애플리케이션을 위한 홈 영역 찾기

HRD(홈 영역 검색)를 사용하면 Microsoft Entra ID 로그인하는 동안 사용자 인증에 적합한 IdP(ID 공급자)를 식별할 수 있습니다. 사용자가 리소스 또는 일반 로그인 페이지에 액세스하기 위해 Microsoft Entra 테넌트에 로그인하면 UPN(사용자 계정 이름)을 입력합니다. Microsoft Entra ID 이 정보를 사용하여 올바른 로그인 위치를 확인합니다.

사용자는 인증을 위해 다음 ID 공급자 중 하나로 전송됩니다.

• 사용자의 홈 테넌트(리소스 테넌트와 동일할 수 있습니다).
• 사용자가 리소스 테넌트에서 게스트이며 소비자 계정을 사용하는 경우 Microsoft 계정.
• AD FS(Active Directory Federation Services)와 같은 온-프레미스 ID 공급자입니다.
• Microsoft Entra 테넌트에 페더레이션된 또 다른 ID 공급자입니다.

자동 가속

조직은 사용자 인증을 위해 AD FS와 같은 다른 IdP와 페더레이션하도록 Microsoft Entra 테넌트에서 도메인을 구성할 수 있습니다. 사용자가 애플리케이션에 로그인하면 처음에는 Microsoft Entra 로그인 페이지가 표시됩니다. 페더레이션된 도메인에 속하는 경우 해당 도메인에 대한 IdP의 로그인 페이지로 리디렉션됩니다. 관리자는 특정 애플리케이션에 대한 초기 Microsoft Entra ID 페이지를 무시할 수 있습니다. 이 프로세스를 로그인 자동 가속이라고 합니다.

Microsoft FIDO 및 협업과 같은 더 강력한 인증 방법을 방해할 수 있으므로 자동 가속을 구성하지 않는 것이 좋습니다. 자세한 내용은 암호 없는 보안 키 로그인사용을 참조하세요. 로그인 자동 가속을 방지하는 방법을 알아보려면 자동 가속 로그인 사용 안 함을 참조하세요.

자동 가속은 다른 IdP와 페더레이션된 테넌트에 대한 로그인을 간소화할 수 있습니다. 개별 애플리케이션에 대해 구성할 수 있습니다. HRD를 사용하여 자동 가속을 강제 적용하는 방법을 알아보려면 자동 가속 구성을 참조하세요.

참고

애플리케이션을 자동 가속을 위해 구성하면 사용자가 관리되는 자격 증명(예: FIDO)을 사용하거나 게스트 사용자가 로그인할 수 없습니다. 인증을 위해 페더레이션 IdP로 사용자를 보내면 Microsoft Entra 로그인 페이지가 무시되고 게스트 사용자가 다른 테넌트 또는 외부 IdP(예: Microsoft 계정)에 액세스할 수 없습니다.

다음 세 가지 방법으로 페더레이션 IdP에 대한 자동 가속을 제어할 수 있습니다.

• 애플리케이션에 대한 인증 요청에 도메인 힌트를 사용합니다.
• 강제 자동 가속을 위한 HRD 정책을 구성합니다.
• HRD 정책을 구성하여 특정 애플리케이션 또는 도메인에 대한 도메인 힌트를 무시 합니다.

도메인 확인 대화 상자

2023년 4월 현재 자동 가속 또는 스마트 링크를 사용하는 조직은 로그인 UI에서 도메인 확인 대화 상자를 발견할 수 있습니다. 이 대화 상자는 Microsoft 보안 강화 작업의 일부이며 사용자가 로그인하는 테넌트의 도메인을 확인해야 합니다.

수행할 내용

도메인 확인 대화 상자가 나타나면 도메인을 확인합니다. 대화 상자의 도메인 이름이 로그인하려는 조직과 일치하는지 확인합니다.

도메인을 인식하는 경우 확인을 선택하여 계속 진행합니다. 도메인을 인식하지 못하는 경우 로그인 프로세스를 취소하고 IT 관리자에게 도움을 요청하세요.

도메인 확인 대화 상자의 구성 요소

다음 스크린샷은 도메인 확인 대화 상자의 모양을 보여 주는 예제입니다.

