ID 공급자 구성

  • 10분

직접 페더레이션은 이제 SAML/WS-Fed IdP(ID 공급자) 페더레이션이라고 합니다. IdP(ID 공급자)가 SAML(Security Assertion Markup Language) 2.0 또는 WS-Federation(WS-Fed) 프로토콜을 지원하는 모든 조직과의 페더레이션을 설정할 수 있습니다. 파트너 IdP와의 SAML/WS-Fed IdP 페더레이션을 설정하면 해당 도메인의 새 게스트 사용자가 IdP에서 관리하는 자신의 조직 계정을 사용하여 Microsoft Entra 테넌트에 로그인하고 협업을 시작할 수 있습니다. 게스트 사용자가 별도의 Microsoft Entra 계정을 만들 필요가 없습니다.

게스트 사용자가 SAML/WS-Fed IdP 페더레이션을 통해 인증되는 경우는 언제인가요?

조직 SAML/WS-Fed IdP와의 페더레이션을 설정하면 초대하는 모든 새 게스트 사용자가 해당 SAML/WS-Fed IdP를 사용하여 인증됩니다. 페더레이션을 설정해도 이미 초대에 응한 게스트 사용자에 대한 인증 방법은 변경되지 않습니다. 다음은 몇 가지 예입니다.

  • 게스트 사용자가 이미 초대를 사용했으며 나중에 조직의 SAML/WS-Fed IdP와의 페더레이션을 설정했습니다. 이러한 게스트 사용자는 페더레이션을 설정하기 전에 사용한 것과 동일한 인증 방법을 계속 사용합니다.
  • 조직의 SAML/WS-Fed IdP와 페더레이션을 설정하고 게스트 사용자를 초대하면 나중에 파트너 조직이 Microsoft Entra ID로 이동합니다. 테넌트의 페더레이션 정책이 존재하는 한 이미 초대에 응한 게스트 사용자는 페더레이션된 SAML/WS-Fed IdP를 계속 사용할 수 있습니다.
  • 조직의 SAML/WS-Fed IdP와의 페더레이션을 삭제합니다. 현재 SAML/WS-Fed IdP를 사용하는 게스트 사용자는 로그인할 수 없습니다.

이러한 시나리오에서는 해당 상환 상태를 재설정하여 게스트 사용자의 인증 방법을 업데이트할 수 있습니다. SAML/WS-Fed IdP 페더레이션은 contoso.com 및 fabrikam.com과 같은 도메인 네임스페이스에 연결됩니다. 관리자가 AD FS 또는 타사 IdP와의 페더레이션을 설정하는 경우 조직은 하나 이상의 도메인 네임스페이스를 해당 IdP에 연결합니다.

최종 사용자 환경

SAML/WS-Fed IdP 페더레이션을 통해 게스트 사용자는 자신의 조직 계정을 사용하여 Microsoft Entra 테넌트에 로그인합니다. 사용자가 공유 리소스에 액세스하고 로그인하라는 메시지가 표시되면 사용자가 IdP로 리디렉션됩니다. 로그인에 성공하면 사용자는 리소스에 액세스할 수 있도록 Microsoft Entra ID로 돌아갑니다. Microsoft Entra 세션이 만료되거나 유효하지 않게 되고 페더레이션된 IdP에 SSO가 사용하도록 설정된 경우 사용자는 SSO를 경험하게 됩니다. 페더레이션된 사용자의 세션이 유효한 경우 사용자에게 다시 로그인하라는 메시지가 표시되지 않습니다. 그렇지 않으면 사용자가 로그인을 위해 IdP로 리디렉션됩니다.

Security Assertion Markup Language 2.0 구성

Microsoft Entra B2B는 아래에 나열된 특정 요구 사항에 따라 SAML 프로토콜을 사용하는 ID 공급자와 페더레이션하도록 구성할 수 있습니다.

참고 항목

직접 페더레이션의 대상 도메인에 대한 DNS는 Microsoft Entra ID에서 확인되지 않아야 합니다.

필수 Security Assertion Markup Language 2.0 특성 및 클레임

다음 표에는 타사 ID 공급자에서 구성해야 하는 특정 특성 및 클레임에 대한 요구 사항이 나와 있습니다. 직접 페더레이션을 설정하려면 ID 공급자의 SAML 2.0 응답에서 다음 특성을 받아야 합니다. 이러한 특성은 온라인 보안 토큰 서비스 XML 파일에 연결하거나 수동으로 입력하여 구성할 수 있습니다.

