다음을 통해 공유

Active Directory Federation Services prompt=login 매개 변수 지원

다음 문서에서는 AD FS에서 사용할 수 있는 prompt=login 매개 변수에 대한 기본 지원을 설명합니다.

prompt=login이란?

애플리케이션이 Microsoft Entra ID에서 새 인증을 요청해야 하는 경우, 즉 사용자가 이미 인증된 경우에도 사용자를 다시 인증하려면 Microsoft Entra ID가 필요하므로 인증 요청의 일부로 Microsoft Entra ID로 prompt=login 매개 변수를 보낼 수 있습니다.

페더레이션된 사용자에 대한 요청인 경우, Microsoft Entra ID는 AD FS 등의 IdP에 새 인증을 위한 요청임을 알려야 합니다.

기본적으로 Microsoft Entra ID는 이러한 유형의 인증 요청을 페더레이션된 IdP로 보낼 때 prompt=login을(를) wfresh=0wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password으로 변환합니다.

다음 매개 변수의 의미는 다음과 같습니다.

  • wfresh=0: 새 인증 수행
  • wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: 새 인증 요청에 사용자 이름/암호를 사용합니다.

이로 인해 wauth 매개 변수에서 요청한 대로 사용자 이름 및 암호 이외의 인증 유형이 필요한 회사 인트라넷 및 다단계 인증 시나리오에서 문제가 발생할 수 있습니다.

2016년 7월 업데이트 롤업이 포함된 Windows Server 2012 R2의 AD FS는 prompt=login 매개 변수에 대한 기본 지원을 도입했습니다. 즉, 이제 Microsoft Entra ID는 Microsoft Entra ID 및 Office 365 인증 요청의 일부로 이 매개 변수를 AD FS 서비스에 그대로 보낼 수 있습니다.

prompt=login을 지원하는 AD FS 버전

다음은 prompt=login 매개 변수를 지원하는 AD FS 버전 목록입니다.

  • 2016년 7월 업데이트 롤업이 포함된 Windows Server 2012 R2의 AD FS
  • Windows Server 2016 이상의 AD FS

prompt=login을 AD FS에 보내도록 페더레이션된 도메인을 구성하는 방법

Microsoft Graph PowerShell 모듈을 사용하여 설정을 구성합니다.

  1. 먼저, 다음 PowerShell 명령을 실행하여 페더레이션된 도메인에 대한 PreferredAuthenticationProtocol, PromptLoginBehaviorPromptLoginBehavior의 현재 값을 가져옵니다.

    Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *

    참고 항목

    기본적으로 Get-MgDomainFederationConfiguration의 출력은 콘솔의 특정 속성을 표시하지 않습니다. 모든 속성을 보려면 Format-List *로 파이프(|)하여 개체의 모든 속성에 대한 출력을 강제로 출력해야 합니다.

    속성 PromptLoginBehavior 값이 비어 있으면($null), TranslateToFreshPasswordAuth의 동작이 사용됩니다.

  2. 다음 명령을 실행하여 원하는 PromptLoginBehavior의 값을 구성합니다.

    New-MgDomainFederationConfiguration -DomainId <your_domain_name> `
   -FederatedIdpMfaBehavior <current_value_from_step1> `
   -PreferredAuthenticationProtocol <current_value_from_step1> `
   -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

다음은 PromptLoginBehavior 매개 변수의 가능한 값과 해당 의미입니다.

  • TranslateToFreshPasswordAuth: prompt=login을(를) wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/passwordwfresh=0(으)로 변환하는 기본 Microsoft Entra 동작을 의미합니다.
  • NativeSupport: prompt=login 매개 변수가 있는 그대로 AD FS에 전송됨을 의미합니다. 2016년 7월 업데이트 롤업 이상인 Windows Server 2012 R2의 AD FS가 있는 경우, 권장되는 값입니다.
  • 사용 안 함: AD FS로만 wfresh=0이(가) 전송됨을 의미합니다.