다음을 통해 공유


SAML/WS-Fed ID 공급자와의 페더레이션

적용 대상: 흰색 확인 표시 기호가 있는 녹색 원입니다. 인력 테넌트 회색 X 기호가 있는 흰색 원입니다. 외부 테넌트(자세한 정보)

참고 항목

Microsoft Entra 외부 ID의 직접 페더레이션은 이제 SAML/WS-Fed IdP(ID 공급자) 페더레이션이라고 합니다.

이 문서에서는 IdP(ID 공급자)가 SAML 2.0 또는 WS-Fed 프로토콜을 지원하는 모든 조직과의 페더레이션을 설정하는 방법을 설명합니다. 파트너 IdP와의 페더레이션을 설정하면 해당 도메인의 새 게스트 사용자가 자신의 IdP 관리형 조직 계정을 사용하여 Microsoft Entra 테넌트에 로그인하고 협업을 시작할 수 있습니다. 게스트 사용자가 별도의 Microsoft Entra 계정을 만들 필요가 없습니다.

Important

  • 이제 Microsoft Entra ID 확인 도메인과 SAML/WS-Fed IdP 페더레이션을 설정할 수 있습니다. 확인된 도메인은 페더레이션을 설정하는 위치와 별도의 테넌트에 있어야 합니다. 구성한 후에는 인바운드 B2B Collaboration을 위한 테넌트 간 액세스 설정에서 초대 사용 순서를 구성하여 사용자가 Microsoft Entra ID 대신 페더레이션된 IdP로 로그인하도록 할 수 있습니다.
  • 새 SAML/WS-Fed IdP 페더레이션에 대한 IdP 허용 목록은 더 이상 지원되지 않습니다. 새 외부 페더레이션을 설정하는 경우 1단계: 파트너가 DNS 텍스트 레코드를 업데이트해야 하는지 확인을 참조하세요.
  • 외부 페더레이션을 위해 Microsoft Entra ID에서 보낸 SAML 요청에서 발급자 URL은 테넌트 엔드포인트입니다. 새 페더레이션의 경우 모든 파트너가 SAML 또는 WS-Fed 기반 IdP의 대상을 테넌트 엔드포인트로 설정하는 것이 좋습니다. SAML 2.0WS-Fed 필수 특성 및 클레임 섹션을 참조하세요. 전역 엔드포인트로 구성된 기존 페더레이션은 계속 작동하지만 외부 IdP가 SAML 요청에서 전역 발급자 URL을 예상하는 경우 새 페더레이션의 작동이 중지됩니다.
  • 단일 도메인 제한 사항을 제거했습니다. 이제 여러 도메인을 개별 페더레이션 구성과 연결할 수 있습니다.
  • 인증 URL 도메인이 대상 도메인과 일치하거나 허용 IdP에서 제공한 것이어야 한다는 제한이 없어졌습니다. 자세한 내용은 1단계: 파트너가 DNS 텍스트 레코드를 업데이트해야 하는지 확인을 참조하세요.

게스트 사용자가 SAML/WS-Fed IdP 페더레이션을 통해 인증되는 경우는 언제인가요?

조직의 SAML/WS-Fed IdP와의 페더레이션을 설정한 후:

  • 페더레이션 중인 도메인이 Microsoft Entra ID 확인 도메인이 아닌 경우 초대하는 모든 새 게스트 사용자는 해당 SAML/WS-Fed IdP를 사용하여 인증됩니다.

  • 도메인이 Microsoft Entra ID로 확인된 경우 인바운드 B2B 협업을 위한 테넌트 간 액세스 설정에서 사용 순서 설정(미리 보기)을 구성하여 페더레이션된 IdP를 통해 사용 우선 순위를 지정합니다. 그런 다음 초대한 모든 새 게스트 사용자는 해당 SAML/WS-Fed IdP를 사용하여 인증됩니다.

페더레이션을 설정해도 이미 초대에 응한 게스트 사용자에 대한 인증 방법은 변경되지 않습니다. 다음은 몇 가지 예입니다.