IdP의 SAML 2.0 응답에 필요한 특성은 다음과 같습니다.

Attribute
AssertionConsumerService https://login.microsoftonline.com/login.srf
사용자 urn:federation:MicrosoftOnline
발급자 파트너 IdP의 발급자 URI입니다(예: https://www.example.com/exk10l6w90DHM0yi...).

IdP에서 발급한 SAML 2.0 토큰에 필요한 클레임은 다음과 같습니다.

Attribute
NameID 형식 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

WS-Federation 구성

Microsoft Entra B2B는 아래에 나열된 몇 가지 특정 요구 사항에 따라 WS-Fed 프로토콜을 사용하는 ID 공급자와 페더레이션하도록 구성할 수 있습니다. 현재 두 개의 WS-Fed 공급자는 AD FS 및 Shibboleth를 포함하여 Microsoft Entra ID와의 호환성 테스트를 거쳤습니다.

직접 페더레이션의 대상 도메인에 대한 DNS는 Microsoft Entra ID에서 확인되지 않아야 합니다. 인증 URL 도메인은 대상 도메인 또는 허용된 ID 공급자의 도메인과 일치해야 합니다.

필요한 WS-Federation 특성 및 클레임

다음 표에는 타사 WS-Fed ID 공급자에서 구성해야 하는 특정 특성 및 클레임에 대한 요구 사항이 나와 있습니다. 직접 페더레이션을 설정하려면 ID 공급자의 WS-Fed 메시지에서 다음 특성을 받아야 합니다. 이러한 특성은 온라인 보안 토큰 서비스 XML 파일에 연결하거나 수동으로 입력하여 구성할 수 있습니다.

IdP의 WS-Fed 메시지에 필요한 특성은 다음과 같습니다.

Attribute
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
사용자 urn:federation:MicrosoftOnline
발급자 파트너 IdP의 발급자 URI입니다(예: https://www.example.com/exk10l6w90DHM0yi...).

IdP에서 발급한 WS-Fed 토큰에 필요한 클레임은 다음과 같습니다.

Attribute
ImmutableID https://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Google을 B2B 게스트 사용자에 대한 ID 공급자로 추가

Google을 사용하여 페더레이션을 설정하면 초대된 사용자가 Microsoft 계정을 만들지 않고도 자신의 Gmail 계정을 사용하여 공유 앱 및 리소스에 로그인하도록 허용할 수 있습니다.

참고

Google 페더레이션은 Gmail 사용자를 위해 특별히 설계되었습니다. G Suite 도메인과 페더레이션하려면 직접 페더레이션을 사용합니다.

Google 사용자를 위한 환경이란?

Google Gmail 사용자에게 초대를 보낼 때 게스트 사용자는 테넌트 컨텍스트를 포함하는 링크를 사용하여 공유 앱 또는 리소스에 액세스해야 합니다. 환경은 Google에 이미 로그인했는지 여부에 따라 달라집니다.

  • Google에 로그인하지 않은 게스트 사용자에게는 로그인하라는 메시지가 표시됩니다.
  • 게스트 사용자가 Google에 이미 로그인한 경우에는 사용하려는 계정을 선택하라는 메시지가 표시됩니다. 게스트 사용자는 초대에 사용된 계정을 선택해야 합니다.

헤더가 너무 깁니다 오류가 표시되는 게스트 사용자는 쿠키를 지우거나 개인 또는 incognito 창을 열고 다시 로그인을 시도할 수 있습니다.

Google 로그인 페이지를 보여주는 스크린샷. 사용자는 액세스를 위해 로그인해야 합니다.

WebView 로그인 지원 중단

Google은 포함된 웹 보기 로그인 지원을 중단합니다(2021년 9월 30일부터). 앱이 포함된 웹 보기로 사용자를 인증하고 외부 사용자 초대 또는 셀프 서비스 등록을 위해 Microsoft Entra B2C 또는 Microsoft Entra B2B와 Google 페더레이션을 사용하는 경우 Google Gmail 사용자는 인증할 수 없습니다.

Gmail 사용자에게 영향을 주는 알려진 시나리오는 다음과 같습니다.

