애플리케이션에 대한 홈 영역 검색

HRD(홈 영역 검색)는 Microsoft Entra ID가 로그인 시 사용자가 인증해야 하는 IDP(ID 공급자)를 결정할 수 있도록 하는 프로세스입니다. 사용자가 리소스에 액세스하기 위해 Microsoft Entra 테넌트에 로그인하거나 Microsoft Entra 일반 로그인 페이지에 로그인할 때 UPN(사용자 이름)을 입력합니다. Microsoft Entra ID는 이를 사용하여 사용자가 로그인해야 하는 위치를 발견합니다.

사용자는 다음 ID 공급자 중 하나를 통해 인증하게 됩니다.

• 사용자의 홈 테넌트(사용자가 액세스하려고 하는 리소스와 같은 테넌트일 수 있음)

• Microsoft 계정 사용자는 인증을 위해 소비자 계정을 사용하는 리소스 테넌트의 게스트입니다.

• ADFS(Active Directory Federation Services)와 같은 온-프레미스 ID 공급자입니다.

• Microsoft Entra 테넌트와 페더레이션된 또 다른 ID 공급자입니다.

자동 가속

일부 조직에서는 사용자 인증을 위해 ADFS와 같은 다른 IdP와 페더레이션하도록 Microsoft Entra 테넌트에서 do기본를 구성합니다.

사용자가 애플리케이션에 로그인하면 먼저 Microsoft Entra 로그인 페이지가 표시됩니다. UPN을 입력한 후 페더레이션된 do에 있는 경우기본 해당 작업을 수행하는 IdP 서비스 로그인 페이지로 이동됩니다기본. 특정 상황에서 관리자는 사용자들이 특정 애플리케이션에 로그인할 때 로그인 페이지로 안내하고자 할 수도 있습니다.

결과적으로 사용자는 초기 Microsoft Entra ID 페이지를 건너뛸 수 있습니다. 이 프로세스를 "로그인 자동 가속"이라고 합니다. Microsoft는 FIDO와 같은 더 강력한 인증 방법의 사용을 방지하고 공동 작업을 방해할 수 있으므로 더 이상 자동 가속을 구성하지 않는 것이 좋습니다. 자동 가속을 구성하지 않을 때의 이점에 대해 알아보려면 암호 없는 보안 키 로그인 사용을 참조하세요. 로그인 자동 가속을 방지하는 방법을 알아보려면 자동 가속 로그인 사용 안 함을 참조하세요.

로그인에 대한 다른 IdP로 테넌트가 페더레이션되는 경우 자동 가속을 사용하면 사용자 로그인이 더 간소화됩니다. 개별 애플리케이션에 대해 자동 가속을 구성할 수 있습니다. HRD를 사용하여 자동 가속을 강제 실행하는 방법을 알아보려면 자동 가속 구성을 참조하세요.

참고 항목

자동 가속화를 사용하도록 애플리케이션을 구성하는 경우 사용자는 관리형 자격 증명(예: FIDO)을 사용할 수 없고 게스트 사용자가 로그인할 수 없습니다. 인증을 위해 사용자를 페더레이션된 IdP로 바로 이동하는 경우 Microsoft Entra 로그인 페이지로 돌아갈 수 있는 방법이 없습니다. 다른 테넌트 또는 Microsoft 계정과 같은 외부 IdP로 이동해야 할 수도 있는 게스트 사용자는 HRD 단계가 생략되므로 해당 애플리케이션에 로그인할 수 없습니다.

페더레이션된 IdP로의 자동 가속 기능을 제어하는 방법에는 다음 세 가지가 있습니다.

• 애플리케이션에 대한 인증 요청에 도메인 힌트를 사용합니다.
• 자동 가속을 강제로 적용하도록 HRD 정책을 구성합니다.
• 특정 애플리케이션 또는 특정 도메인의 도메인 힌트를 무시하도록 HRD 정책을 구성합니다.

도메인 확인 대화 상자

2023년 4월부터 자동 가속 또는 스마트링크를 사용하는 조직에서는 로그인 UI에 추가된 새 화면이 표시됩니다. Do기본 확인 대화 상자라는 이 화면은 보안 강화에 대한 Microsoft의 일반적인 약속의 일부이며 사용자가 로그인하는 테넌트의 할 일기본 확인하도록 요구합니다. 인증 흐름을 취소하고 DO기본 확인 대화 상자가 표시되고 테넌트가 인식할 수 없는 경우 IT 관리자에게 문의합니다기본 나열됩니다. 다음은 도메인 확인 대화 상자 모양에 대한 예입니다.

대화 상자 맨 위에 있는 식별자 kelly@contoso.com은 로그인에 사용되는 식별자를 나타냅니다. 대화 상자의 헤더에 나열된 테넌트 do기본 및 하위 헤더는 계정의 홈 테넌트의 do기본 표시합니다.

