다음과 같은 설정을 가진 고객이 있습니다.
Azure AD Connect 및 SSO 활성화를 포함한 PHS(암호 해시 동기화)를 갖춘 onPrem Active Directory
모든 M365 앱에 대한 SSO
브라우저에서 SSO를 사용하기 위해 Azure와의 신뢰 관계를 유지하는 약 15개의 다양한 외부 클라우드 앱 통합
이제 고객은 향후 모든 앱에 onPrem MFA 솔루션을 사용하기 위해 ADFS 인증으로 마이그레이션하려고 합니다. 따라서 Azure AD Connect의 "사용자 로그인" 방법을 PHS 포함에서 변경하면 어떻게 되나요? "ADFS와의 페더레이션"에 대한 SSO? 다음 게시물을 찾았습니다.인증을 위해 ADFS와 Azure AD 혼합 - Microsoft Q&A여기서 사용자 "amanpreetsingh-msft"는 통신 흐름을 설명합니다. 하지만 설정이 약간 다르기 때문에 이러한 통신 흐름이 우리에게도 적용되는지는 확실하지 않습니다. SSO가 여전히 자동으로 작동하나요? 그리고 두 가지 SSO 접근 방식인 "PRT SSO"와 "Seamless SSO"와 관련하여 무엇을 고려해야 합니까? 현재로서는 고객이 어떤 유형의 SSO를 사용하는지 알 수 없습니다.
또한 다음과 같은 통신 흐름을 찾았습니다.SSO2 그러나 우리의 설정을 완전히 다루지는 않습니다. Kerberos 티켓을 Azure AD에 전달하지 않기 때문입니다. 우리의 집합체에는 SAML, 들어오고 나가는 클레임, "PRT SSO" 또는 "Seamless SSO" 기술 내의 일종의 SSO 토큰인 Azure와 서비스 공급자(ADFS 대신) 간의 신뢰가 포함됩니다. 우리의 경우 통신 흐름은 어떻게 될까요?
아니면 애플리케이션과 Azure 간의 신뢰를 Azure에서 ADFS로 하나씩 "마이그레이션"하는 것이 더 나은 접근 방식일까요?
당신의 도움을 주셔서 감사합니다!
답변1
애플리케이션에 따라 다르지만 가장 가능성이 높은 시나리오는 Azure AD 신뢰 대신 ADFS 신뢰를 사용하도록 모든 앱을 구성해야 한다는 것입니다.
그것은가능한일부 애플리케이션은 단순히 Azure AD 트러스트를 계속 사용할 수 있으며 그러면 Azure AD가 ADFS를 통한 페더레이션 인증을 처리하지만 이로 인해 로그인 프로세스가 많이 복잡해지고 관리 및 문제 해결이 더 어려워집니다. 또한 ADFS를 추가한다는 것은 "ADFS가 작동하지 않으면 어떤 것에도 로그온할 수 없습니다"와 같이 잠재적인 실패 지점을 추가하는 것을 의미합니다(이것이 ADFS가 일반적으로 최소 2개의 서버 팜으로 구현되는 이유입니다). .
참고 사항: "Microsoft AD Connect에서 도메인을 "ADFS 인증"으로 마이그레이션"하지 않습니다. 실제 ADFS 팜(외부 게시를 위한 역방향 프록시 포함)을 설정한 다음 Azure AD에서 페더레이션 인증을 위한 도메인을 구성해야 합니다.
나는 귀하의 시나리오의 세부 사항을 모르지만 특히 ADFS에 대한 좋은 경험이 없는 경우(공격하려는 의도가 없고 없는 것 같습니다) 꽤 복잡해 보입니다. 고객이 이 모든 작업을 수행하는 이유가 단순히 자체 MFA 솔루션을 사용하기 위한 것이라면 Microsoft의 MFA를 활성화하거나 Azure AD와 통합할 수 있는 다양한 클라우드 MFA 솔루션 중 하나로 전환하는 것이 좋습니다.