  • Windows의 Microsoft 앱(예: Teams 및 Power Apps).
  • 인증에 WebView 컨트롤, WebView2 또는 이전 WebBrowser 컨트롤을 사용하는 Windows 앱. 해당 앱은 WAM(웹 계정 관리자) 흐름을 사용하여 마이그레이션해야 합니다.
  • WebView UI 요소를 사용하는 Android 애플리케이션.
  • UIWebView/WKWebview를 사용하는 iOS 애플리케이션.
  • Microsoft 인증 라이브러리를 사용하는 앱.

이 변경 내용은 다음에는 적용되지 않습니다.

  • 웹앱
  • 웹 사이트를 통해 액세스되는 Microsoft 365 서비스(예: SharePoint Online, Office 웹앱 및 Teams 웹앱)
  • 인증에 시스템 웹 보기를 사용하는 모바일 앱(iOS의 경우 SFSafariViewController, Android의 경우 Custom Tabs).
  • Google Workspace ID(예: Google Workspace에서 SAML 기반 페더레이션을 사용하는 경우).
  • WAM(웹 계정 관리자) 또는 WAB(웹 인증 브로커)를 사용하는 Windows 앱.

로그인 엔드포인트

팀은 모든 디바이스에서 Google 게스트 사용자를 완벽하게 지원합니다. Google 사용자는 https://teams.microsoft.com과 같은 일반 엔드포인트에서 팀에 로그인할 수 있습니다.

다른 애플리케이션의 일반 엔드포인트는 Google 사용자를 지원하지 않을 수 있습니다. Google 게스트 사용자는 테넌트 정보를 포함하는 링크를 사용하여 로그인해야 합니다. 다음은 몇 가지 예입니다.

  • https://myapps.microsoft.com/?tenantid= your tenant ID
  • https://portal.azure.com/ your tenant ID
  • https://myapps.microsoft.com/ your verified domain .onmicrosoft.com

Google 게스트 사용자가 https://myapps.microsoft.com 또는 https://portal.azure.com과 같은 링크를 사용하려고 하면 오류가 발생합니다.

이 링크에 테넌트 정보가 포함되어 있는 한 Google 게스트 사용자에게 애플리케이션 또는 리소스에 대한 직접 링크를 제공할 수도 있습니다. 예를 들어 https://myapps.microsoft.com/signin/Twitter/ application ID?tenantId= your tenant ID

1단계: Google 개발자 프로젝트 구성

먼저 Google 개발자 콘솔에서 새 프로젝트를 만들어 나중에 Microsoft Entra ID에 추가할 수 있는 클라이언트 ID 및 클라이언트 비밀을 가져옵니다.

  1. https://console.developers.google.com 에서 Google API로 이동하고, Google 계정으로 로그인합니다. 공유 팀 Google 계정을 사용하는 것이 좋습니다.

  2. 해당 계정을 사용하라는 메시지가 표시되면 서비스 약관에 동의합니다.

  3. 새 프로젝트를 만듭니다. 대시보드에서 프로젝트 만들기를 선택하고 프로젝트에 이름(예: Microsoft Entra B2B)을 지정한 다음 만들기를 선택합니다.

    Google 개발자 페이지 내의 새 프로젝트 페이지의 스크린샷.

  4. API 및 서비스 페이지의 새 프로젝트 아래에서 보기를 선택합니다.

  5. API 카드에서 Go to APIs overview(API 개요로 이동)를 선택합니다. OAuth 동의 화면을 선택합니다.

  6. 외부를 선택한 다음, 만들기를 선택합니다.

  7. OAuth 동의 화면에서 애플리케이션 이름을 입력합니다.

    Google OAuth 동의 화면의 스크린샷. 사용자는 사용량을 확인해야 합니다.

  8. 권한 있는 도메인 섹션으로 스크롤하고 microsoftonline.com을 입력합니다.

    Google 도메인과 함께 표시되는 권한 있는 도메인 섹션의 스크린샷은 유효합니다.

  9. 저장을 선택합니다.

  10. 자격 증명을 선택합니다. 자격 증명 생성 메뉴에서 OAuth 클라이언트 ID를 선택합니다.

    Google API 자격 증명 만들기 메뉴의 스크린샷. 여기에서 자격 증명을 구성합니다.

  11. 애플리케이션 형식에서 웹 애플리케이션을 선택합니다. Microsoft Entra B2B와 같이 애플리케이션에 적합한 이름을 지정합니다. 권한 있는 URI에서 다음 URI를 입력합니다.

