이 문서에서는 SAML 기반 Single Sign-On을 사용하는 Microsoft Entra ID 애플리케이션의 Single Sign-On 문제를 찾아 해결하는 방법에 대해 알아봅니다.
시작하기 전에
내 앱 보안 로그인 확장을 설치하는 것이 좋습니다. 이 브라우저 확장을 사용하면 Single Sign-On과 관련된 문제를 해결하는 데 필요한 SAML 요청 및 SAML 응답 정보를 쉽게 수집할 수 있습니다. 확장을 설치할 수 없는 경우 이 문서에서는 확장이 설치되거나 설치되지 않았을 때의 문제를 해결하는 방법을 보여 줍니다.
Enterprise 애플리케이션 목록에서 Single Sign-On을 테스트하려는 애플리케이션을 선택한 다음, 왼쪽에 있는 옵션에서 Single Sign-On을 선택합니다.
Single Sign-On 방법 선택 창에서 SAML을 선택합니다.
SAML 기반 Single Sign-On 테스트 환경을 열려면 Single Sign-On 테스트(5단계)로 이동합니다. 테스트 단추가 회색으로 표시되면 먼저 기본 SAML 구성 섹션에서 필요한 특성을 작성하고 저장해야 합니다.
Single Sign-On 테스트 페이지에서 대상 애플리케이션에 로그인하려면 회사 자격 증명을 사용합니다. 현재 사용자 또는 다른 사용자로 로그인할 수 있습니다. 다른 사용자로 로그인하면 인증하라는 메시지가 표시됩니다.
로그인할 수 있는 경우 테스트가 성공합니다. 이 경우 Microsoft Entra ID는 애플리케이션에 SAML 응답 토큰을 발급했습니다. 애플리케이션은 SAML 토큰을 사용해 성공적으로 로그인했습니다.
회사 로그인 페이지 또는 애플리케이션 페이지에 오류가 있는 경우 해당 오류를 해결하려면 다음 섹션 중 하나를 사용합니다.
회사 로그인 페이지에서 로그인 오류 해결
로그인을 시도하면 회사 로그인 페이지에 다음 예제와 비슷한 오류가 표시될 수 있습니다.
이 오류를 디버그하려면 오류 메시지 및 SAML 요청이 필요합니다. 내 앱 보안 로그인 확장은 자동으로 이 정보를 수집하고 Microsoft Entra ID에 해결 지침을 표시합니다.
내 앱 보안 로그인 확장을 설치하여 로그인 오류를 해결하려면
오류가 발생하면 확장은 Microsoft Entra ID Single Sign-On 테스트 페이지로 다시 리디렉션됩니다.
Single Sign-On 테스트 페이지에서 SAML 요청 다운로드를 선택합니다.
SAML 요청의 오류 및 값에 따른 특정 해결 지침이 표시되어야 합니다.
문제를 해결하려면 Microsoft Entra ID의 구성을 자동으로 업데이트하는 문제 해결 단추가 표시됩니다. 이 단추가 표시되지 않으면 로그인 문제가 Microsoft Entra ID의 잘못된 구성으로 인한 것이 아닙니다.
로그인 오류의 해결 방법이 제공되지 않으면 피드백 텍스트 상자를 사용하여 Microsoft에 알려 주시기 바랍니다.
내 앱 보안 로그인 확장을 설치하지 않고 로그인 오류를 해결하려면
페이지의 오른쪽 아래 모서리에서 오류 메시지를 복사합니다. 오류 메시지에는 다음이 포함됩니다.
CorrelationID 및 TimeStamp. 이러한 값은 엔지니어가 문제를 식별하고 문제에 대한 정확한 해결책을 제공하는 데 유용하므로 Microsoft를 통해 지원 사례를 만들 때 중요합니다.
문제의 근본 원인을 확인하는 명령문입니다.
Microsoft Entra ID로 돌아가서 Single Sign-On 테스트 페이지를 찾습니다.
위의 해결 지침 가져오기 텍스트 상자에서 오류 메시지를 붙여넣습니다.
해결 지침 가져오기를 선택하여 문제 해결을 위한 단계를 표시합니다. 이 지침은 SAML 요청 또는 SAML 응답에서 정보를 요구할 수 있습니다. 내 앱 보안 로그인 확장을 사용하지 않는 경우 SAML 요청 및 응답을 검색하려면 Fiddler와 같은 도구가 필요할 수 있습니다.
SAML 요청의 대상이 Microsoft Entra ID에서 가져오는 SAML Single Sign-On 서비스 URL과 일치하는지 확인합니다.
SAML 요청의 발급자가 Microsoft Entra ID의 애플리케이션에 대해 구성된 것과 동일한 식별자인지 확인합니다. Microsoft Entra ID는 발급자를 사용하여 디렉터리에서 애플리케이션을 찾습니다.
AssertionConsumerServiceURL이 애플리케이션이 Microsoft Entra ID로부터 SAML 토큰을 수신할 것으로 예상하는 위치인지 확인합니다. Microsoft Entra ID에서 이 값을 구성할 수 있지만 SAML 요청의 일부인 경우 필수는 아닙니다.
애플리케이션 페이지에서 로그인 오류 해결
성공적으로 로그인한 다음, 애플리케이션 페이지에 오류가 표시될 수 있습니다. 이 오류는 Microsoft Entra ID가 애플리케이션에 토큰을 발급했지만 애플리케이션이 응답을 수락하지 않을 때 발생합니다.