다음을 통해 공유


Microsoft Entra Connect를 사용하여 AD FS 관리 및 사용자 지정

이 문서에서는 Microsoft Entra Connect를 사용하여 AD FS(Active Directory Federation Services)를 관리 및 사용자 지정하는 방법을 설명합니다.

또한 AD FS 팜을 완전히 구성하기 위해 수행해야 할 수 있는 다른 일반적인 AD FS 작업에 대해서도 알아봅니다. 이러한 작업은 다음 표에 나열되어 있습니다.

Task 설명
AD FS 관리
트러스트 복구 Microsoft 365로 페더레이션 신뢰를 복구하는 방법을 알아봅니다.
대체 로그인 ID를 사용하여 Microsoft Entra ID와 제휴 대체 로그인 ID를 사용하여 페더레이션을 구성하는 방법을 알아봅니다.
AD FS 서버 추가 추가 AD FS 서버로 AD FS 팜을 확장하는 방법을 알아봅니다.
AD FS WAP(웹 애플리케이션 프록시) 서버 추가 추가 WAP 서버로 AD FS 팜을 확장하는 방법을 알아봅니다.
페더레이션된 도메인을 추가합니다. 페더레이션된 도메인을 추가하는 방법을 알아봅니다.
TLS/SSL 인증서 업데이트 AD FS 팜에 대한 TLS/SSL 인증서를 업데이트하는 방법을 알아봅니다.
AD FS 사용자 지정
사용자 지정 회사 로고 또는 일러스트레이션 추가 회사 로고와 일러스트레이션을 사용하여 AD FS 로그인 페이지를 사용자 지정하는 방법을 알아봅니다.
로그인 설명 추가 로그인 페이지 설명을 추가하는 방법을 알아봅니다.
AD FS 클레임 규칙 수정 다양한 페더레이션 시나리오에 대한 AD FS 클레임을 수정하는 방법을 알아봅니다.

AD FS 관리

Microsoft Entra Connect 마법사를 사용하여 최소한의 사용자의 개입만으로 Microsoft Entra Connect에서 다양한 AD FS 관련 작업을 수행할 수 있습니다. 마법사를 실행하여 Microsoft Entra Connect 설치를 완료한 후 다시 실행하여 다른 작업을 수행할 수 있습니다.

트러스트 복구

Microsoft Entra Connect를 사용하여 AD FS와 Microsoft Entra ID 트러스트의 현재 상태를 확인하고 적절한 조치를 취하여 트러스트를 복구할 수 있습니다. Microsoft Entra ID 및 AD FS 신뢰를 복구하려면 다음을 수행합니다.

  1. 작업 목록에서 Microsoft Entra ID 및 ADFS 신뢰 복구를 선택합니다.

    Microsoft Entra ID 및 AD FS 신뢰 복구를 위한

  2. Microsoft Entra ID에 연결 페이지에서 Microsoft Entra ID에 대한 하이브리드 ID 관리자 자격 증명을 제공한 후 다음을 선택합니다.

    예제 자격 증명이 입력된

  3. 원격 액세스 자격 증명 페이지에서 도메인 관리자에 대한 자격 증명을 입력합니다.

    도메인 관리자 자격 증명 예가 입력된

  4. 다음을 선택합니다.

    Microsoft Entra Connect는 인증서 상태를 확인하고 문제를 표시합니다.

    현재 인증서의 상태를 표시하는

    구성 준비 페이지는 트러스트를 복구하기 위해 수행할 작업 목록을 표시합니다.

    수행될 작업 목록이 있는

  5. 신뢰를 복구하려면 설치를 선택합니다.

참고 항목

Microsoft Entra Connect는 자체 서명된 인증서에 대해서만 복구 또는 조치를 취할 수 있습니다. Microsoft Entra Connect에서 타사 인증서를 복구할 수 없습니다.

alternateID를 사용하여 Microsoft Entra ID로 페더레이션

온-프레미스 UPN(사용자 계정 이름)과 클라우드 사용자 계정 이름을 동일하게 유지하는 것이 좋습니다. 온-프레미스 UPN이 라우팅할 수 없는 도메인(예: Contoso.local)을 사용하거나 로컬 애플리케이션 종속성으로 인해 변경할 수 없는 경우 대체 로그인 ID를 설정하는 것이 좋습니다. 대체 로그인 ID를 사용하여 사용자가 UPN 이외의 특성(예: 이메일 주소)으로 로그인할 수 있는 로그인 환경을 구성할 수 있습니다.

