다음을 통해 공유

애플리케이션에 대한 홈 영역 검색

  • 아티클

HRD(홈 영역 검색)를 사용하면 Microsoft Entra ID가 로그인 중에 사용자 인증에 적합한 IDP(ID 공급자)를 식별할 수 있습니다. 사용자가 Microsoft Entra 테넌트에 로그인하여 리소스 또는 일반 로그인 페이지에 액세스할 때 UPN(사용자 이름)을 입력합니다. Microsoft Entra ID는 이 정보를 사용하여 올바른 로그인 위치를 확인합니다.

사용자는 인증을 위해 다음 ID 공급자 중 하나로 전송됩니다.

  • 사용자의 홈 테넌트(리소스 테넌트와 동일할 수 있습니다).
  • Microsoft 계정( 사용자가 소비자 계정을 사용하여 리소스 테넌트에서 게스트인 경우)
  • ADFS(Active Directory Federation Services)와 같은 온-프레미스 ID 공급자입니다.
  • Microsoft Entra 테넌트에 페더레이션된 또 다른 ID 공급자입니다.

자동 가속

조직에서는 사용자 인증을 위해 ADFS와 같은 다른 IdP와 페더레이션하도록 Microsoft Entra 테넌트에서 도메인을 구성할 수 있습니다. 사용자가 애플리케이션에 로그인하면 처음에는 Microsoft Entra 로그인 페이지가 표시됩니다. 페더레이션된 도메인에 속하는 경우 해당 도메인에 대한 IdP의 로그인 페이지로 리디렉션됩니다. 관리자는 "로그인 자동 가속"이라고 하는 프로세스인 특정 애플리케이션에 대한 초기 Microsoft Entra ID 페이지를 무시할 수 있습니다.

Microsoft는 FIDO 및 협업과 같은 더 강력한 인증 방법을 방해할 수 있으므로 자동 가속을 구성하지 않는 것이 좋습니다. 자세한 내용은 암호 없는 보안 키 로그인사용을 참조하세요. 로그인 자동 가속을 방지하는 방법을 알아보려면 자동 가속 로그인 사용 안 함을 참조하세요.

자동 가속은 다른 IdP와 페더레이션된 테넌트에 대한 로그인을 간소화할 수 있습니다. 개별 애플리케이션에 대해 구성할 수 있습니다. HRD를 사용하여 자동 가속을 강제 활성화하는 방법을 알아보려면 자동 가속 구성을참조하세요.

참고 항목

애플리케이션을 자동 가속을 위해 구성하면 사용자가 관리되는 자격 증명(예: FIDO)을 사용하거나 게스트 사용자가 로그인할 수 없습니다. 인증을 위해 페더레이션 IdP로 사용자를 보내면 Microsoft Entra 로그인 페이지가 무시되어 게스트 사용자가 Microsoft 계정과 같은 다른 테넌트 또는 외부 IdP에 액세스할 수 없습니다.

다음 세 가지 방법으로 페더레이션 IdP에 대한 자동 가속을 제어합니다.

  • 애플리케이션에 대한 인증 요청에 도메인 힌트를 사용합니다.
  • 강제 자동 가속을 위한 HRD 정책을 구성합니다.
  • HRD 정책을 구성하여 특정 애플리케이션 또는 도메인에 대한 도메인 힌트를 무시 합니다.

도메인 확인 대화 상자

2023년 4월부터 자동 가속 또는 스마트 링크를 사용하는 조직은 로그인 UI에서 도메인 확인 대화 상자라는 새 화면을 발견할 수 있습니다. 이 화면은 Microsoft의 보안 강화 노력의 일부이며 사용자가 로그인하는 테넌트의 도메인을 확인해야 합니다.

수행해야 할 일

도메인 확인 대화 상자가 표시되면:

  • 도메인확인: 화면의 도메인 이름이 로그인하려는 조직(예: contoso.com)과 일치하는지 확인합니다.
    • 도메인인식하는 경우 확인을 선택하여 계속합니다.
    • 도메인인식하지 못하는 경우 로그인 프로세스를 취소하고 IT 관리자에게 문의하세요.

