SAML 토큰의 고급 인증서 서명 옵션

  • 아티클

현재 Microsoft Entra ID는 Microsoft Entra 앱 갤러리에서 수천 개의 미리 통합된 애플리케이션을 지원합니다. NetSuite 애플리케이션과 같은 500개가 넘는 애플리케이션에서 SAML(Security Assertion Markup Language) 2.0 프로토콜을 사용하여 Single Sign-On을 지원합니다. 고객이 SAML을 사용하여 Microsoft Entra ID를 통해 애플리케이션에 인증하면 Microsoft Entra ID는 HTTP POST를 통해 애플리케이션에 토큰을 보냅니다. 그런 다음, 애플리케이션은 사용자 이름과 암호를 묻는 대신 토큰의 유효성을 검사하고 사용하여 사용자를 로그인합니다. 이러한 SAML 토큰은 Microsoft Entra ID 및 특정 표준 알고리즘에서 생성된 고유한 인증서로 서명됩니다.

Microsoft Entra ID는 갤러리 애플리케이션의 기본 설정 중 일부를 사용합니다. 애플리케이션 요구 사항에 따라 기본값이 설정됩니다.

Microsoft Entra ID에서는 인증서 서명 옵션과 인증서 서명 알고리즘을 설정할 수 있습니다.

인증서 서명 옵션

Microsoft Entra ID는 세 가지 인증서 서명 옵션을 지원합니다.

  • SAML 어설션 서명. 대부분의 갤러리 애플리케이션에 이 기본 옵션이 설정됩니다. 이 옵션을 선택하면 IdP(ID 공급자)와 같은 Microsoft Entra ID에서 애플리케이션의 X.509 인증서로 SAML 어설션 및 인증서에 서명합니다.

  • SAML 응답 서명. 이 옵션을 선택하면 IdP인 Microsoft Entra ID에서 애플리케이션의 X509 인증서로 SAML 응답에 서명합니다.

  • SAML 응답 및 어설션 서명. 이 옵션을 선택하면 IdP인 Microsoft Entra ID에서 애플리케이션의 X509 인증서로 전체 SAML 토큰에 서명합니다.

인증서 서명 알고리즘

Microsoft Entra ID는 SAML 응답에 서명하기 위해 두 서명 알고리즘 또는 SHA(보안 해시 알고리즘)를 지원합니다.

  • SHA-256. Microsoft Entra ID가 SAML 응답에 서명하기 위해 이 기본 알고리즘을 사용합니다. 최신 알고리즘이며, SHA-1보다 더 안전합니다. 대부분의 애플리케이션에서 SHA-256 알고리즘을 지원합니다. 애플리케이션이 서명 알고리즘으로 SHA-1만 지원하는 경우 이를 변경할 수 있습니다. 그렇지 않으면 SAML 응답에 서명하는 데 SHA-256 알고리즘을 사용하는 것이 좋습니다.

  • SHA-1. 이것은 이전 알고리즘이며, SHA-256보다 덜 안전하다고 여겨집니다. 애플리케이션에서 이 서명 알고리즘만 지원하는 경우 서명 알고리즘 드롭다운 목록에서 이 옵션을 선택할 수 있습니다. 그러면 Microsoft Entra ID에서 SHA-1 알고리즘으로 SAML 응답에 서명합니다.

필수 조건

애플리케이션의 SAML 인증서 서명 옵션과 인증서 서명 알고리즘을 변경하려면 다음이 필요합니다.

  • Microsoft Entra 사용자 계정. 계정이 없다면 무료로 만들 수 있습니다.
  • 다음 역할 중 하나: 전역 관리자, 클라우드 애플리케이션 관리자, 애플리케이션 관리자 또는 서비스 주체의 소유자.

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

인증서 서명 옵션 및 서명 알고리즘 변경

애플리케이션의 SAML 인증서 서명 옵션과 인증서 서명 알고리즘을 변경하려면 다음이 필요합니다.

  1. 최소한 클라우드 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.

  3. 검색 상자에서 기존 애플리케이션 이름을 입력한 다음, 검색 결과에서 애플리케이션을 선택합니다. 이 예에서는 Salesforce 애플리케이션을 사용합니다.

    Example: Application overview page

그런 다음, 해당 애플리케이션에 대한 SAML 토큰에서 인증서 서명 옵션을 변경합니다.

  1. 애플리케이션 개요 페이지의 왼쪽 창에서 Single Sign-On을 선택합니다.

  2. SAML로 Single Sign-On 설정 페이지가 나타나면 5단계로 이동합니다.

  3. SAML로 Single Sign-On 설정 페이지가 표시되지 않으면 Single Sign-On 모드 변경을 선택합니다.

  4. Single Sign-On 방법 선택 페이지에서 SAML을 선택합니다. SAML을 사용할 수 없는 경우 애플리케이션은 SAML을 지원하지 않으며, 이 절차와 문서의 나머지 부분을 무시해도 됩니다.

  5. SAML로 Single Sign-On 설정 페이지에서 SAML 서명 인증서 제목을 찾고 편집 아이콘(연필)을 선택합니다. SAML 서명 인증서 페이지가 나타납니다.

    Example: SAML signing certificate page

  6. 서명 옵션 드롭다운 목록에서 SAML 응답 서명, SAML 어설션 서명 또는 SAML 응답 및 어설션 서명을 선택합니다. 이러한 옵션에 대한 설명은 이 문서의 앞부분에 나오는 인증서 서명 옵션에 나와 있습니다.

  7. 서명 알고리즘 드롭다운 목록에서 SHA-1 또는 SHA-256을 선택합니다. 이러한 옵션에 대한 설명은 이 문서의 앞부분에 나오는 인증서 서명 알고리즘에 나와 있습니다.

  8. 선택 항목이 만족스러운 경우 저장을 선택하여 새 SAML 서명 인증서 설정을 적용합니다. 그렇지 않으면 X를 선택하여 변경 내용을 취소합니다.

다음 단계