AD FS와 Azure AD 간의 트러스트 설정
업데이트: 2015년 6월 25일
적용 대상: Azure, Office 365, Power BI, Windows Intune
페더레이션할 각 도메인을 Single Sign-On 도메인으로 추가하거나 표준 도메인에서 Single Sign-On 도메인으로 변환해야 합니다. 도메인을 추가하거나 변환하면 AD FS와 Microsoft Azure Active Directory(Microsoft Azure AD) 간에 트러스트가 설정됩니다.
중요
- contoso.com과 같은 최상위 도메인과 함께 corp.contoso.com 등의 하위 도메인을 사용하는 경우 클라우드 서비스에 하위 도메인을 추가하기 전에 최상위 도메인을 추가해야 합니다. Single Sign-On에 최상위 도메인이 설정된 경우 모든 하위 도메인도 자동으로 설정됩니다.
- 트러스트 설정은 일회성 작업이며 서버 팜에 AD FS 서버를 더 추가하는 경우 Windows PowerShell cmdlet에 대해 Microsoft Azure Active Directory 모듈을 다시 실행할 필요가 없습니다.
- Microsoft Azure Active Directory 모듈을 사용하여 도메인을 추가하고 확인하는 경우 몇 가지 추가 설정을 지정해야 합니다. 도메인이 클라우드 서비스에서 작동하도록 설정하기 위해 구성해야 하는 DNS 레코드를 확인하려면 이러한 설정이 필요합니다.
여러 최상위 도메인을 지원해야 하는 경우 "도메인 추가" 및 "도메인 변환" 절차에서 사용되는 것과 같은 임의의 cmdlet에 SupportMultipleDomain 스위치를 사용해야 합니다.
예를 들어 contoso.com과 fabrikam.com을 모두 Single Sign-On 도메인으로 추가하려면 contoso.com에 대한 "도메인 추가" 절차를 수행합니다. 이때 cmdlet을 사용하는 각 단계에서 SupportMultipleDomain 스위치를 사용합니다. 즉, 5단계에서는 New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain을 사용합니다. contoso.com에 대한 모든 절차를 완료한 후에 fabrikam.com 도메인에 이 절차를 다시 반복합니다. 즉, 5단계에서는 New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain을 사용합니다.
자세한 내용은 여러 최상위 도메인에 대한 지원을 참조하세요.
새 도메인을 추가하거나 기존 도메인을 변환해야 하는지에 따라 Azure AD 페더레이션 트러스트를 설정하려면 다음 절차 중 하나를 완료합니다.
도메인 추가
도메인 변환
도메인 추가
Microsoft Azure Active Directory 모듈을 엽니다.
$cred=Get-Credential을 실행합니다. cmdlet에서 자격 증명을 묻는 메시지를 표시하면 클라우드 서비스 관리자 계정 자격 증명을 입력합니다.Connect-MsolService –Credential $cred을 실행합니다. 이 cmdlet은 Azure AD 연결합니다. 도구에서 설치한 추가 cmdlet을 실행하기 전에 Azure AD 연결하는 컨텍스트를 만들어야 합니다.실행
Set-MsolAdfscontext -Computer <AD FS primary server>- 여기서 <AD FS 주 서버> 는 기본 AD FS 서버의 내부 FQDN 이름입니다. 이 cmdlet은 AD FS에 연결되는 컨텍스트를 만듭니다.참고
기본 AD FS 서버에 Microsoft Azure Active Directory 모듈을 설치한 경우 이 cmdlet을 실행할 필요가 없습니다.
<Single Sign-On에 대해 도메인을 추가하고 사용하도록 설정할 도메인>인 경우 실행
New-MsolFederatedDomain –DomainName <domain>합니다. 이 cmdlet은 페더레이션 인증에 대해 구성할 새 최상위 도메인 또는 하위 도메인을 추가합니다.참고
New-MsolFederatedDomain cmdlet을 사용하여 최상위 도메인을 추가한 경우 New-MsolDomain cmdlet을 사용하여 표준 도메인(페더레이션되지 않음)을 추가할 수 없습니다.
New-MsolFederatedDomaincmdlet의 결과에서 제공되는 정보를 사용해 도메인 등록 기관에 문의하여 필요한 DNS 레코드를 만듭니다. 이렇게 하면 도메인을 소유하고 있음이 확인됩니다. 등록자에 따라 전파하는 데 최대 15분이 걸릴 수 있습니다. 변경 내용이 시스템을 통해 전파되려면 최대 72시간이 걸릴 수 있습니다. 자세한 내용은 도메인 이름 등록 기관에서 도메인 확인을 참조하세요.동일 도메인 이름을 지정해
New-MsolFederatedDomain을 두 번째로 실행하여 프로세스를 마무리합니다.
도메인 변환
기존 도메인을 Single Sign-On 도메인으로 변환하면 라이선스가 부여된 모든 사용자가 기존 Active Directory 회사 자격 증명(사용자 이름 및 암호)을 사용하여 클라우드 서비스에 액세스하는 페더레이션된 사용자가 됩니다. Single Sign-On의 단계적 롤아웃을 수행하는 것은 현재 불가능합니다. 그러나 프로덕션 Active Directory 포리스트의 프로덕션 사용자 집합으로 Single Sign-On을 파일럿할 수 있습니다. 자세한 내용은 파일럿 실행을 참조 하여 Single Signon을 설정하기 전에 테스트합니다(선택 사항).
참고
주말과 같이 사용자 수가 가장 적은 시간에 변환 작업을 수행하여 사용자에 미치는 영향을 줄이는 것이 좋습니다.
기존 도메인을 Single Sign-On 도메인으로 변환하려면 다음 단계를 수행합니다.
Microsoft Azure Active Directory 모듈을 엽니다.
$cred=Get-Credential을 실행합니다. cmdlet에서 자격 증명을 묻는 메시지를 표시하면 클라우드 서비스 관리자 계정 자격 증명을 입력합니다.Connect-MsolService –Credential $cred을 실행합니다. 이 cmdlet은 Azure AD 연결합니다. 도구에서 설치한 추가 cmdlet을 실행하기 전에 Azure AD 연결하는 컨텍스트를 만들어야 합니다.실행
Set-MsolAdfscontext -Computer <AD FS primary server>- 여기서 <AD FS 주 서버> 는 기본 AD FS 서버의 내부 FQDN 이름입니다. 이 cmdlet은 AD FS에 연결되는 컨텍스트를 만듭니다.참고
기본 AD FS 서버에 Microsoft Azure Active Directory 모듈을 설치한 경우 이 cmdlet을 실행할 필요가 없습니다.
도메인이 변환할 도메인>인 경우 <실행
Convert-MsolDomainToFederated –DomainName <domain>합니다. 이 cmdlet은 도메인을 표준 인증에서 Single Sign-On으로 변경합니다.
참고
변환이 작동했는지 확인하려면 AD FS 서버 및 Azure AD Get-MsolFederationProperty –DomainName <domain>설정을 비교합니다. 여기서 <도메인>은 설정을 보려는 도메인입니다. 설정이 일치하지 않으면 Update-MsolFederatedDomain –DomainName <domain>을 실행하여 설정을 동기화할 수 있습니다.
다음 단계
AD FS와 Azure AD 간의 트러스트를 설정한 후에는 Active Directory 동기화를 설정해야 합니다. 자세한 내용은 디렉터리 동기화 로드맵을 참조하세요. Active Directory 동기화를 설정한 후 AD FS를 사용하여 Single Sign-On 확인 및 관리를 참조하세요.
참고 항목
개념
검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리
Single Sign-On 로드맵