AD FS를 사용하여 Microsoft 365, Azure 또는 Intune Single Sign-On을 설정하는 데 지원되는 시나리오
소개
이 문서에서는 다양한 AD FS(Active Directory Federation Services) 시나리오와 Microsoft 365, Microsoft Azure 또는 Microsoft Intune SSO(Single Sign-On)에 미치는 영향에 대해 간략하게 설명합니다.
추가 정보
대부분의 엔터프라이즈 수준 서비스와 마찬가지로 AD FS 페더레이션 서비스(SSO에 활용됨)는 비즈니스 요구 사항에 따라 여러 가지 방법으로 구현할 수 있습니다. 다음 AD FS 시나리오는 온-프레미스 AD FS 페더레이션 서비스를 인터넷에 게시하는 방법에 중점을 줍니다. 이는 AD FS 구현의 매우 구체적인 측면입니다.
시나리오 1: 완전히 구현된 AD FS
설명
AD FS 페더레이션 서버 팜 서비스는 Active Directory 클라이언트가 SSO 인증을 통해 요청합니다. AD FS(부하 분산된) 페더레이션 서버 프록시는 인터넷 클라이언트와 내부 AD FS 환경 간에 요청 및 응답을 릴레이하여 이러한 핵심 인증 서비스를 인터넷에 노출합니다.
권장 사항
AD FS의 권장 구현입니다.
가정 지원
이 시나리오에 대한 지원 가정은 없습니다. 이 시나리오는 Microsoft 지원 지원됩니다.
시나리오 2: 방화벽 게시 AD FS
설명
AD FS 페더레이션 서버 팜 서비스는 Active Directory 클라이언트가 SSO 인증을 통해 요청합니다. Microsoft ISA(인터넷 보안 및 가속) /Microsoft Forefront TMG(위협 관리 게이트웨이) 서버(또는 서버 팜)는 역방향 프록시를 통해 이러한 핵심 인증 서비스를 인터넷에 노출합니다.
제한 사항
이 작업이 작동하려면 AD FS 페더레이션 서버 팜에서 확장 인증 보호를 사용하지 않도록 설정해야 합니다. 이렇게 하면 시스템의 보안 프로필이 약화됩니다. 보안 고려 사항의 경우 이 작업을 수행하지 않는 것이 좋습니다.
가정 지원
ISA/TMG 방화벽 및 역방향 프록시 규칙이 올바르게 구현되고 작동한다고 가정합니다. Microsoft 지원 이 시나리오를 지원하려면 다음 조건이 충족되어야 합니다.
- 인터넷 클라이언트와 AD FS 서버 간의 HTTPS(포트 443) 트래픽의 역방향 프록시는 투명해야 합니다.
- AD FS 서버는 인터넷 클라이언트에서 SAML 요청의 충실한 복사본을 받아야 합니다.
- 인터넷 클라이언트는 클라이언트가 온-프레미스 AD FS 서버에 직접 연결된 것처럼 SAML 응답의 충실한 복사본을 받아야 합니다.
이 구성이 실패할 수 있는 일반적인 문제에 대한 자세한 내용은 다음 리소스를 참조하세요.
다음 Microsoft TechNet 문서:
시나리오 3: 게시되지 않은 AD FS
설명
AD FS 페더레이션 서버 팜 서비스는 Active Directory 클라이언트가 SSO 인증을 통해 요청하며 서버 팜은 어떤 방법으로도 인터넷에 노출되지 않습니다.
제한 사항
인터넷 클라이언트(모바일 디바이스 포함)는 Microsoft 클라우드 서비스 리소스를 사용할 수 없습니다. 서비스 수준의 이유로 이 작업을 수행하지 않는 것이 좋습니다.
Outlook 리치 클라이언트는 Exchange Online 리소스에 연결할 수 없습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.
페더레이션된 사용자가 Exchange Online 사서함에 연결할 수 없는 2466333
가정 지원
고객은 구현을 통해 이 설정이 Microsoft Entra ID 지원하는 완전히 보급된 서비스 제품군을 제공하지 않는다는 것을 인정한다고 가정합니다. 이러한 상황에서 이 시나리오는 Microsoft 지원 지원됩니다.
시나리오 4: VPN 게시 AD FS
설명
AD FS 페더레이션 서버(또는 페더레이션 서버 팜)는 Active Directory 클라이언트가 SSO 인증을 통해 요청하고 서버 또는 서버 팜은 어떤 방법으로도 인터넷에 노출되지 않습니다. 인터넷 클라이언트는 온-프레미스 네트워크 환경에 대한 VPN(가상 사설망) 연결을 통해서만 AD FS 서비스에 연결하고 사용합니다.
제한 사항
인터넷 클라이언트(모바일 디바이스 포함)가 VPN을 지원하지 않는 한 Microsoft 클라우드 서비스를 사용할 수 없습니다. 서비스 수준의 이유로 이 작업을 수행하지 않는 것이 좋습니다.
Outlook 리치 클라이언트(ActiveSync 클라이언트 포함)는 Exchange Online 리소스에 연결할 수 없습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.
페더레이션된 사용자가 Exchange Online 사서함에 연결할 수 없는 2466333 가정 지원
고객은 구현을 통해 이 설정이 Microsoft Entra ID ID 페더레이션에서 지원하는 완전히 보급된 서비스 제품군을 제공하지 않는다는 것을 인정한다고 가정합니다.
VPN이 올바르게 구현되고 작동하는 것으로 가정합니다. 이 시나리오가 Microsoft 지원 지원되려면 다음 조건이 true여야 합니다.
- 클라이언트는 HTTPS(포트 443)를 통해 DNS 이름으로 AD FS 시스템에 연결할 수 있습니다.
- 클라이언트는 적절한 포트/프로토콜을 사용하여 DNS 이름으로 Microsoft Entra 페더레이션 엔드포인트에 연결할 수 있습니다.
고가용성 AD FS 및 Microsoft Entra ID 페더레이션
각 시나리오는 서버 팜 대신 독립 실행형 AD FS 페더레이션 서버를 사용하여 다양할 수 있습니다. 그러나 액세스 손실을 방지하기 위해 고가용성 기술을 사용하여 모든 중요한 인프라 서비스를 구현하는 것이 항상 Microsoft 모범 사례 권장 사항입니다.
온-프레미스 AD FS 가용성은 페더레이션된 사용자의 Microsoft 클라우드 서비스 가용성에 직접적인 영향을 미치며 해당 서비스 수준은 고객의 책임입니다. Microsoft TechNet 라이브러리에는 온-프레미스 환경에서 AD FS를 계획하고 배포하는 방법에 대한 광범위한 지침이 포함되어 있습니다. 이 지침은 고객이 이 중요한 하위 시스템에 대한 대상 서비스 수준에 도달하는 데 도움이 될 수 있습니다. 자세한 내용은 다음 TechNet 웹 사이트를 참조하세요.
ADFS(Active Directory Federation Services) 2.0
참조
아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Entra 포럼 웹 사이트로 이동합니다.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기