인쇄

피드백

Single Sign-On을 위한 Windows PowerShell 설치

마지막 수정된 항목 2013-02-05

관리자가 Active Directory Federation Services (AD FS) 2.0을 배포한 후 Single Sign-On을 설정하기 위한 다음 단계는 Windows PowerShell용 Microsoft Online Services 모듈를 다운로드, 설치 및 구성하는 것입니다. 이 작업을 수행하려면 Microsoft Online Services Module에 필요한 소프트웨어가 있어야 합니다. 모듈을 다운로드하여 설치한 후 Windows PowerShell 명령줄 인터페이스에서 일련의 cmdlet을 실행하여 Single Sign-On에 대한 도메인을 추가하거나 변환합니다.

AD FS 2.0 배포에 대한 자세한 내용은 Single Sign-On에 사용할 AD FS 2.0 계획 및 배포를 참조하십시오.

다음 단계 완료

Microsoft Online Services 모듈 요구 사항 준수
Microsoft Online Services 모듈 다운로드
Single Sign-On에 대한 도메인을 추가하거나 변환하여 트러스트 설정
다음 단계

1. Microsoft Online Services 모듈 요구 사항 준수

Microsoft Online Services Module를 실행하려면 다음 항목이 필요합니다.

운영 체제:Windows 7 또는 Windows Server 2008 R2를 사용합니다.
Microsoft .NET Framework:Windows 7 또는 Windows Server 2008 R2에서 Microsoft .NET Framework 3.51 기능을 설정해야 합니다.
Windows PowerShell 2.0 및 AD FS 2.0: cmdlet을 실행하여 Single Sign-On을 설정하려면 Windows PowerShell 2.0 기능을 설정해야 하며 AD FS 2.0 서버에 관리자 권한이 있어야 합니다. cmdlet을 실행할 때는 원격으로 AD FS 2.0 서버에 액세스하는 것이 좋습니다. 이렇게 하려면 Windows PowerShell 원격 통신을 사용해야 합니다. 자세한 내용은 About_Remote_Requirements를 참조하십시오.
모든 Office 365 소프트웨어 업데이트:Office 365 다운로드 페이지에서 필수 업데이트를 설치합니다. Office 365 다운로드 페이지에 액세스하려면 Office 365 포털에 로그인하고 리소스 아래에서 다운로드를 클릭합니다. 운영 체제, 브라우저, 소프트웨어의 버전이 적절하지 않으면 Office 365 기능이 정상적으로 작동하지 않기 때문에 이러한 업데이트가 필요합니다. 자세한 내용은 Office 365를 위한 데스크톱 설정을 참조하십시오.

맨 위로 이동

2. Microsoft Online Services 모듈 다운로드

Windows PowerShell용 Microsoft Online Services 모듈은 Office 365와 함께 제공되는 다운로드입니다. 이 모듈은 Windows PowerShell에 일련의 cmdlet을 설치합니다. 이러한 cmdlet을 실행하여 Office 365에 대해 Single Sign-On을 설정합니다. Single Sign-On을 전체 프로덕션 환경에 설정하기 전에 Single Sign-On 파일럿을 실행할 수도 있습니다. Single Sign-On을 설정하기 전에 파일럿을 실행하여 테스트(선택 사항)를 참조하십시오.

참고:
Windows PowerShell에서 실행할 수 있는 cmdlet에 대한 자세한 내용을 보려면 Windows PowerShell 명령 프롬프트에서 `Get-help`와 cmdlet의 이름을 입력합니다. Single Sign-On cmdlet에 대한 자세한 내용은 Windows PowerShell을 사용하여 Office 365 관리를 참조하십시오.

Single Sign-On을 설정하기 전에 파일럿을 실행하여 테스트(선택 사항)

도메인을 추가하거나 Single Sign-On 도메인으로 변환하기 전에 파일럿을 실행할 수 있습니다. Single Sign-On의 단계별 롤아웃은 현재 지원되지 않으며, 모든 사용자가 동시에 페더레이션됩니다. 하지만 프로덕션 Active Directory 포리스트의 프로덕션 사용자 집합으로 Single Sign-On을 파일럿할 수 있습니다.

파일럿 사용자는 다양한 로그인 시나리오를 완전히 테스트하여 Single Sign-On 및 AD FS 2.0 배포가 올바르게 구성되고 조직 전체에 롤아웃할 준비가 되었는지 확인해야 합니다. 이를 테스트하려면 다음과 같은 환경의 브라우저 및 다양한 기능의 클라이언트 응용 프로그램(예: Microsoft Office 2010)에서 Office 365 서비스에 액세스하도록 사용자에게 요청합니다.

도메인에 가입된 컴퓨터에서
도메인에 가입되지 않은 회사 네트워크 내부의 컴퓨터에서
도메인에 가입된 회사 네트워크 외부의 로밍 컴퓨터에서
회사에서 사용하는 여러 운영 체제에서
가정용 컴퓨터에서
인터넷 키오스크에서(브라우저에만 해당)
스마트폰에서(예: Microsoft Exchange ActiveSync를 사용하는 스마트폰)

자세한 내용은 프로덕션 사용자 포리스트에서 Single Sign-On을 파일럿하는 방법을 참조하십시오.

