Microsoft 365, Azure 또는 Intune 로그인하는 동안 페더레이션된 사용자에게 자격 증명을 묻는 메시지가 반복적으로 표시됩니다.

  • 아티클
  • 적용 대상:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

중요

이 문서에는 보안 설정을 낮추는 방법 또는 컴퓨터에서 보안 기능을 끄는 방법을 보여 주는 정보가 포함되어 있습니다. 특정 문제를 해결하기 위해 이러한 변경을 수행할 수 있습니다. 이러한 변경을 하기 전에 특정 환경에서 이 해결 방법을 구현하는 것과 관련된 위험을 평가하는 것이 좋습니다. 이 해결 방법을 구현하는 경우 컴퓨터를 보호하는 데 도움이 되는 적절한 추가 단계를 수행합니다.

문제

페더레이션된 사용자는 Microsoft 365, Microsoft Azure 또는 Microsoft Intune 같은 Microsoft 클라우드 서비스에 로그인하는 동안 AD FS(Active Directory Federation Services) 서비스 엔드포인트에 인증하려고 할 때 자격 증명을 묻는 메시지가 반복적으로 표시됩니다. 사용자가 취소하면 액세스 거부 오류 메시지가 표시됩니다.

원인

증상은 AD FS를 사용한 Windows 통합 인증 문제를 나타냅니다. 다음 조건 중 하나 이상이 true인 경우 이 문제가 발생할 수 있습니다.

  • 잘못된 사용자 이름 또는 암호가 사용되었습니다.

  • IIS(인터넷 정보 서비스) 인증 설정이 AD FS에서 잘못 설정되었습니다.

  • AD FS 페더레이션 서버 팜을 실행하는 데 사용되는 서비스 계정과 연결된 SPN(서비스 사용자 이름)이 손실되거나 손상되었습니다.

    참고

    이는 AD FS가 페더레이션 서버 팜으로 구현되고 독립 실행형 구성에서 구현되지 않은 경우에만 발생합니다.

  • 다음 중 하나 이상이 인증에 대한 확장 보호에서 중간자 공격 원본으로 식별됩니다.

    • 일부 타사 인터넷 브라우저
    • 회사 네트워크 방화벽, 네트워크 부하 분산 장치 또는 기타 네트워킹 디바이스는 IP 페이로드 데이터를 다시 작성할 수 있는 방식으로 AD FS 페더레이션 서비스를 인터넷에 게시하고 있습니다. 여기에는 다음과 같은 종류의 데이터가 포함될 수 있습니다.

      • SSL(Secure Sockets Layer) 브리징

      • SSL 오프로드

      • 상태 저장 패킷 필터링

        자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.

        2510193 AD FS를 사용하여 Microsoft 365, Azure 또는 Intune Single Sign-On을 설정하는 데 지원되는 시나리오

    • 모니터링 또는 SSL 암호 해독 애플리케이션이 설치되었거나 클라이언트 컴퓨터에 활성화되어 있습니다.

  • AD FS 서비스 엔드포인트의 DNS(Domain Name System) 확인은 A 레코드 조회 대신 CNAME 레코드 조회를 통해 수행되었습니다.

  • Windows 인터넷 Explorer Windows 통합 인증을 AD FS 서버에 전달하도록 구성되지 않았습니다.

문제 해결을 시작하기 전에

사용자 이름과 암호가 문제의 원인이 아닌지 확인합니다.

  • 올바른 사용자 이름이 사용되고 UPN(사용자 계정 이름) 형식인지 확인합니다. 예를 들면 johnsmith@contoso.com와 같습니다.

  • 올바른 암호가 사용되는지 확인합니다. 올바른 암호를 사용하는 검사 사용자 암호를 다시 설정해야 할 수 있습니다. 자세한 내용은 다음 Microsoft TechNet 문서를 참조하세요.

    사용자 암호 재설정

  • 계정이 잠긴 경우, 만료되었거나 지정된 로그온 시간 외에 사용되지 않는지 확인합니다. 자세한 내용은 다음 Microsoft TechNet 문서: 사용자 관리를 참조하세요.

원인 확인

Kerberos 문제가 문제를 일으키는지 검사 AD FS 페더레이션 서버 팜에서 양식 기반 인증을 사용하도록 설정하여 Kerberos 인증을 일시적으로 무시합니다. 이렇게 하려면 다음과 같이 하십시오.

1단계: AD FS 페더레이션 서버 팜의 각 서버에서 web.config 파일 편집

  1. Windows Explorer C:\inetpub\adfs\ls\ 폴더를 찾은 다음, web.config 파일의 백업 복사본을 만듭니다.

  2. 시작을 클릭하고 모든 프로그램을 클릭하고 액세서리를 클릭한 다음 메모장을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  3. 파일 메뉴에서 열기를 클릭합니다. 파일 이름 상자에 C:\inetpub\adfs\ls\web.config 입력한 다음 열기를 클릭합니다.

