Azure Active Directory와 Office 365 AD FS 문제 해결

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3079872
Azure Active Directory 또는 Office 365 페더레이션된 사용자에 대 한 인증 문제에 대 한 문제 해결 워크플로 설명 합니다.
현상
  • 페더레이션된 사용자가 로그온 할 수 없습니다 Office 365 또는 Microsoft Azure domainxx.onmicrosoft.com UPN 접미사를 가진 관리 되는 클라우드 전용 사용자 문제 없이 로그온 할 수 있지만.
  • Active Directory 페더레이션 서비스 (ADFS)로 리디렉션 또는 STS 페더레이션된 사용자에 대 한 발생 하지 않습니다. 또는 "페이지를 표시할 수 없습니다." 오류는 발생 합니다.
  • AD FS를 인증 하려고 할 때 인증서 관련 경고 메시지가 브라우저에 나타납니다. 이러한 인증서 유효성 검사에 실패 또는 인증서가 신뢰할 수 있는지 설명 합니다.
  • "알 수 없는 인증 방법" 하나 이상의 오류 메시지가 AuthnContext는 지원 되지 않습니다. 리디렉션됩니다 Office 365에서 AD FS 또는 STS 수준에서 또한 오류.
  • AD FS는 "액세스 거부" 오류를 throw합니다.
  • AD FS; 사이트에 액세스 문제가 발생 했다는 오류를 throw 합니다. 참조 ID 번호를 포함합니다.
  • AD FS 수준에서 자격 증명을 묻는 계속 합니다.
  • 페더레이션된 사용자가 외부 네트워크에서 인증할 수 없습니다 또는 외부 네트워크 경로 (예: Outlook)를 사용 하는 응용 프로그램을 사용 합니다.
  • 페더레이션된 사용자가 AD FS에서 토큰 서명 인증서가 변경 후 로그온 수 없습니다.
  • 페더레이션된 사용자가 Microsoft Azure에서 Office 365에 로그인 하는 경우는 "Sorry, 하지만 우리가 문제가 있는 로그인" 오류가 트리거됩니다. 이 오류는 C 8004786, 80041034, 80041317, 80043431, 80048163, 80045C 06 같은 오류 코드 8004789A, 또는 잘못 된 요청

워크플로 문제 해결
  1. 액세스 https://login.microsoftonline.com를 한 다음 페더레이션된 사용자의 로그인 이름 (입력다른 사람@예제.com). Tab 키를 눌러 로그인 상자에서 포커스를 제거 하려면 후 상태 페이지가 변경 되어 "리디렉션" 한 다음에 Active Directory 페더레이션 서비스 (ADFS) 로그인에 대 한 진단트리로 이동 여부를 확인 합니다.

    리디렉션이 발생 하는 경우 다음 페이지를 참조 합니다.

    1 단계에 대 한 화면
    1. 없는 리디렉션이 발생 하는 경우 같은 페이지에 암호를 입력 하 라는 메시지가 나타나면 즉, Azure Active Directory (AD) 또는 Office 365 페더레이션 할 사용자 또는 사용자의 도메인이 없습니다 인식 못합니다. Azure 광고 간에 페더레이션 트러스트를 있는지 여부를 확인 하려면 Office 365 AD FS 서버를 실행 하는 나는 Msoldomain 가져오기 Azure AD PowerShell에서 cmdlet입니다. 도메인의 연결을 인증 속성에는 다음 스크린 샷과 같이 "연합,"으로 표시 됩니다.

      페더레이션 도메인에 대 한 단계
    2. 리디렉션이 발생 하는 경우 로그인에 대 한 AD FS 서버에 리디렉션되지 않습니다 확인 하는지 여부를 ADFS 서비스 이름을 올바른 IP 및 TCP 포트 443에서 IP에 연결할 수 있는지 여부를 확인 합니다.

