제3자 WS-Fed IdP를 사용하는 페더레이션 도메인에서 Entra ID PHS 단계적 배포(Staged Rollout) 문제를 해결하고 있습니다.
의도된 동작은 일반적인 페더레이션 사용자는 IdP로 리디렉션되고, PHS 단계적 배포 그룹에 속한 사용자는 대신 Microsoft/Entra 비밀번호 입력창을 받는 것입니다.
단계적 배포 그룹에 있는 기존 사용자들은 계속 정상적으로 작동합니다. 이들이 UPN을 입력하면 Microsoft 비밀번호 입력창이 나타납니다. 정상 작동이 확인된 한 테스트 사용자는 제3자 IdP에 프로비저닝되지 않았음에도 Entra 비밀번호 창을 통해 성공적으로 로그인하므로, 정상적인 경로에서는 사용자가 IdP에 존재할 필요가 없음을 확인했습니다.
문제는 새로 생성된 AD 동기화 사용자에게만 발생합니다. 동일한 단계적 배포 그룹에 포함된 신규 동기화 사용자들이 Entra 비밀번호 입력창을 받는 대신, HRD(홈 영역 검색) 시 여전히 페더레이션 IdP로 라우팅되고 있습니다.
Microsoft Graph를 통해 단계적 배포 정책과 그룹 멤버십을 확인했고, 영향받는 사용자들이 깨끗한 immutableID/sourceAnchor 값을 가지고 제대로 AD 동기화되었으며, PHS가 작동 중임을 확인했습니다. 페더레이션 메타데이터와 HRD 정책도 문제가 없어 보입니다. Seamless SSO/AZUREADSSOACC도 점검 및 조치했으나 동작은 변하지 않았습니다.
실패한 시도에 대해서는 테넌트 전체의 대화형 및 비대화형 로그를 포함하여 Entra 로그인 로그에 기록이 전혀 남지 않습니다. 하지만 페더레이션 IdP 로그를 보면 login.microsoftonline.com으로부터 해당 사용자에 대한 WS-Fed 인바운드 요청이 들어온 것을 확인할 수 있습니다. 이는 Entra HRD가 로그인 로그 기록이나 토큰 발행 전에 사용자를 페더레이션으로 라우팅하고 있음을 시사합니다.
이 문제는 Entra Connect AD 커넥터/DC 경로 변경 즈음에 시작되었습니다. 이후 커넥터를 이전의 정상 구성으로 되돌렸습니다. 복구 후, 첫 동기화 전에 올바른 UPN을 설정한 '클린룸(Clean-room)' 테스트 사용자를 생성하고, 동기화/PHS/sourceAnchor 상태를 확인한 뒤 해당 사용자를 단계적 배포 그룹에 직접 추가하고 60분 이상 기다렸습니다. 그러나 이 테스트 사용자조차 Entra 비밀번호 창 대신 여전히 페더레이션 IdP로 리디렉션되었습니다.
요약하자면, 기존에 설정된 단계적 배포 사용자들은 여전히 Entra 비밀번호 창을 받지만, 새로 생성되어 동기화된 단계적 배포 사용자들은 HRD에 의해 페더레이션 IdP로 보내지고 있습니다.
유효한 배포 정책, 그룹 멤버십, 동기화된 비밀번호 해시, 깨끗한 immutableID/sourceAnchor가 있음에도 불구하고 기존 사용자는 작동하고 신규 사용자는 페더레이션 HRD 경로에 머무르는 이런 상태를 경험하신 분이 계신가요? HRD/단계적 배포 라우팅과 관련하여 알려진 백엔드 캐시/상태 초기화 방법이나 에스컬레이션 경로가 있을까요?