사용자가 Microsoft 365, Intune 또는 Azure에 로그인할 때 AD FS 엔드포인트 연결 문제를 해결하는 방법

문제

사용자가 페더레이션된 사용자 계정을 사용하여 Microsoft 365, Microsoft Intune 또는 Microsoft Azure와 같은 Microsoft 클라우드 서비스에 로그인하면 사용자가 다음을 수행하려고 할 때만 Active Directory Federation Services(AD FS) 서비스에 대한 연결이 실패합니다.

  • 원격 인터넷 위치에서 연결
  • 전자 메일 연결을 사용하여 로그인

또한 이 경우 원격 연결 분석기에서 수행하는 SSO 테스트가 실패합니다.

원격 연결 분석기를 실행하여 Microsoft 365에서 SSO 인증을 테스트하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하세요.

  • 2650717 원격 연결 분석기를 사용하여 Microsoft 365, Azure 또는 Intune 대한 Single Sign-On 문제를 해결하는 방법
  • 더레이션된 사용자가 Exchange Online 사서함에 연결할 수 없는 2466333

원인

이러한 오류는 AD FS 서비스가 인터넷에 올바르게 노출되지 않는 경우에 발생할 수 있습니다. 일반적으로 AD FS 프록시 서버는 이러한 용도로 사용되며 AD FS 프록시 서버의 문제로 인해 이러한 증상이 발생합니다. 일반적인 문제는 다음과 같습니다.

  • AD FS 프록시 서버에 할당된 만료된 SSL 인증서

    종종 동일한 SSL 인증서를 사용하여 AD FS 페더레이션 서비스 및 AD FS 프록시 서버 모두에 대한 HTTPS(보안 통신)를 지원합니다. 이 인증서가 만료되고 AD FS 페더레이션 서비스 팜에서 인증서가 갱신되거나 업데이트되면 모든 AD FS 프록시 서버에서도 SSL 인증서를 업데이트해야 합니다. 이 경우 AD FS 프록시 서버 SSL 인증서가 업데이트되지 않으면 AD FS 페더레이션 서비스가 정상인 경우에도 AD FS 서비스에 대한 인터넷 연결이 실패할 수 있습니다.

  • IIS 인증 엔드포인트의 잘못된 구성

    AD FS 프록시 서버의 역할은 AD FS를 대상으로 하는 인터넷 통신을 수신하고 해당 통신을 AD FS 페더레이션 서비스에 릴레이하는 것입니다. 따라서 AD FS 페더레이션 서비스 및 프록시 서버의 IIS 인증 설정은 상호 보완적이어야 합니다. AD FS 프록시 서버 IIS 인증 설정이 AD FS 페더레이션 서비스 IIS 인증 설정을 보완하도록 설정되지 않은 경우 로그인이 실패하거나 예기치 않은 여러 프롬프트를 생성할 수 있습니다.

  • AD FS 프록시 서버와 AD FS 페더레이션 서비스 간의 신뢰 손상

    AD FS 프록시 서비스는 도메인에 가입되지 않은 컴퓨터에 설치되도록 설계되었습니다. 따라서 AD FS 프록시 서버와 AD FS 페더레이션 서비스 간의 통신은 Active Directory 트러스트 또는 자격 증명을 기반으로 할 수 없습니다. 대신 AD FS 페더레이션 서비스에서 AD FS 프록시 서버에 발급되고 AD FS 토큰 서명 인증서에 의해 서명된 토큰을 사용하여 이러한 두 서버 역할 간의 통신을 설정합니다. 이 트러스트가 만료되었거나 유효하지 않은 경우 AD FS 프록시 서비스는 AD FS 요청을 릴레이할 수 없으며, 기능을 복원하려면 트러스트를 다시 빌드해야 합니다.

해결 방법

이 문제를 resolve 모든 오작동하는 AD FS 프록시 서버에서 상황에 적합한 다음 방법 중 하나를 사용합니다.

방법 1: AD FS 서버에서 AD FS SSL 인증서 문제 해결

이렇게 하려면 다음과 같이 하십시오.

  1. 다음 Microsoft 기술 자료 문서를 사용하여 AD FS 페더레이션 서비스(프록시 서비스가 아님)에서 SSL 인증서 문제를 해결합니다.

    2523494 Microsoft 365, Azure 또는 Intune 로그인하려고 할 때 AD FS에서 인증서 경고를 받습니다.

  2. AD FS 페더레이션 서비스 SSL 인증서가 올바르게 작동하는 경우 인증서 내보내기 및 가져오기 함수를 사용하여 AD FS 프록시 서버에서 SSL 인증서를 업데이트합니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.
    179380 디지털 인증서를 제거, 가져오기 및 내보내는 방법

방법 2: AD FS 프록시 서버 IIS 인증 설정을 기본값으로 다시 설정

이렇게 하려면 AD FS 프록시 서버에 대한 다음 Microsoft 기술 자료 문서의 해결 방법 1에 설명된 단계를 수행합니다.

2461628 Microsoft 365, Azure 또는 Intune 로그인하는 동안 페더레이션된 사용자에게 자격 증명을 묻는 메시지가 반복적으로 표시됩니다.

방법 3: AD FS 프록시 구성 마법사 다시 실행

이렇게 하려면 영향을 받는 모든 AD FS 프록시 서버의 관리 도구 인터페이스에서 AD FS 페더레이션 서버 프록시 구성 마법사를 다시 실행합니다.

참고

일반적으로 구성 마법사를 다시 실행할 때 "브라우저 로그인 웹 사이트 배포" 단계에서 경고를 수신합니다. 이는 마법사가 AD FS 프록시 서버와 AD FS 페더레이션 서비스 간의 트러스트를 다시 빌드하지 않았다는 표시가 아닙니다.

추가 정보

AD FS 프록시 서버를 사용하여 AD FS 서비스를 인터넷에 노출하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.

Single Sign-On과 함께 사용할 AD FS 2.0 계획 및 배포

아직 해결되지 않았습니까? Microsoft 커뮤니티로 이동하세요.