Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

SSO에 대해 자주 묻는 질문

Mist의 SSO 구현, 요구 사항, 프로비저닝 등에 대한 일반적인 질문에 대한 답변을 얻을 수 있습니다.

Q: 알아야 할 Mist의 SSO 구현의 기본 사항은 무엇입니까?

A: Mist는 제품의 여러 부분에서 동일한 구현으로 SAML2.0 기반 SSO를 지원합니다. 이 문서는 관리자 SSO용으로 작성되었지만 게스트 액세스를 위한 SSO와 필수 속성을 제외하고 구현이 동일한 PPSK 자체 프로비저닝도 지원합니다. 따라서 이 문서는 Mist의 모든 SSO에 적용할 수 있습니다.

Mist의 사용자 계정은 Mist에 인증 방식에 따라 다음 세 가지 계정 유형 중 하나가 될 수 있습니다. Mist에 대한 로컬 계정, SSO 계정 또는 OAUTH2 계정으로 사용할 수 있습니다. 계정은 이러한 유형 중 하나만 될 수 있습니다. 따라서 SSO 계정은 사용자가 계정 유형을 변경하지 않는 한 항상 IdP를 통해 Mist에 인증됩니다.

IdP 어설션 및 응답에 서명하고 속성 이름의 올바른 대문자로 어설션의 올바른 속성을 반환해야 합니다.

Q: Mist는 SSO 액세스에 대해 어떤 IdP를 지원합니까?

A: Mist는 SAML2.0을 지원하는 모든 IdP를 지원합니다.

Q: Mist는 SP 및 IdP 시작 SSO를 지원합니까?

A: 예, Mist는 SP와 IdP 시작 SSO를 모두 지원합니다. SSO 사용자의 Mist 첫 번째 로그인은 반드시 IdP가 시작되어야 한다는 점에 유의합니다. 또한 SP 시작 로그인의 경우 IdP에 입력한 엔터티 ID가 ACS URL과 동일해야 합니다.

Q: 어설션에 어떤 속성을 보내야 합니까?

A: 다음은 Mist가 SAML 어설션에서 기대하는 속성입니다.

대문자가 중요합니다.

  • 이름 ID
  • 역할
  • 이름

NameID는 필수입니다. API를 통해 구성default_role하는 경우를 제외하고는 역할이 필요합니다. FirstName 및 LastName이 권장되며 그렇지 않으면 ? ? 사용자의 이름과 성으로 사용할 수 있습니다.

Q: 어떤 NameID 형식을 지원합니까?

A: NameID는 사용자의 고유 식별자로 사용됩니다. 이메일 및 지정되지 않음을 지원합니다. 대부분의 사람들은 이메일을 사용하지만 Mist SSO 구성에서 지정되지 않은 구성만 하면 무엇이든 보낼 수 있습니다. unspecified를 사용하는 경우 고유하고 일관성이 있는 한 대부분의 것을 보낼 수 있습니다. Mist 내에서 지정되지 않은 사용자에 대한 고유 ID가 생성되는 것을 볼 수 있습니다.

Q: 역할은 어떤 용도로 사용되나요?

A: 역할은 사용자에게 부여해야 하는 권한을 도출하는 데 사용됩니다. 어설션에 반환된 역할은 조직 설정 페이지의 Mist SSO 역할 구성에 있는 역할과 일치합니다. 사용자 권한은 SSO 로그인마다 동적으로 생성됩니다.

Q: 사용자에 대해 여러 역할을 반환할 수 있습니까?

A: 예, 여러 역할이 반환되고 일치하는 경우 권한의 상위 집합을 사용합니다. 기본적으로 모든 역할이 일치해야 하며, 그렇지 않으면 사용자의 액세스가 거부됩니다. 역할의 부분 일치를 허용하기 위해 API 옵션 ignore_unmatched_roles가 있습니다. 또는 일치하는 역할이 없는 경우 API 옵션 default_role도 있습니다.

어설션에서 다양한 형식의 여러 역할을 허용합니다. 여러 역할은 쉼표로 구분되거나 여러 AttributeValue 쌍으로 또는 CN 구문 분석으로 전송될 수 있습니다. 예를 들면 다음과 같습니다.