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/ tenant ID /oauth2/authresp(여기서 테넌트 ID는 Azure에서의 사용자 ID임)

    권한 있는 리디렉션 URI 섹션의 스크린샷. 사용자가 권한 부여의 유효성을 검사하기 위해 어디로 이동하나요.

  12. 만들기를 선택합니다. 클라이언트 ID 및 클라이언트 암호를 복사합니다. Azure Portal에서 ID 공급자를 추가할 때 복사한 정보를 사용합니다.

    OAuth 클라이언트 ID 및 클라이언트 암호의 스크린샷. 액세스 비밀을 설정합니다.

2단계: Microsoft Entra ID에서 Google 페더레이션 구성

이제 Google 클라이언트 ID와 클라이언트 암호를 설정합니다. Azure Portal 또는 PowerShell을 사용하여 설정할 수 있습니다. 자신을 초대하여 Google 페더레이션 구성을 테스트해야 합니다. Gmail 주소를 사용하고 초대된 Google 계정으로 초대를 사용해 보세요.

Azure Portal에서 Google 페더레이션을 구성하려면 다음을 수행합니다.

  1. Azure 포털로 이동합니다. 왼쪽 창에서 Microsoft Entra ID를 선택합니다.

  2. 외부 ID를 선택합니다.

  3. 모든 ID 공급자를 선택한 다음 Google 단추를 선택합니다.

  4. 미리 복사해 둔 클라이언트 ID와 클라이언트 암호를 입력합니다. 저장을 선택합니다.

    Google ID 공급자 추가 페이지를 보여주는 스크린샷. 이전 단계의 클라이언트 ID 및 클라이언트 암호를 입력해야 합니다.

Google 페더레이션은 어떻게 제거하나요?

Google 페더레이션 설치 프로그램을 삭제할 수 있습니다. 삭제하면 이미 초대에 응한 Google 게스트 사용자는 로그인할 수 없습니다. 그러나 디렉터리에서 리소스를 삭제하고 다시 초대하여 리소스에 대한 액세스 권한을 다시 부여할 수 있습니다.

Microsoft Entra ID에서 Google 페더레이션을 삭제하려면

  1. Azure 포털로 이동합니다. 왼쪽 창에서 Microsoft Entra ID를 선택합니다.

  2. 외부 ID를 선택합니다.

  3. 모든 ID 공급자를 선택합니다.

  4. Google 줄에서 줄임표 단추( ... )를 선택한 다음 삭제를 선택합니다.

    Google ID 공급자 삭제 페이지를 보여주는 스크린샷. 끝에서 줄임표를 사용하여 삭제 명령을 엽니다.

  5. 를 선택하여 삭제를 확인합니다.

Facebook을 외부 ID에 대한 ID 공급자로 추가

사용자가 자신의 Facebook 계정을 사용하여 애플리케이션에 로그인할 수 있도록 셀프 서비스 등록 사용자 흐름(미리 보기)에 Facebook을 추가할 수 있습니다. 사용자가 Facebook을 사용하여 로그인할 수 있도록 하려면 테넌트에 대해 셀프 서비스 등록을 사용하도록 설정해야 합니다. Facebook을 ID 공급자로 추가한 후에는 애플리케이션에 대한 사용자 흐름을 설정하고 로그인 옵션 중 하나로 Facebook을 선택합니다.

참고

사용자는 자신의 Facebook 계정을 사용하여 셀프 서비스 가입 및 사용자 흐름에 따라 앱에 가입할 수만 있습니다. 사용자는 Facebook 계정을 사용하여 초대를 받고 초대권을 사용할 수 없습니다.

Facebook 개발자 콘솔에서 앱 만들기

ID 공급자로 Facebook 계정을 사용하려면 Facebook 개발자 콘솔에서 애플리케이션을 만들어야 합니다. Facebook 계정이 없는 경우 https://www.facebook.com/에서 등록할 수 있습니다.

참고

아래의 9 및 16단계에서 다음 URL을 사용합니다.

