SAML 2.0 IDENTITY Provider를 통한 단일 사인온 설정
SSO(Single Sign-On)는 단일 로그인 자격 증명 세트를 사용하여 여러 애플리케이션 및 웹 사이트에 안전하게 로그인할 수 있는 인증 방법입니다.
SAML(Security Assertion Markup Language)은 서비스 프로바이더(SP)와 IDP(Identity Provider) 간의 인증 및 권한 부여를 위한 프레임워크입니다. 여기에서는 디지털 서명된 XML 문서를 사용하여 인증이 교환됩니다. 서비스 프로바이더는 IdP를 신뢰하여 사용자를 인증하는 데 동의합니다. 그 대가로 IdP는 사용자가 인증되었음을 나타내는 인증 주장을 생성합니다.
혜택
-
SAML 인증을 사용하면 Juniper ATP 클라우드를 기업 IDP(Identity Provider)와 쉽게 통합하여 단일 사인온을 제공할 수 있습니다. IdP에 인증되면 자동으로 ATP 클라우드 Juniper 인증됩니다. Juniper ATP 클라우드 포털에 액세스할 때마다 별도의 비밀번호를 기억하거나 자격 증명을 입력할 필요가 없습니다.
-
주니퍼는 ID 프로바이더 시작 및 서비스 프로바이더 시작 SSO 모두에 대해 SAML 프로토콜을 지원합니다. Juniper ATP 클라우드는 서비스 프로바이더로서의 SAML 2.0 웹 SSO 프로파일과 호환됩니다.
1단계: IdP에서 SSO 설정 구성
예: Okta를 IdP로 사용하여 SSO 구성
이 섹션에서는 IdP(Okta as Identity Provider)로 SSO를 구성하기 위한 단계별 지침을 제공합니다.
-
이 섹션에서 제공되는 정보는 Okta가 SAML을 구현한 현재 SSO를 기반으로 하며 변경될 수 있습니다. 자세한 내용은 Okta 설명서를 참조하십시오.
- 이미 Okta 계정이 있어야 합니다.
- 다음 작업을 수행하려면 관리자로 로그인해야 합니다.
- Okta 포털에 로그인합니다.
- 애플리케이션으로 이동하여 애플리케이션을 > 앱 통합 생성을 클릭합니다.
- 로그인 방법 섹션에서 SAML 2.0 을 선택하고 다음을 클릭합니다.
- 애플리케이션 이름, 애플리케이션 로고, 애플리케이션 가시성 등 애플리케이션의 일반 설정을 입력합니다. 다음을 클릭합니다.
- SAML 설정을 구성합니다. 지침은 표 1을 참조하십시오.
- 다음을 클릭합니다.
- 고객이든 파트너이든 선택할 수 있습니다. 완료를 클릭합니다.
이제 응용 프로그램이 Okta에 추가되었습니다. 탭에서 서명(Sign)을 클릭합니다. Okta IdP 메타데이터 파일을 다운로드할 수 있습니다. 이 메타데이터 파일을 사용하여 Okta IdP SSO 설정을 동적으로 가져와 ATP 클라우드를 Juniper 수 있습니다.
- 그룹 추가 및 그룹 추가 > 디렉터리 > 그룹으로 이동합니다. 각 역할에 대해 별도의 그룹을 만듭니다. 예를 들어, role_administrator, role_operator, role_observer.
그룹 이름이 중요합니다. JUNIPER ATP 클라우드 포털에서 사용자 역할 매핑에 사용될 그룹 이름을 기록합니다. 표 4 참조
. - 그룹 이름을 클릭하고 그룹에 사용자와 애플리케이션을 추가합니다.
- 사용자 관리를 클릭하고 목록에서 사용자를 선택합니다. 이제 사용자가 구성원이 아닌 목록에서 멤버 목록에 추가되었습니다.
- 저장을 클릭합니다. 이제 사용자가 그룹에 할당됩니다.