쉼표로 구분된 "역할" 속성

# 구문 분석된 역할 목록

여러 "역할" 속성 값 쌍

# 구문 분석된 역할 목록

쉼표로 구분된 여러 AV 쌍의 조합

# 구문 분석된 역할 목록

CN 추출 예 – "role_attr_extraction": "CN",

# 구문 분석된 역할 목록

Q: SSO 오류를 해결하려면 어떻게 해야 합니까?

A: {api_엔드포인트}/api/v1/orgs/:{org_id}/ssos/:{sso_id}/failures API 호출을 실행하여 실패를 볼 수 있습니다.

실패 이유와 수신된 어설션을 볼 수 있습니다.

API 호출을 실행하려면 이탤릭체로 표시된 괄호 안의 용어를 실제 값으로 바꿔야 합니다.

  • {api_엔드포인트}

    조직의 API 엔드포인트 URL이 확실하지 않은 경우 주니퍼 Mist 포털 URL에서 가져올 수 있습니다. 포털 URL은 manage로 시작합니다. 해당 API 엔드포인트 URL은 manageapi로 대체합니다. 다음 예에서 굵게 표시된 문자에 주의하십시오.

    포털 URL

    manage.ac2.mist.com/admin/?org_id=xxxxxxx-xxxx-xxx

    해당 API 엔드포인트 URL

    api.ac2.mist.com/admin/?org_id=xxxxxxx-xxxx-xxx

  • {org_id}

    또한 주니퍼 Mist 포털 URL에서 조직 ID를 찾을 수 있습니다. ID는 문자 org_id= 뒤에 나타납니다. 다음 예에서 굵게 표시된 문자에 주의하십시오.

    포털 URL의 조직 ID

    manage.ac2.mist.com/admin/?org_id=12345678-1a2b-3456cdef-xyz123

  • {sso_id}

    SSO ID를 찾으려면 {api_엔드포인트}/api/v1/orgs/:{org_id}/ssos API 호출을 실행합니다.

    ID 필드를 확인하여 SSO ID를 찾습니다.

Q: Mist 내에서 SSO 사용자를 수동으로 프로비저닝해야 합니까?

A: 아니요, 그렇지 않습니다. SSO 사용자에 대한 액세스는 IdP의 요청에 따라 부여됩니다. 즉, SSO 사용자는 Mist가 아닌 IdP에 의해 인증됩니다. Mist 대시보드에 대한 액세스 수준은 Mist에 정의된 역할과 일치하는 어설션에 반환된 역할 속성에 의해 제어됩니다.

Q: SSO 사용자의 최초 로그인 프로세스는 어떻게 되나요?

SSO 사용자에게 처음 로그인할 때 Mist 조직의 SSO URL을 제공합니다. 이 단계는 계정을 SSO 계정으로 설정하기 위해 첫 번째 로그인에만 필요합니다. 그런 다음 SSO URL을 사용하거나 manage.mist.com(주니퍼 Mist 포털)으로 직접 이동할 수 있습니다. SSO를 사용한 사용자 설정에 대한 자세한 내용은 ID 공급자 및 사용자 추가를 참조하십시오.

Q: 어떤 SSO 사용자가 내 조직에 액세스했는지 어떻게 알 수 있습니까?

A: 조직 탭에서 감사 로그를 확인합니다. 다음과 유사한 로그가 표시됩니다. Austin Powers austin@groovy.com Login with Role "Groove-Master"

Q: Mist에 메타데이터 파일이 있습니까?

A: 예, /api/v1/orgs/:org_id/ssos/:sso_id/metadata 또는 /metadata.xml에서 찾을 수 있습니다.

예를 들면 다음과 같습니다.

Q: 조직에 여러 SSO가 필요합니다. Mist가 이를 지원하나요?

A: 네, 물론입니다. 조직 내에서 여러 SSO가 지원됩니다. 조직은 여러 SSO를 가질 수 있고 사용자는 여러 조직에 대한 권한을 가질 수 있지만 Mist의 SSO 사용자는 하나의 SSO에만 '속'할 수 있습니다. 이는 일반적으로 "dev" 및 "production" SSO가 있고 둘 다에 대해 동일한 이메일을 사용할 때 가장 관련이 있습니다.

Q: 여러 조직이 있는데 여러 조직에서 SSO를 사용할 수 있습니까?

