페더레이션 사용자는 Office 365, Azure 또는 Intune에 로그인 하는 동안 자격 증명을 입력 하 라는 메시지가 반복 해 서 표시 됩니다.

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

중요

이 문서에서는 보안 설정을 낮추거나 컴퓨터에서 보안 기능을 해제 하는 방법에 대해 설명 하는 정보를 제공 합니다. 이러한 변경 작업을 수행 하 여 특정 문제를 해결할 수 있습니다. 이러한 변경을 수행 하기 전에 특정 환경에서이 해결 방법을 구현 하는 것과 관련 된 위험을 평가 하는 것이 좋습니다. 이 해결 방법을 구현 하는 경우 컴퓨터를 보호 하는 데 도움이 되는 적절 한 추가 단계를 수행 합니다.

문제

사용자가 Office 365, Microsoft Azure 또는 Microsoft Intune과 같은 Microsoft 클라우드 서비스에 로그인 하는 동안 AD FS (Active Directory Federation Services) 서비스 끝점에 인증을 시도할 때 자격 증명을 묻는 메시지가 반복 해 서 표시 됩니다. 사용자가 취소 하면 액세스 거부 오류 메시지가 나타납니다.

원인

증상은 AD FS를 통한 Windows 통합 인증에 문제가 있음을 나타냅니다. 이 문제는 다음 조건 중 하나 이상에 해당 하는 경우 발생할 수 있습니다.

  • 잘못 된 사용자 이름 또는 암호가 사용 되었습니다.

  • IIS (인터넷 정보 서비스) 인증 설정이 AD FS에서 잘못 설정 되었습니다.

  • AD FS 페더레이션 서버 팜을 실행 하는 데 사용 되는 서비스 계정에 연결 된 SPN (서비스 사용자 이름)이 손실 되거나 손상 되었습니다.

    참고

    이는 AD FS가 페더레이션 서버 팜으로 구현 되 고 독립 실행형 구성에서 구현 되지 않은 경우에만 발생 합니다.

  • 다음 중 하나 이상이 인증에 대 한 확장 된 보호를 통해 중간자 공격 원본으로 식별 됩니다.

    • 일부 타사 인터넷 브라우저
    • 회사 네트워크 방화벽, 네트워크 부하 분산 장치 또는 기타 네트워킹 장치가 AD FS 페더레이션 서비스를 인터넷에 게시 하 여 IP 페이로드 데이터를 다시 쓸 수 있도록 하는 방법입니다. 여기에는 다음과 같은 종류의 데이터가 포함 될 수 있습니다.
      • SSL (Secure Sockets layer) 브리징

      • SSL 오프 로딩

      • 상태 저장 패킷 필터링

        자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.

        2510193   AD FS를 사용 하 여 Office 365, Azure 또는 Intune에서 single sign-on을 설정 하기 위해 지원 되는 시나리오

    • 클라이언트 컴퓨터에서 모니터링 또는 SSL 암호 해독 응용 프로그램을 설치 하거나 활성화 하는 경우
  • AD FS 서비스 끝점의 DNS (Domain Name System) 확인은 A 레코드 조회 대신 CNAME 레코드 조회를 통해 수행 되었습니다.

  • Windows Internet Explorer는 Windows 통합 인증을 AD FS 서버로 전달 하도록 구성 되지 않았습니다.

문제 해결을 시작 하기 전에

사용자 이름 및 암호가 문제의 원인이 아닌 것을 확인 합니다.

  • 올바른 사용자 이름이 사용 되었으며 UPN (사용자 계정 이름) 형식 인지 확인 합니다. 예를 들면 johnsmith@contoso.com와 같습니다.

  • 올바른 암호가 사용 되었는지 확인 합니다. 올바른 암호를 사용 하는지 두 번 확인 하려면 사용자 암호를 다시 설정 해야 할 수 있습니다. 자세한 내용은 다음 Microsoft TechNet 문서를 참조 하십시오.

    사용자 암호 다시 설정

  • 계정이 잠겨져 있거나 만료 되거나 지정 된 로그온 시간 외에 사용 되지 않았는지 확인 합니다. 자세한 내용은 다음 Microsoft TechNet 문서: 사용자 관리 를 참조 하세요.