  • 게스트 사용자가 이미 초대를 사용했으며 나중에 조직의 SAML/WS-Fed IdP와의 페더레이션을 설정했습니다. 이러한 게스트 사용자는 페더레이션을 설정하기 전에 사용한 것과 동일한 인증 방법을 계속 사용합니다.
  • 조직의 SAML/WS-Fed IdP와 페더레이션을 설정하고 게스트 사용자를 초대하면 나중에 파트너 조직이 Microsoft Entra ID로 이동합니다. 테넌트의 페더레이션 정책이 존재하는 한 이미 초대에 응한 게스트 사용자는 페더레이션된 SAML/WS-Fed IdP를 계속 사용할 수 있습니다.
  • 조직의 SAML/WS-Fed IdP와의 페더레이션을 삭제합니다. 현재 SAML/WS-Fed IdP를 사용하는 게스트 사용자는 로그인할 수 없습니다.

이러한 시나리오에서는 해당 상환 상태를 재설정하여 게스트 사용자의 인증 방법을 업데이트할 수 있습니다.

SAML/WS-Fed IdP 페더레이션은 contoso.com 및 fabrikam.com과 같은 도메인 네임스페이스에 연결됩니다. AD FS 또는 타사 IdP와의 페더레이션을 설정하는 경우 조직은 하나 이상의 도메인 네임스페이스를 해당 IdP에 연결합니다.

최종 사용자 환경

SAML/WS-Fed IdP 페더레이션을 통해 게스트 사용자는 자신의 조직 계정을 사용하여 Microsoft Entra 테넌트에 로그인합니다. 사용자가 공유 리소스에 액세스하고 로그인하라는 메시지가 표시되면 사용자가 IdP로 리디렉션됩니다. 로그인에 성공하면 사용자는 리소스에 액세스할 수 있도록 Microsoft Entra ID로 돌아갑니다. Microsoft Entra 세션이 만료되거나 유효하지 않게 되고 페더레이션된 IdP에 SSO가 사용하도록 설정된 경우 사용자는 SSO를 경험하게 됩니다. 페더레이션된 사용자의 세션이 유효한 경우 사용자에게 다시 로그인하라는 메시지가 표시되지 않습니다. 그렇지 않으면 사용자가 로그인을 위해 IdP로 리디렉션됩니다.

로그인 엔드포인트

SAML/WS-Fed IdP 페더레이션 게스트 사용자는 이제 공통 엔드포인트(즉, 테넌트 컨텍스트를 포함하지 않는 일반 앱 URL)를 사용하여 다중 테넌트 또는 Microsoft 자사 앱에 로그인할 수 있습니다. 로그인 프로세스 중에 게스트 사용자는 로그인 옵션을 선택한 다음, 조직에 로그인을 선택합니다. 그런 다음, 사용자는 조직의 이름을 입력하고 자체 자격 증명을 사용하여 계속 로그인합니다.

SAML/WS-Fed IdP 페더레이션 게스트 사용자는 테넌트 정보가 포함된 애플리케이션 엔드포인트를 사용할 수도 있습니다. 예를 들면 다음과 같습니다.

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

테넌트 정보(예: https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>)를 포함하여 게스트 사용자에게 애플리케이션 또는 리소스에 대한 직접 링크를 제공할 수도 있습니다.

자주 묻는 질문

Microsoft Entra ID 확인 도메인과 SAML/WS-Fed IdP 페더레이션을 설정할 수 있나요?

예, 이제 다른 Microsoft Entra ID 확인 도메인과 SAML/WS-Fed IdP 페더레이션을 설정할 수 있습니다. 여기에는 테넌트가 관리자 인수를 받은 확인된 도메인이 포함됩니다. 페더레이션 중인 도메인이 Microsoft Entra ID가 확인된 경우, 또한 인바운드 B2B 협업을 위한 테넌트 간 액세스 설정에서 사용 순서 설정(미리 보기)을 구성함으로써 초대된 사용자가 로그인할 때 Microsoft Entra ID 대신 페더레이션된 IdP를 통해 초대를 사용하도록 해야 합니다.

현재 클라우드 전체에서는 사용 순서 설정이 지원되지 않습니다. 페더레이션 중인 도메인이 다른 Microsoft 클라우드에서 확인된 Microsoft Entra ID인 경우 Microsoft Entra 사용이 항상 우선적으로 적용됩니다.

관리되지 않는(메일 확인) 테넌트가 있는 도메인과의 SAML/WS-Fed IdP 페더레이션을 설정할 수 있나요?