Microsoft Entra Connect에서 선택한 UPN은 기본적으로 Active Directory의 userPrincipalName 특성으로 설정됩니다. UPN에 대해 다른 특성을 선택하고 AD FS를 사용하여 페더레이션하는 경우 Microsoft Entra Connect는 대체 로그인 ID에 대해 AD FS를 구성합니다.

UPN에 대해 다른 특성을 선택하는 예는 다음 이미지에 표시되어 있습니다.

UPN에 대해 다른 특성을 선택하기 위한

AD FS에 대한 대체 로그인 ID 구성은 두 가지 주요 단계로 구성됩니다.

  1. 올바른 발급 클레임 집합 구성: Microsoft Entra ID 신뢰 당사자 트러스트의 발급 클레임 규칙이 선택한 UserPrincipalName 특성을 사용자의 대체 ID로 사용하도록 수정됩니다.

  2. AD FS 구성에서 대체 로그인 ID 사용: AD FS가 대체 ID를 사용하여 적절한 포리스트에서 사용자를 조회할 수 있도록 AD FS 구성이 업데이트됩니다. 이 구성은 Windows Server 2012 R2(KB2919355) 이상의 AD FS에 대해 지원됩니다. AD FS 서버가 2012 R2인 경우 Microsoft Entra Connect는 필요한 KB가 있는지 확인합니다. KB가 검색되지 않으면 다음 이미지와 같이 구성이 완료된 후 경고가 표시됩니다.

    Windows Server 2012 R2에서 누락된 KB에 대한 경고를 표시하는

    누락된 KB가 있는 경우 필수 KB2919355를 설치하여 구성을 해결할 수 있습니다. 그런 다음 신뢰 복구의 지침을 따를 수 있습니다.

참고 항목

alternateID 및 이를 수동으로 구성하는 단계에 대한 자세한 내용은 대체 로그인 ID 구성을 참조하세요.

AD FS 서버 추가

참고 항목

AD FS 서버를 추가하려면 Microsoft Entra Connect에 PFX 인증서가 필요합니다. 따라서 Microsoft Entra Connect를 사용하여 AD FS 팜을 구성한 경우에만 이 작업을 수행할 수 있습니다.

  1. 추가 페더레이션 서버 배포를 선택한 후 다음을 선택합니다.

    추가 페더레이션 서버를 배포하기 위한

  2. Microsoft Entra ID에 연결 페이지에서 Microsoft Entra ID에 대한 하이브리드 ID 관리자 자격 증명을 입력한 후 다음을 선택합니다.

    샘플 자격 증명이 입력된

  3. 도메인 관리자 자격 증명을 제공합니다.

    샘플 자격 증명이 입력된

  4. Microsoft Entra Connect는 Microsoft Entra Connect를 사용하여 새 AD FS 팜을 구성할 때 제공한 PFX 파일의 암호를 요청합니다. 암호 입력을 선택하여 PFX 파일에 대한 암호를 제공합니다.

    PFX 파일의 암호를 입력한 후

  5. AD FS 서버 페이지에서 AD FS 팜에 추가할 서버 이름 또는 IP 주소를 입력합니다.

  6. 다음을 선택한 다음 계속해서 마지막 구성 페이지를 완료합니다.

    Microsoft Entra Connect가 AD FS 팜에 서버 추가를 완료한 후 연결을 확인하는 옵션이 제공됩니다.

AD FS WAP 서버 추가

참고 항목

웹 애플리케이션 프록시 서버를 추가하려면 Microsoft Entra Connect에 PFX 인증서가 필요합니다. 따라서 Microsoft Entra Connect를 사용하여 AD FS 팜을 구성한 후에만 이 작업을 수행할 수 있습니다.

  1. 사용 가능한 작업 목록에서 웹 애플리케이션 프록시 배포를 선택합니다.