원인 확인

Kerberos 문제로 인해 문제가 발생 하는지 확인 하려면 AD FS 페더레이션 서버 팜에서 폼 기반 인증을 사용 하 여 Kerberos 인증을 일시적으로 우회 합니다. 이렇게 하려면 다음과 같이 하십시오.

1 단계: AD FS 페더레이션 서버 팜의 각 서버에서 web.config 파일 편집

  1. Windows 탐색기에서 C:\inetpub\adfs\ls\ 폴더를 찾은 다음 web.config 파일의 백업 복사본을 만듭니다.

  2. 시작, 모든 프로그램, 보조 프로그램을 차례로 클릭 하 고 메모장을 마우스 오른쪽 단추로 클릭 한 다음 관리자 권한으로 실행을 클릭 합니다.

  3. 파일 메뉴에서 열기를 클릭합니다. 파일 이름 상자에 C:\inetpub\adfs\ls\web.config를 입력 하 고 열기를 클릭 합니다.

  4. web.config 파일에서 다음 단계를 수행 합니다.

    1. 포함 된 줄을 찾은 <authentication mode> 다음로 변경 <authentication mode="Forms"/> 합니다.

    2. 로 시작 하는 구역을 찾은 <localAuthenticationTypes> 다음 다음과 같이 이름 = "Forms"> 항목이 추가 되도록 <섹션을 변경 합니다.

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. 파일 메뉴에서 저장을 클릭합니다.

  6. 관리자 권한 명령 프롬프트에서 iisresetcommand를 사용 하 여 IIS를 다시 시작 합니다.

2 단계: AD FS 기능 테스트

  1. 온-프레미스 AD DS 환경에 연결 되 고 인증 된 클라이언트 컴퓨터에서 클라우드 서비스 포털에 로그인 합니다.

    원활한 인증 환경을 사용 하는 대신 양식 기반 로그인이 발생 해야 합니다. 양식 기반 인증을 사용 하 여 로그인이 성공한 경우 AD FS 페더레이션 서비스에 Kerberos 문제가 있는지 확인 합니다.

  2. "해결 방법" 섹션의 단계를 수행 하기 전에 AD FS 페더레이션 서버 팜에서 각 서버의 구성을 이전 인증 설정으로 되돌립니다. AD FS 페더레이션 서버 팜에서 각 서버의 구성을 되돌리려면 다음 단계를 수행 합니다.

    1. Windows 탐색기에서 C:\inetpub\adfs\ls\ 폴더를 찾은 다음 web.config 파일을 삭제 합니다.
    2. "1 단계: AD FS 페더레이션 서버 팜에 있는 각 서버의 web.config 파일 편집" 섹션에서 만든 web.config 파일의 백업을 C:\inetpub\adfs\ls\ 폴더에 이동 합니다.
  3. 관리자 권한 명령 프롬프트에서 iisresetcommand를 사용 하 여 IIS를 다시 시작 합니다.

  4. AD FS 인증 동작이 원래 문제로 복원 되는지 확인 합니다.

해결 방법

AD FS 인증을 제한 하는 Kerberos 문제를 해결 하려면 상황에 따라 다음 방법 중 하나 이상을 사용 합니다.

해결 방법 1: AD FS 인증 설정을 기본값으로 다시 설정 합니다.

AD FS IIS 인증 설정이 잘못 되었거나 AD FS Federation Services 및 프록시 서비스에 대 한 IIS 인증 설정이 일치 하지 않는 경우 한 가지 해결 방법은 모든 IIS 인증 설정을 기본 AD FS 설정으로 다시 설정 하는 것입니다.

다음 표에는 기본 인증 설정이 나와 있습니다.

가상 응용 프로그램 인증 수준
기본 웹 사이트/adfs 익명 인증
기본 웹 사이트/s t t/ls 익명 인증, Windows 인증

각 AD FS 페더레이션 서버 및 각 AD FS 페더레이션 서버 프록시에서 다음 Microsoft TechNet 문서의 정보를 사용 하 여 AD FS IIS 가상 응용 프로그램을 기본 인증 설정으로 다시 설정 합니다.