도메인 확인 대화 상자의 구성 요소

다음 스크린샷은 도메인 확인 대화 상자의 모양을 보여 주는 예제입니다.

테넌트 도메인 'contoso.com'과 함께 로그인 식별자 '<kelly@contoso.com>'을 나열하는 도메인 확인 대화 상자의 스크린샷.

대화 상자 맨 위에 있는 식별자 kelly@contoso.com은 로그인에 사용되는 식별자를 나타냅니다. 대화 상자의 헤더 및 하위 헤더에 나열된 테넌트 도메인은 계정의 홈 테넌트 도메인을 표시합니다.

자동 가속 또는 스마트 링크의 모든 인스턴스에 대해 이 대화 상자가 표시되지 않을 수 있습니다. 조직에서 브라우저 정책으로 인해 쿠키를 지울 경우 도메인 확인 대화 상자가 자주 발생할 수 있습니다. Microsoft Entra ID가 자동 가속 로그인 흐름을 관리하기 때문에 도메인 확인 대화 상자에서 애플리케이션이 중단되면 안 됩니다.

도메인 힌트

도메인 힌트는 페더레이션 IdP 로그인 페이지로 사용자를 가속화할 수 있는 애플리케이션의 인증 요청에 대한 지시문입니다. 다중 테넌트 애플리케이션은 사용자를 테넌트의 브랜드 Microsoft Entra 로그인 페이지로 보낼 수 있습니다.

예를 들어 "largeapp.com"는 사용자 지정 URL "contoso.largeapp.com"을 통한 액세스를 허용하고 인증 요청에 contoso.com 도메인 힌트를 포함할 수 있습니다.

도메인 힌트 구문은 프로토콜에 따라 다릅니다.

  • WS-Federation: whr 쿼리 문자열 매개 변수(예: whr=contoso.com).
  • SAML: 도메인 힌트 또는 whr=contoso.com와 함께하는 SAML 인증 요청입니다.
  • OpenID Connect: domain_hint 쿼리 문자열 매개 변수(예: domain_hint=contoso.com).

다음 경우의 두 모두 경우 Microsoft Entra ID는 도메인에 대해 구성된 IDP로 로그인을 리디렉션합니다.

  • 도메인 힌트는 인증 요청에 포함됩니다.
  • 테넌트가 해당 도메인과 페더레이션되어 있습니다.

도메인 힌트가 확인된 페더레이션된 도메인을 참조하지 않는 경우 무시될 수 있습니다.

참고 항목

인증 요청에 포함된 도메인 힌트는 HRD 정책에서 애플리케이션에 대해 설정된 자동 가속을 무시합니다.

자동 가속에 대한 HRD 정책

일부 애플리케이션은 인증 요청의 구성을 허용하지 않습니다. 이러한 경우 도메인 힌트를 사용하여 자동 가속을 제어할 수 없습니다. 홈 영역 검색 정책을 사용하여 자동 가속을 구성합니다.

자동 가속을 방지하기 위한 HRD 정책

일부 Microsoft 및 SaaS 애플리케이션에는 FIDO와 같은 관리 자격 증명 롤아웃을 방해할 수 있는 도메인 힌트가 자동으로 포함됩니다. 홈 영역 검색 정책을 사용하여 관리 자격 증명 롤아웃 중 특정 앱이나 도메인에서 도메인 힌트를 무시합니다.

레거시 애플리케이션에 페더레이션된 사용자의 직접 ROPC 인증 사용

애플리케이션에서 사용자 인증을 위해 Microsoft Entra 라이브러리 및 대화형 로그인을 사용하는 것이 가장 좋습니다. ROPC(리소스 소유자 암호 자격 증명) 부여를 사용하는 레거시 애플리케이션은 페더레이션을 이해하지 않고 Microsoft Entra ID에 직접 자격 증명을 제출할 수 있습니다. HRD를 수행하거나 올바른 페더레이션 엔드포인트와 상호 작용하지 않습니다. 홈 영역 검색 정책을 사용하여 특정 레거시 애플리케이션 Microsoft Entra ID로 직접 인증할 수 있습니다. 암호 해시 동기화를 사용하도록 설정된 경우 이 옵션이 작동합니다.

