자습서: OKTA 페더레이션을 Microsoft Entra ID 관리 인증으로 마이그레이션
이 자습서에서는 SSO(Single Sign-On)를 위해 Office 365 테넌트를 Okta와 페더레이션하는 방법을 알아봅니다.
페더레이션을 단계적 방식으로 Microsoft Entra ID로 마이그레이션하면 사용자에게 좋은 인증 환경을 제공할 수 있습니다. 미리 구성된 마이그레이션에서는 나머지 Okta SSO 애플리케이션에 대한 역페더레이션 액세스를 테스트할 수 있습니다.
참고 항목
이 자습서에서 설명하는 시나리오는 마이그레이션을 구현할 수 있는 여러 방법 가운데 하나일 뿐입니다. 정보를 자신의 특정 설정에 맞게 조정해야 합니다.
필수 조건
- SSO를 사용하기 위해 OKTA에 페더레이션된 Office 365 테넌트
- Microsoft Entra Connect 서버 또는 Microsoft Entra ID에 대한 사용자 프로비전을 위해 구성된 Microsoft Entra Connect 클라우드 프로비전 에이전트
- 다음 역할 중 하나: 애플리케이션 관리자, 클라우드 애플리케이션 관리자 또는 하이브리드 ID 관리자.
인증을 위해 Microsoft Entra Connect 구성
Office 365 도메인을 OKTA와 페더레이션하는 고객은 Microsoft Entra ID에 유효한 인증 방법이 없을 수 있습니다. 관리 인증으로 마이그레이션하기 전에 Microsoft Entra Connect의 유효성을 검사하고 사용자 로그인을 위해 구성합니다.
로그인 방법을 설정합니다.
- 암호 해시 동기화 - Microsoft Entra Connect 서버 또는 클라우드 프로비전 에이전트가 구현하는 디렉터리 동기화 기능의 확장
- 이 기능을 사용하여 Microsoft 365와 같은 Microsoft Entra 서비스에 로그인합니다.
- 온-프레미스 Active Directory 인스턴스에 로그인하려면 암호로 서비스에 로그인합니다.
- Microsoft Entra ID에서 암호 해시 동기화란? 참조
- 통과 인증 - 동일한 암호로 온-프레미스 및 클라우드 애플리케이션에 로그인
- 사용자가 Microsoft Entra ID를 통해 로그인하면 통과 인증 에이전트가 온-프레미스 AD에 대해 암호의 유효성을 검사합니다.
- Microsoft Entra 통과 인증을 사용한 사용자 로그인 참조
- 원활한 SSO - 기업 네트워크에 연결된 기업 데스크톱에서 사용자 로그인
- 사용자는 다른 온-프레미스 구성 요소 없이 클라우드 애플리케이션에 액세스할 수 있습니다.
- Microsoft Entra의 원활한 SSO 참조
Microsoft Entra ID에서 원활한 인증 사용자 환경을 만들려면 암호 해시 동기화 또는 통과 인증에 원활한 SSO를 배포합니다.
원활한 SSO의 필수 조건은 빠른 시작: Microsoft Entra 원활한 SSO(Single Sign-On)를 참조하세요.
이 자습서에서는 암호 해시 동기화 및 원활한 SSO를 구성합니다.
Microsoft Entra Connect의 암호 해시 동기화 및 원활한 SSO 구성
- Microsoft Entra Connect 서버에서 Microsoft Entra Connect 앱을 엽니다.
- 구성을 선택합니다.
- 사용자 로그인 변경을 선택합니다.
- 다음을 선택합니다.
- Microsoft Entra Connect 서버의 하이브리드 ID 관리자 자격 증명을 입력합니다.
- 서버가 Okta와의 페더레이션을 위해 구성되었습니다. 암호 해시 동기화로 변경합니다.
- Single Sign-On 사용을 선택합니다.
- 다음을 선택합니다.
- 로컬 온-프레미스 시스템의 경우 도메인 관리자 자격 증명을 입력합니다.
- 다음을 선택합니다.
- 마지막 페이지에서 구성을 선택합니다.
- Microsoft Entra 하이브리드 참가 경고 무시.
단계적 롤아웃 기능 구성
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
도메인 페더레이션 해제를 테스트하기 전에 Microsoft Entra ID에서 클라우드 인증 단계적 롤아웃을 사용하여 페더레이션 해제 사용자를 테스트합니다.
자세히 알아보기: 단계적 롤아웃을 사용하여 클라우드 인증으로 마이그레이션
Microsoft Entra Connect 서버에서 암호 해시 동기화 및 원활한 SSO를 사용하도록 설정한 후 단계적 롤아웃을 구성합니다.