| 필드 |
설명 |
|---|---|
| 일반 설정 |
|
| URL에 대한 단일 사인 |
SAML 어설션이 HTTP POST와 함께 전송되는 위치. 이를 애플리케이션에 대한 SAML ACS(Assertion Consumer Service) URL이라고도 합니다. |
| 대상 URI(SP 엔티티 ID) |
SAML 주장의 의도된 대상인 애플리케이션 정의 고유 식별자. 이는 ATP 클라우드의 SP 엔티티 ID(전 세계적으로 고유한 식별자)를 Juniper. |
| 기본 릴레이 상태 |
(선택 사항) IDP 시작 단일 사인온 시나리오에서 특정 애플리케이션 리소스를 식별합니다. 대부분의 경우 이것은 비어 있습니다. 이 필드를 비워 두는 것이 좋습니다. |
| 이름 ID 형식 |
주장의 주체 문에 대한 SAML 처리 규칙 및 제약 조건을 식별합니다. 목록에서 이름 ID 형식을 선택합니다. 응용 프로그램이 명시적으로 특정 형식을 필요로하지 않는 한 '지정되지 않은'의 기본 값을 사용합니다. 이 필드는 Juniper ATP 클라우드 웹 포털에서 사용되지 않으므로 기본값을 유지합니다. |
| 애플리케이션 사용자 이름 |
사용자의 애플리케이션 사용자 이름에 대한 기본값을 결정합니다. 애플리케이션 사용자 이름은 어설션의 제목 문에 사용됩니다. 목록에서 애플리케이션 사용자 이름을 선택합니다. 이 필드는 Juniper ATP 클라우드에서 사용되지 않으므로 기본값을 유지합니다. |
| 고급 설정 |
|
| 응답 |
SAML 인증 응답 메시지가 IDP에 의해 디지털 서명되었는지 여부를 결정합니다. IdP에서 교환한 정보의 절대적인 개인정보를 보호하려면 디지털 서명이 필요합니다. 이 필드를 서명으로 설정해야 합니다. |
| 어설션 시그니처 |
SAML 주장이 디지털 서명되었는지 여부를 결정합니다. IDP만 해당 주장을 생성하려면 디지털 서명이 필요합니다. 이 필드를 서명으로 설정해야 합니다. |
| 서명 알고리즘 |
SAML 주장 및 응답에 디지털 서명하는 데 사용되는 서명 알고리즘을 결정합니다. Okta는 RSA-SHA256 및 RSA-SHA1 서명 알고리즘을 제공합니다. 알고리즘을 설정할 수 있습니다.
참고:
RSA-SHA1은 곧 더 이상 사용되지 않으므로 algoritm RSA-SHA256을 설정하는 것이 좋습니다. |
| 다이제스트 알고리즘 |
SAML 주장 및 응답에 디지털 서명하는 데 사용되는 다이제스트 알고리즘을 결정합니다. Okta는 SHA256 및 SHA1 다이제스트 알고리즘을 제공합니다. 알고리즘을 설정할 수 있습니다. |
| 주장 암호화 |
SAML 주장이 암호화되었는지 여부를 결정합니다. 암호화는 발신자와 수신자만 이 주장을 이해할 수 있도록 보장합니다. Juniper ATP 클라우드 ATP SSO 설정에서 암호화 SAML 응답을 활성화하려는 경우에만 이 필드를 암호화로 설정해야 합니다. |
| 단일 로그아웃 활성화 |
SAML 단일 로그아웃을 활성화합니다. 이 필드는 Juniper ATP 클라우드에서 사용되지 않으므로 기본값을 유지합니다. |
| 어설션 인라인 후크 |
이 필드는 비활성화되었습니다. 이 필드는 Juniper ATP 클라우드에서 사용되지 않으므로 기본값을 유지합니다. |
| 인증 컨텍스트 클래스 |
어설션의 인증 문에 대한 SAML 인증 컨텍스트 클래스 식별 이 필드는 Juniper ATP 클라우드에서 사용되지 않으므로 기본값을 유지합니다. |
| Honor Force 인증 |
SP가 요청하는 경우 사용자에게 재인증하라는 메시지를 표시합니다. 이 필드는 Juniper ATP 클라우드에서 사용되지 않으므로 기본값을 유지합니다. |
| SAML Issuer ID |
SAML IdP Issuer ID. 이 필드는 Juniper ATP 클라우드에서 사용되지 않으므로 기본값을 유지합니다. |
| 속성 문 |
새 SAML 통합을 만들거나 기존 통합을 수정할 때 사용자 지정 속성 문을 정의할 수 있습니다. 이러한 문은 Juniper ATP 클라우드와 공유되는 SAML 주장에 삽입됩니다.