  4. web.config 파일에서 다음 단계를 수행합니다.

    1. 인증 모드>가 포함된< 줄을 찾은 다음 인증 모드="Forms"/>로 변경 < 합니다.

    2. localAuthenticationTypes>로 < 시작하는 섹션을 찾은 다음 다음과 같이 add name="Forms"> 항목이 먼저 나열되도록 < 섹션을 변경합니다.

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. 파일 메뉴에서 저장을 클릭합니다.

  6. 관리자 권한 명령 프롬프트에서 iisresetcommand를 사용하여 IIS를 다시 시작합니다.

2단계: AD FS 기능 테스트

  1. 온-프레미스 AD DS 환경에 연결되고 인증된 클라이언트 컴퓨터에서 클라우드 서비스 포털에 로그인합니다.

    원활한 인증 환경 대신 양식 기반 로그인을 경험해야 합니다. 양식 기반 인증을 사용하여 로그인에 성공하면 AD FS 페더레이션 서비스에 Kerberos 문제가 있는지 확인합니다.

  2. "해결" 섹션의 단계를 따르기 전에 AD FS 페더레이션 서버 팜의 각 서버 구성을 이전 인증 설정으로 되돌립니다. AD FS 페더레이션 서버 팜에서 각 서버의 구성을 되돌리기 하려면 다음 단계를 수행합니다.

    1. Windows Explorer C:\inetpub\adfs\ls\ 폴더를 찾은 다음 web.config 파일을 삭제합니다.
    2. "1단계: AD FS 페더레이션 서버 팜의 각 서버에서 web.config 파일 편집" 섹션에서 만든 web.config 파일의 백업을 C:\inetpub\adfs\ls\ 폴더로 이동합니다.

  3. 관리자 권한 명령 프롬프트에서 iisresetcommand를 사용하여 IIS를 다시 시작합니다.

  4. AD FS 인증 동작이 원래 문제로 되돌아가는지 확인합니다.

해결 방법

AD FS 인증을 제한하는 Kerberos 문제를 resolve 상황에 맞게 다음 방법 중 하나 이상을 사용합니다.

해결 방법 1: AD FS 인증 설정을 기본값으로 다시 설정

AD FS IIS 인증 설정이 잘못되거나 AD FS 페더레이션 서비스 및 프록시 서비스에 대한 IIS 인증 설정이 일치하지 않는 경우 한 가지 해결 방법은 모든 IIS 인증 설정을 기본 AD FS 설정으로 다시 설정하는 것입니다.

기본 인증 설정은 다음 표에 나와 있습니다.

가상 애플리케이션 인증 수준
기본 웹 사이트/adfs 익명 인증
기본 웹 사이트/adfs/ls 익명 인증, Windows 인증

각 AD FS 페더레이션 서버 및 각 AD FS 페더레이션 서버 프록시에서 다음 Microsoft TechNet 문서의 정보를 사용하여 AD FS IIS 가상 애플리케이션을 기본 인증 설정으로 다시 설정합니다.

IIS 7에서 인증 구성

해결 방법 2: AD FS 페더레이션 서버 팜 SPN 수정

참고

AD FS가 페더레이션 서버 팜으로 구현되는 경우에만 이 해결 방법을 시도해 보세요. AD FS 독립 실행형 구성에서 이 해결 방법을 시도하지 마세요.

AD FS 서비스의 SPN이 AD FS 서비스 계정에서 손실되거나 손상된 경우 문제를 resolve AD FS 페더레이션 서버 팜의 한 서버에서 다음 단계를 수행합니다.

  1. 서비스 관리 스냅인을 엽니다. 이렇게 하려면 시작을 클릭하고 모든 프로그램, 관리 도구를 차례로 클릭한 다음 서비스를 클릭합니다.

  2. AD FS(2.0) Windows 서비스를 두 번 클릭합니다.

  3. 로그온 탭에서 이 계정에 표시되는 서비스 계정을 확인합니다.

  4. 시작, 모든 프로그램, 보조 프로그램을 차례로 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 후 관리자로 실행을 클릭합니다.

  5. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

    SetSPN –f –q host/<AD FS service name>

    참고

    이 명령 <에서 AD FS 서비스 이름은> AD FS 서비스 엔드포인트의 FQDN(정규화된 도메인 이름) 서비스 이름을 나타냅니다. AD FS 서버의 Windows 호스트 이름을 나타내지 않습니다.

    • 명령에 대해 둘 이상의 항목이 반환되고 결과가 3단계에서 기록한 항목 이외의 사용자 계정과 연결된 경우 해당 연결을 제거합니다. 이렇게 하려면 다음 명령을 실행합니다.