최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>하이브리드 관리>Microsoft Entra Connect>Connect 동기화로 이동합니다.
테넌트에서 암호 해시 동기화가 사용하도록 설정되어 있는지 확인합니다.
관리형 사용자 로그인에 대한 단계적 롤아웃 사용을 선택합니다.
서버 구성 후 암호 해시 동기화 설정을 켜기로 변경할 수 있습니다.
설정을 사용하도록 설정합니다.
원활한 SSO(Single Sign-On)가 해제되었습니다. 사용하도록 설정하면 테넌트에서 사용하도록 설정되므로 오류가 나타납니다.
그룹 관리를 선택합니다.
암호 해시 동기화 롤아웃에 그룹을 추가합니다.
테넌트에 기능이 적용될 때까지 약 30분 정도 기다립니다.
기능이 적용되면 사용자가 Office 365 서비스에 액세스하려고 할 때 Okta로 리디렉션되지 않습니다.
단계적 롤아웃 기능이 지원하지 않는 몇 가지 시나리오가 있습니다.
- POP3 및 SMTP와 같은 레거시 인증 프로토콜은 지원되지 않습니다.
- OKTA에 대해 Microsoft Entra ID 하이브리드 참가를 구성한 경우 하이브리드 Microsoft Entra 하이브리드 참가 흐름은 도메인이 페더레이션된 해제될 때까지 OKTA로 이동합니다.
- Microsoft Entra ID 하이브리드 참가 Windows 클라이언트의 레거시 인증을 위한 로그온 정책은 OKTA에 유지됩니다.
Microsoft Entra ID로 OKTA 앱 만들기
관리 인증으로 전환한 사용자는 Okta의 애플리케이션에 액세스해야 할 수 있습니다. 해당 애플리케이션에 대한 사용자 액세스를 위해 OKTA 홈페이지에 연결되는 Microsoft Entra 애플리케이션을 등록합니다.
Okta에 대한 엔터프라이즈 애플리케이션 등록을 구성합니다.
최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.
새 애플리케이션을 선택합니다.
자신만의 애플리케이션을 선택하세요.
메뉴에서 Okta 앱의 이름을 지정합니다.
Microsoft Entra ID와 통합하기 위해 작업 중인 애플리케이션 등록을 선택합니다.
만들기를 실행합니다.
모든 조직 디렉터리의 계정(모든 Microsoft Entra 디렉터리 - 다중 테넌트)를 선택합니다.
등록을 선택합니다.
Microsoft Entra ID 메뉴에서 앱 등록을 선택합니다.
만들어진 등록을 엽니다.
- 테넌트 ID와 애플리케이션 ID를 기록합니다.
참고 항목
OKTA에서 ID 공급자를 구성하려면 테넌트 ID와 애플리케이션 ID가 필요합니다.
- 왼쪽 메뉴에서 인증서 및 비밀을 선택합니다.
- 새 클라이언트 비밀을 선택합니다.
- 비밀 이름을 입력합니다.
- 만료 날짜를 입력합니다.
- 비밀 값과 ID를 기록합니다.
참고 항목
값과 ID는 나중에 표시되지 않습니다. 정보를 기록하지 않으면 비밀을 다시 생성해야 합니다.
왼쪽 메뉴에서 API 권한을 선택합니다.
애플리케이션에 OIDC(OpenID Connect) 스택에 대한 액세스 권한을 부여합니다.
권한 추가를 선택합니다.
Microsoft Graph를 선택합니다.
위임된 권한을 선택합니다.
OpenID 권한 섹션에서 이메일, openid 및 프로필을 추가합니다.
권한 추가를 선택합니다.
<테넌트 도메인 이름에 대한 관리자 동의 부여>를 선택합니다.
허용 상태가 나타날 때까지 기다립니다.
왼쪽 메뉴에서 브랜딩을 선택합니다.
홈페이지 URL에 사용자 애플리케이션 홈페이지를 추가합니다.
Okta 관리 포털에서 새 ID 공급자를 추가하려면 보안을 선택한 다음 ID 공급자를 선택합니다.
Microsoft 추가를 선택합니다.
ID 공급자 페이지에서 클라이언트 ID 필드에 애플리케이션 ID를 입력합니다.
클라이언트 암호 필드에 클라이언트 암호를 입력합니다.
고급 설정 표시를 선택합니다. 기본적으로 이 구성은 역방향 페더레이션 액세스를 위해 OKTA의 UPN(사용자 계정 이름)을 Microsoft Entra ID의 UPN에 연결합니다.