      도메인 "연합"으로 표시 되 면 다음 명령을 실행 하 여 페더레이션 트러스트에 대 한 정보를 얻을.
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      URI, URL 및 Office 365 또는 Azure AD가 구성한 페더레이션 파트너의 인증서를 확인 합니다.
  2. AD FS 리디렉션됩니다 브라우저에 인증서 신뢰 관련 오류를 throw 될 수 있습니다 하 고 일부 클라이언트와 장치에 대 한 그 수 수 AD FS 사용 하 여 SSL 세션을 설정할 수 있습니다. 이 문제를 해결하려면 다음과 같이 하십시오.
    1. 클라이언트에 게 표시 되는 ADFS 서비스 통신 인증서 같은 AD FS에 구성 되어 있는 확인 하십시오.

      단계 A에 대 한 화면

      이상적으로 ADFS 서비스를 사용 하 여 SSL 터널을 설정 하려고 하면 클라이언트에 표시 되는 SSL 인증서와 같은 AD FS 서비스 통신 인증서 있어야 합니다.

      AD FS 2.0에서

      • -> 기본 첫번째 사이트 IIS에 인증서를 바인딩하십시오.
      • ADFS 스냅인을 사용 하 여 서비스 통신 인증서와 동일한 인증서를 추가 하려면.

      AD FS 2012 r 2.

      • ADFS 스냅인을 사용 하 여 또는 Adfscertificate 추가 서비스 통신 인증서를 추가 하는 명령입니다.
      • 사용 하는 세트 adfssslcertificate 동일한 인증서 SSL 바인딩을 설정 하는 명령입니다.

    2. 클라이언트에서 ADFS 서비스 통신 인증서를 신뢰 해야 합니다.
    3. SNI-사용할 수 없는 클라이언트 2-12 r 2 AD FS 또는 WAP를 사용 하 여 SSL 세션을 설정 하려고 하는, 시도 실패할 수 있습니다. 이 경우, SNI를 지원 하지 않는 클라이언트를 지원 하도록 AD FS 또는 WAP 서버에서 대체 항목을 추가 하는 것이 좋습니다. 자세한 내용은 다음 블로그 게시물을 참조 하십시오.
  3. Office 365에서 리디렉션됩니다 때 AuthnContext AD FS 또는 STS 수준에서 지원 되지 않습니다 내용의 오류 또는 "알 수 없는 인증 방법" 오류가 발생할 수 있습니다. 가장 일반적인 경우 Azure 광고 및 Office 365 인증 방법을 적용 하는 매개 변수를 사용 하 여 AD FS 나 STS로 리디렉션합니다. 인증 방법을 적용 하려면 다음 방법 중 하나를 사용 합니다.
    • WS-페더레이션기본 인증 방법을 강제로 WAUTH 쿼리 문자열을 사용 합니다.
    • SAML2.0에 대 한다음을 사용 합니다.
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    강제 인증 방법이 잘못 된 값을 사용 하 여 전송 또는 AD FS 또는 STS에 해당 인증 방법을 지원 하지 않는 경우 인증 된 전에 오류 메시지가 나타납니다.

    다음 표에서 Uri에 대 한 AD FS에서 인식 되는 인증 유형을 보여 줍니다. WS-페더레이션 수동 인증입니다.
    원하는 인증 방법wauth URI
    사용자 이름 및 암호 인증urn: 오아시스: 이름: tc: SAML:1.0:am:password
    SSL 클라이언트 인증urn: ietf:rfc:2246
    Windows 통합된 인증urn: 연합: 인증: windows

    지원 SAML 인증 컨텍스트 클래스

    인증 방법 URI의 인증 컨텍스트 클래스
    사용자 이름 및 암호urn: 오아시스: 이름: tc: SAML:2.0:ac:classes:Password
    암호로 보호 된 전송urn: 오아시스: 이름: tc: SAML:2.0:ac:classes:PasswordProtectedTransport
    전송 계층 보안 (TLS) 클라이언트urn: 오아시스: 이름: tc: SAML:2.0:ac:classes:TLSClient
    X.509 인증서urn: 오아시스: 이름: tc: SAML:2.0:ac:classes:X 509
    Windows 통합된 인증urn: 연합: 인증: windows
    Kerberosurn: 오아시스: 이름: tc: SAML:2.0:ac:classes:Kerberos

    AD FS 수준 인증 메서드를 지원 하는지 확인 하려면 다음 사항을 확인 합니다.