샘플 속성 문은 표 2에 제공됩니다. |
| 그룹 속성 문(선택 사항) |
Okta org에서 그룹을 사용하여 사용자를 범주화하는 경우, 애플리케이션과 공유되는 SAML 주장에 그룹 속성 문을 추가할 수 있습니다. 사용자 그룹은 SAML 응답의 속성 문에 매핑됩니다. 그룹 속성은 어떤 사용자가 어떤 그룹에 속하는지 식별하는 데 도움이 됩니다.
role_administrtor, role_observer, role_operator 대한 그룹 속성을 생성하고 그룹에 사용자를 추가할 수 있습니다. 샘플 그룹 속성 문은 표 3에 제공됩니다. |
| SAML 어설션 미리 보기 |
어설션에 사용될 XML 파일을 보려면 을(를) 클릭합니다. |
| 이름 | 이름 형식 | 값 |
|---|---|---|
| 이름 | 불특정 | user.firstName |
| 성 | 불특정 | user.lastName |
| 메일 주소 | 불특정 | user.email |
첫 번째 이름과 마지막 이름은 선택 사항입니다. Juniper ATP 클라우드 SSO SAML 프로바이더 설정에서 사용자 이름 속성이라는 필수 필드를 설정해야 합니다. ATP 클라우드에서 설정하려는 속성 값이 Juniper 관계없이 Okta IdP에서 동일한 속성 값을 설정해야 하며, 다른 SSO는 실패합니다.
예를 들어, Juniper ATP 클라우드 SSO SAML 프로바이더 설정에서 사용자 이름 속성 값을 user.email 설정하려는 경우, okta IdP에서 속성 값을 user.email 동일한 속성으로 설정해야 합니다.
| 이름 |
이름 형식 |
필터 |
|
|---|---|---|---|
| 역할 |
불특정 |
포함 |
역할 |
| Juniper ATP 클라우드 포털에서 Okta 역할 매핑에서 | 역할 매핑 |
|---|---|
| role_administrator |
Juniper ATP 클라우드 포털에서 SSO 설정을 구성할 때 관리자 필드를 role_administrator 설정합니다. |
| role_operator |
Juniper ATP 클라우드 포털에서 SSO 설정을 구성할 때 운영자 필드를 role_operator 설정합니다. |
| role_observer |
Juniper ATP 클라우드 포털에서 SSO 설정을 구성할 때 관찰자 필드를 role_observer 설정합니다. |
예: Microsoft Azure를 IdP로 사용하여 SSO 구성
이 섹션에서는 Microsoft Azure를 IdP(Identity Provider)로 구성하기 위한 단계별 지침을 제공합니다.
-
이 섹션에서 제공되는 정보는 Microsoft Azure가 SAML을 구현한 현재 SSO를 기반으로 하며 변경될 수 있습니다. 자세한 내용은 Microsoft Azure 설명서를 참조하십시오.
- 이미 Microsoft Azure 계정이 있어야 합니다.
- 다음 작업을 수행하려면 관리자로 로그인해야 합니다.
- Azure 포털에 로그인합니다.
- 엔터프라이즈 애플리케이션에 > Azure Active Directory를 클릭합니다.
- + 새 애플리케이션 > +나만의 애플리케이션 생성을 클릭합니다.
- 애플리케이션 이름을 입력하고 만들기를 클릭합니다.
새 애플리케이션은 모든 애플리케이션 페이지에 나열되어 있습니다.
- 응용 프로그램 이름을 클릭합니다.
- 사용자 및 그룹 할당을 > 사용자/그룹 추가를 클릭합니다.
할당 추가 페이지가 나타납니다.
- [없음]을 선택합니다. 사용자 및 그룹 목록에서 사용자와 그룹을 선택하고 선택을 클릭합니다.
참고:
애플리케이션에 그룹을 할당하면 그룹 내 사용자만 액세스할 수 있습니다. 할당은 중첩된 그룹에 연속되지 않습니다.
- 할당을 클릭합니다. 샘플 사용자 및 그룹에 대한 경우, 표 5를 참조하십시오.
- SAML에 > 단일 사인온 > 관리로 이동합니다. 표 6에 제공된 지침에 따라 설정을 구성합니다.
- 테스트를 클릭하여 SSO가 작동하는지 확인합니다.
참고:
로그인하기 전에 사용자와 그룹에 사용자를 추가해야 합니다.
- 보안 > 토큰 암호화로 이동하여 인증서 가져오기 > 암호화 인증서를 업로드합니다. IdP 관리자는 토큰 암호화를 활성화하기 위해 인증서를 생성하고 업로드해야 합니다.
