Seamless Single Sign-On 구현

  • 11분

Contoso IT 팀은 사용자가 SSO를 사용하여 온-프레미스 리소스와 Azure의 리소스에 모두 액세스할 방법을 원합니다. Microsoft Entra Seamless SSO는 암호 해시 동기화 또는 통과 인증을 사용하는 기술입니다.

또한 Seamless SSO를 사용하면 사용자가 Microsoft Entra ID 로그인 시 자신의 사용자 이름을 입력할 일이 거의 없으며 암호를 사용할 필요가 전혀 없습니다. 해당 기능을 사용하면 추가 온-프레미스 구성 요소가 없어도 Contoso의 사용자가 클라우드 기반 애플리케이션에 쉽게 액세스할 수 있습니다.

통과 인증을 지원하는 시나리오

Microsoft Entra 통과 인증은 Microsoft Entra ID를 사용하는 서비스가 온-프레미스 AD DS 인스턴스에 대한 암호 유효성을 항상 검사할 수 있도록 지원합니다.

외부 암호 유효성 검사 요청을 수신하는 온-프레미스 에이전트를 사용하는 Microsoft Entra Connect를 사용하여 Microsoft Entra 통과 인증을 구성할 수 있습니다. 고가용성을 제공하기 위해 해당 에이전트를 하나 이상의 서버에 배포할 수 있습니다. 모든 통신이 아웃바운드로만 이루어지므로 해당 서버를 경계 네트워크에 배포할 필요는 없습니다.

통과 인증 에이전트를 실행하는 서버를 사용자가 있는 AD DS 도메인에 조인해야 합니다. Microsoft Entra 통과 인증을 배포하기 전에 지원되는 인증 시나리오와 그렇지 않은 인증 시나리오를 알고 있어야 합니다.

다음 인증 시나리오에서 통과 인증을 사용할 수 있습니다.

  • 사용자가 Microsoft Entra ID에서 지원되는 모든 웹 브라우저 기반 애플리케이션에 로그인합니다.
  • 사용자가 최신 인증을 지원하는 Office 애플리케이션에 로그인합니다.
  • 사용자가 Exchange ActiveSync, SMTP(Simple Mail Transfer Protocol), POP(Post Office Protocol), IMAP(Internet Message Access Protocol) 등의 레거시 프로토콜을 사용하여 Microsoft Outlook 클라이언트에 로그인합니다.
  • 사용자가 온라인 및 하이브리드 토폴로지를 포함한 최신 인증을 지원하는 비즈니스용 Skype 애플리케이션에 로그인합니다.
  • Windows 10 디바이스에 대한 Microsoft Entra 도메인 가입.
  • 다단계 인증에 사용할 앱 암호.

통과 인증을 지원하지 않는 시나리오

통과 인증은 가장 일반적인 인증 시나리오를 지원하지만, 이 방법을 사용할 수 없는 몇 가지 시나리오가 있습니다. 이 시나리오에는 다음이 포함됩니다.

  • 사용자가 Outlook을 제외한 레거시 Office 클라이언트 애플리케이션에 로그인합니다.

    참고

    관련 레거시 클라이언트 앱에는 최신 인증이 없는 Office 2010 및 Office 2013이 있습니다.

  • Office 2010의 Exchange 하이브리드 환경에서만 일정 공유 및 약속 있음/없음 정보에 액세스하세요.

  • 사용자가 최신 인증이 없는 비즈니스용 Skype 클라이언트 애플리케이션에 로그인

  • 사용자가 Windows PowerShell 버전 1.0에 로그인합니다.

  • 자격 증명이 손실된 사용자 검색

  • Microsoft Entra Domain Services가 필요한 시나리오입니다. Microsoft Entra Domain Services 테넌트는 암호 해시 동기화를 사용해야 하므로 통과 인증만 사용하는 테넌트는 해당 시나리오에서 작동하지 않습니다.

  • Microsoft Entra Connect Health가 필요한 시나리오입니다. 통과 인증은 Microsoft Entra Connect Health와 통합되지 않습니다.

  • iOS 설치 도우미를 사용하는 Apple DEP(기기 등록 프로그램)를 사용하는 경우 지원되지 않으므로 최신 인증을 사용할 수 없습니다. 통과 인증을 사용하는 관리되는 도메인에서는 Apple DEP 디바이스를 Intune에 등록할 수 없으므로 Intune 회사 포털 앱을 대신 사용하는 것이 좋습니다.

통과 인증 작동 방식

통과 인증을 배포하기 전에 통과 인증의 작동 방식 및 AD FS와의 차이점을 이해해야 합니다. 통과 인증은 AD FS 인증의 단순한 형태가 아닙니다. 두 방법 모두 Microsoft 365와 같은 리소스에 액세스하는 경우에 온-프레미스 인프라를 사용하여 사용자를 인증하지만 동일한 과정을 거치지는 않습니다.