      SetSPN –d host/<AD FS service name><bad_username>

    • 명령에 대해 둘 이상의 항목이 반환되고 SPN이 Windows에서 AD FS 서버의 컴퓨터 이름과 동일한 이름을 사용하는 경우 AD FS에 대한 페더레이션 엔드포인트 이름이 올바르지 않습니다. AD FS를 다시 구현해야 합니다. AD FS 페더레이션 서버 팜의 FQDN은 기존 서버의 Windows 호스트 이름과 동일하지 않아야 합니다.

    • SPN이 아직 없는 경우 다음 명령을 실행합니다.

      SetSPN –a host/<AD FS service name><username of service account>

      참고

      이 명령 <에서 서비스 계정> 의 사용자 이름은 3단계에서 기록한 사용자 이름을 나타냅니다.

  6. AD FS 페더레이션 서버 팜의 모든 서버에서 이러한 단계를 수행한 후 서비스 관리 스냅인에서 AD FS(2.0) Windows 서비스를 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다.

해결 방법 3: 인증에 대한 확장된 보호 문제 해결

인증에 대한 확장 보호가 성공적인 인증을 방해하는 경우 문제를 resolve 다음 권장 방법 중 하나를 사용합니다.

  • 방법 1: Windows Internet Explorer 8(또는 이후 버전의 프로그램)을 사용하여 로그인합니다.
  • 방법 2: SSL 브리징, SSL 오프로드 또는 상태 저장 패킷 필터링이 IP 페이로드 데이터를 다시 작성하지 않는 방식으로 AD FS 서비스를 인터넷에 게시합니다. 이 목적을 위한 모범 사례 권장 사항은 AD FS 프록시 서버를 사용하는 것입니다.
  • 방법 3: 모니터링 또는 SSL 암호 해독 애플리케이션을 닫거나 사용하지 않도록 설정합니다.

이러한 방법을 사용할 수 없는 경우 이 문제를 해결하기 위해 수동 및 활성 클라이언트에 대해 인증에 대한 확장 보호를 사용하지 않도록 설정할 수 있습니다.

해결 방법: 인증에 대한 확장된 보호 사용 안 함

경고

이 절차를 장기 솔루션으로 사용하지 않는 것이 좋습니다. 인증에 대한 확장 보호를 사용하지 않도록 설정하면 통합 Windows 인증 엔드포인트에서 특정 중간 공격을 검색하지 않음으로써 AD FS 서비스 보안 프로필이 약화됩니다.

참고

이 해결 방법이 타사 애플리케이션 기능에 적용되면 인증을 위한 확장된 보호를 위해 클라이언트 운영 체제에서도 핫픽스를 제거해야 합니다.

수동 클라이언트의 경우

수동 클라이언트에 대해 인증에 대한 확장 보호를 사용하지 않도록 설정하려면 AD FS 페더레이션 서버 팜의 모든 서버에서 다음 IIS 가상 애플리케이션에 대해 다음 절차를 수행합니다.

  • 기본 웹 사이트/adfs
  • 기본 웹 사이트/adfs/ls

이렇게 하려면 다음과 같이 하십시오.

  1. IIS 관리자를 열고 관리하려는 수준으로 이동합니다. IIS 관리자를 여는 방법에 대한 자세한 내용은 IIS 관리자 열기(IIS 7)를 참조하세요.
  2. 기능 보기에서 인증을 두 번 클릭합니다.
  3. 인증 페이지에서 Windows 인증을 선택합니다.
  4. 작업 창에서 고급 설정을 클릭합니다.
  5. 고급 설정 대화 상자가 나타나면 확장된 보호 드롭다운 메뉴에서 기를 선택합니다.

활성 클라이언트의 경우

활성 클라이언트에 대한 인증에 대한 확장 보호를 사용하지 않도록 설정하려면 기본 AD FS 서버에서 다음 절차를 수행합니다.

  1. Windows PowerShell을 엽니다.

  2. 다음 명령을 실행하여 AD FS 스냅인에 대한 Windows PowerShell 로드합니다.

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. 다음 명령을 실행하여 인증에 대한 확장된 보호를 사용하지 않도록 설정합니다.

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

인증에 대한 확장된 보호를 다시 사용하도록 설정

수동 클라이언트의 경우

수동 클라이언트에 대해 인증에 대한 확장 보호를 다시 사용하도록 설정하려면 AD FS 페더레이션 서버 팜의 모든 서버에서 다음 IIS 가상 애플리케이션에 대해 다음 절차를 수행합니다.

  • 기본 웹 사이트/adfs
  • 기본 웹 사이트/adfs/ls

이렇게 하려면 다음과 같이 하십시오.