대화 상자 kelly@contoso.com맨 위에 있는 식별자는 로그인을 위한 식별자를 나타냅니다. 대화 상자의 제목과 텍스트는 계정의 홈 테넌트의 도메인을 표시합니다.

자동 가속 또는 스마트 링크의 모든 인스턴스에 대해 이 대화 상자가 표시되지 않을 수 있습니다. 조직에서 브라우저 정책으로 인해 쿠키를 지울 경우 도메인 확인 대화 상자가 자주 발생할 수 있습니다.

Microsoft Entra ID 자동 가속 로그인 흐름을 관리하므로 도메인 확인 대화 상자에서 애플리케이션 중단이 발생하지 않아야 합니다.

도메인 힌트

도메인 힌트는 페더레이션 IdP 로그인 페이지로 사용자를 가속화할 수 있는 애플리케이션의 인증 요청에 대한 지시문입니다. 다중 테넌트 애플리케이션을 사용하여 사용자를 테넌트의 브랜드 Microsoft Entra 로그인 페이지로 보낼 수 있습니다.

예를 들어 largeapp.com 사용자 지정 URL contoso.largeapp.com 을 통해 액세스를 허용하고 인증 요청에 도메인 힌트를 포함할 contoso.com 수 있습니다.

도메인 힌트 구문은 프로토콜에 따라 다릅니다.

• WS-Federation: whr 쿼리 문자열 매개 변수(예: whr=contoso.com.
• SAML: 도메인 힌트 또는 whr=contoso.com와 함께하는 SAML 인증 요청입니다.
• OpenID Connect: domain_hint 쿼리 문자열 매개 변수(예: domain_hint=contoso.com.

Microsoft Entra ID 다음 사례 중 both이 true이면 도메인에 대해 구성된 IdP로 로그인을 리디렉션합니다.

• 도메인 힌트는 인증 요청에 포함됩니다.
• 테넌트가 해당 도메인과 페더레이션되어 있습니다.

도메인 힌트가 확인된 페더레이션된 도메인을 참조하지 않는 경우 무시될 수 있습니다.

참고

인증 요청의 도메인 힌트는 HRD 정책에서 애플리케이션에 대한 자동 가속 설정을 우선하여 대체합니다.

자동 가속에 대한 HRD 정책

일부 애플리케이션은 인증 요청의 구성을 허용하지 않습니다. 이러한 경우 도메인 힌트를 사용하여 자동 가속을 제어할 수 없습니다. 홈 영역 검색 정책을 사용하여 자동 가속을 구성합니다.

자동 가속을 방지하기 위한 HRD 정책

일부 Microsoft 및 SaaS(Software as a Service) 애플리케이션에는 FIDO와 같은 관리 자격 증명 롤아웃을 방해할 수 있는 도메인 힌트가 자동으로 포함됩니다. 홈 영역 검색 정책을 사용하여 관리 자격 증명 롤아웃 중에 특정 앱 또는 도메인의 도메인 힌트를 무시합니다.

레거시 애플리케이션에 대한 페더레이션된 사용자의 직접 ROPC 인증

애플리케이션에서 사용자 인증을 위해 Microsoft Entra 라이브러리 및 대화형 로그인을 사용하는 것이 가장 좋습니다. ROPC(리소스 소유자 암호 자격 증명) 부여를 사용하는 레거시 애플리케이션은 페더레이션을 이해하지 않고 Microsoft Entra ID 직접 자격 증명을 제출할 수 있습니다. HRD를 수행하거나 올바른 페더레이션 엔드포인트와 상호 작용하지 않습니다. Home Realm Discovery 정책을 사용하여 특정 레거시 애플리케이션을 사용하여 Microsoft Entra ID 직접 인증할 수 있습니다. 이 옵션은 암호 해시 동기화를 사용하는 경우 작동합니다.

중요

암호 해시 동기화가 활성화되어 있고 온-프레미스 IdP 정책 없이 애플리케이션을 인증하는 것이 허용되는 경우에만 직접 인증을 사용하도록 설정합니다. 암호 해시 동기화 또는 Microsoft Entra Connect와의 디렉터리 동기화를 사용하지 않도록 설정한 경우 이 정책을 제거하여 부실 암호 해시를 사용한 직접 인증을 방지합니다.