| 할당된 | 이름 | 객체 유형 | 역할 표시
|---|---|---|
| role_administrator |
그룹 |
사용자 |
| role_observer |
그룹 |
사용자 |
| role_operator |
그룹 |
사용자 |
| 필드 |
설명 |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 기본 SAML 구성 |
|||||||||||||
| 식별자(엔티티 ID) |
(필수) 기본 식별자는 IDP 시작 SSO에 대한 SAML 응답의 청중이 될 것입니다. 이 값은 Azure Active Directory 테넌트 내의 모든 애플리케이션에서 고유해야 합니다. |
||||||||||||
| 응답 URL(소비자 서비스 주장 URL) |
(필수) 기본 응답 URL은 IDP 시작 SSO에 대한 SAML 응답의 대상이 됩니다. 응답 URL은 애플리케이션이 인증 토큰을 수신할 것으로 예상하는 곳입니다. 이를 SAML의 "주장 소비자 서비스"(ACS)라고도 합니다. |
||||||||||||
| URL에 서명 |
(선택 사항) 이 URL에는 서비스 프로바이더가 시작한 단일 사인온을 수행하는 이 애플리케이션에 대한 로그인 페이지가 포함되어 있습니다. ID 프로바이더가 시작된 SSO를 수행하려면 비워 두십시오. |
||||||||||||
| 릴레이 상태 |
(선택 사항) 릴레이 상태는 인증이 완료된 후 사용자를 리디렉션할 위치를 애플리케이션에 지시하며, 이 값은 일반적으로 사용자를 애플리케이션 내의 특정 위치로 안내하는 URL 또는 URL 경로입니다. 이 형식의 값은 IdP 시작 SSO 플로우에서만 적용됩니다. |
||||||||||||
| 사용자 속성 및 클레임 ATP와 연결할 액세스 제어 그룹을 정의하는 매개 변수. 액세스 제어 그룹은 ATP 역할을 Juniper 매핑됩니다. |
|||||||||||||
| 고유한 사용자 식별자 |
(선택 사항) 이름 ID를 제공합니다. 예: user.userprincipalname [nameid-format:emailAddress] |
||||||||||||
| +새 클레임 추가 |
Azure AD가 ATP 클라우드에 발행된 SAML 토큰을 채우는 데 사용하는 주장을 Juniper 정의합니다. 새로운 클레임을 추가하려면 다음을 수행합니다.
참고:
주어진 이름과 성 속성은 선택 사항입니다. JUNIPER 클라우드 SSO SAML 프로바이더 설정에서 사용자 이름 속성이라는 필수 필드를 설정해야 합니다. ATP 클라우드에서 설정하려는 속성 값이 Juniper Azure IdP에서 동일한 속성 값을 설정해야 하며, 다른 SSO는 실패합니다. 예를 들어, Juniper ATP 클라우드 SSO SAML 프로바이더 설정에서 사용자 이름 속성 값을 이메일 주소로 설정하려는 경우 Azure IdP에서 속성 값을 user.mail로 설정해야 합니다. |
||||||||||||
| + 그룹 클레임 추가 |
Azure AD가 ATP 클라우드에 발행된 SAML 토큰을 채우는 데 사용하는 그룹 클레임을 Juniper 정의합니다. 새로운 그룹 클레임을 추가하려면:
|
||||||||||||
| SAML 서명 인증서 |
|||||||||||||
| 상태 |
Azure AD가 애플리케이션에 발행한 SAML 토큰에 서명하는 데 사용하는 SAML 인증서의 상태를 표시합니다. |
||||||||||||
| 지문 |
SAML 인증서의 지문을 표시합니다. |
||||||||||||
| 만료 |
SAML 인증서의 만료일을 표시합니다. |
||||||||||||
| 알림 이메일 |
알림 전자 메일 주소를 표시합니다. |
||||||||||||
| 앱 페더레이션 메타데이터 Url |
SAML에 대한 Azure IdP 메타데이터 URL을 표시합니다. |
||||||||||||
| 인증서(Base64) |
(선택 사항) 을(를) 클릭하여 Base64 인증서를 다운로드합니다. |
||||||||||||
| 인증서(원시) |
(선택 사항) 을(를) 클릭하여 Raw 인증서를 다운로드합니다. |
||||||||||||
| 페더레이션 메타데이터 XML |
(선택 사항) 페더레이션 메타데이터 문서를 다운로드하려면 을(를) 클릭합니다. |
||||||||||||
| 서명 알고리탐 | SAML 주장 및 응답에 디지털 서명하는 데 사용되는 서명 알고리즘을 결정합니다. Azure는 RSA-SHA256 및 RSA-SHA1 서명 알고리즘을 제공합니다. 알고리즘을 설정할 수 있습니다.
