AD FS 애플리케이션 마이그레이션 개요
이 문서는 AD FS 애플리케이션 마이그레이션 마법사의 기능 및 대시보드에서 사용할 수 있는 마이그레이션 상태에 대해 알아봅니다. 또한 AD FS에서 Microsoft Entra ID로 마이그레이션하려는 각 애플리케이션에 대해 애플리케이션 마이그레이션에서 생성하는 다양한 유효성 검사 테스트에 대해서도 알아봅니다.
AD FS 애플리케이션 마이그레이션 마법사를 사용하면 Microsoft Entra ID로 마이그레이션할 수 있는 애플리케이션을 빠르게 식별할 수 있습니다. Microsoft Entra ID와의 호환성을 위해 모든 AD FS 애플리케이션을 평가합니다. 또한 문제를 확인하고, 마이그레이션을 위해 개별 애플리케이션을 준비하고, 원클릭 환경을 사용하여 새 Microsoft Entra 애플리케이션을 구성하는 방법에 대한 지침을 제공합니다.
AD FS 애플리케이션 마이그레이션 마법사를 사용하여 다음을 수행할 수 있습니다.
AD FS 애플리케이션 검색 및 마이그레이션 범위 지정 - AD FS 애플리케이션 마이그레이션 마법사는 지난 30일 동안 활성 사용자 로그인을 한 조직의 모든 AD FS 애플리케이션을 나열합니다. 보고서는 Microsoft Entra ID로 마이그레이션하기 위한 앱 준비 상태를 나타냅니다. 이 보고서에는 Office 365와 같은 AD FS의 Microsoft 관련 신뢰 당사자가 표시되지 않습니다. 예를 들어 이름이
urn:federation:MicrosoftOnline인 신뢰 당사자입니다.마이그레이션 을 위한 애플리케이션 우선 순위 지정 - 애플리케이션 마이그레이션의 위험성 또는 위험을 결정하는 데 도움이 되도록 지난 1, 7 또는 30일 동안 애플리케이션에 로그인한 고유 사용자 수를 가져옵니다.
마이그레이션 테스트 실행 및 문제 해결 - 보고 서비스는 테스트를 자동으로 실행하여 애플리케이션을 마이그레이션할 준비가 되었는지 여부를 확인합니다. 결과는 AD FS 애플리케이션의 마이그레이션 대시보드에 마이그레이션 상태로 표시됩니다. AD FS 구성이 Microsoft Entra 구성과 호환되지 않는 경우 Microsoft Entra ID에서 구성을 해결하는 방법에 대한 구체적인 지침을 가져올 수 있습니다.
원클릭 애플리케이션 구성 환경을 사용하여 새 Microsoft Entra 애플리케이션 구성 - 이를 통해 온프레미스에 신뢰 당사자 애플리케이션을 클라우드로 마이그레이션할 수 있는 안내 환경을 제공합니다. 마이그레이션 환경은 온-프레미스 환경에서 직접 가져온 신뢰 당사자 애플리케이션의 메타데이터를 사용합니다. 또한 이 환경에서는 몇 가지 기본 SAML 설정, 클레임 구성 및 그룹 할당을 사용하여 Microsoft Entra 플랫폼에서 SAML 애플리케이션의 원클릭 구성을 제공합니다.
참고 항목
AD FS 애플리케이션 마이그레이션은 SAML 기반 애플리케이션만 지원합니다. OpenID Connect, WS-Fed 및 OAuth 2.0과 같은 프로토콜을 사용하는 애플리케이션은 지원하지 않습니다. 이러한 프로토콜을 사용하는 애플리케이션을 마이그레이션하려면 AD FS 애플리케이션 활동 보고서를 사용하여 마이그레이션하려는 애플리케이션을 식별합니다. 마이그레이션하려는 앱을 식별한 후에는 Microsoft Entra ID에서 수동으로 구성할 수 있습니다. 수동 마이그레이션을 시작하는 방법에 대한 자세한 내용은 애플리케이션 마이그레이션 및 테스트를 참조하세요.
AD FS 애플리케이션 마이그레이션 상태
Microsoft Entra Connect 및 AD FS용 Microsoft Entra Connect Health 에이전트는 온-프레미스 신뢰 당사자 애플리케이션 구성 및 로그인 감사 로그를 읽습니다. 각 AD FS 애플리케이션에 대한 이 데이터는 있는 그대로 마이그레이션할 수 있는지 또는 추가 검토가 필요한지 여부를 확인하기 위해 분석됩니다. 이 분석의 결과에 따라 지정된 애플리케이션에 대한 마이그레이션 상태가 결정됩니다.
애플리케이션은 다음과 같은 마이그레이션 상태로 분류됩니다.
- 마이그레이션 준비 완료는 AD FS 애플리케이션 구성이 Microsoft Entra ID에서 완벽하게 지원되며 있는 그대로 마이그레이션할 수 있음을 의미합니다.
- 검토 필요는 애플리케이션 설정 중 일부를 Microsoft Entra ID로 마이그레이션할 수 있지만 있는 그대로 마이그레이션할 수 없는 설정을 검토해야 함을 의미합니다.
