AD FS를 사용 하 여 Office 365, Azure 또는 Intune에서 single sign-on을 설정 하기 위해 지원 되는 시나리오

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

소개

이 문서에서는 Office 365, Microsoft Azure 또는 Microsoft Intune의 다양 한 AD FS (Active Directory Federation Services) 시나리오 및 SSO (single sign-on)에 대 한 해당 개념을 소개 합니다.

추가 정보

대부분의 엔터프라이즈 수준 서비스와 마찬가지로 AD FS 페더레이션 서비스 (SSO에 활용)는 비즈니스 요구 사항에 따라 다양 한 방식으로 구현 될 수 있습니다. 다음 AD FS 시나리오는 온-프레미스 AD FS 페더레이션 서비스를 인터넷에 게시 하는 방법에 중점을 둔 것입니다. 이는 AD FS 구현의 매우 구체적인 측면입니다.

시나리오 1: 완벽 하 게 구현 된 AD FS

설명

SSO 인증을 통한 AD FS 페더레이션 서버 팜 서비스 Active Directory 클라이언트 요청 AD FS (부하 분산 됨) 페더레이션 서버 프록시는 인터넷 클라이언트와 내부 AD FS 환경 간에 요청 및 응답을 릴레이 하 여 해당 핵심 인증 서비스를 인터넷에 공개 합니다.

추천

이것이 권장 되는 AD FS 구현입니다.

지원 가정

이 시나리오에 대 한 지원 가정이 없습니다. 이 시나리오는 Microsoft 지원에서 지원 합니다. 

시나리오 2: 방화벽에서 게시 된 AD FS

설명

SSO 인증을 통한 AD FS 페더레이션 서버 팜 서비스 Active Directory 클라이언트 요청 Microsoft Internet Security and 가속이 (ISA)/Microsoft Forefront TMG (Threat Management Gateway) 서버 (또는 서버 팜)는 이러한 핵심 인증 서비스를 역방향 프록시로 공개 합니다.

제한

이 작업을 수행 하려면 확장 인증 보호를 AD FS 페더레이션 서버 팜에서 사용 하지 않도록 설정 해야 합니다. 이 weakens 시스템의 보안 프로필입니다. 보안을 고려 하는 경우에는이 작업을 수행 하지 않는 것이 좋습니다.

지원 가정

ISA/TMG 방화벽과 역방향 프록시 규칙이 정상적으로 구현 되 고 작동 한다고 가정 합니다. 이 시나리오를 지원 하기 위해 Microsoft에서 지원 되려면 다음 조건을 충족 해야 합니다.  

  • 인터넷 클라이언트와 AD FS 서버 사이에 있는 HTTPS (포트 443) 트래픽의 역방향 프록시는 투명 해야 합니다.
  • AD FS 서버는 인터넷 클라이언트의 faithful 된 SAML 요청 복사본을 받아야 합니다.
  • 인터넷 클라이언트는 클라이언트가 온-프레미스 AD FS 서버에 직접 연결 된 것 처럼 faithful의 SAML 응답 복사본을 받아야 합니다.

이 구성을 실패 시킬 수 있는 일반적인 문제에 대 한 자세한 내용은 다음 리소스를 참조 하십시오.

시나리오 3: 게시 되지 않은 AD FS

설명

AD FS 페더레이션 서버 팜 서비스는 SSO 인증을 통해 Active Directory 클라이언트 요청을 처리 하 고, 서버 팜은 어떤 방법으로도 인터넷에 노출 되지 않습니다.

제한

모바일 장치를 비롯 한 인터넷 클라이언트는 Microsoft 클라우드 서비스 리소스를 사용할 수 없습니다. 서비스 수준 이유에 대해이 작업을 수행 하지 않는 것이 좋습니다. 

Outlook 리치 클라이언트에서 Exchange Online 리소스에 연결할 수 없습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오. 

2466333 페더레이션 사용자가 Exchange Online 사서함에 연결할 수 없음

지원 가정

고객은 Azure Active Directory (Azure AD)에서 지원 되는 서비스를 완벽 하 게 보급 하지 않은 구현으로 승인 하는 것으로 가정 합니다. 이러한 상황에서는 Microsoft 지원에서이 시나리오를 지원 합니다. 

시나리오 4: VPN에서 게시 된 AD FS

설명

AD FS 페더레이션 서버 (또는 페더레이션 서버 팜)가 SSO 인증을 통해 Active Directory 클라이언트 요청을 처리 하 고, 서버 또는 서버 팜이 어떤 방법으로도 인터넷에 노출 되지 않습니다. 인터넷 클라이언트는 온-프레미스 네트워크 환경에 대 한 VPN (가상 사설망) 연결을 통해서만 AD FS 서비스에 연결 하 고 사용 합니다.

제한

모바일 장치를 포함 하는 인터넷 클라이언트는 VPN을 사용할 수 있는 경우를 제외 하 고 Microsoft 클라우드 서비스를 사용 하지 못할 수 있습니다. 서비스 수준 이유에 대해이 작업을 수행 하지 않는 것이 좋습니다. 

ActiveSync 클라이언트를 비롯 한 Outlook 리치 클라이언트에서 Exchange Online 리소스에 연결할 수 없습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.

2466333 페더레이션 사용자가 Exchange Online mailboxSupport 가정을에 연결할 수 없음

고객은이 설정이 Azure AD의 id 페더레이션에서 지 원하는 완벽 하 게 보급 된 서비스 제품군을 제공 하지 않는 구현을 통해 승인 하는 것으로 가정 합니다. 

VPN이 올바르게 구현 되 고 작동 한다고 가정 합니다. Microsoft 지원에서이 시나리오를 지원 하려면 다음 조건이 충족 되어야 합니다. 

  • 클라이언트는 HTTPS (포트 443)를 통해 DNS 이름으로 AD FS 시스템에 연결할 수 있습니다.
  • 클라이언트는 적절 한 포트/프로토콜을 사용 하 여 DNS 이름으로 Azure AD 페더레이션 끝점에 연결할 수 있습니다. 

고가용성 AD FS 및 Azure AD id 페더레이션

각 시나리오는 서버 팜 대신 독립 실행형 AD FS 페더레이션 서버를 사용 하 여 변경할 수 있습니다. 하지만 액세스 손실을 방지 하기 위해 고가용성 기술을 사용 하 여 중요 한 모든 인프라 서비스를 구현 하는 것이 항상 Microsoft 모범 사례를 권장 하 고 있습니다.

온-프레미스 AD FS 사용 가능 여부는 페더레이션 사용자에 대 한 Microsoft 클라우드 서비스 가용성에 직접적인 영향을 미치며 해당 서비스 수준은 고객의 책임입니다. Microsoft TechNet 라이브러리에는 온-프레미스 환경에서 AD FS를 계획 하 고 배포 하는 방법에 대 한 광범위 한 지침이 포함 되어 있습니다. 이 지침은 고객이이 중요 하위 시스템에 대 한 대상 서비스 수준에 도달 하는 데 도움이 될 수 있습니다. 자세한 내용을 보려면 다음 TechNet 웹 사이트로 이동 하세요. 

ADFS(Active Directory Federation Services) 2.0

참조가

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트를 방문해 보세요.