다음을 통해 공유

애플리케이션 프록시가 있는 온-프레미스 애플리케이션을 위한 SAML(Security Assertion Markup Language) SSO(Single Sign-On)

  • 아티클

SAML(Security Assertion Markup Language) 인증으로 보호되는 온-프레미스 애플리케이션에 SSO(Single Sign-On)를 제공합니다. 애플리케이션 프록시를 통해 SAML 기반 SSO 애플리케이션에 대한 원격 액세스를 제공합니다. SAML Single Sign-On을 사용하는 Microsoft Entra는 사용자의 Microsoft Entra 계정을 사용하여 애플리케이션에 인증합니다. Microsoft Entra ID는 연결 프로토콜을 통해 애플리케이션에 로그온 정보를 통신합니다. SAML 클레임에서 정의하는 규칙에 따라 사용자를 특정 애플리케이션 역할에 매핑할 수도 있습니다. SAML SSO 외에도 애플리케이션 프록시를 사용하도록 설정하면 사용자는 애플리케이션에 대한 외부 액세스 권한과 Seamless SSO 환경을 갖게 됩니다.

애플리케이션은 Microsoft Entra ID에서 발급한 SAML 토큰을 사용할 수 있어야 합니다. 이 구성은 온-프레미스 ID 공급자를 사용하는 애플리케이션에는 적용되지 않습니다. 이러한 시나리오의 경우 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 리소스를 검토하는 것이 좋습니다.

애플리케이션 프록시를 사용하는 SAML SSO는 SAML 토큰 암호화 기능에서도 작동합니다. 자세한 내용은 Microsoft Entra SAML 토큰 암호화 구성을 참조하세요.

아래 프로토콜 다이어그램에서는 서비스 공급자 시작(SP 시작) 흐름과 ID 공급자 시작(IdP 시작) 흐름 모두에 대한 Single Sign-On 시퀀스를 설명합니다. 온-프레미스 애플리케이션에서 SAML 요청 및 응답을 캐싱하면 SAML SSO에서 애플리케이션 프록시가 작동합니다.

애플리케이션, 애플리케이션 프록시, 클라이언트 및 SP 시작 Single Sign-On에 대한 Microsoft Entra ID의 상호 작용을 보여 주는 다이어그램.

애플리케이션, 애플리케이션 프록시, 클라이언트 및 I d P 시작 Single Sign-On에 대한 Microsoft Entra ID의 상호 작용을 보여 주는 다이어그램.

애플리케이션 만들기 및 SAML SSO 설정

  1. Microsoft Entra 관리 센터에서 Microsoft Entra ID > Enterprise 애플리케이션을 선택하고 새 애플리케이션을 선택합니다.

  2. 새 애플리케이션에 대한 표시 이름을 입력하고 갤러리에 없는 다른 애플리케이션 통합을 선택한 다음 만들기를 선택합니다.

  3. 앱의 개요 페이지에서 Single Sign-On을 선택합니다.

  4. Single Sign-On 방법으로 SAML을 선택합니다.

  5. 회사 네트워크에서 SAML SSO를 설정하고 갤러리에 없는 다른 애플리케이션 통합의 기본 SAML 구성 섹션을 참조하여 애플리케이션에 대한 SAML 기반 인증을 구성합니다.

  6. 애플리케이션에 하나 이상의 사용자를 추가하고 테스트 계정이 애플리케이션에 액세스할 수 있는지 확인합니다. 회사 네트워크에 연결되어 있는 동안 테스트 계정을 사용하여 애플리케이션에 대한 Single Sign-On이 있는지 확인합니다.

    참고 항목

    애플리케이션 프록시를 설정한 후에는 다시 돌아와서 SAML 회신 URL을 업데이트합니다.