자동 가속 또는 스마트 링크의 모든 인스턴스에 대해 Do기본 확인 대화 상자를 표시할 필요는 없지만 do기본 확인 대화 상자는 자동 가속을 의미하며 스마트 링크가 표시되면 더 이상 원활하게 진행될 수 없습니다. 조직에서 브라우저 정책 등으로 인해 쿠키를 지운 경우, 도메인 확인 대화 상자가 더 자주 표시될 수 있습니다. 마지막으로 Microsoft Entra ID가 자동 가속 로그인 흐름을 엔드투엔드 관리하는 경우 Do기본 확인 대화 상자가 도입되면 애플리케이션이 중단되지 않아야 합니다.

또한 TRv2(테넌트 제한 v2) 정책을 구성하여 Do기본 확인 대화 상자를 표시하지 않을 수 있습니다. TRv2 정책은 Do기본 확인 대화 상자와 동일한 보안 태세를 수행하므로 요청에 TRv2 정책 헤더가 있으면 Do기본 확인 대화 상자가 표시되지 않습니다.

도메인 힌트

도메인 힌트는 애플리케이션의 인증 요청에 포함되는 지시문입니다. 페더레이션된 IdP 로그인 페이지로 사용자를 빠르게 보내는 데 사용할 수 있습니다. 다중 테넌트 애플리케이션에서 사용자가 해당 테넌트에 대한 브랜드 Microsoft Entra 로그인 페이지로 바로 이동하는 속도를 높이는 데 사용할 수 있습니다.

예를 들어 애플리케이션 "largeapp.com"은 고객이 사용자 지정 URL "contoso.largeapp.com"에서 애플리케이션에 액세스할 수 있습니다. 앱에는 인증 요청의 contoso.com에 도메인 힌트가 포함될 수도 있습니다.

Do기본 힌트 구문은 사용되는 프로토콜에 따라 다르며 다음과 같은 방법으로 애플리케이션에서 구성됩니다.

• WS-Federation: whr 쿼리 문자열 매개 변수를 사용하는 애플리케이션의 경우. 예를 들어, whr=contoso.com입니다.

• SAML(Security Assertion Markup Language)을 사용하는 애플리케이션의 경우: do기본 힌트를 포함하는 SAML 인증 요청 또는 쿼리 문자열 whr=contoso.com.

• OpenID Connect: domain_hint 쿼리 문자열 매개 변수를 사용하는 애플리케이션의 경우. 예를 들어, domain_hint=contoso.com입니다.

기본적으로 Microsoft Entra ID는 다음 중 둘 다 true인 경우 do기본에 대해 구성된 IDP로 로그인을 리디렉션하려고 시도합니다.

• do기본 힌트는 애플리케이션의 인증 요청에 포함됩니다.
• 테넌트가 해당 도메인과 페더레이션되어 있습니다.

do기본 힌트가 확인된 페더레이션된 do기본 참조하지 않으면 무시할 수 있습니다.

참고 항목

도메인 힌트가 인증 요청에 포함되어 있고 반드시 적용되어야 하는 경우 HRD 정책에서 애플리케이션에 대해 설정된 자동 가속을 재정의합니다.

자동 가속을 위한 HRD 정책

일부 애플리케이션은 내보내는 인증 요청을 구성하는 방법을 제공하지 않습니다. 이 경우 도메인 힌트를 사용하여 자동 가속을 제어할 수는 없습니다. 동일한 동작을 얻기 위해 홈 영역 검색 정책을 통해 자동 가속을 구성할 수 있습니다.

자동 가속을 방지하는 HRD 정책

일부 Microsoft 및 SaaS 애플리케이션에는 do기본_hints(예https://outlook.com/contoso.com: 추가된 로그인 요청이 발생함)가 자동으로 포함되며, 이로 인해 FIDO와 &domain_hint=contoso.com 같은 관리 자격 증명의 롤아웃이 중단될 수 있습니다. 홈 영역 검색 정책을 사용하면 특정 앱 또는 특정 도메인의 도메인 힌트를 관리형 자격 증명을 배포하는 동안 무시할 수 있습니다.

레거시 애플리케이션에 페더레이션된 사용자의 직접 ROPC 인증 사용

모범 사례는 애플리케이션이 Microsoft Entra 라이브러리와 대화형 로그인을 사용하여 사용자를 인증하는 것입니다. 라이브러리는 페더레이션 사용자 흐름을 처리합니다. 때로는 레거시 애플리케이션, 특히 ROPC(리소스 소유자 암호 자격 증명) 부여를 사용하는 애플리케이션이 사용자 이름과 암호를 Microsoft Entra ID에 직접 제출하고 페더레이션을 이해하도록 작성되지 않은 경우가 있습니다. 이 경우 HRD를 수행하지 않으며, 올바른 페더레이션된 엔드포인트와 상호 작용하여 사용자를 인증하지 않습니다. 홈 정책 영역 정책을 사용하도록 선택하는 경우 ROPC 인증을 사용해 사용자 이름/암호 자격 증명을 제출하는 특정 레거시 애플리케이션에서 이 정책을 통해 Microsoft Entra ID에서 직접 인증할 수 있으며 암호 해시 동기화를 사용하도록 설정해야 합니다.