HRD 정책 설정 단계

페더레이션 로그인 자동 가속 또는 직접 클라우드 기반 애플리케이션에 대한 애플리케이션에 HRD 정책을 설정하려면 다음을 수행합니다.

1. HRD 정책 만들기
2. 정책을 연결할 서비스 주체를 찾으십시오.
3. 서비스 주체에 정책을 연결하세요.

정책은 서비스 주체에 연결된 특정 애플리케이션에 적용됩니다. 한 번에 하나의 HRD 정책만 서비스 주체에서 활성화할 수 있습니다. Microsoft Graph PowerShell cmdlet을 사용하여 HRD 정책을 만들고 관리합니다.

다음은 HRD 정책 정의의 예입니다.

{  
  "HomeRealmDiscoveryPolicy": {  
    "AccelerateToFederatedDomain": true,  
    "PreferredDomain": "federated.example.edu",  
    "AllowCloudPasswordValidation": false  
  }  
}  

• AccelerateToFederatedDomain: 선택 사항입니다. 값이 false면 정책은 자동 가속에 영향을 주지 않습니다. 값이 true 있고 확인된 페더레이션된 도메인이 하나 있는 경우 사용자는 페더레이션 IdP로 전달됩니다. 여러 도메인이 있는 경우 을 지정합니다 PreferredDomain.
• PreferredDomain: 선택 사항입니다. 가속할 도메인을 나타냅니다. 페더레이션된 도메인이 하나만 있는 경우 생략합니다. 여러 도메인을 생략하면 정책이 적용되지 않습니다.
• AllowCloudPasswordValidation: 선택 사항입니다. 값이 true 이 설정은 사용자 이름/암호 자격 증명을 통해 Microsoft Entra 토큰 엔드포인트에 직접 페더레이션된 사용자 인증을 허용하며 암호 해시 동기화가 필요합니다.

추가 테넌트 수준 HRD 옵션은 다음과 같습니다.

• AlternateIdLogin: 선택 사항입니다. Microsoft Entra 로그인 페이지에서 UPN 대신 전자 메일 로그인에 AlternateLoginID를 사용하도록 설정합니다. 페더레이션된 IDP로 자동 전환되지 않는 사용자에게 의존합니다.
• DomainHintPolicy: 도메인 힌트가 사용자를 페더레이션된 도메인으로 자동 가속하지 못하게 하는 선택적 복합 개체입니다. 도메인 힌트를 보내는 애플리케이션이 클라우드 관리 자격 증명 로그인을 방지하지 않도록 합니다.

HRD 정책의 우선 순위 및 평가

여러 정책을 애플리케이션에 적용할 수 있도록 조직 및 서비스 주체에 HRD 정책을 할당할 수 있습니다. Microsoft Entra ID 다음 규칙을 사용하여 우선 순위를 결정합니다.

• 도메인 힌트가 있는 경우 테넌트의 HRD 정책은 도메인 힌트를 무시해야 하는지 확인합니다. 도메인 힌트가 허용되는 경우 Microsoft Entra ID 도메인 힌트 동작을 사용합니다.
• 정책이 서비스 주체에 명시적으로 할당된 경우 Microsoft Entra ID 정책을 적용합니다.
• 도메인 힌트 또는 서비스 주체 정책이 없는 경우 Microsoft Entra ID 부모 조직에 할당된 정책을 적용합니다.
• 도메인 힌트 또는 정책이 할당되지 않은 경우 기본 HRD 동작이 적용됩니다.

참고

HRD 정책은 모바일 플랫폼 및 macOS에서 조정된 인증과 작동하지 않습니다. 이 제한에는 모바일 플랫폼에서 Microsoft Authenticator 앱 또는 Mac의 회사 포털 앱 사용이 포함됩니다. 이러한 경우 자동 가속이 필요한 경우 호출 앱의 인증 요청에서 도메인 힌트를 전달해야 합니다.

관련 콘텐츠

• 로그인 자동 가속 구성
• 로그인 자동 가속 사용 안 함