참고:
RSA-SHA1은 곧 더 이상 사용되지 않으므로 algoritm RSA-SHA256을 설정하는 것이 좋습니다. |
||||||||||||
| 애플리케이션 설정(Juniper ATP 클라우드) |
|||||||||||||
| 로그인 URL |
Microsoft Azure에 대한 로그인 URL을 표시합니다. 인증을 위해 로그인 URL로 리디렉션됩니다. 예: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/saml2 |
||||||||||||
| Azure AD 식별자 |
SAML 어설션의 의도된 대상을 표시합니다. Azure IdP의 엔티티 ID(전 세계적으로 고유한 식별자)입니다. 예: https://sts.windows.net/ff08d407-69c4-4850-9af0-29034d31ab36/ |
||||||||||||
| 로그아웃 URL |
Microsoft Azure에 대한 로그아웃 URL을 표시합니다. 이 필드는 Juniper ATP 클라우드에서 아직 지원되지 않습니다. |
||||||||||||
2단계: Juniper ATP 클라우드 웹 포털에서 SSO 설정 구성
SSO 설정 구성을 참조하십시오.
3단계: SSO 구성 활성화
SSO 구성을 활성화하려면 ATP 클라우드 포털에서 Juniper 로그인하고 관리 > 단일 서명 설정으로 이동하여 활성화를 클릭합니다.
4단계: SSO 구성 테스트
서비스 프로바이더(Juniper ATP 클라우드)에서 시작된 SSO - SSO가 있는 ATP 클라우드 웹 포털 Juniper 로그인합니다. IdP SSO로 인증하기 전에 Juniper ATP 클라우드 웹 포털에 로그인하면 ATP 클라우드 영역을 기반으로 인증을 위해 IdP 포털로 리디렉션됩니다. IdP 인증 후 ATP 클라우드 웹 포털에 로그인하면 Juniper.
-
Identity Provider — IdP SSO 계정에 로그인하면 IdP와 통합된 애플리케이션 목록을 제공하고 모든 애플리케이션에 액세스할 수 있습니다. 예를 들어, Juniper ATP 클라우드 애플리케이션을 클릭하면 Juniper ATP 클라우드 웹 포털로 전달됩니다.
SSO 구성 문제 해결
다음 정보를 사용하여 SAML 2.0을 Juniper ATP 클라우드와 함께 사용할 때 오류와 문제를 해결할 수 있습니다.
- 영역
-
SSO 설정은 영역별로 구성됩니다. 로컬 사용자와 SAML 사용자 모두 영역에 공존할 수 있습니다. 기본적으로 영역 작성자(관리자)는 로컬 사용자입니다.
-
잘못된 구성으로 인해 SSO가 실패하고 SSO 사용자가 로그인할 수 없는 경우 로컬 로그인 액세스 권한이 있는 영역 작성자(관리자)에게 문의하십시오. 관리자는 ATP 클라우드 고객 포털 URL에 로그인하고 해당 영역에 대한 SSO 구성을 수정할 수 있습니다.
-
- 역할 매핑
-
Juniper ATP 클라우드에는 사용자 프로필 생성 사용 사례의 일부로 설정된 '관리자', '운영자', '관찰자' 역할이 있습니다.
-
IDP로 ATP 사용자를 인증하려면 ATP 사용자를 정의하는 IDP에 하나 이상의 그룹이 있어야 하며, 이는 결국 ATP 역할에 매핑됩니다.
-
사용자는 각 ATP 역할 유형('관리자', '운영자', '관찰자')에 대한 IdP 그룹을 생성하고 IdP 구성 중에 역할을 적절하게 매핑할 수 있습니다.
-
사용자 그룹이 IdP의 매핑과 일치하지 않으면 사용자에게 오류 메시지가 표시됩니다.
-
- 다중 요소 인증
-
IdP가 자체 단계별 인증 기능을 제공하는 경우 SSO 사용자는 단계별 인증을 위해 SSO 사이트로 리디렉션됩니다. 단일 사인온이 활성화된 경우 Juniper ATP 클라우드의 다중 요소 인증은 비활성화됩니다.
-
동일한 영역의 로컬 사용자는 ATP의 다중 요소 인증을 계속 사용할 수 있습니다.
-
- 암호
-
암호를 잊어버린 SSO 사용자는 암호를 재설정하려면 IdP 사이트에 로그인해야 합니다. 사용자가 영역 이름을 제공하여 SSO를 시도할 때 ATP 클라우드 포털은 인증을 위해 사용자를 IdP 사이트로 리디렉션합니다. IdP 사이트에서 사용자 인증이 실패하는 경우. 그러면 사용자는 IdP 사이트에서 암호를 재설정해야 합니다.
-
Juniper ATP 클라우드 포털에서 암호 찾기 옵션은 SSO로 구성되지 않은 영역을 위한 것입니다.
-