예, 관리되지 않는(이메일 확인 또는 "바이러스") Microsoft Entra 테넌트를 포함하여 Microsoft Entra ID에서 DNS 확인되지 않은 도메인과 SAML/WS-Fed IdP 페더레이션을 설정할 수 있습니다. 이러한 테넌트는 사용자가 B2B 초대를 사용하거나 현재 존재하지 않는 도메인을 사용하여 Microsoft Entra ID에 대한 셀프 서비스 등록을 수행할 때 만들어집니다.

동일한 테넌트의 여러 도메인으로 페더레이션을 설정할 수 있나요?

예. 이제 동일한 테넌트의 여러 도메인과의 SAML/WS-Fed IdP 페더레이션을 지원합니다.

서명 인증서가 만료되면 갱신해야 하나요?

IdP 설정에서 메타데이터 URL을 지정하면 Microsoft Entra ID는 서명 인증서가 만료될 때 자동으로 갱신합니다. 그러나 만료 시간 전에 어떤 이유로든 인증서가 회전되거나 메타데이터 URL을 제공하지 않는 경우 Microsoft Entra ID는 인증서를 갱신할 수 없습니다. 이 경우 서명 인증서를 수동으로 업데이트해야 합니다.

SAML/WS-Fed IdP 페더레이션과 일회용 메일 암호 인증을 모두 사용하도록 설정하는 경우 우선으로 적용되는 방법은 무엇인가요?

파트너 조직과의 SAML/WS-Fed IdP 페더레이션을 설정하는 경우 이 설정은 해당 조직의 새 게스트 사용자에 대한 일회용 메일 암호 인증보다 우선으로 적용됩니다. 게스트 사용자가 SAML/WS-Fed IdP 페더레이션을 설정하기 전에 일회용 암호 인증을 사용하여 초대에 응한 경우 일회용 암호 인증을 계속 사용합니다.

SAML/WS-Fed IdP 페더레이션에서 부분적으로 동기화된 테넌트로 인한 로그인 문제를 해결하나요?

아니요, 이 시나리오에서는 일회용 이메일 암호 기능을 사용해야 합니다. "부분적으로 동기화된 테넌트"는 온-프레미스 사용자 ID가 클라우드에 완전히 동기화되지 않은 파트너 Microsoft Entra 테넌트를 나타냅니다. ID가 아직 클라우드에 없지만 B2B 초대에 응하려는 게스트는 로그인할 수 없습니다. 일회용 암호 기능을 사용하면 이 게스트가 로그인할 수 있습니다. SAML/WS-Fed IdP 페더레이션 기능은 게스트에게 자체 IdP 관리 조직 계정이 있지만 조직에 Microsoft Entra가 전혀 없는 시나리오를 해결합니다.

조직에서 SAML/WS-Fed IdP 페더레이션을 구성하면 각 게스트를 보내고 개별 초대를 상환해야 하나요?

새로운 게스트를 초대할 때 게스트가 상환 단계를 완료할 수 있도록 초대를 보내거나 직접 링크를 제공해야 합니다. 기존 게스트의 경우 반드시 새 초대를 보낼 필요는 없습니다. 기존 게스트는 페더레이션이 설정되기 전에 사용한 인증 방법을 계속 사용합니다. 이러한 게스트가 인증을 위해 페더레이션을 사용하도록 하려면 사용 상태를 초기화할 수 있습니다. 그런 후 다음에 앱에 액세스하거나 초대의 링크를 사용할 때 상환 프로세스를 반복하고 인증 방법으로 페더레이션을 사용하기 시작합니다.

SAML ID 공급자에게 서명된 요청을 보내는 방법이 있나요?

현재 Microsoft Entra SAML/WS-Fed 페더레이션 기능은 서명된 인증 토큰을 SAML ID 공급자에게 보내는 것을 지원하지 않습니다.

SAML/Ws-Fed ID 공급자를 구성하는 데 필요한 권한은 무엇인가요?

SAML/Ws-Fed ID 공급자를 구성하려면 최소한 외부 ID 공급자 관리자여야 합니다.

페더레이션을 사용하면 B2B Collaboration 사용자를 위해 내 디렉터리에 게스트 계정을 만들 필요가 없나요?