    AD FS 2.0

    아래에서 /adfs/ls/web.config인증 형식에 대 한 항목이 있는지 확인 합니다.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    추가 이름 = "Forms" page="FormsSignIn.aspx" / &gt;
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: 로컬 인증 종류를 변경 하는 방법

    AD FS 2012 R2

    아래에서 AD FS 관리를 클릭 인증 정책 ADFS 스냅인.

    기본 인증 섹션을 클릭 합니다. 편집 옆에 전역 설정. 스키마 인증 정책 선택한 후 전역 기본 인증 편집. 나에 작업 창 선택 전역 기본 인증 편집.

    글로벌 인증 정책 편집 창에는 탭 설정을 글로벌 인증 정책의 일부로 구성할 수 있습니다. 예를 들어, 기본 인증을 선택할 수 있습니다에서 사용할 수 있는 인증 방법 엑스트라넷 하 고 인트라넷.

    * * 확인 필요한 인증 방법의 확인란을 선택 합니다.
  4. 에 AD FS를 하 고 자격 증명을 입력 했지만 인증할 수 없습니다 다음 사항을 확인 합니다.
    1. Active Directory 복제 문제

      AD 복제 끊어지면 도메인 컨트롤러에서 사용자 또는 그룹을 변경 동기화 되지 않을 수 있습니다. 도메인 컨트롤러 간의 있을 수 있습니다 암호를 UPN GroupMembership또는 Proxyaddress (인증 및 클레임)에 대 한 AD FS 응답에 영향을 주는 일치 하지 않습니다. AD FS와 같은 사이트에 도메인 컨트롤러에서 시작 해야 합니다. 실행 하는 repadmin /showreps 또는 DCdiag /v 명령에 AD FS에 연결할 가능성이 있는 도메인 컨트롤러에 문제가 있는지 표시 됩니다.

      광고 변경 모든 도메인 컨트롤러 간에 올바르게 복제 되 고 있는지 확인 하 여 AD 복제 요약을 수집할 수도 있습니다. 이 repadmin /showrepl * /csv &gt; showrepl.csv 출력 복제 상태를 확인 하는 데 도움이 됩니다. 자세한 내용은 참조 하십시오. Active Directory 복제 문제 해결.
    2. 계정 차단 또는 Active Directory에서 사용할 수 없습니다.

      Adfs를 통해 최종 사용자가 인증 될 때 자신이 받지 않습니다 계정 잠금 또는 사용할 수 없습니다 오류 메시지가. ADFS 로그온 감사에서 계정이 비활성화 되었거나 잠겨 있는지 여부를 잘못 된 암호로 인해 인증 실패 했는지 여부를 확인할 수와 같은 수 있습니다.

      AD FS 및 로그온 서버에서 AD FS에 대 한 감사를 사용 하려면 다음과이 같이 하십시오.
      1. 로컬 또는 도메인 정책을 사용 하 여 성공 및 실패 다음 정책에 대 한 사용.
        • 보안 setting\Local 정책 정책 \ 컴퓨터 구성에서 로그온 이벤트 감사 "
        • 보안 setting\Local 정책 정책 \ 컴퓨터 구성에 있는 개체 액세스 감사 "
        정책에 대 한 화면
      2. 다음 정책을 사용 안 함:

        감사: 강제 감사 정책 하위 범주 설정 (Windows Vista 또는 그 이후의) 감사 정책 범주 설정 재정의

        이 정책은 컴퓨터 구성 보안 setting\Local 정책 \ 보안 옵션에에서 있습니다.

        정책에 대 한 화면

        고급 분석을 사용 하 여 구성 하려면 클릭 여기.
      3. 감사에 대해 AD FS를 구성 합니다.
        1. 열기는 AD FS 2.0 관리 스냅인.
        2. 작업 창에서 페더레이션 서비스 속성 편집을 클릭 합니다.
        3. 페더레이션 서비스 속성 대화 상자를 클릭 하면 이벤트 탭.
        4. 선택은 성공 감사 실패 감사 확인란.

