Shibboleth와 Azure AD 간의 트러스트 설정
업데이트: 2015년 6월 25일
적용 대상: Azure, Office 365, Power BI, Windows Intune
Azure AD 도메인은 Windows PowerShell Microsoft Azure Active Directory 모듈을 사용하여 페더레이션됩니다. 이 항목을 사용하여 Windows PowerShell 명령줄 인터페이스에서 일련의 cmdlet을 실행하여 Single Sign-On에 대한 도메인을 추가하거나 변환합니다.
중요
이 항목의 지침을 완료하려면 먼저 Shibboleth에서 Single Sign-On을 위해 설치 Windows PowerShell 단계를 검토하고 완료해야 합니다.
Shibboleth를 사용하여 페더레이션하려는 각 Active Directory 도메인은 Single Sign-On 도메인으로 추가하거나 표준 도메인에서 Single Sign-On 도메인으로 변환해야 합니다. 도메인을 추가하거나 변환하면 Shibboleth ID 공급자와 Azure Active Directory 간에 트러스트가 설정됩니다.
다음 절차에서는 기존 표준 도메인을 페더레이션 도메인으로 변환하는 방법을 안내합니다.
Microsoft Azure Active Directory 모듈을 엽니다.
$cred=Get-Credential
을 실행합니다. cmdlet에서 자격 증명을 묻는 메시지를 표시하면 클라우드 서비스 관리자 계정 자격 증명을 입력합니다.Connect-MsolService –Credential $cred
을 실행합니다. 이 cmdlet은 Azure AD 연결합니다. 도구에서 설치한 추가 cmdlet을 실행하기 전에 Azure AD 연결하는 컨텍스트를 만들어야 합니다.기존 도메인(이 예에서는 mail.contoso.com)을 Single Sign-On용으로 변환하려면 다음 명령을 실행합니다.
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
참고
Shibboleth ID 공급자 ECP 확장을 설정하는 경우에만
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
를 실행해야 합니다. 이 단계는 필요한 경우에만 실행하면 되지만 스마트폰, Microsoft Outlook 또는 기타 클라이언트에서도 Single Sign-On을 사용하려면 Shibboleth ID 공급자 ECP 확장을 설치하는 것이 좋습니다. 자세한 내용은 Single Sign-On에 사용할 Shibboleth 구성에서 "선택 사항: Shibboleth ECP 확장 설치"를 참조하세요.
참고 항목
개념
Shibboleth와의 Single Sign-On 설정을 위해 Windows PowerShell 설치
Shibboleth Identity Provider를 사용하여 Single Sign-On 구현