아니요. 사용된 인증 또는 페더레이션 방법에 관계없이 디렉터리의 B2B Collaboration 사용자에 대한 게스트 계정이 만들어집니다. 이 사용자 개체를 사용하면 애플리케이션에 대한 액세스 권한을 부여하고, 역할을 할당하고, 보안 그룹의 멤버 자격을 정의할 수 있습니다.

1단계: 파트너가 DNS 텍스트 레코드를 업데이트해야 하는지 확인

파트너의 IdP에 따라 파트너는 여러분과의 페더레이션을 사용하기 위해 DNS 레코드를 업데이트해야 할 수 있습니다. DNS 업데이트가 필요한지 확인하려면 다음 단계를 사용합니다.

참고 항목

새 SAML/WS-Fed IdP 페더레이션에 대한 IdP 허용 목록은 더 이상 지원되지 않습니다.

  1. 파트너의 IdP 수동 인증 URL을 확인하여 도메인이 대상 도메인 또는 대상 도메인 내의 호스트와 일치하는지 확인합니다. 즉, fabrikam.com에 대한 페더레이션을 설정하는 경우:

    • 수동 인증 엔드포인트가 https://fabrikam.com 또는 https://sts.fabrikam.com/adfs(동일한 도메인의 호스트)인 경우 DNS를 변경할 필요가 없습니다.
    • 수동 인증 엔드포인트가 https://fabrikamconglomerate.com/adfs 또는 https://fabrikam.com.uk/adfs인 경우 도메인이 fabrikam.com 도메인과 일치하지 않으므로 파트너가 DNS 구성에서 인증 URL에 대한 텍스트 레코드를 추가해야 합니다.
  2. 이전 단계에 따라 DNS 변경이 필요한 경우 다음 예제와 같이 파트너에게 해당 도메인의 DNS 레코드에 TXT 레코드를 추가할 것을 요청합니다.

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

2단계: 파트너 조직의 IdP 구성

다음으로, 파트너 조직에서 필요한 클레임 및 신뢰 당사자 트러스트를 통해 IdP를 구성해야 합니다.

참고 항목

페더레이션을 위해 SAML/WS-Fed IdP를 구성하는 방법을 설명하기 위해 AD FS(Active Directory Federation Services)를 예로 사용합니다. 페더레이션을 준비하기 위해 AD FS를 SAML 2.0 또는 WS-Fed IdP로 구성하는 방법에 대한 예제를 제공하는 AD FS를 사용하여 SAML/WS-Fed IdP 페더레이션 구성 문서를 참조하세요.

SAML 2.0 구성

이 섹션에 나열된 특정 요구 사항에 따라 SAML 프로토콜을 사용하는 IdP와 페더레이션하도록 Microsoft Entra B2B를 구성할 수 있습니다. SAML IdP와 Microsoft Entra ID 간의 신뢰 설정에 대한 자세한 내용은 SSO에 SAML 2.0 IdP(ID 공급자) 사용을 참조하세요.

참고 항목

이제 다른 Microsoft Entra ID 확인 도메인과 SAML/WS-Fed IdP 페더레이션을 설정할 수 있습니다. 자세한 내용은 질문과 대답 섹션을 참조하세요.

필요한 SAML 2.0 특성 및 클레임

다음 표에는 타사 IdP에서 구성해야 하는 특정 특성 및 클레임에 대한 요구 사항이 나와 있습니다. 페더레이션을 설정하려면 IdP에서 SAML 2.0 응답으로 다음 특성을 받아야 합니다. 이러한 특성은 온라인 보안 토큰 서비스 XML 파일에 연결하거나 수동으로 입력하여 구성할 수 있습니다.

참고 항목

이 값이 외부 페더레이션을 설정하는 클라우드와 일치하는지 확인합니다.

IdP의 SAML 2.0 응답에 필요한 특성은 다음과 같습니다.

attribute
AssertionConsumerService https://login.microsoftonline.com/login.srf
사용자 https://login.microsoftonline.com/<tenant ID>/(권장) <tenant ID>를 페더레이션을 설정할 Microsoft Entra 테넌트의 테넌트 ID로 바꿉니다.

