 사항) 이 페더레이션 ID 공급자에 도메인 이름을 더 추가하려면:
도메인 열에서 링크를 선택합니다.
페더레이션 IdP의 도메인 이름 옆에 도메인 이름을 입력한 다음, 추가를 선택합니다. 추가하려는 각 도메인에 대해 반복합니다. 완료되면 완료를 선택합니다.
Microsoft Graph API를 사용하여 페더레이션을 구성하려면
Microsoft Graph API samlOrWsFedExternalDomainFederation 리소스 유형을 사용해서 SAML 또는 WS-Fed 프로토콜을 지원하는 ID 공급자와의 페더레이션을 설정할 수 있습니다.
4단계: 상환 순서 구성(인력 테넌트에서 B2B 협업)
확인된 도메인과의 B2B 협업을 위해 직원 테넌트에서 페더레이션을 구성하는 경우 초대 상환 중에 페더레이션 IdP가 먼저 사용되는지 확인합니다. 인바운드 B2B 협업을 위해 테넌트 간 액세스 설정에서상환 순서 설정을 구성합니다. 페더레이션된 IdP 사용 우선 순위를 지정하려면 SAML/WS-Fed ID 공급자를 기본 ID 공급자 목록의 맨 위로 이동합니다.
새 B2B 게스트 사용자를 초대하여 페더레이션 설정을 테스트할 수 있습니다. 자세한 내용은 Microsoft Entra 관리 센터에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
비고
Microsoft Graph REST API(베타 버전)를 사용하여 초대 상환 순서를 구성할 수 있습니다. Microsoft Graph 참조 설명서에서 예 2: 기본 초대 사용 구성 업데이트를 참조하세요.
인증서 또는 구성 세부 정보를 업데이트하는 방법
모든 ID 공급자 페이지에서 구성된 SAML/WS-Fed ID 공급자 목록과 해당 인증서 만료 날짜를 볼 수 있습니다. 이 목록에서 인증서를 갱신하고 다른 구성 세부 정보를 수정할 수 있습니다.
Microsoft Entra 관리 센터에 적어도 외부 ID 공급자 관리자로 로그인합니다.
Entra ID>외부 ID>모든 ID 공급자로 이동합니다.
사용자 지정 탭을 선택합니다.
목록에서 ID 공급자로 스크롤하거나 검색 상자를 사용합니다.
인증서를 업데이트하거나 구성 세부 정보를 수정하려면 다음을 수행합니다.
- ID 공급자의 구성 열에서 편집 링크를 선택합니다.
- 구성 페이지에서 다음 세부 정보를 수정합니다.
- 표시 이름 - 파트너 조직의 표시 이름입니다.
- ID 공급자 프로토콜 - SAML 또는 WS-Fed를 선택합니다.
- 수동 인증 엔드포인트 - 파트너 IdP의 수동 요청자 엔드포인트입니다.
- 인증서 - 서명 인증서의 ID입니다. 갱신하려면 새 인증서 ID를 입력합니다.
- 메타데이터 URL - 서명 인증서의 자동 갱신을 위해 사용되는 파트너의 메타데이터가 포함된 URL입니다.
- 저장을 선택합니다.
파트너와 연결된 도메인을 편집하려면 도메인 열에서 링크를 선택합니다. 도메인 세부 정보 창에서:
- 도메인을 추가하려면 페더레이션 IdP의 도메인 이름 옆에 도메인 이름을 입력한 다음, 추가를 선택합니다. 추가하려는 각 도메인에 대해 반복합니다.
- 도메인을 삭제하려면 도메인 옆에 있는 삭제 아이콘을 선택합니다.
- 완료되면 완료를 선택합니다.
페더레이션을 제거하는 방법
페더레이션 구성을 제거할 수 있습니다. 이 경우 초대를 이미 교환한 페더레이션 게스트 사용자는 더 이상 로그인할 수 없습니다. 하지만 상환 상태를 재설정하여 리소스에 대한 접근 권한을 다시 부여할 수 있습니다. Microsoft Entra 관리 센터에서 IdP에 대한 구성을 제거하려면 다음을 수행합니다.
Microsoft Entra 관리 센터에 적어도 외부 ID 공급자 관리자로 로그인합니다.
Entra ID>외부 ID>모든 ID 공급자로 이동합니다.
사용자 지정 탭을 선택한 다음 목록에서 ID 공급자로 스크롤하거나 검색 상자를 사용합니다.
도메인 열에서 링크를 선택하여 IdP 도메인 세부 정보를 봅니다.
도메인 이름 목록에서 도메인 중 하나를 제외한 모든 도메인을 삭제합니다.
구성 삭제를 선택한 다음, 완료를 선택합니다.
확인을 클릭하여 삭제를 확인합니다.
Microsoft Graph API samlOrWsFedExternalDomainFederation 리소스 유형을 사용하여 페더레이션을 제거할 수도 있습니다.
다음 단계
- 외부 테넌트:SAML/WS-Fed ID 공급자를 사용자 흐름에 추가합니다.
- 워크포스 테넌트: 외부 사용자가 다양한 ID 공급자로 로그인할 때 초대 상환 경험에 대해 자세히 알아보세요.