Important
OKTA와 Microsoft Entra ID의 UPN이 서로 다른 경우 사용자 간에 공통적인 특성을 선택합니다.
자동 프로비전 선택을 완료합니다.
기본적으로 OKTA 사용자와 일치하는 항목이 나타나지 않으면 시스템은 Microsoft Entra ID에서 사용자를 프로비전하려고 시도합니다. OKTA에서 프로비전을 마이그레이션한 경우 OKTA 로그인 페이지로 리디렉션을 선택합니다.
IDP(ID 공급자)를 만들었습니다. 사용자를 올바른 IDP로 보냅니다.
ID 공급자 메뉴에서 라우팅 규칙을 선택한 다음 라우팅 규칙 추가를 선택합니다.
OKTA 프로필에서 사용 가능한 특성 중 하나를 사용합니다.
디바이스 및 IP에서 Microsoft Entra ID로 로그인을 지시하려면 다음 이미지에 표시된 정책을 설정합니다. 이 예에서 사업부 특성은 모든 Okta 프로필에서 사용되지 않습니다. IDP 라우팅을 위한 좋은 선택입니다.
리디렉션 URI를 기록하여 애플리케이션 등록에 추가합니다.
애플리케이션 등록의 왼쪽 메뉴에서 인증을 선택합니다.
플랫폼 추가를 선택합니다.
웹을 선택합니다.
Okta의 IDP에 기록한 리디렉션 URI를 추가합니다.
액세스 토큰 및 ID 토큰을 선택합니다.
관리 콘솔에서 디렉터리를 선택합니다.
사용자를 선택합니다.
프로필을 편집하려면 테스트 사용자를 선택합니다.
프로필에 ToAzureAD를 추가합니다. 다음 이미지를 참조하세요.
저장을 선택합니다.
수정된 사용자로 Microsoft 356 포털에 로그인합니다. 사용자가 관리 인증 파일럿에 포함되어 있지 않으면 작업이 루프에 들어갑니다. 반복을 종료하려면 관리형 인증 환경에 사용자를 추가합니다.
파일럿 구성원을 상대로 OKTA 앱 액세스 테스트
Microsoft Entra ID에서 OKTA 앱을 구성하고 OKTA 포털에서 IDP를 구성한 후에는 사용자에게 애플리케이션을 할당합니다.
Microsoft Entra 관리 센터에서 ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
만든 앱 등록을 선택합니다.
사용자 및 그룹으로 이동합니다.
관리형 인증 파일럿과 상관 관계가 있는 그룹을 추가합니다.
참고 항목
엔터프라이즈 애플리케이션 페이지에서 사용자와 그룹을 추가할 수 있습니다. 앱 등록 메뉴에서는 사용자를 추가할 수 없습니다.
15분 정도 기다립니다.
관리 인증 파일럿 사용자로 로그인합니다.
내 앱으로 이동합니다.
Okta 홈페이지로 돌아가려면 Okta 애플리케이션 액세스 타일을 선택합니다.
파일럿 멤버를 상대로 관리형 인증 테스트
Okta 역페더레이션 앱을 구성한 후 사용자에게 관리 인증 환경에 대한 테스트를 수행하도록 요청합니다. 사용자가 테넌트를 인식할 수 있도록 회사 브랜딩을 구성하는 것이 좋습니다.
자세히 알아보기: 회사 브랜드 구성
Important
Okta에서 도메인을 페더레이션 해제하기 전에 필요한 조건부 액세스 정책을 식별합니다. 차단되기 전에 환경을 확보할 수 있습니다. 자습서: OKTA 로그온 정책을 Microsoft Entra 조건부 액세스로 마이그레이션을 참조하세요.
Office 365 도메인의 페더레이션 해제
조직에서 관리형 인증 환경에 익숙한 경우 도메인의 OKTA 페더레이션 해제할 수 있습니다. 시작하려면 다음 명령을 사용하여 Microsoft Graph PowerShell에 연결합니다. Microsoft Graph PowerShell 모듈이 없으면 Install-Module Microsoft.Graph
을 입력하여 다운로드합니다.
PowerShell에서 하이브리드 ID 관리자 계정을 사용하여 Microsoft Entra ID에 로그인합니다.
Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
도메인을 변환하려면 다음 명령을 실행합니다.
Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"
아래 명령을 실행하여 도메인이 관리형으로 변환되었는지 확인합니다. 인증 유형은 관리형으로 설정되어야 합니다.
Get-MgDomain -DomainId yourdomain.com
관리되는 인증으로 도메인을 설정한 후에는 Okta 홈페이지에 대한 사용자 액세스를 유지하면서 Okta에서 Office 365 테넌트를 페더레이션된 해제했습니다.