A: 네, 이것도 가능합니다. 두 가지 방법으로 처리할 수 있습니다. 먼저 SSO가 있는 "홈" 조직이 있습니다. 그런 다음 사용자를 두 번째 조직에 수동으로 초대할 수 있습니다. 로그인하면 두 조직이 모두 나열되는 것을 볼 수 있습니다. 두 번째 방법은 MSP 기능(제어된 액세스 기능)을 사용하는 것입니다. SSO를 MSP 수준에 배치하고 반환된 역할에 따라 사용자는 MSP 또는 MSP의 특정 조직에만 액세스할 수 있습니다.

Q: Mist 내에서 SSO를 삭제하면 어떻게 됩니까?

A: SSO를 삭제하면 해당 SSO와 연결된 Mist 내의 모든 사용자 계정이 자동으로 삭제됩니다. 이는 "dev"에서 "production"과 같이 한 SSO에서 다른 SSO로 마이그레이션할 때 특히 유용합니다.

Q: API 토큰은 SSO 사용자와 어떻게 협력합니까?

A: SSO 사용자는 조직 API 토큰을 사용할 수 있습니다. 슈퍼 사용자는 필요한 권한으로 조직 API를 생성할 수 있습니다. SSO 사용자는 "사용자 기반" API 토큰을 지원하지 않습니다. 또는 고객 선호도에 따라 로컬 서비스 계정을 사용할 수도 있습니다.

Q: Mist에 로컬 사용자가 필요합니까?

A: SSO를 사용하기 시작하면 Mist에서 이전에 생성된 로컬 사용자 계정을 제외하고 삭제할 수 있습니다. SSO에 문제가 발생할 경우 조직에서 잠기지 않도록 슈퍼 사용자 역할이 있는 로컬 사용자를 유지하는 것이 좋습니다. 사용자는 SSO와 로컬 계정 모두에 대해 하나의 이메일 주소를 사용할 수 없으므로 로컬 계정은 SSO에 사용할 이메일 주소와 다른 이메일 주소로 설정해야 합니다. 예를 들어 로컬 계정에는 개인 이메일 주소를 사용하고 SSO 계정에는 회사 이메일 주소를 사용합니다. SSO 사용자를 설정하는 단계에 대한 자세한 내용은 ID 공급자 및 사용자 추가를 참조하십시오.

Q: SSO를 설정할 때 인증서 불일치 오류가 표시되는 이유는 무엇입니까?

인증서 불일치 오류는 일반적으로 Mist에 구성된 IdP(Identity Provider) 인증서가 IdP에서 SAML 어설션 서명에 사용하는 인증서와 일치하지 않아 인증 실패가 발생할 때 발생합니다. 이 오류는 일반적으로 누락된 인증서 정보, 만료된 인증서, 잘못된 인증서 또는 IdP의 여러 인증서로 인해 발생합니다. 이 문제를 해결하려면 다음을 수행합니다.

  • IdP에서 올바른 인증서를 다운로드하고 머리글과 바닥글이 포함된 전체 텍스트가 포함되어 있는지 확인합니다.
  • 인증서가 유효한지 확인합니다. 인증서가 만료된 경우 IdP 포털에서 새 인증서를 생성하고 Mist 포털에서 세부 정보를 업데이트합니다.

  • IdP가 새 인증서를 발급했는지 확인하고 Mist 포털에서 최신 인증서 정보를 업데이트합니다.

또한 Mist에서 하나 이상의 로컬 관리자 계정을 유지하는 것이 중요합니다. 이렇게 하면 인증서 관련 문제로 인해 SSO가 실패하는 경우 대체 액세스를 보장할 수 있습니다.

Q: IdP를 통해 인증할 때 로컬 계정이 SSO 계정으로 전환되지 않는 이유는 무엇입니까?

SSO(Single Sign-On)를 설정하고 사용자가 IdP(Identity Provider)를 통해 로그인하면 Mist는 사용자 계정을 로컬 계정에서 SSO 계정으로 자동으로 전환합니다. 그러나 다음과 같은 경우에는 이러한 변환이 발생하지 않습니다

  • IdP 어설션의 이메일 주소가 Mist에 있는 사용자 계정의 이메일 주소와 정확히 일치하지 않습니다.

  • IdP는 사용자 식별을 위해 올바른 속성(예: 이름, ID 또는 이메일 주소)을 Mist에 전송하지 않습니다.

  • 동일한 전자 메일 주소가 다른 조직의 SSO 계정에 연결됩니다.

  • 로컬 사용자에게 SSO 역할에 올바르게 매핑되지 않는 역할이 있습니다.