          에 대 한 sceenshot AD FS 감사 기능을 사용합니다
        5. 실행 GPupdate /force 서버에서.
    3. 서비스 사용자 이름 (SPN)이 올바르게 등록

      중복 Spn 또는 AD FS 서비스 계정 이외의 계정에서 등록 된 SPN을 수 있습니다. AD FS 팜 설치의 경우 있는지 확인 SPN의 호스트/a D FSservicename ADFS 서비스를 실행 중인 서비스 계정에 추가 됩니다. 서비스가 실행 되는 AD FS 독립 실행형 설치 네트워크 서비스SPN이 AD FS를 호스팅하는 서버 컴퓨터 계정 이어야 합니다.

      스크린 샷을 ADFS 서비스 이름에 대 한

      Adfs를 사용 하 여 일시적인 인증 오류가 발생할 수 있습니다 ADFS 서비스에 대 한 중복 Spn 되지 않았는지 입력 되어 있는지 확인 합니다. Spn을 나열 하려면 다음을 실행합니다 SETSPN – L<ServiceAccount></ServiceAccount>.

      스크린 샷을 SPN 목록에 대 한

      실행 SETSPN – A 호스트/a D FSservicename ServiceAccount SPN을 추가 합니다.

      실행 SETSPN – X-F 중복 된 Spn 확인 합니다.
    4. Active Directory에 중복 된 Upn

      사용자가 사용 하는 Adfs를 통해 인증할 수 수 있습니다. SAMAccountName 그러나 UPN을 사용 하 여 인증할 수 없습니다. 이 시나리오에서는 Active Directory 두 사용자가 동일한 UPN을 포함할 수 있습니다. 사용자를 추가 하 고 수정 하는 경우 동일한 UPN을 가진 두 명의 사용자가 될 수 있습니다 (예: ADSIedit) 스크립팅을 통해.

      UPN 인증이 시나리오를 사용 하면 중복 된 사용자에 대해 사용자가 인증 됩니다. 따라서 제공 된 자격 증명 유효성이 검사 되지 않습니다.

      특성 값이 같은 광고에 여러 개체가 있는지 여부를 확인 하려면 다음과 같은 쿼리를 사용할 수 있습니다.
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      UPN 사용 하 여 인증 요청이 올바른 개체에 대 한 유효성을 검사할 수 있도록 중복 된 사용자의 UPN 이름이 변경 되었는지 확인 합니다.
    5. 시나리오에서 Office 365에 로그인 ID와 이메일 주소를 사용 하 고 있는 AD FS 인증을 위해 리디렉션되기 때 동일한 전자 메일 주소를 입력 하면, 인증 감사 로그에 "NO_SUCH_USER" 오류와 함께 실패할 수 있습니다. 다른 로그인 ID를 지원 하도록 AD FS AD FS 인증 이외의 UPN 또는 SAMaccountname 특성을 사용 하 여 사용자를 찾을 수 있도록 구성 해야 자세한 내용은 참조 하십시오. 다른 로그인 ID를 구성합니다..

      AD FS 2012 R2에서

      1. 설치 2919355 업데이트.
      2. 팜에 페더레이션 서버에서 다음 PowerShell cmdlet를 실행 하 여 AD FS 구성 업데이트 (WID 팜에서이 명령을 실행 해야이 팜의 기본 AD FS 서버에):

        AlternateLoginID "AD 권한" 설정-AdfsClaimsProviderTrust-TargetIdentifier <attribute>-LookupForests <forest domain=""></forest> </attribute>

        참고AlternateLoginID 로그인 하는 데 사용할 수 있는 특성의 LDAP 이름이입니다. 하 고 LookupForests 포리스트 DNS 항목에 사용자가 속해 있는 목록이입니다.

        다른 로그인 ID 기능을 사용 하려면 모두 구성 해야 하는 AlternateLoginID 하 고 LookupForests null을 유효한 값으로 매개 변수입니다.

    6. 인증서의 개인 키에 서명 하는 AD FS 토큰에 ADFS 서비스 계정에 대 한 읽기 없는. 이 권한을 추가 하려면 다음과이 같이 하십시오.
      1. 새 토큰 서명 인증서를 추가 하면 다음과 같은 경고가 나타납니다: "선택한 인증서의 개인 키를 팜의 각 서버에서이 페더레이션 서비스에 대 한 서비스 계정에 액세스할 수 있는지 확인 합니다."
      2. 시작, 실행을 형식 mmc.exe를 누른 다음 Enter 키를 누릅니다.
      3. 파일을 클릭 한 다음 스냅인 추가/제거를클릭 합니다.
      4. 인증서를 두 번 클릭 합니다.
      5. 컴퓨터 계정, 선택한 후 다음을 클릭 합니다.
      6. 로컬 컴퓨터를 선택 하 고 마침을 클릭 합니다.
      7. 인증서 (로컬 컴퓨터), <b00> </b00>가상 사용자인증서선택 합니다.
      8. 새 토큰 서명 인증서를 마우스 오른쪽 단추로 클릭 하 고 모든 작업을 선택한 개인 키 관리를 선택 합니다.

