애플리케이션에 대한 SAML 기반 Single Sign-On 디버그
이 문서에서는 SAML 기반 Single Sign-On을 사용하는 Microsoft Entra ID 애플리케이션의 Single Sign-On 문제를 찾아 해결하는 방법에 대해 알아봅니다.
시작하기 전에
내 앱 보안 로그인 확장을 설치하는 것이 좋습니다. 이 브라우저 확장을 사용하면 Single Sign-On과 관련된 문제를 해결하는 데 필요한 SAML 요청 및 SAML 응답 정보를 쉽게 수집할 수 있습니다. 확장을 설치할 수 없는 경우 이 문서에서는 확장이 설치되거나 설치되지 않았을 때의 문제를 해결하는 방법을 보여 줍니다.
내 앱 보안 로그인 확장을 다운로드하고 설치하려면 다음 링크 중 하나를 사용합니다.
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
SAML 기반 Single Sign-On 테스트
Microsoft Entra ID와 대상 애플리케이션 간의 SAML 기반 Single Sign-On을 테스트하려면 다음을 수행합니다.
최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.
Enterprise 애플리케이션 목록에서 Single Sign-On을 테스트하려는 애플리케이션을 선택한 다음, 왼쪽에 있는 옵션에서 Single Sign-On을 선택합니다.
Single Sign-On 방법 선택 창에서 SAML을 선택합니다.
SAML 기반 Single Sign-On 테스트 환경을 열려면 Single Sign-On 테스트(5단계)로 이동합니다. 테스트 단추가 회색으로 표시되면 먼저 기본 SAML 구성 섹션에서 필요한 특성을 작성하고 저장해야 합니다.
Single Sign-On 테스트 페이지에서 대상 애플리케이션에 로그인하려면 회사 자격 증명을 사용합니다. 현재 사용자 또는 다른 사용자로 로그인할 수 있습니다. 다른 사용자로 로그인하면 인증하라는 메시지가 표시됩니다.
로그인할 수 있는 경우 테스트가 성공합니다. 이 경우 Microsoft Entra ID는 애플리케이션에 SAML 응답 토큰을 발급했습니다. 애플리케이션은 SAML 토큰을 사용해 성공적으로 로그인했습니다.
회사 로그인 페이지 또는 애플리케이션 페이지에 오류가 있는 경우 해당 오류를 해결하려면 다음 섹션 중 하나를 사용합니다.
회사 로그인 페이지에서 로그인 오류 해결
로그인을 시도하면 회사 로그인 페이지에 다음 예제와 비슷한 오류가 표시될 수 있습니다.
이 오류를 디버그하려면 오류 메시지 및 SAML 요청이 필요합니다. 내 앱 보안 로그인 확장은 자동으로 이 정보를 수집하고 Microsoft Entra ID에 해결 지침을 표시합니다.
내 앱 보안 로그인 확장을 설치하여 로그인 오류를 해결하려면
- 오류가 발생하면 확장은 Microsoft Entra ID Single Sign-On 테스트 페이지로 다시 리디렉션됩니다.
- Single Sign-On 테스트 페이지에서 SAML 요청 다운로드를 선택합니다.
- SAML 요청의 오류 및 값에 따른 특정 해결 지침이 표시되어야 합니다.
- 문제를 해결하려면 Microsoft Entra ID의 구성을 자동으로 업데이트하는 문제 해결 단추가 표시됩니다. 이 단추가 표시되지 않으면 로그인 문제가 Microsoft Entra ID의 잘못된 구성으로 인한 것이 아닙니다.
로그인 오류의 해결 방법이 제공되지 않으면 피드백 텍스트 상자를 사용하여 Microsoft에 알려 주시기 바랍니다.
내 앱 보안 로그인 확장을 설치하지 않고 로그인 오류를 해결하려면
- 페이지의 오른쪽 아래 모서리에서 오류 메시지를 복사합니다. 오류 메시지에는 다음이 포함됩니다.
- CorrelationID 및 TimeStamp. 이러한 값은 엔지니어가 문제를 식별하고 문제에 대한 정확한 해결책을 제공하는 데 유용하므로 Microsoft를 통해 지원 사례를 만들 때 중요합니다.
- 문제의 근본 원인을 확인하는 명령문입니다.
- Microsoft Entra ID로 돌아가서 Single Sign-On 테스트 페이지를 찾습니다.
- 위의 해결 지침 가져오기 텍스트 상자에서 오류 메시지를 붙여넣습니다.
- 해결 지침 가져오기를 선택하여 문제 해결을 위한 단계를 표시합니다. 이 지침은 SAML 요청 또는 SAML 응답에서 정보를 요구할 수 있습니다. 내 앱 보안 로그인 확장을 사용하지 않는 경우 SAML 요청 및 응답을 검색하려면 Fiddler와 같은 도구가 필요할 수 있습니다.
- SAML 요청의 대상이 Microsoft Entra ID에서 가져오는 SAML Single Sign-On 서비스 URL과 일치하는지 확인합니다.
- SAML 요청의 발급자가 Microsoft Entra ID의 애플리케이션에 대해 구성된 것과 동일한 식별자인지 확인합니다. Microsoft Entra ID는 발급자를 사용하여 디렉터리에서 애플리케이션을 찾습니다.
- AssertionConsumerServiceURL이 애플리케이션이 Microsoft Entra ID로부터 SAML 토큰을 수신할 것으로 예상하는 위치인지 확인합니다. Microsoft Entra ID에서 이 값을 구성할 수 있지만 SAML 요청의 일부인 경우 필수는 아닙니다.
애플리케이션 페이지에서 로그인 오류 해결
성공적으로 로그인한 다음, 애플리케이션 페이지에 오류가 표시될 수 있습니다. 이 오류는 Microsoft Entra ID가 애플리케이션에 토큰을 발급했지만 애플리케이션이 응답을 수락하지 않을 때 발생합니다.
오류를 해결하려면 다음 단계를 따르거나 Microsoft Entra ID를 사용하여 SAML SSO 문제를 해결하는 방법에 대한 짧은 동영상을 시청합니다.
애플리케이션이 Microsoft Entra 갤러리에 있는 경우 애플리케이션을 Microsoft Entra ID와 통합하기 위한 모든 단계를 수행했는지 확인합니다. 애플리케이션에 대한 통합 지침을 찾으려면 SaaS 애플리케이션 통합 자습서 목록을 참조합니다.
SAML 응답을 검색합니다.
- 내 앱 보안 로그인 확장이 설치된 경우 Single Sign-On 테스트 페이지에서 SAML 응답 다운로드를 선택합니다.
- 확장이 설치되지 않은 경우 Fiddler 같은 도구를 사용하여 SAML 응답을 검색합니다.
SAML 응답 토큰에서 이러한 요소를 확인합니다.
NameID 값과 형식의 사용자 고유 식별자
토큰에서 발급된 클레임
토큰에 서명하는 데 사용된 인증서입니다.
SAML 응답에 대한 자세한 내용은 Single Sign-On SAML 프로토콜을 참조합니다.
이제 SAML 응답을 검토했으므로 로그인한 후 애플리케이션 페이지에서 오류를 참조하여 문제를 해결하는 방법에 대한 지침을 참조하세요.
아직 성공적으로 로그인할 수 없는 경우 SAML 응답에서 누락된 항목을 애플리케이션 공급업체에 요청할 수 있습니다.
다음 단계
Single Sign-On이 애플리케이션에 대해 작동하므로 SaaS 애플리케이션에 대한 사용자 프로비전 및 프로비전 해제를 자동화하거나 조건부 액세스를 시작할 수 있습니다.