IIS 7에서 인증 구성

이 오류를 해결 하는 방법에 대 한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.

  • 907273 IIS의 HTTP 401 오류 문제 해결

  • 871179 IIS 6.0 응용 프로그램 풀에 속하는 웹 사이트에 액세스 하려고 하면 "HTTP 오류 401.1-권한 없는 자격으로 인해 액세스가 거부 되었습니다." 라는 오류 메시지가 표시 됨

해결 방법 2: AD FS 페더레이션 서버 팜 SPN을 수정 합니다.

참고

AD FS가 페더레이션 서버 팜으로 구현 된 경우에만이 해결 방법을 시도해 보세요. AD FS 독립 실행형 구성에서이 해결 방법을 사용해 서는 안 됩니다.

Ad fs 서비스 계정에 대 한 SPN이 손실 되거나 손상 된 경우 문제를 해결 하려면 AD FS 페더레이션 서버 팜의 한 서버에서 다음 단계를 수행 합니다.

  1. 서비스 관리 스냅인을 엽니다. 이렇게 하려면 시작을 클릭 하 고 모든 프로그램, 관리 도구를 차례로 클릭 한 다음 서비스를 클릭 합니다.

  2. AD FS (2.0) Windows 서비스를 두 번 클릭 합니다.

  3. 로그온 탭에서 이 계정에 표시 되는 서비스 계정을 확인 합니다.

  4. 시작, 모든 프로그램, 보조 프로그램을 차례로 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 후 관리자로 실행을 클릭합니다.

  5. 다음 명령을 입력 하 고 enter 키를 누릅니다.

    SetSPN –f –q host/<AD FS service name>
    

    참고

    이 명령에서 <AD FS service name> AD FS 서비스 끝점의 FQDN (정규화 된 도메인 이름) 서비스 이름을 나타냅니다. AD FS 서버의 Windows 호스트 이름을 나타내지 않습니다.

    • 명령에 대해 두 개 이상의 항목이 반환 되 고 결과가 3 단계에서 설명한 것 이외의 사용자 계정과 연결 되 면 해당 연결을 제거 합니다. 이렇게 하려면 다음 명령을 실행합니다.

      SetSPN –d host/<AD FS service name><bad_username>
      
    • 명령에 대해 두 개 이상의 항목이 반환 되 고 SPN에서 Windows에 있는 AD FS 서버의 컴퓨터 이름과 같은 이름을 사용 하는 경우 AD FS의 페더레이션 끝점 이름이 잘못 된 것입니다. AD FS를 다시 구현 해야 합니다. AD FS 페더레이션 서버 팜의 FQDN은 기존 서버의 Windows 호스트 이름과 동일 하지 않아야 합니다.

    • SPN이 아직 없으면 다음 명령을 실행 합니다.

      SetSPN –a host/<AD FS service name><username of service account>  
      

      참고

      이 명령에서 <username of service account> 3 단계에서 기록해 둔 사용자 이름을 나타냅니다.

  6. 이 단계를 AD FS 페더레이션 서버 팜의 모든 서버에서 수행한 후 서비스 관리 스냅인에서 AD FS (2.0) Windows 서비스 를 마우스 오른쪽 단추로 클릭 하 고 다시 시작을 클릭 합니다.

해결 방법 3: 인증 문제에 대 한 확장 된 보호를 해결 합니다.

인증에 대 한 확장 된 보호가 인증을 방지 하는 경우 문제를 해결 하려면 권장 되는 다음 방법 중 하나를 사용 합니다.

  • 방법 1: Windows Internet Explorer 8 이상 버전의 프로그램을 사용 하 여 로그인 합니다.
  • 방법 2: SSL 브리징, SSL 오프 로딩 또는 상태 저장 패킷 필터링이 IP 페이로드 데이터를 다시 쓰지 않는 방식으로 AD FS 서비스를 인터넷에 게시 합니다. 이 용도로는 AD FS 프록시 서버를 사용 하는 것이 최선의 권장 방법입니다.
  • 방법 3: 모니터링 또는 SSL 암호 해독 응용 프로그램을 닫거나 사용 하지 않도록 설정 합니다.