외부 페더레이션을 위해 Microsoft Entra ID에서 보낸 SAML 요청에서 발급자 URL은 테넌트 엔드포인트입니다(예: https://login.microsoftonline.com/<tenant ID>/). 새 페더레이션의 경우 모든 파트너가 SAML 또는 WS-Fed 기반 IdP의 대상을 테넌트 엔드포인트로 설정하는 것이 좋습니다. 전역 엔드포인트(예: urn:federation:MicrosoftOnline)로 구성된 기존 페더레이션은 계속 작동하지만 외부 IdP가 Microsoft Entra ID에서 보낸 SAML 요청에서 전역 발급자 URL을 예상하는 경우 새 페더레이션의 작동이 중지됩니다.
Issuer 파트너 IdP의 발급자 URI입니다(예: http://www.example.com/exk10l6w90DHM0yi...).

IdP에서 발급한 SAML 2.0 토큰에 필요한 클레임은 다음과 같습니다.

특성 이름
NameID 형식 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Fed 구성

Microsoft Entra B2B는 WS-Fed 프로토콜을 사용하는 IdP와 페더레이션하도록 구성할 수 있습니다. 이 섹션에서는 요구 사항에 대해 설명합니다. 현재 두 개의 WS-Fed 공급자는 AD FS 및 Shibboleth를 포함하여 Microsoft Entra ID와의 호환성 테스트를 거쳤습니다. Microsoft Entra ID를 사용하는 WS-Fed 호환 공급자 간에 신뢰 당사자 신뢰를 설정하는 방법에 대한 자세한 내용은 Microsoft Entra ID 공급자 호환성 문서에서 "WS 프로토콜을 사용하는 STS 통합 백서"를 참조하세요.

참고 항목

이제 다른 Microsoft Entra ID 확인 도메인과 SAML/WS-Fed IdP 페더레이션을 설정할 수 있습니다. 자세한 내용은 질문과 대답 섹션을 참조하세요.

필요한 WS-Fed 특성 및 클레임

다음 표에는 타사 WS-Fed IdP에서 구성해야 하는 특정 특성 및 클레임에 대한 요구 사항이 나와 있습니다. 페더레이션을 설정하려면 IdP의 WS-Fed 메시지에서 다음 특성을 받아야 합니다. 이러한 특성은 온라인 보안 토큰 서비스 XML 파일에 연결하거나 수동으로 입력하여 구성할 수 있습니다.

참고 항목

이 값이 외부 페더레이션을 설정하는 클라우드와 일치하는지 확인합니다.

IdP의 WS-Fed 메시지에 필요한 특성은 다음과 같습니다.

attribute
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
사용자 https://login.microsoftonline.com/<tenant ID>/(권장) <tenant ID>를 페더레이션을 설정할 Microsoft Entra 테넌트의 테넌트 ID로 바꿉니다.

외부 페더레이션을 위해 Microsoft Entra ID에서 보낸 SAML 요청에서 발급자 URL은 테넌트 엔드포인트입니다(예: https://login.microsoftonline.com/<tenant ID>/). 새 페더레이션의 경우 모든 파트너가 SAML 또는 WS-Fed 기반 IdP의 대상을 테넌트 엔드포인트로 설정하는 것이 좋습니다. 전역 엔드포인트(예: urn:federation:MicrosoftOnline)로 구성된 기존 페더레이션은 계속 작동하지만 외부 IdP가 Microsoft Entra ID에서 보낸 SAML 요청에서 전역 발급자 URL을 예상하는 경우 새 페더레이션의 작동이 중지됩니다.
Issuer 파트너 IdP의 발급자 URI입니다(예: http://www.example.com/exk10l6w90DHM0yi...).

IdP에서 발급한 WS-Fed 토큰에 필요한 클레임은 다음과 같습니다.

attribute
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

3단계: Microsoft Entra ID에서 SAML/WS-Fed IdP 페더레이션 구성

다음으로 Microsoft Entra ID에서 1단계에서 구성한 IdP로 페더레이션을 구성합니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용할 수 있습니다. 페더레이션 정책이 적용될 때까지 5-10분 정도 걸릴 수 있습니다. 이 기간 동안에는 페더레이션 도메인에 대한 초대에 응하려고 시도하지 마세요. 다음과 같은 특성이 필요합니다.