통과 인증에서는 인증 에이전트라는 구성 요소를 사용하여 사용자를 인증합니다. Microsoft Entra Connect에서는 구성 중에 인증 에이전트를 설치합니다.

설치 후에 인증 에이전트는 Microsoft 365 테넌트의 Microsoft Entra ID에 자신을 등록합니다. 등록하는 동안 Microsoft Entra ID는 인증 에이전트에 고유한 디지털 ID 인증서를 할당합니다. 해당 인증서(키 쌍 포함)는 Microsoft Entra ID와의 보안 통신을 지원합니다. 또한 등록 절차는 Microsoft Entra 테넌트에 인증 에이전트를 바인딩합니다.

참고

인증 요청은 인증 에이전트로 푸시되지 않습니다. 대신 초기화하는 동안 인증 에이전트는 상호 인증을 사용하여 보호되는 HTTPS 채널인 443 포트를 통해 Microsoft Entra ID에 연결합니다. 연결을 설정한 후 Microsoft Entra ID는 Azure Service Bus 큐에 대한 액세스 권한이 있는 인증 에이전트를 제공합니다. 해당 큐에서 인증 에이전트는 암호 유효성 검사 요청을 검색하고 관리합니다. 이로 인해 인바운드 트래픽이 없으므로 경계 네트워크에 인증 에이전트를 설치할 필요가 없습니다.

예제

Contoso IT 직원이 Microsoft 365 테넌트에서 통과 인증을 사용하도록 설정하고 사용자가 Outlook Web App에서 인증을 시도하면 다음 단계가 이루어집니다.

  1. 아직 로그인하지 않은 경우 사용자는 Microsoft Entra 사용자 로그인 페이지로 리디렉션됩니다. 해당 페이지에서 사용자는 사용자 이름 및 암호를 사용하여 로그인합니다. Microsoft Entra ID는 로그인 요청을 수신하고 사용자 이름과 암호를 큐에 넣습니다. Microsoft Entra STS(보안 토큰 서비스)는 인증 에이전트 퍼블릭 키를 사용하여 관련 자격 증명을 암호화합니다. STS 서비스는 등록 프로세스 중에 인증 에이전트가 수신하는 인증서에서 해당 퍼블릭 키를 검색합니다.

    참고

    Microsoft Entra ID는 Azure Service Bus 큐에 사용자 자격 증명을 임시로 넣지만 클라우드에 저장되지는 않습니다.

  2. Azure Service Bus 큐에 영구적으로 연결되는 인증 에이전트는 큐에서 변경 내용을 확인하고 큐에서 암호화된 자격 증명을 검색합니다. 자격 증명은 인증 에이전트 퍼블릭 키를 사용하여 암호화되므로 에이전트는 프라이빗 키를 사용하여 데이터를 해독합니다.

  3. 인증 에이전트는 표준 Windows API를 사용하여 로컬 AD DS에 대한 사용자 이름과 암호의 유효성을 검사합니다. 해당 시점에서 이 메커니즘은 AD FS를 사용하는 것과 비슷합니다. 사용자 이름은 온-프레미스 기본 사용자 이름(일반적으로 userPrincipalName)이거나 대체 ID라고도 하는, Microsoft Entra Connect에서 구성된 또 다른 특성일 수 있습니다.

  4. 온-프레미스 AD DS는 요청을 평가하고 인증 에이전트에 대한 적절한 응답(성공, 실패, 암호 만료 또는 사용자 잠김)을 반환합니다.

  5. AD DS에서 응답을 받은 후 인증 에이전트는 Microsoft Entra ID에 해당 응답을 반환합니다.

  6. Microsoft Entra ID는 응답을 평가하고 적절하게 사용자에게 응답합니다. 예를 들어 Microsoft Entra ID가 사용자를 즉시 ​​로그인시키거나 다단계 인증을 요청합니다. 사용자 로그인에 성공하면 사용자가 애플리케이션에 액세스할 수 있습니다.

참고

도메인 조인 컴퓨터에서 클라우드 기반 리소스에 액세스하는 경우 통과 인증과 함께 Microsoft Entra Seamless SSO를 배포하면 사용자 환경을 더욱 향상할 수 있습니다. 해당 기능을 배포하는 경우 사용자가 도메인 자격 증명을 사용하여 회사의 도메인 조인 컴퓨터에 이미 로그인했다면 로그인 없이 클라우드 리소스에 액세스할 수 있습니다.

추가 자료

자세히 알아보려면 다음 문서를 검토하세요.