이 문제를 해결 하기 위해 이러한 방법을 사용할 수 없는 경우 수동 및 활성 클라이언트에 대해 인증에 대 한 확장 된 보호를 사용 하지 않도록 설정할 수 있습니다.

해결 방법: 인증에 대 한 확장 된 보호를 사용 하지 않도록 설정

경고

장기적 솔루션으로는이 절차를 사용 하지 않는 것이 좋습니다. 인증에 대 한 확장 된 보호를 사용 하지 않도록 설정 weakens Windows 통합 인증 끝점에서 특정 중간자 공격을 검색 하지 않도록 하 여 AD FS 서비스 보안 프로필을 지원 합니다.

참고

타사 응용 프로그램 기능에 대해이 해결 방법을 적용 하는 경우에는 클라이언트 운영 체제에서 핫픽스를 제거 하 여 인증을 위한 확장 된 보호를 수행 해야 합니다.

수동 클라이언트의 경우

수동 클라이언트의 인증에 대 한 확장 된 보호를 사용 하지 않도록 설정 하려면 AD FS 페더레이션 서버 팜의 모든 서버에서 다음 IIS 가상 응용 프로그램에 대해 다음 절차를 수행 합니다.

  • 기본 웹 사이트/adfs
  • 기본 웹 사이트/s t t/ls

이렇게 하려면 다음과 같이 하십시오.

  1. IIS 관리자를 열고 관리할 수준으로 이동 합니다. IIS 관리자를 여는 방법에 대 한 자세한 내용은 OPEN Iis manager (iis 7)를 참조 하십시오.
  2. 기능 보기에서 인증을 두 번 클릭 합니다.
  3. 인증 페이지에서 Windows 인증을 선택 합니다.
  4. 작업 창에서 고급 설정을클릭 합니다.
  5. 고급 설정 대화 상자가 표시 되 면 확장 된 Off    보호 드롭다운 메뉴에서 해제를 선택 합니다.

활성 클라이언트

활성 클라이언트의 인증에 대 한 확장 된 보호를 사용 하지 않도록 설정 하려면 기본 AD FS 서버에서 다음 절차를 수행 합니다.

  1. Windows PowerShell을 엽니다.

  2. 다음 명령을 실행 하 여 AD FS 스냅인에 대 한 Windows PowerShell을 로드 합니다.

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. 다음 명령을 실행 하 여 인증에 대 한 확장 된 보호를 사용 하지 않도록 설정 합니다.

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

인증에 대 한 확장 된 보호 다시 사용

수동 클라이언트의 경우

수동 클라이언트의 인증에 대 한 확장 된 보호를 다시 사용 하도록 설정 하려면 AD FS 페더레이션 서버 팜의 모든 서버에서 다음 IIS 가상 응용 프로그램에 대해 다음 절차를 수행 합니다.

  • 기본 웹 사이트/adfs
  • 기본 웹 사이트/s t t/ls

이렇게 하려면 다음과 같이 하십시오.

  1. IIS 관리자를 열고 관리할 수준으로 이동 합니다. IIS 관리자를 여는 방법에 대 한 자세한 내용은 OPEN Iis manager (iis 7)를 참조 하십시오.
  2. 기능 보기에서 인증을 두 번 클릭 합니다.
  3. 인증 페이지에서 Windows 인증을 선택 합니다.
  4. 작업 창에서 고급 설정을클릭 합니다.
  5. 고급 설정 대화 상자가 표시 되 면 확장 된 보호 드롭다운 메뉴에서 수락 을 선택 합니다.

활성 클라이언트

활성 클라이언트에 대 한 인증을 위해 확장 된 보호를 다시 사용 하도록 설정 하려면 기본 AD FS 서버에서 다음 절차를 수행 합니다.

  1. Windows PowerShell을 엽니다.

  2. 다음 명령을 실행 하 여 AD FS 스냅인에 대 한 Windows PowerShell을 로드 합니다.

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. 다음 명령을 실행 하 여 인증에 확장 된 보호를 사용 하도록 설정 합니다.