        8 단계에 대 한 sceenshot
      9. AD FS 2.0 서비스 계정에 읽기 권한을 추가 하 고 확인을 클릭 합니다.
      10. 인증서 MMC를 닫습니다.
    7. LS 또는 ADFS 가상 디렉터리에 대해 Windows 인증을 위한 확장 된 보호 옵션이 활성화 됩니다. 특정 브라우저에서 문제가 발생할 수 있습니다이. 경우에 따라 AD FS 자격 증명을 반복적으로 확인 메시지 표시 될 수 있습니다 및이 관련이 있을 수 있는 확장 된 보호 IIS에서 AD FS 또는 LS 응용 프로그램이 Windows 인증을 위해 사용할 수 있는 설정입니다.

      8 단계에 대 한 sceenshot
      확장 된 보호 인증 사용에 대 한 인증 요청이 두는 서비스 사용자 이름 (Spn) 클라이언트가 연결을 시도 하 고 Windows 통합 인증이 수행 되는 외부 전송 계층 보안 (TLS) 채널 서버에 바인딩됩니다. 확장된 보호 인증 릴레이 나 "중간자" 공격을 완화 하기 위해 기존의 Windows 인증 기능을 향상 시킵니다. 그러나 일부 브라우저에서 작동 하지 않는 경우는 확장 된 보호 이 옵션을 설정 합니다. 대신은 반복적으로 자격 증명을 액세스를 거부 합니다. 사용 안 함 확장 된 보호 사용 하면이이 시나리오입니다.

      자세한 내용은 참조 하십시오. AD FS 2.0: 지속적으로 자격 증명을 웹 디버거 Fiddler를 사용 하는 동안.

      AD FS 2012 r 2에 대 한

      Extendedprotection를 사용 하지 않도록 설정 하려면 다음 cmdlet를 실행 합니다.

      세트-ADFSProperties-ExtendedProtectionTokenCheck 없음

    8. 신뢰 당사자 (RP) 신뢰에서 하는 발급 권한 부여 규칙은 사용자에 게 액세스를 거부할 수 있습니다. AD FS의 신뢰 당사자 트러스트에 여부 인증된 된 사용자 해야 발급 토큰을 신뢰 당사자에 대 한 제어 하는 발급 권한 부여 규칙을 구성할 수 있습니다. 관리자가 발급 하는 클레임으로 가져옵니다 그룹의 구성원 인 사용자에 게 액세스를 거부할 것인지 결정 하는 클레임을 사용할 수 있습니다.

      특정 페더레이션된 사용자가 Adfs를 통해 인증할 수 없습니다, 경우 Office 365 RP에 대 한 발급 권한 부여 규칙을 확인 하려면 여부는 모든 사용자에 게 액세스를 허용 합니다. 규칙을 구성 합니다.

      규칙에 대 한 화면
      이 규칙은 구성 되어 있지 않으면 규칙에서 조건이 "true" 영향을 받는 사용자에 대 한 여부를 확인 하려면 사용자 지정 권한 부여 규칙을 살펴보고. 자세한 내용은 다음 리소스를 참조 합니다.
      AD FS 서버에 직접 액세스 하면 되지만 AD FS를 AD FS 프록시를 통해 액세스할 때 인증할 수 없고 인트라넷에서 인증, 다음 사항을 확인 합니다.
      • AD FS 프록시 및 ADFS 서버 시간 동기화 문제

