AD FS(Active Directory Federation Services) 해제 가이드

Microsoft Entra ID는 강력한 인증 및 실시간 위험 기반 적응형 액세스 정책을 사용하여 모든 리소스 및 앱에 간단한 클라우드 기반 로그인 환경을 제공해서 리소스에 대한 액세스 권한을 부여하여 AD FS 환경 관리 및 유지 관리의 운영 비용을 줄이고 IT 효율성을 높입니다.

AD FS에서 Microsoft Entra ID로 업그레이드해야 하는 이유에 대한 자세한 내용은 AD FS에서 Microsoft Entra ID로 이동을 확인하세요. AD FS에서 업그레이드하는 방법을 이해하려면 페더레이션에서 클라우드 인증으로 마이그레이션을 참조하세요.

이 문서에서는 AD FS 서버의 서비스를 해제하는 데 권장되는 단계를 제공합니다.

AD FS 서버의 서비스 해제를 위한 필수 구성 요소

AD FS 서버의 서비스 해제를 시작하기 전에 다음 항목이 완료되었는지 확인합니다. 자세한 내용은 페더레이션에서 클라우드 인증으로 마이그레이션을 참조하세요.

1. Microsoft Entra Connect Health를 설치하여 온-프레미스 ID 인프라에 대한 강력한 모니터링을 제공합니다.

2. SSO(Single Sign-On)에 대한 사전 작업을 완료합니다.

3. 사용자 인증을 Microsoft Entra ID로 마이그레이션합니다. 클라우드 인증을 사용하도록 설정하면 Microsoft Entra ID에서는 사용자의 로그인 프로세스를 안전하게 처리할 수 있습니다. Microsoft Entra ID는 사용자의 안전한 클라우드 인증을 위해 세 가지 옵션을 제공합니다.

   • Microsoft Entra PHS(암호 해시 동기화) – 사용자가 동일한 암호를 사용해서 온-프레미스 및 클라우드 기반 애플리케이션에 모두 로그인할 수 있습니다. Microsoft Entra는 사용자 암호 해시의 해시를 온-프레미스 Active Directory 인스턴스에서 클라우드 기반 Microsoft Entra 인스턴스로 동기화합니다. 해시의 두 가지 계층은 암호가 클라우드 시스템에 노출되거나 전송되지 않도록 합니다.
   • CBA(Microsoft Entra Certificate Based Authentication) – 피싱 방지 인증 방법을 채택하며 PKI(공개 키 인프라)에 대해 X.509 인증서로 사용자를 인증할 수 있습니다.
   • Microsoft Entra PTA(통과 인증) – 사용자가 온-프레미스와 클라우드 기반 애플리케이션 둘 다에서 동일한 암호로 로그인할 수 있습니다. 온-프레미스 Active Directory 에이전트를 설치하고 사용자의 암호가 온-프레미스 Active Directory에 대해 직접 유효성을 검사합니다.

   단계적 롤아웃을 사용하여 사용자에 대한 클라우드 인증을 시도할 수 있습니다. 위에서 언급한 클라우드 인증 기능을 사용해서 사용자 그룹을 선택적으로 테스트할 수 있습니다.

   참고 항목

   • PHS & CBA는 클라우드 관리 인증을 위한 기본 옵션입니다. PTA는 암호 정보를 클라우드에 동기화하지 않는 규정 요구 사항이 있는 경우에만 사용해야 합니다.
   • 사용자 인증 및 앱 마이그레이션은 순서대로 수행할 수 있지만 사용자 인증 마이그레이션을 먼저 완료하는 것이 좋습니다.
   • 단계적 롤아웃에 대해 지원되고 지원되지 않는 시나리오를 평가해야 합니다.

4. Microsoft Entra ID로 현재 인증에 AD FS를 사용하는 모든 애플리케이션을 마이그레이션합니다. ID 및 액세스 관리를 위한 단일 컨트롤 플레인을 Microsoft Entra ID로 제공하기 때문입니다. Office 365 애플리케이션 및 조인된 디바이스도 Microsoft Entra ID로 마이그레이션해야 합니다.

