Microsoft Entra Seamless Single Sign-On
Microsoft Entra Seamless Single Sign-On이란?
Microsoft Entra Seamless Single Sign-On(Microsoft Entra Seamless SSO)은 사용자가 회사 네트워크에 연결된 회사 디바이스에 있을 때 자동으로 사용자를 로그인시킵니다. 사용하도록 설정되면 사용자는 Microsoft Entra ID에 로그인하기 위해 암호를 입력할 필요가 없으며 일반적으로 사용자 이름도 입력할 수 있습니다. 추가 온-프레미스 구성 요소가 없어도 사용자가 클라우드 기반 애플리케이션에 쉽게 액세스할 수 있습니다.
Seamless SSO는 암호 해시 동기화 또는 통과 인증 로그인 방법과 결합할 수 있습니다. ADFS(Active Directory Federation Services)에는 Seamless SSO를 적용할 수 없습니다.
기본 새로 고침 토큰을 통한 SSO와 Seamless SSO 비교
Windows 10, Windows Server 2016 이상 버전의 경우 PRT(기본 새로 고침 토큰)를 통해 SSO를 사용하는 것이 좋습니다. Windows 7 및 Windows 8.1의 경우 Seamless SSO를 사용하는 것이 좋습니다. Seamless SSO를 사용하려면 사용자 디바이스가 도메인에 조인되어 있어야 하지만 Windows 10 Microsoft Entra 조인 디바이스 또는 Microsoft Entra 하이브리드 조인 디바이스에서는 사용되지 않습니다. Microsoft Entra 조인, Microsoft Entra 하이브리드 조인 및 Microsoft Entra 등록 디바이스의 SSO는 PRT(기본 새로 고침 토큰)를 기반으로 작동합니다.
PRT를 통한 SSO는 디바이스가 Microsoft Entra 하이브리드 조인, Microsoft Entra 조인 또는 회사 또는 학교 계정 추가를 통해 개인 등록 디바이스에 대해 Microsoft Entra ID로 등록되면 작동합니다. PRT를 사용하여 Windows 10에서 SSO가 작동하는 방법에 대한 자세한 내용은 PRT(기본 새로 고침 토큰) 및 Microsoft Entra ID를 참조하세요.
주요 이점
-
멋진 사용자 환경
- 사용자는 온-프레미스 및 클라우드 기반 애플리케이션에 자동으로 로그인됩니다.
- 사용자는 자신의 암호를 반복적으로 입력할 필요가 없습니다.
-
손쉬운 배포 및 관리
- 이 작업을 수행하기 위해 온-프레미스에 필요한 추가 구성 요소가 없습니다.
- 모든 클라우드 인증 방법, 즉 암호 해시 동기화 또는 통과 인증과 함께 작동합니다.
- 그룹 정책을 사용하여 일부 또는 모든 사용자에게 배포할 수 있습니다.
- AD FS 인프라가 필요 없이 Windows 10이 아닌 디바이스를 Microsoft Entra ID로 등록합니다. 이 기능을 사용하기 위해 작업 공간 연결 클라이언트 버전 2.1 이상이 필요합니다.
주요 기능
- 로그인 사용자 이름은 온-프레미스 기본 사용자 이름(
userPrincipalName
)이거나 Microsoft Entra Connect(Alternate ID
)에 구성된 다른 특성일 수 있습니다. Seamless SSO가 Kerberos 티켓의securityIdentifier
클레임을 사용하여 Microsoft Entra ID에서 해당 사용자 개체를 조회하기 때문에 두 사용 사례 모두 작동합니다. - Seamless SSO는 편의적인 기능입니다. 어떤 이유로든 실패하면 사용자 로그인 환경은 일반 동작으로 돌아갑니다. 즉 사용자가 로그인 페이지에 자신의 암호를 입력해야 합니다.
- 애플리케이션(예:
https://myapps.microsoft.com/contoso.com
)이 Microsoft Entra 로그인 요청에서 테넌트를 식별하는domain_hint
(OpenID Connect) 또는whr
(SAML) 매개 변수 또는 사용자를 식별하는login_hint
매개 변수를 전달하면, 사용자는 사용자 이름이나 암호를 입력하지 않고 자동으로 로그인됩니다. - 또한 애플리케이션(예:
https://contoso.sharepoint.com
)이 Microsoft Entra ID의 공통 엔드포인트(즉,https://login.microsoftonline.com/contoso.com/<..>
) 대신 테넌트(즉,https://login.microsoftonline.com/<tenant_ID>/<..>
또는https://login.microsoftonline.com/common/<...>
)로 설정된 Microsoft Entra ID 엔드포인트에 로그인 요청을 보내는 경우 사용자는 자동 로그인 환경을 가져오게 됩니다. - 로그아웃이 지원됩니다. 따라서 사용자는 Seamless SSO를 사용하여 자동으로 로그인되는 대신 로그인할 다른 Microsoft Entra 계정을 선택할 수 있습니다.
- 버전 16.0.8730.xxxx 이상의 Microsoft 365 Win32 클라이언트(Outlook, Word, Excel 등)는 비대화형 흐름을 사용하여 지원됩니다. OneDrive의 경우 무음 로그온 경험을 위해 OneDrive 무음 설정 기능을 활성화해야 합니다.
- Microsoft Entra Connect를 통해 사용하도록 설정할 수 있습니다.
- 이는 무료 기능이며 이 기능을 사용하기 위해 Microsoft Entra ID의 유료 버전이 필요하지 않습니다.
- Kerberos 인증이 가능한 플랫폼 및 브라우저에서 최신 인증을 지원하는 웹 브라우저 기반 클라이언트 및 Office 클라이언트에서 지원됩니다.
OS\Browser | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | 예* | 예 | 예 | 예*** | 해당 없음 |
Windows 8.1 | 예* | 예**** | 예 | 예*** | 해당 없음 |
Windows 8 | 예* | 해당 없음 | 예 | 예*** | 해당 없음 |
Windows Server 2012 R2 이상 | 네** | 해당 없음 | 예 | 예*** | 해당 없음 |
Mac OS X | 해당 없음 | 해당 없음 | 예*** | 예*** | 예*** |
참고 항목
Microsoft Edge 레거시는 더 이상 지원되지 않습니다.
*Internet Explorer 버전 11 이상이 필요합니다. (2021년 8월 17일부터 Microsoft 365 앱 및 서비스는 Internet Explorer 11을 지원하지 않습니다.)
**Internet Explorer 버전 11 이상이 필요합니다. 향상된 보호 모드를 사용하지 않도록 설정합니다.
***추가 구성이 필요합니다.
****Chromium 기반 Microsoft Edge