맨 위로 이동

3. Single Sign-On에 대한 도메인을 추가하거나 변환하여 트러스트 설정

페더레이션할 각 도메인을 Single Sign-On 도메인으로 추가하거나 표준 도메인에서 Single Sign-On 도메인으로 변환해야 합니다. 도메인을 추가하거나 변환하면 AD FS 2.0과 Office 365 간에 트러스트가 설정됩니다.

중요:
최상위 도메인(예: contoso.com)뿐 아니라 하위 도메인(예: corp.contoso.com)도 사용 중인 경우 하위 도메인을 추가하기 전에 Office 365에서 최상위 도메인을 추가해야 합니다. Single Sign-On에 최상위 도메인이 설정된 경우 모든 하위 도메인도 자동으로 설정됩니다. 트러스트 설정은 일회성 작업이며, 서버 팜에 AD FS 2.0 서버를 추가하는 경우 Microsoft Online Services Module을 다시 실행할 필요가 없습니다. Microsoft Online Services Module을 사용하여 도메인을 추가하고 확인하려면 Office 365에서 여러 가지 추가 설정을 지정해야 합니다. 이러한 설정은 도메인이 Office 365 서비스와 함께 작동하도록 하기 위해 구성해야 하는 DNS 레코드를 표시하는 데 필요합니다. 자세한 내용은 Office 365에 도메인 추가를 참조하십시오. 여러 개의 최상위 도메인을 지원해야 하는 경우 “도메인 추가” 및 “도메인 변환” 절차에 사용되는 cmdlet처럼 모든 cmdlet으로 SupportMultipleDomain 스위치를 사용해야 합니다. 예를 들어 contoso.com과 fabrikam.com을 모두 Single sign-on 도메인으로 추가하려면 cmdlet가 있는 각 단계에서 SupportMultipleDomain 스위치를 사용하여 contoso.com에 대해 "도메인 추가" 절차를 수행합니다. 따라서 5단계에서 `New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain`을 사용합니다. contoso.com에 대한 모든 절차를 완료한 후에 fabrikam.com 도메인에 이 절차를 다시 반복합니다. 5단계에서 `New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain`을 사용합니다. 자세한 내용은 여러 개의 최상위 도메인 지원을 참조하십시오.

중요:

최상위 도메인(예: contoso.com)뿐 아니라 하위 도메인(예: corp.contoso.com)도 사용 중인 경우 하위 도메인을 추가하기 전에 Office 365에서 최상위 도메인을 추가해야 합니다. Single Sign-On에 최상위 도메인이 설정된 경우 모든 하위 도메인도 자동으로 설정됩니다.
트러스트 설정은 일회성 작업이며, 서버 팜에 AD FS 2.0 서버를 추가하는 경우 Microsoft Online Services Module을 다시 실행할 필요가 없습니다.
Microsoft Online Services Module을 사용하여 도메인을 추가하고 확인하려면 Office 365에서 여러 가지 추가 설정을 지정해야 합니다. 이러한 설정은 도메인이 Office 365 서비스와 함께 작동하도록 하기 위해 구성해야 하는 DNS 레코드를 표시하는 데 필요합니다. 자세한 내용은 Office 365에 도메인 추가를 참조하십시오.
여러 개의 최상위 도메인을 지원해야 하는 경우 “도메인 추가” 및 “도메인 변환” 절차에 사용되는 cmdlet처럼 모든 cmdlet으로 SupportMultipleDomain 스위치를 사용해야 합니다.
예를 들어 contoso.com과 fabrikam.com을 모두 Single sign-on 도메인으로 추가하려면 cmdlet가 있는 각 단계에서 SupportMultipleDomain 스위치를 사용하여 contoso.com에 대해 "도메인 추가" 절차를 수행합니다. 따라서 5단계에서 New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain을 사용합니다. contoso.com에 대한 모든 절차를 완료한 후에 fabrikam.com 도메인에 이 절차를 다시 반복합니다. 5단계에서 New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain을 사용합니다.
자세한 내용은 여러 개의 최상위 도메인 지원을 참조하십시오.

도메인 추가

Microsoft Online Services Module를 엽니다.
$cred=Get-Credential을 실행합니다. 이 cmdlet에서 자격 증명을 묻는 메시지를 표시하면 Office 365 관리 계정 자격 증명을 입력합니다.
Connect-MsolService -Credential $cred를 실행합니다. 이 cmdlet은 Office 365에 연결합니다. 도구에서 설치한 추가 cmdlet을 실행하기 전에 Office 365에 연결하는 컨텍스트를 만들어야 합니다.
Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>를 실행합니다. 여기서 <AD FS 2.0 primary server>는 AD FS 2.0 주 서버의 내부 FQDN 이름입니다. 이 cmdlet은 AD FS 2.0에 연결하는 컨텍스트를 만듭니다.