   • AD FS에서 Microsoft Entra ID로 애플리케이션을 마이그레이션하려면 마이그레이션 도우미를 사용할 수 있습니다.
   • 앱 갤러리에서 올바른 SaaS 애플리케이션을 찾을 수 없는 경우 https://aka.ms/AzureADAppRequest에서 요청할 수 있습니다.

5. Microsoft Entra ID에서 앱의 사용을 관찰하려면 1주일 이상 Microsoft Entra Connect Health를 실행해야 합니다. Microsoft Entra ID에서 사용자 로그인 로그를 볼 수도 있어야 합니다.

AD FS 서버의 서비스 해제 단계

이 섹션에서는 AD FS 서버의 서비스를 해제하는 단계별 프로세스를 제공합니다.

이 시점에 도달하기 전에 AD FS 서버에 계속 존재하는 트래픽이 있는 신뢰 당사자(회신 파트 트러스트)가 없는지 확인해야 합니다.

시작하기 전에 AD FS 이벤트 및/또는 Microsoft Entra Connect Health의 로그인 실패 또는 성공 여부를 확인합니다. 이는 이러한 서버가 여전히 어떤 작업에 사용되고 있음을 의미합니다. 로그인 성공 또는 실패가 표시되는 경우 AD FS에서 앱을 마이그레이션하거나 Microsoft Entra ID로 인증을 이동하는 방법을 확인합니다.

위의 내용을 확인한 후에는 다음 단계를 수행할 수 있습니다(AD FS 서버가 현재 다른 용도로 사용되지 않는다고 가정).

1. AD FS 서버를 서비스 해제하기 전에 선택적 최종 백업을 수행하는 것이 좋습니다.
2. 사용자 환경에서 구성했을 수 있는 부하 분산 장치(내부 및 외부)에서 AD FS 항목을 제거합니다.
3. 사용자 환경에서 AD FS 서버에 대한 각 팜 이름의 해당 DNS 항목을 삭제합니다.
4. 주 AD FS 서버에서 Get-ADFSProperties를 실행하고 CertificateSharingContainer를 찾습니다. 설치가 끝날 무렵에 삭제해야 하므로 이 DN을 기록해 둡니다(몇 번 다시 부팅한 후 더 이상 사용 불가한 경우).
5. AD FS 구성 데이터베이스가 SQL Server 데이터베이스 인스턴스를 저장소로 사용하는 경우 AD FS 서버를 제거하기 전에 해당 데이터베이스를 삭제해야 합니다.
6. WAP(프록시) 서버를 제거합니다.
   • 각각의 WAP 서버에 로그인하고 원격 액세스 관리 콘솔을 열고 게시된 웹 애플리케이션을 찾습니다.
   • 더 이상 사용되지 않는 AD FS 서버와 관련있는 모든 서버를 제거합니다.
   • 게시된 모든 웹 애플리케이션이 제거되면 Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess 명령을 사용하여 WAP를 제거합니다.
7. AD FS 서버를 제거합니다.
   • 보조 노드부터 Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database 명령을 사용하여 AD FS를 제거합니다. 이 실행 후 del C:\Windows\WID\data\adfs* 명령을 실행해서 데이터베이스 파일을 삭제합니다.
8. 각 서버 스토리지에서 AD FS SSL(Secure Socket Layer) 인증서를 삭제합니다.
9. 전체 디스크 포맷으로 AD FS 서버를 다시 이미지화합니다.
10. 이제 AD FS 계정을 안전히 삭제할 수 있습니다.
11. 제거 후 ADSI 편집을 사용하여 CertificateSharingContainer DN의 콘텐츠를 제거합니다.

다음 단계

• Microsoft Entra에 대한 AD FS FAQ