소개
이 문서에서는 Office 365, Microsoft Intune 또는 Microsoft Azure와 같은 Microsoft 클라우드 서비스에서 Single Sign-On 설정 문제를 해결하는 방법을 설명합니다.
SSO(Single Sign-On)에 대한 자세한 구현 지침은 Azure Active Directory(Azure AD) 도움말 설명서에서 확인할 수 있습니다. 해당 지침을 사용하여 SSO를 설정할 때 문제가 발생하는 경우 이 문서를 참조할 수 있습니다. 각 설정 단계의 일반적인 문제를 해결하는 데 도움이 되는 로드맵을 제공합니다.
절차
SSO 설정 문제를 해결하는 방법
1단계: Active Directory 준비
설정 지침
다음 Microsoft 웹 사이트로 이동합니다.
1단계 유효성 검사
디렉터리 동기화 설정 진단 평가 마법사를 사용하여 Active Directory에서 디렉터리 동기화 문제를 일으킬 수 있는 문제를 검사합니다.
1단계 유효성 검사 문제 해결
-
참고 Active Directory를 잘못 준비하거나 도구가 식별하는 문제를 해결하지 못하면 디렉터리 동기화 문제가 발생할 수 있습니다. 디렉터리 동기화 설정 진단 평가 마법사에서 제공하는 문제 해결 지침에 따라 문제를 해결하고 진단 마법사가 오류 없이 실행되는지 확인합니다. 이렇게 하면 구현의 뒷부분에서 다음 문제가 발생하지 않습니다.
-
진단 마법사를 다시 실행하여 문제가 해결되었는지 확인합니다.
2단계: AD FS(Active Directory Federation Services) 아키텍처
설정 지침
다음 Microsoft 웹 사이트로 이동합니다.
참고 Microsoft 지원 이러한 링크에서 설정 지침을 실행하는 데 도움이 되지 않습니다.
3단계: SSO용 Windows PowerShell Azure Active Directory 모듈
설정 지침
다음 Microsoft 웹 사이트로 이동합니다.
3단계 유효성 검사
SSO용 Windows PowerShell 대한 Azure Active Directory 모듈의 유효성을 검사하려면 다음 단계를 수행합니다.
-
관리자 권한으로 Windows PowerShell Azure Active Directory 모듈을 실행합니다.
-
다음 명령을 입력하고 각 명령을 입력한 후 Enter 키를 눌러야 합니다.
-
$cred=Get-Credential
참고 메시지가 표시되면 클라우드 서비스 관리자 자격 증명을 입력합니다. -
Connect-MsolService -Credential $cred
참고 이 명령은 Azure AD 연결합니다. Windows PowerShell 위해 Azure Active Directory 모듈에 의해 설치된 추가 cmdlet을 실행하기 전에 Azure AD 연결하는 컨텍스트를 만들어야 합니다. -
Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >
노트-
기본 Active Directory Federation Services(AD FS) 서버에 Windows PowerShell 위한 Azure Active Directory 모듈을 설치한 경우 이 cmdlet을 실행할 필요가 없습니다.
-
이 명령에서 자리 표시자는 AD FS 2.0 주 서버> <기본 AD FS 서버의 내부 FQDN(정규화된 도메인 이름)을 나타냅니다. 이 명령은 AD FS에 연결하는 컨텍스트를 만듭니다.
-
-
Get-MSOLFederationProperty -DomainName < federated domain name >
참고 이 명령에서 자리 표시자 <페더레이션된 도메인 이름> 설정 단계에서 페더레이션된 도메인 이름을 나타냅니다.
-
-
2D단계에서 실행한 Get-MSOLFederationProperty 명령의 출력의 상반기(원본: AD FS 서버) 및 마지막 절반(원본: Microsoft Office 365)을 비교합니다. Source 및 FederationServiceDisplayName을 제외한 모든 항목이 일치해야 합니다. 일치하지 않는 경우 다음 Microsoft 기술 자료 문서의 "해결" 섹션을 사용하여 신뢰 당사자 트러스트 데이터를 업데이트합니다.
2647020 "죄송합니다. 로그인하는 데 문제가 있습니다." 및 페더레이션된 사용자가 Office 365, Azure 또는 Intune 로그인하려고 할 때 "80041317" 또는 "80043431" 오류가 발생합니다.
3
단계 유효성 검사 문제 해결
문제를 해결하려면 다음 단계를 수행합니다.
-
상황에 맞게 다음 Microsoft 기술 자료 문서를 사용하여 일반적인 유효성 검사 문제를 해결합니다.
-
2461873 Windows PowerShell 대한 Azure Active Directory 모듈을 열 수 없습니다.
-
2494043Windows PowerShell Azure Active Directory 모듈을 사용하여 연결할 수 없습니다.
-
Set-MsolADFSContext cmdlet을 사용할 때 "<ServerName> Active Directory Federation Services 2.0 서버에 대한 연결이 실패했습니다." 오류 2587730
-
2279117 관리자가 Office 365 계정에 도메인을 추가할 수 없음
-
도메인 확인이 실패하여 두 번째로 New-MsolFederatedDomain cmdlet을 실행할 때 오류가 발생합니다. 이 시나리오에 대한 자세한 내용은 다음 기술 자료 문서를 참조하세요.
