ADFS를 통한 Microsoft 365 로그인 구현

안녕하세요!

 

 

이번 포스팅에서는 "ADFS를 통한 Microsoft 365 로그인 구현" 방법에 대해 알아보겠습니다.

 

 

 

 

Microsoft 365 포탈사이트 (https://portal.office.com) 에 로그인을 진행하면

 

로그인 하는 계정의 도메인명을 확인해서, Azure 포탈의 'Azure Active Directory > 회사 브랜딩' 에서 설정한 로그인 페이지를 표시해줍니다.

cf) 아래 화면은 로그인 페이지 설정을 아무것도 하지 않은 테넌트 입니다.

 

그리고 아래 화면과 같이, Azure AD를 통한 Cloud 로그인이 아니라, On-Premise ADFS를 통해 로그인을 수행할 수 있게 설정할 수도 있습니다.

 

 

자~ 그럼! 지금부터 Microsoft 365 로그인 시 ADFS 를 통해 로그인을 수행하는 설정을 ADFS 서버에서 진행해보겠습니다.

 

먼저 PowerShell 을 통해, Microsoft 365에 ADFS를 연결 합니다.

실행 창(Windows Key + R Key)에서 'powershell' 입력후 'Ctrl Key + Shift Key + Enter Key' 를 동시에 눌러, PowerShell을 관리자 권한으로 실행 합니다.

 

PowerShell 창에서, Install-Module MSOnline cmdlet을 실행합니다. 그리고 ‘Y’, ‘A’를 차례대로 입력합니다.

다음 cmdlet을 실행합니다.
Connect-MsolService

사용자 계정 로그인 창이 발생하면, 관라자 계정 입력 후 ‘다음’ 을 클릭합니다.

 

cf1) 만약 Internet Explorer 보안 강화 구성 관련 아래 창이 발생하면 

cf2) 서버 관리자 실행후, '로컬 서버 > IE 보안 강화 구성 > 사용' 을 클릭 합니다.

cf3) 그리고 Internet Explorer 보안 강화 구성 창에서, '관리자 > 사용 안 함' 선택 후 '확인' 을 클릭 합니다.

cf4) 마지막으로 열려 있는 PowerShell 창을 닫고 재실행 합니다. 그리고 Install-Module MSOnline 명령어 단계 부터 다시 진행하면 됩니다.

암호 입력 화면에서, ‘암호’ 입력 후 ‘로그인’ 을 클릭 합니다.

 

로그인이 완료되면, 다음 cmdlet을 실행 합니다.
Set-MsolADFSContext -Computer hope-adfs1.hope.pe.kr

그리고 다음 cmdlet을 실행하여, ADFS 신뢰 당사자 트러스트에 해당 테넌트를 추가 합니다.
Convert-MsolDomainToFederated -Domain hope.pe.kr

cf) 정상적으로 추가가 되면 ‘Successfully updated ‘hope.pe.kr’ domain.’ 메시지가 표시 됩니다.

 

cf) 만약 다음 에러 메세지 (Convert-MsolDomainToFederated : You cannot convert the specified domain to use identity federation because the account you are currently signed in with is a member of the domain hope.pe.kr. Please sign in to the service using an account that is a member of the company administrators role and is not part of the domain hope.pe.kr, and then tyr again.) 가 발생하면 관리자 계정을 추가한 도메인 형식 'hope.pe.kr' 이 아닌, 기본 테넌트 주소 'tenant-name.onmicrosoft.com' 로 변경해야 합니다.

ex) 'admin@hope.pe.kr' 을 'admin@M365x65963311.onmicrosoft.com' 으로 변경

 

 

명령이 성공적으로 실행되면 ADFS 신뢰 당사자 트러스트에 ‘Microsoft Office 365 Identity Platform Worldwide’ 가 추가 됩니다.

다음 cmdlet을 실행하여, 페더레이션 정보를 확인 합니다.
Get-MsolFederationProperty -Domain hope.pe.kr

 

 

다음으로, Azure AD Connect  실행 후 사용자 로그인 방법을 변경 합니다.

'시작 > Azure AD Connect > 자세히 > 관리자 권한으로 실행' 을 클릭 합니다.

 

Microsoft Azure Active Directory Connect 창의 Azure AD Connect 시작 화면에서, ‘구성’ 을 클릭 합니다.

추가 작업 화면에서, ‘사용자 로그인 변경’ 클릭 후 ‘다음’ 을 클릭 합니다.

 

Azure AD에 연결 화면에서, 전역 관리자 ‘암호’ 입력 후 ‘다음’ 을 클릭 합니다.

 

 

 

 

사용자 로그인 화면에서, ‘AD FS로 페더레이션’ 선택 후 ‘다음’ 을 클릭 합니다.

도메인 관리자 자격 증명 화면에서, 도메인 관리자 ‘암호’ 입력 후 ‘다음’ 을 클릭 합니다.

AD FS 팜 화면에서, ‘기존 AD FS 팜 사용’ 선택 후 ‘찾아보기’ 를 클릭 합니다.

페더레이션 서버 선택 창에서, 검색 박스에 ‘기본 페더레이션 서버 IP’ 입력 후 ‘검색’ 버튼을 클릭 합니다.

기본 페더레이션 서버가 검색되면 클릭 후 ‘확인’ 을 클릭 합니다.

 

‘다음’ 을 클릭 합니다.

Azure AD 도메인 화면에서, ‘다음’ 을 클릭 합니다.

Azure AD 트러스트 화면에서, ‘다음’ 을 클릭 합니다.

구성 준비 완료 화면에서, ‘구성’ 을 클릭 합니다.

구성 완료 화면에서, ‘다음’ 을 클릭 합니다.

 

페더레이션 연결 확인 화면에서, ‘확인’ 을 클릭 합니다.

‘끝내기’ 를 클릭 합니다.

 

작업이 완료 되었습니다.

 

 

이제 Microsoft 365 포탈 사이트에 접속 후 ‘hope.pe.kr' 도메인 계정으로 로그인을 진행하면

‘조직의 로그인 페이지로 이동하는 중’ 메시지가 발생하며

ADFS 로그인 페이지로 정상적으로 이동됨을 확인 후, 로그인을 진행 합니다.

 

로그인도 정상적으로 진행됨을 확인 합니다.

 

 

참고: 단일 Sign-On Microsoft 365용 AD FS 설정

단일 Sign-On Microsoft 365용 AD FS 설정 - Office 365

 

 

 

 

이상으로 "ADFS를 통한 Microsoft 365 로그인 구현" 방법에 대해 알아보았습니다.

 

 

감사합니다.