Active Directory Federation Services prompt=login 매개 변수 지원

  • 아티클

다음 문서에서는 AD FS에서 사용할 수 있는 prompt=login 매개 변수에 대한 기본 지원을 설명합니다.

prompt=login이란?

애플리케이션이 Microsoft Entra ID에서 새 인증을 요청해야 하는 경우 즉, 사용자가 이미 인증된 경우에도 사용자를 다시 인증하려면 Microsoft Entra ID가 필요하므로 인증 요청의 일부로 Microsoft Entra ID로 매개 변수를 보낼 prompt=login 수 있습니다.

이 요청이 페더레이션된 사용자에 대한 경우 Microsoft Entra ID는 AD FS와 같은 IdP에 새 인증을 위한 요청임을 알려야 합니다.

기본적으로 Microsoft Entra ID는 prompt=loginwfresh=0wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password 이러한 유형의 인증 요청을 페더레이션된 IdP로 보낼 때 변환됩니다.

이러한 매개 변수는 다음을 의미합니다.

  • wfresh=0: 새 인증 수행
  • wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: 새 인증 요청에 사용자 이름/암호를 사용합니다.

이로 인해 매개 변수에서 요청한 대로 사용자 이름 및 암호 이외의 인증 유형이 필요한 회사 인트라넷 및 다단계 인증 시나리오에 wauth 문제가 발생할 수 있습니다.

2016년 7월 업데이트 롤업이 포함된 Windows Server 2012 R2의 AD FS는 매개 변수에 대한 prompt=login 네이티브 지원을 도입했습니다. 즉, 이제 Microsoft Entra ID는 Microsoft Entra ID 및 Office 365 인증 요청의 일부로 이 매개 변수를 AD FS 서비스에 그대로 보낼 수 있습니다.

prompt=login을 지원하는 AD FS 버전

다음은 매개 변수를 지원하는 prompt=login AD FS 버전 목록입니다.

  • 2016년 7월 업데이트 롤업이 포함된 Windows Server 2012 R2의 AD FS
  • Windows Server 2016 이상의 AD FS

페더레이션된 do기본 구성하여 prompt=login을 AD FS에 보내는 방법

Microsoft Graph PowerShell 모듈을 사용하여 설정을 구성합니다.

  1. 먼저 다음 PowerShell 명령을 실행하여 페 PromptLoginBehaviorPreferredAuthenticationProtocol더레이션된 do기본의 현재 값을 가져옵니다FederatedIdpMfaBehavior.

    Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *

    참고 항목

    기본적으로 출력 Get-MgDomainFederationConfiguration 은 콘솔의 특정 속성을 표시하지 않습니다. 모든 속성을 보려면 개체의 모든 속성에 대한 출력을 강제로 출력하도록 Format-List * 파이프해야 합니다(|).

    속성 PromptLoginBehavior 값이 비어 있으면($null) 동작 TranslateToFreshPasswordAuth 이 사용됩니다.

  2. 다음 명령을 실행하여 원하는 값을 PromptLoginBehavior 구성합니다.

    New-MgDomainFederationConfiguration -DomainId <your_domain_name> `
   -FederatedIdpMfaBehavior <current_value_from_step1> `
   -PreferredAuthenticationProtocol <current_value_from_step1> `
   -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

매개 변수의 PromptLoginBehavior 가능한 값과 해당 의미는 다음과 같습니다.

  • TranslateToFreshPasswordAuth: 변환 prompt=loginwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password 의 기본 Microsoft Entra 동작을 의미합니다.wfresh=0
  • NativeSupport: 매개 변수가 prompt=login AD FS에 있는 그대로 전송됨을 의미합니다. AD FS가 2016년 7월 업데이트 롤업 이상인 Windows Server 2012 R2에 있는 경우 권장되는 값입니다.
  • 사용 안 함: AD FS로만 wfresh=0 전송됨을 의미합니다.