  1. IIS 관리자를 열고 관리하려는 수준으로 이동합니다. IIS 관리자를 여는 방법에 대한 자세한 내용은 IIS 관리자 열기(IIS 7)를 참조하세요.
  2. 기능 보기에서 인증을 두 번 클릭합니다.
  3. 인증 페이지에서 Windows 인증을 선택합니다.
  4. 작업 창에서 고급 설정을 클릭합니다.
  5. 고급 설정 대화 상자가 나타나면 확장된 보호 드롭다운 메뉴에서 수락을 선택합니다.

활성 클라이언트의 경우

활성 클라이언트에 대해 인증에 대한 확장 보호를 다시 사용하도록 설정하려면 기본 AD FS 서버에서 다음 절차를 수행합니다.

  1. Windows PowerShell을 엽니다.

  2. 다음 명령을 실행하여 AD FS 스냅인에 대한 Windows PowerShell 로드합니다.

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. 다음 명령을 실행하여 인증에 대한 확장된 보호를 사용하도록 설정합니다.

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

해결 방법 4: CNAME 레코드를 AD FS에 대한 레코드로 바꾸기

DNS 관리 도구를 사용하여 페더레이션 서비스에 사용되는 각 CNAME(DNS 별칭) 레코드를 DNS 주소(A) 레코드로 바꿉니다. 또한 분할 브레인 DNS 구성이 구현될 때 회사 DNS 설정을 검사 또는 고려합니다. DNS 레코드를 관리하는 방법에 대한 자세한 내용은 DNS 레코드 관리를 참조하세요.

해결 방법 5: SSO(Single Sign-On)를 위한 AD FS 클라이언트로 인터넷 Explorer 설정

AD FS 액세스를 위해 인터넷 Explorer 설정하는 방법에 대한 자세한 내용은 페더레이션된 사용자에게 회사 또는 학교 계정 자격 증명을 입력하라는 메시지가 예기치 않게 표시됨을 참조하세요.

추가 정보

네트워크를 보호하기 위해 AD FS는 인증을 위해 확장된 보호를 사용합니다. 인증에 대한 확장된 보호는 공격자가 클라이언트의 자격 증명을 가로채 서버에 전달하는 중간자 공격을 방지하는 데 도움이 될 수 있습니다. 이러한 공격에 대한 보호는 CBT(채널 바인딩 작업)를 사용하여 가능합니다. CBT는 클라이언트와 통신을 설정할 때 서버에서 필요하거나 허용되거나 필요하지 않을 수 있습니다.

ExtendedProtectionTokenCheck AD FS 설정은 페더레이션 서버에서 지원하는 인증에 대한 확장된 보호 수준을 지정합니다. 이 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 필요: 서버가 완전히 강화되었습니다. 확장된 보호가 적용됩니다.
  • 허용: 기본 설정입니다. 서버가 부분적으로 강화되었습니다. 이 기능을 지원하도록 변경된 관련 시스템에 대해 확장된 보호가 적용됩니다.
  • 없음: 서버가 취약합니다. 확장된 보호는 적용되지 않습니다.

다음 표에서는 IIS를 사용하는 AD FS에서 사용할 수 있는 다양한 확장 보호 옵션에 따라 3개의 운영 체제 및 브라우저에 대해 인증이 작동하는 방법을 설명합니다.

참고

Windows 클라이언트 운영 체제에는 확장된 보호 기능을 효과적으로 사용하기 위해 설치된 특정 업데이트가 있어야 합니다. 기본적으로 기능은 AD FS에서 사용하도록 설정됩니다.

기본적으로 Windows 7에는 확장된 보호를 사용하기에 적합한 이진 파일이 포함되어 있습니다.

Windows 7(또는 적절하게 업데이트된 버전의 Windows Vista 또는 Windows XP)

설정 필수 허용(기본값) 없음
WCF(Windows Communication Foundation) 클라이언트(모든 엔드포인트) 작동 작동 작동
Internet Explorer 8 이상 버전 작동 작동 작동
Firefox 3.6 실패 실패 작동
Safari 4.0.4 실패 실패 작동

적절한 업데이트가 없는 Windows Vista

설정 필수 허용(기본값) 없음
WCF 클라이언트(모든 엔드포인트) 실패 작동 작동
Internet Explorer 8 이상 버전 작동 작동 작동
Firefox 3.6 실패 작동 작동
Safari 4.0.4 실패 작동 작동

적절한 업데이트가 없는 Windows XP

설정 필수 허용(기본값) 없음
Internet Explorer 8 이상 버전 작동 작동 작동
Firefox 3.6 실패 작동 작동
Safari 4.0.4 실패 작동 작동

인증에 대한 확장 보호에 대한 자세한 내용은 다음 Microsoft 리소스를 참조하세요.

AD FS 2.0에 대한 고급 옵션 구성

Set-ADFSProperties cmdlet에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.

Set-ADFSProperties

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Entra 포럼 웹 사이트로 이동합니다.

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.