- 추가 단계 필요는 Microsoft Entra ID가 일부 애플리케이션 설정을 지원하지 않으므로 애플리케이션을 현재 상태로 마이그레이션할 수 없음을 의미합니다.
AD FS 애플리케이션 마이그레이션 유효성 검사 테스트
애플리케이션의 준비성은 다음과 같은 미리 정의된 AD FS 애플리케이션 구성 테스트를 기반으로 평가됩니다. 테스트는 자동으로 실행되고 결과는 AD FS 애플리케이션 마이그레이션 대시보드에 마이그레이션 상태로 표시됩니다. AD FS 구성이 Microsoft Entra 구성과 호환되지 않는 경우 Microsoft Entra ID에서 구성을 해결하는 방법에 대한 구체적인 지침을 가져올 수 있습니다.
AD FS 애플리케이션 마이그레이션 인사이트 상태 업데이트
애플리케이션이 업데이트되면 내부 에이전트는 몇 분 내에 업데이트를 동기화합니다. 그러나 AD FS 마이그레이션 인사이트 작업은 업데이트를 평가하고 새 마이그레이션 상태를 계산합니다. 이러한 작업은 24시간마다 실행되도록 예약되어 있으므로 데이터는 하루에 한 번, 즉 UTC(협정 세계시) 00:00 경에 계산됩니다.
| 결과 | 성공/경고/실패 | 설명 |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules AdditionalAuthentication에 대해 마이그레이션할 수 없는 하나 이상의 규칙이 검색되었습니다. |
성공/경고 | 신뢰 당사자에게는 다단계 인증을 요청하는 규칙이 있습니다. Microsoft Entra ID로 이동하려면 해당 규칙을 조건부 액세스 정책으로 변환합니다. 온-프레미스 MFA를 사용하는 경우 Microsoft Entra 다단계 인증으로 전환하는 것이 좋습니다. 조건부 액세스에 대해 자세히 알아보기 |
| Test-ADFSRPAdditionalWSFedEndpoint 신뢰 당사자가 AdditionalWSFedEndpoint를 true로 설정했습니다. |
성공/실패 | AD FS 신뢰 당사자는 여러 WS-Fed 어설션 엔드포인트를 허용합니다. 현재 Microsoft Entra에서는 하나만 지원합니다. 이 결과가 마이그레이션을 차단하는 시나리오가 발생하는 경우 저희에게 알려주세요. |
| Test-ADFSRPAllowedAuthenticationClassReferences 신뢰 당사자가 AllowedAuthenticationClassReferences를 설정했습니다. |
성공/실패 | AD FS에서 이 설정을 사용하면 애플리케이션이 특정 인증 유형만 허용하도록 구성되어 있는지 여부를 지정할 수 있습니다. 조건부 액세스를 사용하여 이 기능을 구현하는 것이 좋습니다. 이 결과가 마이그레이션을 차단하는 시나리오가 발생하는 경우 저희에게 알려주세요. 조건부 액세스에 대해 자세히 알아보기 |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
성공/실패 | AD FS에서 이 설정을 사용하면 애플리케이션이 SSO 쿠키를 무시하도록 구성되었는지 여부를 지정하고 항상 인증 확인을 지정할 수 있습니다. Microsoft Entra ID에서는 조건부 액세스 정책을 사용하여 인증 세션을 관리하여 유사한 동작을 구현할 수 있습니다. 조건부 액세스를 사용하여 인증 세션 관리를 구성하는 방법을 자세히 알아봅니다. |
| Test-ADFSRPAutoUpdateEnabled 신뢰 당사자가 AutoUpdateEnabled를 true로 설정했습니다. |
성공/경고 | AD FS에서 이 설정을 사용하면 AD FS를 페더레이션 메타데이터 내의 변경 내용에 따라 애플리케이션을 자동으로 업데이트하도록 구성할지 여부를 지정할 수 있습니다. Microsoft Entra ID는 현재 이를 지원하지 않지만 Microsoft Entra ID로의 애플리케이션 마이그레이션을 차단해서는 안 됩니다. |
| Test-ADFSRPClaimsProviderName 신뢰 당사자가 여러 ClaimsProvider를 사용하도록 설정했습니다. |
성공/실패 | 이 AD FS의 이 설정은 신뢰 당사자가 클레임을 수락하는 ID 공급자를 호출합니다. Microsoft Entra ID에서는 Microsoft Entra B2B를 사용하여 외부 협업을 사용하도록 설정할 수 있습니다. Microsoft Entra B2B에 대해 자세히 알아봅니다. |
| Test-ADFSRPDelegationAuthorizationRules | 성공/실패 | 애플리케이션에 사용자 지정 위임 권한 부여 규칙이 정의되어 있습니다. 이는 OpenID Connect 및 OAuth 2.0과 같은 최신 인증 프로토콜을 사용하여 Microsoft Entra ID가 지원하는 WS-Trust 개념입니다. Microsoft ID 플랫폼에 대한 자세한 정보. |
| Test-ADFSRPImpersonationAuthorizationRules | 성공/경고 | 애플리케이션에 사용자 지정 가장 규칙이 정의되어 있습니다. 이는 OpenID Connect 및 OAuth 2.0과 같은 최신 인증 프로토콜을 사용하여 Microsoft Entra ID가 지원하는 WS-Trust 개념입니다. Microsoft ID 플랫폼에 대한 자세한 정보. |