2515404 Office 365 도메인 확인 문제 해결
-
2618887 "AD FS 2.0 서버에 지정된 페더레이션 서비스 식별자가 이미 사용 중입니다." Office 365, Azure 또는 Intune 다른 페더레이션 도메인을 설정하려고 할 때 오류가 발생합니다.
-
시간 문제로 인해 New-MSOLFederatedDomain cmdlet 또는 Convert-MSOLDomainToFederated cmdlet에 문제가 발생합니다.
-
-
유효성 검사 단계를 다시 실행하여 문제가 해결되었는지 확인합니다.
4단계: Active Directory 동기화 구현
설정 지침
다음 Microsoft 웹 사이트로 이동합니다.
4단계 유효성 검사
유효성을 검사하려면 다음 단계를 수행합니다.
-
관리자 권한으로 Windows PowerShell Azure Active Directory 모듈을 실행합니다.
-
다음 명령을 입력합니다. 각 명령을 입력한 후 Enter 키를 눌러야 합니다.
-
$cred=Get-Credential
참고 메시지가 표시되면 클라우드 서비스 관리자 자격 증명을 입력합니다. -
Connect-MsolService -자격 증명 $cred
참고 이 명령은 Azure AD 연결합니다. Windows PowerShell 위해 Azure Active Directory 모듈에 의해 설치된 추가 cmdlet을 실행하기 전에 Azure AD 연결하는 컨텍스트를 만들어야 합니다. -
Get-MSOLCompanyInformation
-
-
이전 명령의 출력에서 LastDirSyncTime 값을 확인하고 Azure Active Directory 동기화 도구가 설치된 후 동기화가 표시되는지 확인합니다.
참고 이 값의 날짜 및 타임스탬프는 협정 세계시(그리니치 표준시)에 표시됩니다. -
LastDirSyncTime이 업데이트되지 않은 경우 다음 이벤트에 대해 Azure Active Directory 동기화 도구가 설치된 서버의 애플리케이션 로그를 모니터링합니다.
-
원본: 디렉터리 동기화
-
이벤트 ID: 4
-
수준: 정보
이 이벤트는 서버에서 디렉터리 동기화가 완료되었음을 나타냅니다. 이 경우 다음 단계를 다시 실행하여 LastDirSyncTime 값이 적절하게 업데이트되었는지 확인합니다.
-
4
단계 유효성 검사 문제 해결
상황에 맞게 다음 Microsoft 기술 자료 문서를 사용하여 일반적인 유효성 검사 문제를 해결합니다.
-
Azure Active Directory 동기화 도구 구성 마법사에서 엔터프라이즈 관리자 자격 증명을 입력한 후 "LogonUser() 오류 코드로 실패: 1789" 2508225
-
Azure Active Directory 동기화 도구 구성 마법사를 실행할 때 "Microsoft Online Services 로그인 도우미에서 알 수 없는 오류가 발생했습니다." 오류 2502710
-
Azure Active Directory 동기화 도구를 설치하려고 할 때 "컴퓨터가 도메인에 가입되어야 함" 오류 2419250
-
2643629 Azure Active Directory 동기화 도구를 사용할 때 하나 이상의 개체가 동기화되지 않음
-
2641663 SMTP 일치를 사용하여 온-프레미스 사용자 계정을 일치시켜 디렉터리 동기화에 대한 사용자 계정을 Office 365 방법
-
2492140 Office 365 포털에서 페더레이션된 도메인을 사용자에게 할당할 수 없습니다.
5단계: 클라이언트 준비 Office 365
설정 지침
-
Office 365 대한 클라이언트 필수 구성 요소를 확인합니다. Office 365 대한 시스템 요구 사항에 대한 자세한 내용은 Office 365 시스템 요구 사항을 참조하세요.
-
풍부한 클라이언트 애플리케이션을 사용하는 모든 클라이언트 컴퓨터에서 Office 365 데스크톱 설치 프로그램을 실행합니다. 풍부한 클라이언트 애플리케이션에는 Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Windows PowerShell용 Azure Active Directory 모듈이 포함됩니다. Office 데스크톱 애플리케이션 및 Microsoft SharePoint 통합 애플리케이션.
-
도메인에 가입된 클라이언트 컴퓨터와 도메인에 연결된 클라이언트 컴퓨터에 대해 원활하고 프롬프트 없는 환경이 필요한 경우 Windows Internet Explorer의 로컬 인트라넷 영역에 AD FS 페더레이션 서비스 URL을 추가합니다. 예를 들어 다음을 수행합니다.
-
Internet Explorer의 도구 메뉴에서 인터넷 옵션을 클릭합니다.
-
보안 탭을 클릭하고 로컬 인트라넷, 사이트를 차례로 클릭한 다음 고급을 클릭합니다.
-
영역에 이 웹 사이트 추가 상자에 https://sts.contoso.com 입력한 다음 추가를 클릭합니다.
