Microsoft Entra ID의 여러 인스턴스를 AD FS의 단일 인스턴스와 페더레이션

단일 고가용성 AD FS 팜은 서로 양방향 트러스트가 있는 경우 여러 포리스트를 페더레이션할 수 있습니다. 이러한 여러 포리스트는 동일한 Microsoft Entra ID에 해당할 수도 있고 그렇지 않을 수도 있습니다. 이 문서에서는 단일 AD FS 배포와 Microsoft Entra ID의 여러 인스턴스 간에 페더레이션을 구성하는 방법에 대한 지침을 제공합니다.

여러 Microsoft Entra ID를 사용하여 AD FS를 페더레이션하는 단계

contoso.onmicrosoft.com Microsoft Entra의 contoso.com 도메인은 이미 contoso.com 온-프레미스 Active Directory 환경에 설치된 AD FS 온-프레미스와 통합되어 있다고 가정합니다. Fabrikam.com은 fabrikam.onmicrosoft.com Microsoft Entra ID의 도메인입니다.

1단계: 양방향 트러스트 설정

contoso.com의 AD FS가 fabrikam.com에서 사용자를 인증하려면 contoso.com과 fabrikam.com 간에 양방향 트러스트 관계가 필요합니다. 이 문서의 지침에 따라 양방향 트러스트를 만듭니다.

2단계: contoso.com 페더레이션 설정 수정

AD FS에 페더레이션된 단일 도메인에 대해 설정되는 기본 발급자는 "http://ADFSServiceFQDN/adfs/services/trust""입니다(예: http://fs.contoso.com/adfs/services/trust). Microsoft Entra ID에는 페더레이션된 도메인마다 고유한 발급자가 필요합니다. AD FS는 두 도메인을 페더레이션하므로 발급자 값이 고유하도록 수정해야 합니다.

AD FS 서버에서 Azure AD PowerShell을 열고(MSOnline 모듈이 설치되어 있는지 확인) 다음 단계를 수행합니다.

도메인 contoso.com이 들어있는 Microsoft Entra ID에 연결합니다.

Connect-MsolService

contoso.com 관련 페더레이션 설정을 업데이트합니다.

Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain

도메인 페더레이션 설정의 발급자가 http://contoso.com/adfs/services/trust으로 변경되었으며, Microsoft Entra ID의 신뢰 당사자 트러스트에 대해서는 UPN 접미사를 기반으로 올바른 issuerId 값을 발급하기 위한 발급 클레임 규칙이 추가되었습니다.

3단계: AD FS로 fabrikam.com 페더레이션

Azure AD PowerShell 세션에서 다음 단계를 수행합니다. fabrikam.com 도메인이 포함된 Microsoft Entra ID에 연결합니다.

Connect-MsolService

fabrikam.com 관리되는 도메인을 페더레이션된 도메인으로 변환합니다.

Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain

이전 작업은 도메인 fabrikam.com을 동일한 AD FS와 페더레이션합니다. 두 도메인 모두에 대해 Get-MsolDomainFederationSettings를 사용하여 도메인 설정을 확인할 수 있습니다.

다음 단계

Active Directory를 Microsoft Entra ID와 연결