    웹 애플리케이션 프록시 배포

  2. Azure 하이브리드 ID 관리자 자격 증명을 제공합니다.

    예제 사용자 이름 및 암호가 입력된

  3. SSL 인증서 지정 페이지에서 Microsoft Entra Connect를 사용하여 AD FS 팜을 구성했을 때 제공한 PFX 파일에 대한 암호를 제공합니다. Certificate password

    TLS/SSL 인증서를 지정합니다.

  4. WAP 서버로 추가할 서버를 추가합니다. WAP 서버가 도메인에 가입되지 않을 수 있으므로 마법사가 추가 중인 서버에 대한 관리자 자격 증명을 요청합니다.

    관리 서버 자격 증명

  5. 프록시 트러스트 자격 증명 페이지에서 프록시 트러스트를 구성하고 AD FS 팜의 주 서버에 액세스하는 관리자 자격 증명을 제공합니다.

    프록시 트러스트 자격 증명

  6. 구성 준비 페이지에서 마법사는 수행할 작업 목록을 표시합니다.

    수행될 작업 목록이 있는

  7. 설치를 선택하여 구성을 완료합니다. 구성이 완료되면 마법사에서 서버에 대한 연결을 확인하는 옵션을 제공합니다. 확인을 선택하여 연결을 확인합니다.

    설치 완료

페더레이션된 도메인 추가

Microsoft Entra Connect를 사용하여 Microsoft Entra ID로 페더레이션할 도메인을 쉽게 추가할 수 있습니다. Microsoft Entra Connect는 페더레이션에 대한 도메인을 추가하고 Microsoft Entra ID로 페더레이션된 여러 도메인이 있는 경우 발급자를 올바르게 반영하기 위해 클레임 규칙을 수정합니다.

  1. 페더레이션된 도메인을 추가하려면 추가 Microsoft Entra 도메인 추가를 선택합니다.

  2. 마법사의 다음 페이지에서 Microsoft Entra ID 전역 관리자 자격 증명을 제공합니다.

  3. 원격 액세스 자격 증명 페이지에서 도메인 관리자 자격 증명을 제공합니다.

  4. 다음 페이지에서 마법사는 온-프레미스 디렉터리를 페더레이션할 수 있는 Microsoft Entra 도메인 목록을 제공합니다. 목록에서 도메인을 선택합니다.

    Microsoft Entra 도메인을 추가하는 방법을 보여 주는

    도메인을 선택하면 마법사가 수행할 추가 작업과 구성의 영향에 대해 알려 줍니다. 경우에 따라 Microsoft Entra ID에서 아직 확인되지 않은 도메인을 선택하면 마법사가 도메인 확인을 도와줍니다. 자세한 내용은 Microsoft Entra ID에 사용자 지정 도메인 이름 추가를 참조하세요.

  5. 다음을 선택합니다.

    구성 준비 완료 페이지에는 Microsoft Entra Connect가 수행할 작업이 나열됩니다.

    Microsoft Entra 도메인을 추가하는 방법을 보여 주는

  6. 설치를 선택하여 구성을 완료합니다.

참고 항목

추가된 페더레이션된 도메인의 사용자는 동기화되어야 Microsoft Entra ID에 로그인할 수 있습니다.

AD FS 사용자 지정

다음 섹션에서는 AD FS 로그인 페이지를 사용자 지정하기 위해 수행해야 할 수 있는 일반적인 작업 중 일부에 대해 자세히 설명합니다.

로그인 페이지에 표시되는 회사의 로고를 변경하려면 다음 PowerShell cmdlet 및 구문을 사용합니다.

참고 항목

로고의 권장 크기는 파일 크기가 10KB 이하인 96dpi에서 260x35입니다.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

참고 항목

TargetName 매개 변수는 필수입니다. AD FS와 함께 제공되는 기본 테마의 이름은 Default입니다.

로그인 설명 추가

로그인 페이지에 로그인 페이지 설명을 추가하려면 다음 PowerShell cmdlet 및 구문을 사용합니다.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FS 클레임 규칙 수정

AD FS는 사용자 지정 클레임 규칙을 만드는 데 사용할 수 있는 다양한 클레임 언어를 지원합니다. 자세한 내용은 클레임 규칙 언어의 역할을 참조하세요.

