다음을 통해 공유

애플리케이션 프록시를 사용하는 온-프레미스 애플리케이션에 대한 SAML(Security Assertion Markup Language) SSO(Single Sign-On)

  • 아티클

SAML(Security Assertion Markup Language) 인증으로 보호되는 온-프레미스 애플리케이션에 SSO(Single Sign-On)를 제공합니다. 애플리케이션 프록시를 통해 SAML 기반 SSO 애플리케이션에 대한 원격 액세스를 제공합니다. SAML Single Sign-On을 사용하면 Microsoft Entra는 사용자의 Microsoft Entra 계정을 사용하여 애플리케이션에 인증합니다. Microsoft Entra ID는 연결 프로토콜을 통해 애플리케이션에 로그온 정보를 통신합니다. SAML 클레임에서 정의하는 규칙에 따라 사용자를 특정 애플리케이션 역할에 매핑할 수도 있습니다. SAML SSO 외에도 애플리케이션 프록시를 사용하도록 설정하면 사용자는 애플리케이션에 대한 외부 액세스 권한과 원활한 SSO 환경을 사용할 수 있습니다.

애플리케이션은 Microsoft Entra ID에서 발급한 SAML 토큰을 사용할 수 있어야 합니다. 이 구성은 온-프레미스 ID 공급자를 사용하는 애플리케이션에는 적용되지 않습니다. 이러한 시나리오의 경우 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 리소스를 검토하는 것이 좋습니다.

애플리케이션 프록시를 사용하는 SAML SSO는 SAML 토큰 암호화 기능에서도 작동합니다. 자세한 내용은 Microsoft Entra SAML 토큰 암호화 구성을 참조하세요.

프로토콜 다이어그램은 서비스 공급자 시작(SP 시작) 흐름과 ID 공급자 시작(IdP 시작) 흐름 모두에 대한 Single Sign-On 시퀀스를 설명합니다. 애플리케이션 프록시는 온-프레미스 애플리케이션에 대한 SAML 요청 및 응답을 캐싱하여 SAML SSO에서 작동합니다.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for S P-Initiated single sign-on.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for I d P-Initiated single sign-on.

애플리케이션 만들기 및 SAML SSO 설정

  1. Microsoft Entra 관리 센터에서 Microsoft Entra ID > Enterprise 애플리케이션을 선택하고 새 애플리케이션을 선택합니다.

  2. 새 애플리케이션에 대한 표시 이름을 입력하고 갤러리에 없는 다른 애플리케이션 통합을 선택한 다음 만들기를 선택합니다.

  3. 앱의 개요 페이지에서 Single Sign-On을 선택합니다.

  4. Single Sign-On 방법으로 SAML을 선택합니다.

  5. 회사 네트워크에서 SAML SSO를 설정하고 갤러리에 없는 다른 애플리케이션 통합의 기본 SAML 구성 섹션을 참조하여 애플리케이션에 대한 SAML 기반 인증을 구성합니다.

  6. 애플리케이션에 하나 이상의 사용자를 추가하고 테스트 계정이 애플리케이션에 액세스할 수 있는지 확인합니다. 회사 네트워크에 연결되어 있는 동안 테스트 계정을 사용하여 애플리케이션에 대한 Single Sign-On이 있는지 확인합니다.

    참고 항목

    애플리케이션 프록시를 설정한 후 돌아와서 SAML 회신 URL을 업데이트합니다.

애플리케이션 프록시를 사용하여 온-프레미스 애플리케이션 게시

온-프레미스 애플리케이션에 대한 SSO를 제공하기 전에 애플리케이션 프록시를 사용하도록 설정하고 커넥터를 설치합니다. 온-프레미스 환경을 준비하고, 커넥터를 설치 및 등록하고, 커넥터를 테스트하는 방법에 대해 자세히 알아봅니다. 커넥터가 설정되면 다음 단계에 따라 애플리케이션 프록시를 사용하여 새 애플리케이션을 게시합니다.

  1. 애플리케이션이 Microsoft Entra 관리 센터에서 계속 열려 있는 상태에서 애플리케이션 프록시를 선택합니다. 애플리케이션에 대한 내부 URL을 제공합니다. 사용자 지정 도메인을 사용하는 경우 애플리케이션에 대한 TLS/SSL 인증서도 업로드해야 합니다.

    참고 항목

    최적화된 사용자 환경을 위해 가능하면 사용자 지정 도메인을 사용하는 것이 좋습니다. Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업에 대해 자세히 알아봅니다.

  2. 애플리케이션에 대한 사전 인증 방법으로 Microsoft Entra ID를 선택합니다.

  3. 애플리케이션에 대한 외부 URL을 복사합니다. SAML 구성을 완료하려면 이 URL이 필요합니다.

  4. 테스트 계정을 사용하여 외부 URL로 애플리케이션을 열어 애플리케이션 프록시가 올바르게 설정되었는지 확인합니다. 문제가 있는 경우 애플리케이션 프록시 문제 및 오류 메시지 해결을 참조 하세요.

SAML 구성 업데이트

  1. Microsoft Entra 관리 센터에 애플리케이션이 열려 있는 상태에서 Single Sign-On을 선택합니다.

  2. SAML로 Single Sign-On 설정 페이지에서 기본 SAML 구성 제목으로 이동하고 편집 아이콘(연필)을 선택합니다. 애플리케이션 프록시에서 구성한 외부 URL이 식별자, 회신 URL 및 로그아웃 URL 필드에 채워져 있는지 확인합니다. 애플리케이션 프록시가 올바르게 작동하려면 이러한 URL이 필요합니다.

  3. 애플리케이션 프록시를 통해 인터넷에서 연결할 수 기본 있도록 이전에 구성된 회신 URL을 편집합니다. 예를 들어 외부 URL이고 https://contosotravel-f128.msappproxy.net 원래 회신 URL이면 https://contosotravel.com/acs원래 회신 URLhttps://contosotravel-f128.msappproxy.net/acs을 업데이트해야 합니다.

    Enter basic SAML configuration data

  4. 업데이트된 회신 URL 옆에 있는 확인란을 선택하여 기본값으로 표시합니다.

    • 필수 회신 URL을 기본값으로 표시한 이후 내부 URL을 사용하는 이전에 구성한 회신 URL을 삭제할 수도 있습니다.

    • SP 시작 흐름의 경우 인증 토큰 수신을 위해 백 엔드 애플리케이션에서 올바른 회신 URL 또는 Assertion Consumer Service URL을 지정하도록 해야 합니다.

    참고 항목

    백 엔드 애플리케이션에서 회신 URL이 내부 URL이 될 것으로 예상되는 경우 사용자 지정 do기본를 사용하여 내부 및 외부 URL을 일치시키거나 사용자의 디바이스에 내 앱 보안 로그인 확장을 설치해야 합니다. 이 확장은 자동으로 적절한 애플리케이션 프록시 서비스로 리디렉션됩니다. 확장을 설치하려면 내 앱 보안 로그인 확장을 참조하세요.

앱 테스트

앱이 실행되고 있습니다. 앱을 테스트하는 방법은 다음과 같습니다.

  1. 브라우저를 열고 앱을 게시할 때 만든 외부 URL로 이동합니다.
  2. 앱에 할당한 테스트 계정으로 로그인합니다. 애플리케이션을 로드할 수 있고 애플리케이션에 SSO가 있어야 합니다.

다음 단계