적용 대상: 워크포스 테넌트 흰색 확인 표시가 있는 녹색 원 외부 테넌트(Green circle with a white check mark symbol.자세히 알아보기)
Microsoft Entra 직원 및 외부 테넌트에서 SAML 또는 idP(WS-Fed ID 공급자)를 사용하는 다른 조직과의 페더레이션을 설정할 수 있습니다. 외부 조직의 사용자는 새 Microsoft Entra 자격 증명을 만들지 않고도 자신의 IdP 관리 계정을 사용하여 초대 상환 또는 셀프 서비스 등록 중에 앱 또는 리소스에 로그인할 수 있습니다. 사용자가 앱에 등록하거나 로그인할 때 IdP로 리디렉션된 다음 성공적으로 로그인하면 Microsoft Entra로 돌아갑니다.
여러 도메인을 단일 페더레이션 구성과 연결할 수 있습니다. 파트너의 도메인은 Microsoft Entra의 도메인일 경우, 확인된 상태일 수도 있고 확인되지 않은 상태일 수도 있습니다.
SAML/WS-Fed IdP 페더레이션을 설정하려면 테넌트와 외부 조직의 IdP 모두에서 구성이 필요합니다. 경우에 따라 파트너는 DNS 텍스트 레코드를 업데이트해야 합니다. 또한 필요한 클레임 및 신뢰 당사자 트러스트를 사용하여 IdP를 업데이트해야 합니다.
SAML/WS-Fed IdP 페더레이션을 사용한 사용자 인증
파트너의 SAML/WS-Fed IdP를 사용하여 페더레이션을 설정하면 사용자는 등록 또는 로그인 옵션을 선택하여 등록 하거나 로그인 할 수 있습니다. ID 공급자로 리디렉션된 다음 성공적으로 로그인하면 Microsoft Entra로 돌아갑니다.
외부 테넌트의 경우 사용자의 로그인 전자 메일은 SAML 페더레이션 중에 설정된 미리 정의된 도메인과 일치할 필요가 없습니다. 사용자가 외부 테넌트에 계정이 없고 외부 ID 공급자의 미리 정의된 도메인과 일치하는 전자 메일 주소를 로그인 페이지에 입력하면 해당 ID 공급자를 사용하여 인증하도록 리디렉션됩니다.
확인된 도메인 및 확인되지 않은 도메인
사용자의 로그인 환경은 파트너의 도메인이 Microsoft Entra로 확인되었는지 여부에 따라 달라집니다.
확인되지 않은 도메인은 Microsoft Entra ID에서 DNS로 확인되지 않은 도메인입니다. 페더레이션 후 사용자는 확인되지 않은 도메인에서 자격 증명을 사용하여 로그인할 수 있습니다.
관리되지 않는(이메일 확인 또는 "바이럴" 테넌트) 테넌트는 사용자가 초대를 사용하거나 현재 존재하지 않는 도메인을 사용하여 Microsoft Entra ID에 대한 셀프 서비스 등록을 수행할 때 생성됩니다. 페더레이션 후 사용자는 관리되지 않는 테넌트에서 자격 증명을 사용하여 로그인할 수 있습니다.
Microsoft Entra ID 확인된 도메인 은 테넌트가 관리자 인수를 받은 도메인을 포함하여 Microsoft Entra에서 DNS로 확인된 도메인입니다. 페더레이션 후:
- 셀프 서비스 등록의 경우 사용자는 자신의 도메인 자격 증명을 사용할 수 있습니다.
- 초대 상환의 경우 Microsoft Entra ID는 기본 IdP로 유지됩니다. 워크포스 테넌트에서 초대 수락 순서를 변경하여 페더레이션 IdP의 우선 순위를 지정할 수 있습니다.
비고
상환 순서 변경은 현재 외부 테넌트 또는 클라우드에서 지원되지 않습니다.
페더레이션이 현재 외부 사용자에게 미치는 영향
외부 사용자가 이미 초대를 사용했거나 셀프 서비스 등록을 사용한 경우 페더레이션을 설정할 때 해당 인증 방법이 변경되지 않습니다. 원래 인증 방법(예: 일회성 암호)을 계속 사용합니다. 확인되지 않은 도메인의 사용자가 페더레이션을 사용하고 나중에 해당 조직이 Microsoft Entra로 이동하더라도 페더레이션을 계속 사용합니다.
인력 테넌트의 B2B 공동 작업의 경우 기존 사용자가 현재 로그인 방법을 계속 사용하기 때문에 새 초대를 보낼 필요가 없습니다. 그러나 사용자의 상환 상태를 다시 설정할 수 있습니다. 다음에 사용자가 앱에 액세스할 때 상환 단계를 반복하고 페더레이션으로 전환할 수 있습니다.