다음 섹션에서는 Microsoft Entra ID 및 AD FS 페더레이션에 관련된 몇 가지 시나리오에 대한 사용자 지정 규칙을 작성할 수 있는 방법에 대해 자세히 설명합니다.

특성에 나타나는 값에서 변경이 불가능한 ID 조건부

Microsoft Entra Connect에서는 개체가 Microsoft Entra ID에 동기화되는 경우 원본 앵커로 사용할 특성을 지정할 수 있습니다. 사용자 지정 특성의 값이 비어 있지 않은 경우 변경이 불가능한 ID 클레임을 발급하는 것이 좋습니다.

예를 들어 원본 앵커의 특성으로 ms-ds-consistencyguid를 선택하고 특성이 해당 항목에 대한 값을 갖는 경우 ms-ds-consistencyguidImmutableID를 발급할 수 있습니다. 특성에 대한 값이 없는 경우 변경이 불가능한 ID로 objectGuid를 발급합니다. 다음 섹션에 설명된 대로 사용자 지정 클레임 규칙의 집합을 생성할 수 있습니다.

규칙 1: 쿼리 특성

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

이 규칙에서는 Active Directory의 사용자에 대해 ms-ds-consistencyguidobjectGuid의 값을 쿼리합니다. AD FS 배포에서 적절한 저장소 이름으로 저장소 이름을 변경합니다. 또한 objectGuidms-ds-consistencyguid에 대해 정의된 대로 페더레이션에 대한 적절한 클레임 형식으로 클레임 형식을 변경합니다.

또한 issue가 아닌 add를 사용하여 엔터티에 대해 나가는 발급을 추가하지 않고 단지 중간 값으로 값을 사용할 수 있습니다. 변경이 불가능한 ID로 사용할 값을 설정한 후 이후 규칙에서 클레임을 발급합니다.

규칙 2: 사용자에 대한 ms-ds-consistencyguid가 있는지 확인

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

이 규칙은 단순히 사용자에 대해 채워진 idflag가 없는 경우 useguid로 설정된 ms-ds-consistencyguid라는 임시 플래그를 정의합니다. 이에 대한 논리는 AD FS가 빈 클레임을 허용하지 않는다는 것입니다. 규칙 1에 http://contoso.com/ws/2016/02/identity/claims/objectguidhttp://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid 클레임을 추가할 때는 해당 사용자에 대해 값이 입력되는 경우에만 msdsconsistencyguid 클레임으로 마칩니다. 채워지지 않은 경우 AD FS는 빈 값을 갖는 것을 확인하고 즉시 삭제합니다. 모든 개체에는 objectGuid가 있으므로 규칙 1이 실행된 후 항상 클레임이 발생합니다.

규칙 3: 있는 경우 변경이 불가능한 ID로 ms-ds-consistencyguid 발급

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

이는 암시적 Exist 확인입니다. 클레임에 대한 값이 존재하면 변경이 불가능한 ID로 발급합니다. 위의 예에서는 nameidentifier 클레임을 사용합니다. 사용자 환경에서 변경이 불가능한 ID에 대한 적절한 클레임 유형으로 변경해야 합니다.

규칙 4: ms-ds-consistencyGuid가 없는 경우 objectGuid를 변경이 불가능한 ID로 발급

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

이 규칙을 사용하면 단순히 임시 플래그 idflag를 확인합니다. 해당 값에 따라 클레임 발급 여부를 결정합니다.

참고 항목

이러한 규칙 시퀀스는 중요합니다.

하위 도메인 UPN을 사용한 SSO

새 페더레이션된 도메인 추가에 설명된 대로 Microsoft Entra Connect를 사용하여 페더레이션될 도메인을 둘 이상 추가할 수 있습니다. Microsoft Entra Connect 버전 1.1.553.0 이상에서는 issuerID에 대한 올바른 클레임 규칙을 자동으로 만듭니다. Microsoft Entra Connect 버전 1.1.553.0 이상을 사용할 수 없는 경우 Microsoft Entra RPT 클레임 규칙 도구를 사용하여 Microsoft Entra ID 신뢰 당사자 신뢰에 대한 올바른 클레임 규칙을 생성하고 설정하는 것이 좋습니다.

다음 단계

사용자 로그인 옵션에 대해 알아봅니다.