| Test-ADFSRPIssuanceAuthorizationRules IssuanceAuthorization에 대해 마이그레이션할 수 없는 하나 이상의 규칙이 검색되었습니다. |
성공/경고 | 애플리케이션에 AD FS에 정의된 사용자 지정 발급 권한 부여 규칙이 있습니다. Microsoft Entra ID는 Microsoft Entra Conditional Access를 통해 이 기능을 지원합니다. 조건부 액세스에 대해 자세히 알아보기 애플리케이션에 할당된 사용자 또는 그룹을 기준으로 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 애플리케이션에 액세스할 사용자 및 그룹을 할당하는 방법을 자세히 알아봅니다. |
| Test-ADFSRPIssuanceTransformRules IssuanceTransform에 대해 마이그레이션할 수 없는 하나 이상의 규칙이 검색되었습니다. |
성공/경고 | 애플리케이션에 AD FS에 정의된 사용자 지정 발급 변환 규칙이 있습니다. Microsoft Entra ID는 토큰에서 발급된 클레임 사용자 지정을 지원합니다. 자세한 내용은 엔터프라이즈 애플리케이션에 대한 SAML 토큰에 발급된 클레임 사용자 지정을 참조하세요. |
| Test-ADFSRPMonitoringEnabled 신뢰 당사자가 MonitoringEnabled를 true로 설정했습니다. |
성공/경고 | AD FS에서 이 설정을 사용하면 AD FS를 페더레이션 메타데이터 내의 변경 내용에 따라 애플리케이션을 자동으로 업데이트하도록 구성할지 여부를 지정할 수 있습니다. Microsoft Entra는 현재 이를 지원하지 않지만 Microsoft Entra ID로의 애플리케이션 마이그레이션을 차단해서는 안 됩니다. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
성공/경고 | AD FS는 SAML 토큰의 NotBefore 및 NotOnOrAfter 시간을 기준으로 시간차를 허용합니다. Microsoft Entra ID는 기본적으로 이를 자동으로 처리합니다. |
| Test-ADFSRPRequestMFAFromClaimsProviders 신뢰 당사자가 RequestMFAFromClaimsProviders를 true로 설정했습니다. |
성공/경고 | AD FS의 이 설정은 사용자가 다른 클레임 공급자에서 온 경우 MFA에 대한 동작을 결정합니다. Microsoft Entra ID에서는 Microsoft Entra B2B를 사용하여 외부 협업을 사용하도록 설정할 수 있습니다. 그런 다음, 조건부 액세스 정책을 적용하여 게스트 액세스를 보호할 수 있습니다. Microsoft Entra B2B 및 조건부 액세스에 대해 자세히 알아봅니다. |
| Test-ADFSRPSignedSamlRequestsRequired 신뢰 당사자가 SignedSamlRequestsRequired를 true로 설정했습니다. |
성공/실패 | 애플리케이션은 SAML 요청에서 서명을 확인하도록 AD FS에서 구성됩니다. Microsoft Entra ID는 서명된 SAML 요청을 수락합니다. 그러나 서명을 확인하지 않습니다. Microsoft Entra ID에는 악의적인 호출로부터 보호하기 위한 다양한 방법이 있습니다. 예를 들어, Microsoft Entra ID는 애플리케이션에 구성된 회신 URL을 사용하여 SAML 요청의 유효성을 검사합니다. Microsoft Entra ID는 애플리케이션에 대해 구성된 회신 URL에만 토큰을 보냅니다. 이 결과가 마이그레이션을 차단하는 시나리오가 발생하는 경우 저희에게 알려주세요. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
성공/경고 | 애플리케이션은 사용자 지정 토큰 수명에 대해 구성됩니다. AD FS 기본값은 1시간입니다. Microsoft Entra ID는 조건부 액세스를 사용하여 이 기능을 지원합니다. 자세히 알아보려면 조건부 액세스를 사용하여 인증 세션 관리 구성을 참조하세요. |
| 신뢰 당사자가 클레임을 암호화하도록 설정되어 있습니다. 이는 Microsoft Entra ID에서 지원됩니다. | 통과 | Microsoft Entra ID를 사용하면 애플리케이션으로 전송된 토큰을 암호화할 수 있습니다. 자세한 내용은 Microsoft Entra SAML 토큰 암호화 구성을 참조하세요. |
| EncryptedNameIdRequiredCheckResult | 성공/실패 | 애플리케이션은 SAML 토큰의 nameID 클레임을 암호화하도록 구성됩니다. Microsoft Entra ID를 사용하면 애플리케이션으로 전송되는 전체 토큰을 암호화할 수 있습니다. 특정 클레임의 암호화는 아직 지원되지 않습니다. 자세한 내용은 Microsoft Entra SAML 토큰 암호화 구성을 참조하세요. |