애플리케이션 프록시를 사용하여 온-프레미스 애플리케이션 게시

온-프레미스 애플리케이션의 SSO를 제공하려면 먼저 애플리케이션 프록시를 사용하도록 설정하고 커넥터를 설치해야 합니다. 온-프레미스 환경을 준비하고, 커넥터를 설치 및 등록하고, 커넥터를 테스트하는 방법에 대해 자세히 알아봅니다. 커넥터가 설정되면 다음 단계에 따라 애플리케이션 프록시를 사용하여 새 애플리케이션을 게시합니다.

  1. Microsoft Entra 관리 센터에 애플리케이션이 열려 있는 상태에서 애플리케이션 프록시를 선택합니다. 애플리케이션에 대한 내부 URL을 제공합니다. 사용자 지정 도메인을 사용하는 경우 애플리케이션에 대한 TLS/SSL 인증서도 업로드해야 합니다.

    참고 항목

    최적화된 사용자 환경을 위해 가능하면 사용자 지정 도메인을 사용하는 것이 좋습니다. Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업에 대해 자세히 알아봅니다.

  2. 애플리케이션에 대한 사전 인증 방법으로 Microsoft Entra ID를 선택합니다.

  3. 애플리케이션에 대한 외부 URL을 복사합니다. SAML 구성을 완료하려면 이 URL이 필요합니다.

  4. 테스트 계정을 사용하여 애플리케이션 프록시가 올바르게 설정되었는지 유효성을 검사하려면 외부 URL을 사용하여 애플리케이션을 엽니다. 문제가 있는 경우 애플리케이션 프록시 문제 및 오류 메시지 문제 해결을 참조하세요.

SAML 구성 업데이트

  1. Microsoft Entra 관리 센터에 애플리케이션이 열려 있는 상태에서 Single Sign-On을 선택합니다.

  2. SAML로 Single Sign-On 설정 페이지에서 기본 SAML 구성 제목으로 이동하고 편집 아이콘(연필 모양)을 선택합니다. 애플리케이션 프록시에서 구성한 외부 URL식별자, 회신 URL로그아웃 URL 필드에 채워졌는지 확인합니다. 이러한 URL은 애플리케이션 프록시가 올바르게 작동하려면 필요합니다.

  3. 도메인이 애플리케이션 프록시를 통해 인터넷에서 연결할 수 있도록 앞서 구성한 회신 URL을 편집합니다. 예를 들어, 외부 URLhttps://contosotravel-f128.msappproxy.net이고 원래 회신 URLhttps://contosotravel.com/acs였던 경우 원래 회신 URLhttps://contosotravel-f128.msappproxy.net/acs로 업데이트해야 합니다.

  4. 업데이트된 회신 URL 옆에 있는 확인란을 선택하여 기본값으로 표시합니다.

    • 필수 회신 URL을 기본값으로 표시한 이후 내부 URL을 사용하는 이전에 구성한 회신 URL을 삭제할 수도 있습니다.

    • SP 시작 흐름의 경우 인증 토큰 수신을 위해 백 엔드 애플리케이션에서 올바른 회신 URL 또는 Assertion Consumer Service URL을 지정하도록 해야 합니다.

    참고 항목

    백 엔드 애플리케이션에서 회신 URL이 내부 URL이어야 하는 경우 사용자 지정 도메인을 사용하여 일치하는 내부 및 외부 URL을 갖거나 사용자의 디바이스에 내 앱 보안 로그인 확장을 설치해야 합니다. 이 확장은 적절한 애플리케이션 프록시 서비스로 자동으로 리디렉션됩니다. 확장을 설치하려면 내 앱 보안 로그인 확장을 참조하세요.

앱 테스트

사용자의 앱이 실행 중입니다. 앱을 테스트하는 방법은 다음과 같습니다.

  1. 브라우저를 열고 앱을 게시할 때 만든 외부 URL로 이동합니다.
  2. 앱에 할당한 테스트 계정으로 로그인합니다. 애플리케이션을 로드할 수 있고 애플리케이션에 SSO가 있어야 합니다.

다음 단계