        ADFS 서버와 프록시에 대 한 시간 동기화 되어 있는지 확인 하십시오. ADFS 서버에서 시간 도메인 컨트롤러의 시간과에서 5 분 이상 꺼져 있을 때는 인증 오류가 발생 합니다. AD FS 프록시에 AD FS를 사용 하 여 동기화 되지, 프록시 트러스트의 영향을 받는 고 깨진. 따라서 AD FS 프록시를 통해 제공 되는 요청이 실패 합니다.
      • AD FS 프록시 트러스트 ADFS 서비스를 사용 하 여 제대로 작동 하는지 확인 합니다. 프록시 트러스트가 손상 된 것 같으면 프록시 구성을 다시 실행 하십시오.
  5. 에 AD FS 토큰, Azure 광고를 발행 하거나 Office 365에서 오류를 throw 합니다. 이 경우 다음 사항을 확인 합니다.
    • AD FS 토큰에서 발급 되는 클레임 Azure AD에서 사용자의 해당 특성 이름과 같아야 합니다. Azure 광고 토큰 Office 365 다음 클레임 해야 하거나.

      WSFED:
      : UPN이이 클레임의 값 Azure 광고에 사용자의 UPN을 일치 해야 합니다.
      ImmutableID:이 클레임의 값 일치 해야 sourceAnchor 또는 ImmutableID 사용자의 Azure 광고에.

      Azure AD의 사용자 특성 값을 가져오려면 다음 명령줄을 실행 합니다. MsolUser get-파티션에서<UPN></UPN>

      SAML 2.0:
      IDPEmail:이 클레임의 값 Azure 광고에 사용자의 사용자 계정 이름을 일치 해야 합니다.
      NAMEID:이 클레임의 값 일치 해야 sourceAnchor 또는 ImmutableID 사용자의 Azure 광고에.

      자세한 내용은 참조 하십시오. SAML 2.0 id 공급자를 사용 하 여 단일 로그온을 구현 합니다.

      예:
      이 문제는 온라인 디렉터리 업데이트 하지 않고 AD에서 동기화 된 사용자의 UPN 변경 될 때 발생할 수 있습니다. 이 시나리오에서는 중 하나를 수정할 수 있습니다 사용자의 UPN (관련된 사용자의 로그온 이름을 맞게) 광고에 온라인 디렉토리에 관련 된 사용자의 로그온 이름을 변경 하려면 다음 cmdlet를 실행 하는 또는:

      NewUserPrincipalName-파티션에서 [ExistingUPN] [DomainUPN AD] 세트 MsolUserPrincipalName

      동기화 하려면 AADsync를 사용 하 고 있는지 일 수도 문서를 메일에 UPN 하 고 EMPID SourceAnchor로하지만 보내도록 규칙 AD FS 수준에서 업데이트 되지 않은 주장 하는 신뢰 당사자 문서를 메일에 UPN 하 고 EMPID ImmutableID로.
    • 토큰 서명 인증서가 일치 하지 Adfs와 Office 365 간에 있습니다.

      가장 일반적인 문제 중 하나입니다. Adfs는 사용자 또는 응용 프로그램에 전송 되는 토큰에 서명 하려면 토큰 서명 인증서를 사용 합니다. Adfs와 Office 365 간에 트러스트가 토큰 서명 인증서를 기반으로 하는 페더레이션된 트러스트를 (예를 들어, Office 365 수신 하는 토큰은 서명 확인 트러스트 하는 클레임 공급자 [AD FS 서비스]의 토큰 서명 인증서를 사용 하 여).

      페더레이션된 도메인 Office 365 테에서 AD FS 토큰 서명 인증서 변경 되는 경우 관리자의 개입이 나 자동 인증서 롤오버 인해 (후 또는 인증서 만료 될 때까지), 새 인증서의 세부 정보 업데이트 해야 합니다.

      Office 365 또는 Azure AD ADFS 서비스에 게 연락 하려고 합니다 그 연결할 수 있는 공용 네트워크에서 제공 합니다. ADFS 페더레이션 메타 데이터를 ADFS 토큰 서명 인증서 주로에서 구성 변경을 정기적으로 폴링하여 보십시오. 이 프로세스가 작동 하지 않는 경우 전역 관리자 나타납니다 알림을 Office 365 포털에서 업데이트를 수행 해야 할 작업 및 토큰 서명 인증서 만료에 대 한 경고.