참고 "sts.contoso.com"는 AD FS 페더레이션 서비스의 FQDN을 나타냅니다.
이 구성에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.
2535227 페더레이션된 사용자에게 회사 또는 학교 계정 자격 증명을 입력하라는 메시지가 예기치 않게 표시됩니다.
-
-
도메인에 가입된 클라이언트 컴퓨터와 도메인에 연결된 클라이언트 컴퓨터가 공용 DNS 쿼리를 사용하여 인터넷 주소를 확인하는 프록시 서버를 사용하여 인터넷 리소스에 액세스하는 경우(내부, 분할 브레인 DNS가 아님) AD FS 페더레이션 서비스 URL을 Internet Explorer가 프록시 필터링을 무시할 목록에 추가합니다. 다음은 Internet Explorer 예외 목록에 URL을 추가하는 방법의 예입니다.
-
Internet Explorer의 도구 메뉴에서 인터넷 옵션을 클릭합니다.
-
연결 탭에서 LAN 설정을 클릭한 다음 고급을 클릭합니다.
-
예외 상자에 AD FS 서비스 엔드포인트 이름의 정규화된 DNS 이름을 사용하여 값을 입력합니다. 예를 들어 sts.contoso.com 입력합니다.
-
5
단계 유효성 검사
유효성을 검사하려면 다음 단계를 수행합니다.
-
Microsoft Online Services 로그인 도우미 서비스가 설치되어 실행 중인지 확인합니다. 이렇게 하려면 다음과 같이 하십시오.
-
시작을 클릭하고 실행을 클릭하고 Services.msc를 입력한 다음 확인을 클릭합니다.
-
Microsoft Online Services 로그인 도우미 항목을 찾은 다음 서비스가 실행 중인지 확인합니다.
-
서비스가 실행되고 있지 않으면 항목을 마우스 오른쪽 단추로 클릭한 다음 시작을 선택합니다.
-
-
AD FS MEX 웹 사이트로 이동하여 엔드포인트가 Internet Explorer 인트라넷 보안 영역의 일부인지 확인합니다. 이렇게 하려면 다음과 같이 하십시오.
-
Internet Explorer를 시작한 다음, AD FS 서비스 엔드포인트 웹 사이트로 이동합니다. 다음은 서비스 엔드포인트 웹 사이트의 예입니다.
https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
-
창 아래쪽의 상태 표시줄을 확인하여 이 URL에 대해 표시된 보안 영역이 로컬 인트라넷인지 확인합니다.
-
6단계: 최종 유효성 검사
구성된 클라이언트 컴퓨터에서 예상되는 SSO 인증 환경을 테스트합니다. 이렇게 하려면 페더레이션된 사용자 계정을 사용하여 인증합니다. 다음 시나리오에서 페더레이션된 사용자의 인증을 테스트할 수 있습니다.
-
온-프레미스 네트워크에서 온-프레미스 Active Directory
-
인터넷 중립 IP 위치에서 온-프레미스 Active Directory 인증되지 않음
유효성을 검사하려면 다음 단계를 수행합니다.
-
웹 인증을 테스트합니다. 이렇게 하려면 다음 방법 중 하나를 사용하세요.
-
로컬 Active Directory 자격 증명을 사용하여 페더레이션된 사용자로 클라우드 서비스 포털에 로그인합니다.
-
Exchange Online 사서함이 있는 페더레이션된 사용자(로컬 Active Directory 자격 증명 사용)로 Outlook Web App 로그인합니다. 예를 들어 다음 URL에서 Outlook Web App 로그인합니다.
https://outlook.com/owa/contoso.comNote 이 URL에서 "contoso.com"은 페더레이션된 도메인 이름을 나타냅니다.
-
팀 사이트 컬렉션에 대한 액세스 권한이 있는 페더레이션된 사용자(로컬 Active Directory 자격 증명 사용)로 Microsoft Office SharePoint Online 로그인합니다. 예를 들어 다음 URL에서 SharePoint Online에 로그인합니다.
http://contoso.sharepoint.comNote 이 URL에서 "contoso"는 조직의 이름을 나타냅니다.
-
-
리치 클라이언트 또는 활성 요청자 인증을 테스트합니다. 이렇게 하려면 다음과 같이 하십시오.
-
페더레이션된 사용자 계정에 대한 비즈니스용 Skype Online(이전의 Lync Online) 클라이언트 프로필을 구성한 다음 로컬 Active Directory 자격 증명을 사용하여 계정에 로그인합니다.
-
connect-MSOLService cmdlet을 통해 전역 관리자 자격 증명이 있는 페더레이션된 사용자 계정을 사용하여 Windows PowerShell Azure Active Directory 모듈에 로그인합니다.
-
-
Microsoft 원격 연결 분석기를 사용하여 Exchange Online 기본 인증을 테스트합니다. 원격 연결 분석기를 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하세요.
2650717 원격 연결 분석기를 사용하여 Office 365, Azure 또는 Intune 대한 Single Sign-On 문제를 해결하는 방법
아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트로 이동합니다.