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

해결 방법 4: CNAME 레코드를 AD FS에 대 한 레코드로 교체

DNS 관리 도구를 사용 하 여 페더레이션 서비스에 사용 되는 각 CNAME (DNS 별칭) 레코드를 DNS 주소 (A) 레코드로 바꿉니다. 또한 분할로 인 한 DNS 구성이 구현 된 경우 회사 DNS 설정도 확인 하거나 고려해 야 합니다. DNS 레코드를 관리 하는 방법에 대 한 자세한 내용은 Dns 레코드 관리를 참조 하십시오.

해결 방법 5: SSO (single sign-on)에 대해 Internet Explorer를 AD FS 클라이언트로 설정

AD FS 액세스용 Internet Explorer를 설정 하는 방법에 대 한 자세한 내용은 회사 또는 학교 계정 자격 증명을 입력 하기 위해 예기치 않게 페더레이션 사용자에 게 메시지를 표시 합니다 .를 참조 하세요.

추가 정보

네트워크를 보호 하기 위해 AD FS에서는 인증에 확장 된 보호를 사용 합니다. 인증에 대 한 확장 된 보호를 통해 공격자가 클라이언트의 자격 증명을 가로채서 서버로 전달 하는 중간자 공격을 방지할 수 있습니다. CBT (채널 바인딩 작동)를 사용 하 여 이러한 공격 으로부터 보호를 수행할 수 있습니다. CBT는 클라이언트와의 통신을 설정할 때 서버에서 필요 하거나 허용 되거나 필요 하지 않을 수 있습니다.

ExtendedProtectionTokenCheck AD FS 설정은 페더레이션 서버에서 지원 되는 인증에 대 한 확장 된 보호 수준을 지정 합니다. 이 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 필수: 서버가 완전히 강화 되었습니다. 확장 보호가 적용 됩니다.
  • 허용: 이것이 기본 설정입니다. 서버가 부분적으로 강화 되었습니다. 이 기능을 지원 하도록 변경 된 관련 시스템에 대 한 확장 된 보호가 적용 됩니다.
  • 없음: 서버가 공격에 취약 합니다. 확장 된 보호가 적용 되지 않습니다.

다음 표에서는 AD FS에서 사용할 수 있는 다양 한 확장 된 보호 옵션에 따라 세 가지 운영 체제 및 브라우저에서 인증이 작동 하는 방식에 대해 설명 합니다.

참고

Windows 클라이언트 운영 체제에는 확장 된 보호 기능을 효과적으로 사용 하기 위해 설치 된 특정 업데이트가 있어야 합니다. 기본적으로이 기능은 AD FS에서 사용 하도록 설정 됩니다.

기본적으로 Windows 7에는 확장 된 보호를 사용 하기 위한 적절 한 바이너리가 포함 되어 있습니다.

Windows 7 (또는 적절 하 게 업데이트 된 Windows Vista 또는 Windows XP 버전)

설정 허용 (기본값) 없음
WCF (Windows Communication Foundation) 클라이언트 (모든 끝점) 에서도 에서도 에서도
Internet Explorer 8 이상 버전 에서도 에서도 에서도
Firefox 3.6 않은 않은 에서도
Safari 4.0.4 않은 않은 에서도

적절 한 업데이트 없이 Windows Vista

설정 허용 (기본값) 없음
WCF 클라이언트 (모든 끝점) 않은 에서도 에서도
Internet Explorer 8 이상 버전 에서도 에서도 에서도
Firefox 3.6 않은 에서도 에서도
Safari 4.0.4 않은 에서도 에서도

적절 한 업데이트 없이 Windows XP

설정 허용 (기본값) 없음
Internet Explorer 8 이상 버전 에서도 에서도 에서도
Firefox 3.6 않은 에서도 에서도
Safari 4.0.4 않은 에서도 에서도

인증에 대 한 확장 된 보호에 대 한 자세한 내용은 다음 Microsoft 리소스를 참조 하세요.

AD FS 2.0에 대 한 고급 옵션 구성

ADFSProperties cmdlet에 대 한 자세한 내용을 보려면 다음 Microsoft 웹 사이트로 이동 합니다.

ADFSProperties

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트를 방문해 보세요.

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.