      사용할 수 있습니다. MsolFederationProperty 가져오기 도메인 이름<domain></domain> AD FS 및 Office 365 페더레이션 속성을 덤프. 여기 TokenSigningCertificate 지문이 페더레이션된 도메인 Office 365 테 넌 트 구성 AD FS 동기화 되는지 확인 하려면 비교할 수 있습니다. 토큰 서명 인증서 구성에서 불일치가 있으면 업데이트 하려면 다음 명령을 실행 합니다.
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      토큰 서명 인증서와 업데이트 Office 365 자동으로 테 넌 트의 인증서 자동 롤오버에 대 한 모니터링은 AD FS 서버에 작업을 예약 하려면 다음 도구를 실행할 수 있습니다.

      Microsoft Office 365 페더레이션 메타 데이터 업데이트 자동화 설치 도구

      확인 하 고 단일 사인온 AD FS를 사용 하 여 관리 합니다.
    • Office 365 RP에 대 한 발급 변환 클레임 규칙을 올바르게 구성 되지 않습니다.

      여러 Tld (최상위 레벨 도메인)가 있는 경우 문제가 발생할 수 있습니다 로그온 하는 경우는 Supportmultipledomain RP 신뢰 만들고 업데이트 하는 경우 스위치를 사용 하지 않았습니다. 자세한 내용은 여기.
    • 토큰 암호화 되었는지 확인 아닙니다 토큰이 발생 Azure 광고 또는 Office 365 AD FS 나 STS에서 사용 중.
  6. Windows 자격 증명 관리자가 오래 된 캐시 된 자격 증명입니다.

    가끔 로그인 하는 동안에 워크스테이션에서 포털 등의 Outlook을 사용 하는 경우 사용자 자격 증명을 확인 하는 경우, Windows 자격 증명 관리자 (Panel\User Accounts\Credential 제어 관리자)에서 대상 (Office 365 또는 AD FS 서비스)에 대 한 자격 증명을 저장할 수 있습니다. 이렇게 하면 일정 시간 동안 자격 증명 프롬프트를 방지할 수 있지만 사용자 암호가 변경 하 고 자격 증명 관리자 업데이트 되지 않는 문제가 발생할 수 있습니다. 그러한 ADFS 서비스 오래 된 자격 증명이 전달 되 고 따라서 인증이 실패 합니다. 제거 또는 Windows 자격 증명 관리자에서 캐시 된 자격 증명을 업데이트 하십시오.
  7. Office 365에 대 한 의존 하지 파티 신뢰에 구성 되어 있는 보안 해시 알고리즘은 s h a 1로 설정 되어 있는지 확인 하십시오.

    SAML 2.0 프로토콜을 사용 하는 ADFS STS와 Azure 광고/Office 365 간에 신뢰 하는 경우 인증서에 대해 구성 된 보안 해시 알고리즘 SHA1 이어야 합니다.
  8. 해당 상황에 적용 되는 이전 원인을 옵션이 microsoft 지원 사례를 만들고 사용자 계정에서 Office 365 테 일관 되 게 표시 되는지 여부를 확인 하도록 요청 합니다. 자세한 내용은 다음 리소스를 참조 합니다.

    AD FS 2.0 페더레이션된 사용자 경우 Office 365 로그인에서 오류 메시지: "사이트에 액세스 문제가 발생 했습니다."

    페더레이션된 사용자는 반복적으로 자격 증명 확인가 Office 365 로그인 하는 동안 AD FS 2.0 서비스 끝점에 연결 하는 경우
  9. 액세스 하려는 (Azure AD 통합) 클라우드 서비스는 AD FS에 전송 된 인증 요청을 달라질 수 있습니다. 예: 특정 요청 매개 변수를과 같은 포함 될 수 있습니다 Wauth 또는 Wfresh이러한 매개 변수는 AD FS 수준에서 다른 동작이 발생할 수 있습니다.

    AD FS 바이너리 항상 유지 하는 것으로 알려진된 문제에 대 한 수정 프로그램이 포함 되어 업데이트 하는 것이 좋습니다. 최신 업데이트에 대 한 자세한 내용은 다음 표를 참조 하십시오.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3079872 - 마지막 검토: 08/11/2015 20:21:00 - 수정: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtko
피드백