직원 테넌트에서 로그인 엔드포인트
직원 테넌트에서 페더레이션이 설정되면 페더레이션된 조직의 사용자는 공통 엔드포인트 사용하여 다중 테넌트 또는 Microsoft 자사 앱에 로그인할 수 있습니다(즉, 테넌트 컨텍스트를 포함하지 않는 일반 앱 URL). 로그인 프로세스 중에 사용자는 로그인 옵션을 선택한 다음, 조직에 로그인을 선택합니다. 조직의 이름을 입력하고 자체 자격 증명을 사용하여 계속 로그인합니다.
SAML/WS-Fed IdP 페더레이션 사용자는 테넌트 정보를 포함하는 애플리케이션 엔드포인트를 사용할 수도 있습니다. 예를 들면 다음과 같습니다.
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
테넌트 정보(예: https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>)를 포함하여 사용자에게 애플리케이션 또는 리소스에 대한 직접 링크를 제공할 수도 있습니다.
SAML/WS-Fed 페더레이션에 대한 주요 고려 사항
파트너 IdP 요구 사항
SAML/WS-Fed IdP 페더레이션을 설정하려면 테넌트와 외부 조직의 IdP 모두에서 구성이 필요합니다. 파트너의 IdP에 따라 파트너는 여러분과의 페더레이션을 사용하기 위해 DNS 레코드를 업데이트해야 할 수 있습니다. 1단계: 파트너가DNS 텍스트 레코드를 업데이트해야 하는지 확인하십시오.
파트너는 필요한 클레임 및 신뢰 당사자 트러스트를 사용하여 IdP를 업데이트해야 합니다. 외부 페더레이션에 대해 Microsoft Entra ID에서 보낸 SAML 요청의 발급자 URL은 이제 테넌트 엔드포인트인 반면 이전에는 전역 엔드포인트였습니다. 전역 엔드포인트를 사용한 기존 페더레이션은 계속 작동합니다. 그러나 새 페더레이션의 경우 외부 SAML 또는 WS-Fed IdP의 대상 그룹을 테넌트 엔드포인트로 설정합니다. 필요한 특성 및 클레임은 SAML 2.0 섹션 및 WS-Fed 섹션 참조하세요.
서명 인증서 만료
IdP 설정에서 메타데이터 URL을 지정하면 Microsoft Entra ID는 서명 인증서가 만료될 때 자동으로 갱신합니다. 그러나 만료 시간 전에 어떤 이유로든 인증서가 회전되거나 메타데이터 URL을 제공하지 않는 경우 Microsoft Entra ID는 인증서를 갱신할 수 없습니다. 이 경우 서명 인증서를 수동으로 업데이트해야 합니다.
세션 만료
Microsoft Entra 세션이 만료되거나 유효하지 않은 경우 페더레이션된 IdP에서 SSO를 사용하도록 설정하면 사용자는 SSO를 경험합니다. 페더레이션된 사용자의 세션이 유효한 경우 사용자에게 다시 로그인하라는 메시지가 표시되지 않습니다. 그렇지 않으면 사용자가 로그인을 위해 IdP로 리디렉션됩니다.
부분적으로 동기화된 테넌시
페더레이션은 파트너의 온-프레미스 사용자 ID가 클라우드의 Microsoft Entra와 완전히 동기화되지 않는 부분적으로 동기화된 테넌트로 인한 로그인 문제를 해결하지 않습니다. 이러한 사용자는 B2B 초대로 로그인할 수 없으므로 이메일 일회용 암호 기능을 대신 사용해야 합니다. SAML/WS-Fed IdP 페더레이션 기능은 자체 IdP 관리 조직 계정을 사용하지만 Microsoft Entra가 없는 파트너를 위한 것입니다.
B2B 게스트 계정
페더레이션은 디렉터리에서 B2B 게스트 계정의 필요성을 대체하지 않습니다. B2B 협업을 사용하면 사용된 인증 또는 페더레이션 방법에 관계없이 직원 테넌트 디렉터리의 사용자에 대한 게스트 계정이 만들어집니다. 이 사용자 개체를 사용하면 애플리케이션에 대한 액세스 권한을 부여하고, 역할을 할당하고, 보안 그룹의 멤버 자격을 정의할 수 있습니다.
서명된 인증 토큰
현재 Microsoft Entra SAML/WS-Fed 페더레이션 기능은 서명된 인증 토큰을 SAML ID 공급자에게 보내는 것을 지원하지 않습니다.