  • 사이트 URL 에 애플리케이션의 주소를 입력합니다(예: https://contoso.com).
  • 유효한 OAuth 리디렉션 URIhttps://login.microsoftonline.com/te/ tenant-id /oauth2/authresp를 입력합니다. Microsoft Entra ID 개요 화면에서 tenant-ID를 찾을 수 있습니다.
  1. Facebook 계정 자격 증명으로 개발자용 Facebook에 로그인합니다.
  2. 아직 등록하지 않은 경우 Facebook 개발자로 등록해야 합니다. 페이지의 오른쪽 위에서 시작을 선택하고 Facebook의 정책에 동의한 후 등록 단계를 완료합니다.
  3. 내 앱을 선택한 다음, 앱 만들기를 선택합니다.
  4. 표시 이름 및 유효한 연락처 전자 메일을 제공합니다.
  5. 앱 ID 만들기를 선택합니다. Facebook 플랫폼 정책에 동의하고 온라인 보안 검사를 완료해야 합니다.
  6. 설정을 선택한 다음 기본을 선택합니다.
  7. 비즈니스 및 페이지와 같은 범주를 선택합니다. 이 값은 Facebook의 경우 필수이지만 Microsoft Entra ID에서는 사용되지 않습니다.
  8. 페이지의 맨 아래에서 플랫폼 추가를 선택한 후 웹 사이트를 선택합니다.
  9. 사이트 URL에서 위에 명시된 적절한 URL을 입력합니다.
  10. 개인 정보 취급 방침 URL에서 애플리케이션에 대한 개인 정보를 유지 관리하는 페이지의 URL을 입력합니다(예: https://www.contoso.com).
  11. 변경 내용 저장을 선택합니다.
  12. 페이지의 맨 위에서 앱 ID 값을 복사합니다.
  13. 표시를 선택하고 앱 비밀 값을 복사합니다. 테넌트에서 Facebook을 ID 공급자로 구성하려면 둘 다 사용합니다. 앱 비밀은 중요한 보안 자격 증명입니다.
  14. 제품 옆에 있는 더하기 기호를 선택한 다음, Facebook 로그인에 있는 설정을 선택합니다.
  15. Facebook 로그인에서 설정을 선택합니다.
  16. 유효한 OAuth 리디렉션 URI에서 해당 URL(위에서 언급됨)을 입력합니다.
  17. 페이지 아래쪽에 있는 변경 내용 저장을 선택합니다.
  18. Microsoft Entra ID에서 Facebook 애플리케이션을 사용할 수 있도록 하려면 페이지 오른쪽 위에 있는 상태 선택기를 선택한 후, 켜기로 바꾸어 애플리케이션을 공용으로 만들고 모드 전환을 선택합니다. 이때 상태가 개발에서 라이브로 변경됩니다.

Facebook 계정을 ID 공급자로 구성

이제 Microsoft Entra 관리 센터에 입력하거나 PowerShell을 사용하여 Facebook 클라이언트 ID와 클라이언트 암호를 설정합니다. 셀프 서비스 가입이 설정된 앱에서 사용자 흐름을 통해 가입하여 Facebook 구성을 테스트할 수 있습니다.

Microsoft Entra ID 화면에서 Facebook 페더레이션을 구성하려면

  1. Microsoft Entra 테넌트의 전역 관리자로 Azure Portal에 로그인합니다.

  2. Azure 서비스에서 Microsoft Entra ID를 선택합니다.

  3. 왼쪽 메뉴에서 외부 ID를 선택합니다.

  4. 전체 ID 공급자를 선택한 다음, Facebook을 선택합니다.

  5. Client ID에 대해 이전에 만든 Facebook 애플리케이션의 앱 ID를 입력합니다.

  6. 클라이언트 암호에는 기록한 앱 비밀을 입력합니다.

    소셜 ID 공급자 추가 페이지의 스크린샷. 소셜 미디어 공급자를 선택합니다.

  7. 저장을 선택합니다.

Facebook 페더레이션을 제거하려면 어떻게 해야 하나요?

Facebook 페더레이션 설치 프로그램을 삭제할 수 있습니다. 이렇게 하면 Facebook 계정으로 사용자 흐름을 통해 가입한 모든 사용자가 더 이상 로그인할 수 없습니다.

Microsoft Entra ID에서 Facebook 페더레이션을 삭제하려면:

  1. Azure 포털로 이동합니다. 왼쪽 창에서 Microsoft Entra ID를 선택합니다.
  2. 외부 ID를 선택합니다.
  3. 모든 ID 공급자를 선택합니다.
  4. Facebook 줄에서 바로 가기 메뉴( ... )를 선택한 다음, 삭제를 선택합니다.
  5. 를 선택하여 삭제를 확인합니다.