Important

암호 해시 동기화가 활성화되어 있고 온-프레미스 IdP 정책 없이 애플리케이션을 인증할 수 있는 경우에만 직접 인증을 사용하도록 설정합니다. AD Connect와의 암호 해시 동기화 또는 디렉터리 동기화를 사용하지 않도록 설정한 경우 이 정책을 제거하여 부실 암호 해시를 사용한 직접 인증을 방지합니다.

HRD 정책 설정

페더레이션 로그인 자동 가속 또는 직접 클라우드 기반 애플리케이션에 대한 애플리케이션에 HRD 정책을 설정하려면 다음을 수행합니다.

  • HRD 정책 만들기
  • 정책을 연결할 서비스 주체를 찾습니다.
  • 서비스 주체에 정책 연결

정책은 서비스 주체에 연결된 경우 특정 애플리케이션에 적용됩니다. 한 번에 하나의 HRD 정책만 서비스 주체에서 활성화할 수 있습니다. Microsoft Graph PowerShell cmdlet을 사용하여 HRD 정책을 만들고 관리합니다.

HRD 정책 정의 예제:

{  
  "HomeRealmDiscoveryPolicy": {  
    "AccelerateToFederatedDomain": true,  
    "PreferredDomain": "federated.example.edu",  
    "AllowCloudPasswordValidation": false  
  }  
}
  • AccelerateToFederatedDomain: 선택 사항입니다. false이면 정책은 자동 가속에 영향을 주지 않습니다. 참이고 확인된 연합된 도메인이 하나 있는 경우 이용자는 연합 IdP로 전달됩니다. 여러 도메인이 있는 경우 PreferredDomain지정합니다.
  • PreferredDomain: 선택 사항입니다. 가속할 도메인을 나타냅니다. 페더레이션된 도메인이 하나만 있는 경우 생략합니다. 여러 도메인을 생략하면 정책이 적용되지 않습니다.
  • allowCloudPasswordValidation: 선택 사항입니다. true이면 사용자 이름/암호 자격 증명을 통해 Microsoft Entra 토큰 엔드포인트에 직접 페더레이션된 사용자 인증을 허용하므로 암호 해시 동기화가 필요합니다.

추가 임차인 수준 HRD 옵션:

  • AlternateIdLogin: 선택 사항입니다. Microsoft Entra 로그인 페이지에서 UPN 대신 전자 메일 로그인에 AlternateLoginID 사용하도록 설정합니다. 페더레이션된 IDP로 자동 전환되지 않는 사용자에게 의존합니다.
  • DomainHintPolicy: 도메인 힌트가 사용자 페더레이션된 도메인으로 자동 가속하는 것을 방지할 있는 선택적 복합 개체입니다. 도메인 힌트를 보내는 애플리케이션이 클라우드 관리 자격 증명 로그인을 방지하지 않도록 합니다.

HRD 정책의 우선 순위 및 평가

HRD 정책을 조직 및 서비스 주체에 할당하여 애플리케이션에 여러 정책을 적용할 수 있습니다. Microsoft Entra ID는 다음 규칙을 사용하여 우선 순위를 결정합니다.

  • 도메인 힌트가 있는 경우 테넌트의 HRD 정책은 도메인 힌트를 무시해야 하는지 확인합니다. 허용되는 경우 도메인 힌트 동작이 사용됩니다.
  • 정책이 서비스 주체에 명시적으로 할당된 경우 해당 정책이 적용됩니다.
  • 도메인 힌트 또는 서비스 주체 정책이 없으면 부모 조직에 할당된 정책이 적용됩니다.
  • 도메인 힌트 또는 정책이 할당되지 않은 경우 기본 HRD 동작이 적용됩니다.

다음 단계