  • 파트너 IdP의 발급자 URI
  • 파트너 IdP의 수동 인증 엔드포인트(https만 지원됨)
  • 인증서

Microsoft Entra 관리 센터에서 페더레이션을 구성하려면

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

  1. 최소한 외부 ID 공급자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>외부 ID>모든 ID 공급자로 이동합니다.

  3. 사용자 지정 탭을 선택한 다음 새 항목 추가>SAML/WS-Fed를 선택합니다.

    새 SAML 또는 WS-Fed IdP를 추가하는 단추를 보여 주는 스크린샷

  4. 새 SAML/WS-Fed IdP 페이지에서 다음을 입력합니다.

    • 표시 이름 - 파트너 IdP를 식별하는 데 도움이 되는 이름을 입력합니다.
    • ID 공급자 프로토콜 - SAML 또는 WS-Fed를 선택합니다.
    • 페더레이션 IdP의 도메인 이름 - 페더레이션에 대한 파트너의 IdP 대상 도메인 이름을 입력합니다. 이 초기 구성 중에는 도메인 이름을 하나만 입력합니다. 나중에 더 많은 도메인을 추가할 수 있습니다.

    새 SAML 또는 WS-Fed IdP 페이지를 보여 주는 스크린샷

  5. 메타데이터를 채우는 방법을 선택합니다. 메타데이터가 포함된 파일이 있는 경우 메타데이터 파일 구문 분석을 선택하고 파일을 찾아 필드를 자동으로 채울 수 있습니다. 또는 메타데이터 수동 입력을 선택하고 다음 정보를 입력할 수 있습니다.

    • 파트너 SAML IdP의 발급자 URI 또는 파트너 WS-Fed IdP의 엔터티 ID입니다.
    • 파트너 SAML IdP의 수동 인증 엔드포인트 또는 파트너 WS-Fed IdP의 수동 요청자 엔드포인트입니다.
    • 인증서 - 서명 인증서 ID입니다.
    • 메타데이터 URL - 서명 인증서의 자동 갱신을 위한 IdP 메타데이터의 위치입니다.

    메타데이터 필드를 보여 주는 스크린샷

    참고 항목

    메타데이터 URL은 선택 사항이지만 사용하는 것이 좋습니다. 메타데이터 URL을 제공하면 Microsoft Entra ID는 서명 인증서가 만료될 때 자동으로 갱신할 수 있습니다. 어떤 이유로든 만료 시간 전에 인증서가 회전되거나 메타데이터 URL을 제공하지 않는 경우 Microsoft Entra ID는 인증서를 갱신할 수 없습니다. 이 경우 서명 인증서를 수동으로 업데이트해야 합니다.

  6. 저장을 선택합니다. ID 공급자가 SAML/WS-Fed ID 공급자 목록에 추가됩니다.

    새 항목이 있는 SAML/WS-Fed ID 공급자 목록을 보여 주는 스크린샷

  7. (선택 사항) 이 페더레이션 ID 공급자에 도메인 이름을 더 추가하려면:

    1. 도메인 열에서 링크를 선택합니다.

      SAML/WS-Fed ID 공급자에 도메인을 추가하는 링크를 보여 주는 스크린샷

    2. 페더레이션 IdP의 도메인 이름 옆에 도메인 이름을 입력한 다음, 추가를 선택합니다. 추가하려는 각 도메인에 대해 반복합니다. 완료되면 완료를 선택합니다.

      도메인 세부 정보 창의 추가 단추를 보여 주는 스크린샷

Microsoft Graph API를 사용하여 페더레이션을 구성하려면

Microsoft Graph API samlOrWsFedExternalDomainFederation 리소스 유형을 사용해서 SAML 또는 WS-Fed 프로토콜을 지원하는 ID 공급자와의 페더레이션을 설정할 수 있습니다.

4단계: Microsoft Entra ID 확인 도메인에 대한 사용 순서 구성

도메인이 Microsoft Entra ID로 확인된 경우 인바운드 B2B 협업을 위한 테넌트 간 액세스 설정에서 사용 순서 설정을 구성합니다. 페더레이션된 IdP 사용 우선 순위를 지정하려면 SAML/WS-Fed ID 공급자기본 ID 공급자 목록의 맨 위로 이동합니다.