참고:
AD FS 2.0 주 서버에 Microsoft Online Services Module를 설치한 경우에는 이 cmdlet을 실행할 필요가 없습니다.

참고:
AD FS 2.0 주 서버에 Microsoft Online Services Module를 설치한 경우에는 이 cmdlet을 실행할 필요가 없습니다.

New-MsolFederatedDomain -DomainName <domain>을 실행합니다. 여기서 <도메인>은 Single Sign-On에 대해 추가하고 사용되도록 설정할 도메인입니다. cmdlet으로 페더레이션 인증을 위해 구성될 새 최상위 도메인 또는 하위 도메인을 추가합니다.

참고:
New-MsolFederatedDomain cmdlet을 사용하여 일단 최상위 도메인을 추가하면 New-MsolDomain cmdlet을 사용하여 표준 도메인(페더레이션되지 않음)을 추가할 수 없습니다.

New-MsolFederatedDomain cmdlet을 실행하여 얻은 정보로 도메인 등록자에 문의하여 필요한 DNS 레코드를 만듭니다. 이렇게 하면 도메인을 소유하고 있음이 확인됩니다. 등록자에 따라 전파하는 데 최대 15분이 걸릴 수 있습니다. 변경 내용이 시스템을 통해 전파되려면 최대 72시간이 걸릴 수 있습니다. 자세한 내용은 도메인 이름 등록자에서 도메인 확인을 참조하십시오.
동일한 도메인 이름을 지정해서 New-MsolFederatedDomain을 다시 실행하여 프로세스를 완료합니다.

도메인 변환

기존 도메인을 Single Sign-On 도메인으로 변환하면 허가된 모든 사용자가 페더레이션 사용자가 되며, 기존 Active Directory 회사 자격 증명(사용자 이름 및 암호)을 사용하여 Office 365의 서비스에 액세스할 수 있습니다. Single Sign-On의 단계별 롤아웃은 현재 지원되지 않지만 프로덕션 Active Directory 포리스트의 프로덕션 사용자 집합으로 Single Sign-On을 파일럿할 수 있습니다. 자세한 내용은 Single Sign-On을 설정하기 전에 파일럿을 실행하여 테스트(선택 사항)를 참조하십시오.

참고:
주말과 같이 사용자 수가 가장 적은 시간에 변환 작업을 수행하여 사용자에 미치는 영향을 줄이는 것이 좋습니다.

기존 도메인을 Single Sign-On 도메인으로 변환하려면 다음 단계를 수행합니다.

Microsoft Online Services Module를 엽니다.
$cred=Get-Credential을 실행합니다. 이 cmdlet에서 자격 증명을 묻는 메시지를 표시하면 Office 365 관리 계정 자격 증명을 입력합니다.
Connect-MsolService -Credential $cred를 실행합니다. 이 cmdlet은 Office 365에 연결합니다. 도구에서 설치한 추가 cmdlet을 실행하기 전에 Office 365에 연결하는 컨텍스트를 만들어야 합니다.
Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>를 실행합니다. 여기서 <AD FS 2.0 primary server>는 AD FS 2.0 주 서버의 내부 FQDN 이름입니다. 이 cmdlet은 AD FS 2.0에 연결하는 컨텍스트를 만듭니다.

참고:
AD FS 2.0 주 서버에 Microsoft Online Services Module를 설치한 경우에는 이 cmdlet을 실행할 필요가 없습니다.
Convert-MsolDomainToFederated -DomainName <domain>을 실행합니다. 여기서 <domain>은 변환할 도메인입니다. 이 cmdlet은 도메인을 표준 인증에서 Single Sign-On으로 변경합니다.

참고:
AD FS 2.0 주 서버에 Microsoft Online Services Module를 설치한 경우에는 이 cmdlet을 실행할 필요가 없습니다.

참고:
변환이 작동되었는지 확인하려면 `Get-MsolFederationProperty -DomainName <domain>`을 실행하여 AD FS 2.0 서버와 Office 365의 설정을 비교합니다. 여기서 <도메인>은 설정을 보려는 도메인입니다. 일치하지 않으면 `Update-MsolFederatedDomain -DomainName <domain>`을 실행하여 설정을 동기화할 수 있습니다.

4. 다음 단계

모듈을 설치하고 Single Sign-On을 사용하도록 도메인을 구성했으므로 이제 Active Directory 동기화를 설정해야 합니다. 자세한 내용은 Active Directory 동기화: 로드맵을 참조하십시오. Active Directory 동기화를 설정한 후 Single Sign-On 확인 및 관리를 참조하십시오.

맨 위로 이동

참고 항목

개념

Single Sign-On 로드맵
Single Sign-On 준비
Single Sign-On에 사용할 AD FS 2.0 계획 및 배포

이 문서가 도움이 되었습니까? 사용자의 의견을 알려줌

법적 고지 사항

개인정보취급방침

커뮤니티