Important

암호 해쉬 동기화가 사용되고 온-프레미스 IdP에서 구현된 정책 없이 이 애플리케이션을 인증할 수 있는 경우에만 직접 인증을 사용하도록 설정하세요. 어떤 이유로든 암호 해시 동기화를 해제하거나 AD Connect를 통해 디렉터리 동기화를 해제하는 경우 오래된 암호 해시를 사용하여 직접 인증할 수 없도록 방지하기 위해 이 정책을 제거해야 합니다.

HRD 정책 설정

페더레이션 로그인 자동 가속용 애플리케이션 또는 직접 클라우드 기반 애플리케이션에 HRD 정책을 설정하는 세 가지 단계가 있습니다.

1. HRD 정책 만들기

2. 정책을 연결할 서비스 주체 찾기

3. 서비스 주체에 정책 연결

정책은 서비스 주체에 연결된 특정 애플리케이션에 대해서만 적용됩니다.

한 번에 하나의 HRD 정책만 서비스 주체에서 활성화할 수 있습니다.

Microsoft Graph PowerShell cmdlet을 사용하여 HRD 정책을 만들고 관리할 수 있습니다.

json 개체는 HRD 정책 정의의 예입니다.

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

정책 유형은 "HomeRealmDiscoveryPolicy"입니다.

AccelerateToFederatedDomain은 선택 사항입니다. AccelerateToFederatedDomain이 false인 경우 정책이 자동 가속에 영향을 주지 않습니다. AccelerateToFederatedDomain이 true이고 테넌트에 확인되고 페더레이션된 도메인이 하나만 있는 경우, 사용자가 페더레이션된 IdP로 바로 이동되어 로그인할 수 있습니다. true이고 테넌트에 확인된 도메인이 두 개 이상 있는 경우 PreferredDomain을 지정해야 합니다.

PreferredDomain은 선택 사항입니다. PreferredDomain은 가속화하는 도메인을 나타내야 합니다. 테넌트에 페더레이션된 도메인이 단 하나인 경우 생략할 수 있습니다. 생략하고 확인된 페더레이션된 도메인이 두 개 이상 있는 경우 정책이 적용되지 않습니다.

PreferredDomain이 지정된 경우 테넌트에 대한 확인된 페더레이션된 도메인이 일치해야 합니다. 애플리케이션의 모든 사용자가 로그인할 수 있어야 합니다기본 - 페더레이션된 do기본 로그인할 수 없는 사용자는 갇혀 로그인을 완료할 수 없습니다.

AllowCloudPasswordValidation은 선택 사항입니다. AllowCloudPasswordValidation이 true인 경우 애플리케이션은 사용자 이름/암호 자격 증명을 Microsoft Entra 토큰 엔드포인트에 직접 제공하여 페더레이션 사용자를 인증할 수 있습니다. 암호 해시 동기화가 사용되는 경우에만 작동합니다.

또한 이 문서의 이전 섹션에 나와 있지 않은 두 개의 테넌트 수준 HRD 옵션이 있습니다.

• AlternateIdLogin은 선택 사항입니다. AlternateLoginID를 사용하도록 설정하면 사용자가 Microsoft Entra 로그인 페이지에서 UPN 대신 이메일 주소로 로그인할 수 있습니다. 대체 ID는 페더레이션된 IDP로 자동 가속되지 않는 사용자를 활용합니다.

• DomainHintPolicy는 도메인 힌트가 사용자를 페더레이션된 도메인으로 자동 가속하지 ‘못하도록’ 하는 선택적 복합 개체입니다. 이 테넌트 전체 설정은 도메인 힌트를 보내는 애플리케이션이 사용자가 클라우드 관리 자격 증명으로 로그인하는 것을 방지하지 않도록 하는 데 사용됩니다.

HRD 정책의 우선 순위 및 평가

HRD 정책을 만들어 특정 조직 및 서비스 주체에 할당할 수 있습니다. 즉, 특정 애플리케이션에 여러 정책을 적용할 수 있으므로 Microsoft Entra ID에서 어느 정책이 우선적으로 적용되는지 결정해야 합니다. 규칙 집합은 적용되는 여러 HRD 정책 중 효력을 발휘할 정책을 결정합니다.

• 도메인 힌트가 인증 요청에 있는 경우 테넌트의 HRD 정책(테넌트 기본값으로 설정된 정책)을 검토하여 도메인 힌트를 무시해야 하는지 확인합니다. do기본 힌트가 허용되면 do기본 힌트로 지정된 동작이 사용됩니다.

• 정책이 서비스 주체에 명시적으로 할당된 경우 정책이 적용됩니다.

• 도메인 힌트가 없고, 서비스 주체에 명시적으로 할당된 정책이 없는 경우 서비스 주체의 부모 조직에 명시적으로 할당된 정책이 적용됩니다.

• 할 일기본 힌트가 없고 서비스 주체 또는 조직에 정책이 할당되지 않은 경우 기본 HRD 동작이 사용됩니다.

다음 단계

• 홈 영역 검색 정책을 사용한 애플리케이션에 대한 로그인 동작 구성
• 사용자가 홈 영역 검색 정책을 사용하여 로그인하는 동안 페더레이션된 IDP에 대해 자동 가속 비활성화
• Microsoft Entra ID에 대한 인증 시나리오