참고 항목

구성 가능한 상환 기능에 대한 Microsoft Entra 관리 센터 설정이 현재 고객에게 배포되고 있습니다. 관리 센터에서 설정을 사용할 수 있을 때까지 Microsoft Graph REST API(베타 버전)를 사용하여 초대 사용 순서를 구성할 수 있습니다. Microsoft Graph 참조 설명서에서 예 2: 기본 초대 사용 구성 업데이트를 참조하세요.

5단계: Microsoft Entra ID에서 SAML/WS-Fed IdP 페더레이션 테스트

이제 새 B2B 게스트 사용자를 초대하여 페더레이션 설정을 테스트합니다. 자세한 내용은 Microsoft Entra 관리 센터에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.

인증서 또는 구성 세부정보를 업데이트하려면 어떻게 해야 하나요?

모든 ID 공급자 페이지에서 구성한 SAML/WS-Fed ID 공급자 목록 및 해당 인증서 만료 날짜를 확인할 수 있습니다. 이 목록에서 인증서를 갱신하고 다른 구성 세부 정보를 수정할 수 있습니다.

  1. 최소한 외부 ID 공급자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>외부 ID>모든 ID 공급자로 이동합니다.

  3. 사용자 지정 탭을 선택합니다.

  4. 목록에서 ID 공급자로 스크롤하거나 검색 상자를 사용합니다.

  5. 인증서를 업데이트하거나 구성 세부 정보를 수정하려면 다음을 수행합니다.

    • ID 공급자의 구성 열에서 편집 링크를 선택합니다.
    • 구성 페이지에서 다음 세부 정보를 수정합니다.
      • 표시 이름 - 파트너 조직의 표시 이름입니다.
      • ID 공급자 프로토콜 - SAML 또는 WS-Fed를 선택합니다.
      • 수동 인증 엔드포인트 - 파트너 IdP의 수동 요청자 엔드포인트입니다.
      • 인증서 - 서명 인증서의 ID입니다. 갱신하려면 새 인증서 ID를 입력합니다.
      • 메타데이터 URL - 서명 인증서의 자동 갱신을 위해 사용되는 파트너의 메타데이터가 포함된 URL입니다.
    • 저장을 선택합니다.

    IDP 구성 세부 정보의 스크린샷

  6. 파트너와 연결된 도메인을 편집하려면 도메인 열에서 링크를 선택합니다. 도메인 세부 정보 창에서:

    • 도메인을 추가하려면 페더레이션 IdP의 도메인 이름 옆에 도메인 이름을 입력한 다음, 추가를 선택합니다. 추가하려는 각 도메인에 대해 반복합니다.
    • 도메인을 삭제하려면 도메인 옆에 있는 삭제 아이콘을 선택합니다.
    • 완료되면 완료를 선택합니다.

    도메인 구성 페이지의 스크린샷.

    참고 항목

    파트너와의 페더레이션을 제거하려면 도메인 중 하나를 제외한 모든 도메인을 삭제하고 다음 섹션의 단계를 따릅니다.

페데레이션을 삭제하려면 어떻게 할까요?

페더레이션 구성을 제거할 수 있습니다. 이 설정을 제거하면 이미 초대에 응한 페더레이션 게스트 사용자는 로그인할 수 없습니다. 하지만 해당 상환 상태를 재설정하여 리소스에 대한 액세스 권한을 다시 부여할 수 있습니다. Microsoft Entra 관리 센터에서 IdP에 대한 구성을 제거하려면 다음을 수행합니다.

  1. 최소한 외부 ID 공급자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>외부 ID>모든 ID 공급자로 이동합니다.

  3. 사용자 지정 탭을 선택한 다음 목록에서 ID 공급자로 스크롤하거나 검색 상자를 사용합니다.

  4. 도메인 열에서 링크를 선택하여 IdP 도메인 세부 정보를 봅니다.

  5. 도메인 이름 목록에서 도메인 중 하나를 제외한 모든 도메인을 삭제합니다.

  6. 구성 삭제를 선택한 다음, 완료를 선택합니다.

    구성 삭제 스크린샷

  7. 확인을 클릭하여 삭제를 확인합니다.

Microsoft Graph API samlOrWsFedExternalDomainFederation 리소스 유형을 사용하여 페더레이션을 제거할 수도 있습니다.

다음 단계

외부 사용자가 다양한 ID 공급자로 로그인하는 경우 초대 상환 환경에 대해 자세히 알아보세요.