다음을 통해 공유

신뢰 당사자 STS를 사용하여 엔터프라이즈 애플리케이션에 Single Sign-On 사용

이 문서에서는 Microsoft Entra 관리 센터를 사용하여 STS(신뢰 당사자 보안 토큰 서비스)에 종속된 엔터프라이즈 애플리케이션에 대해 SSO(Single Sign-On)를 사용하도록 설정합니다. 신뢰 당사자 STS는 SAML(Security Assertion Markup Language)을 지원하며 엔터프라이즈 애플리케이션으로 Microsoft Entra와 통합할 수 있습니다. SSO를 구성한 후 사용자는 Microsoft Entra 자격 증명을 사용하여 애플리케이션에 로그인할 수 있습니다.

애플리케이션, 신뢰 당사자 STS 및 ID 공급자로서의 Microsoft Entra ID 간의 트러스트 관계를 보여 주는 다이어그램

애플리케이션이 Single Sign-On을 위해 Microsoft Entra와 직접 통합되고 STS(신뢰 당사자 보안 토큰 서비스)가 필요하지 않은 경우 엔터프라이즈 애플리케이션에 Single Sign-On 사용 문서를 참조하세요.

프로덕션 테넌트에서 애플리케이션을 구성하기 전에 비프로덕션 환경을 사용하여 이 문서의 단계를 테스트하는 것이 좋습니다.

Prerequisites

SSO를 구성하려면 다음이 필요합니다.

  • HTTPS 엔드포인트가 있는 AD FS(Active Directory Federation Services) 또는 PingFederate와 같은 신뢰 당사자 STS
    1. 신뢰 당사자 STS의 엔터티 ID(엔터티 ID)가 필요합니다. 이는 Microsoft Entra 테넌트에 구성된 모든 신뢰 당사자 STS 및 애플리케이션에서 고유해야 합니다. 엔터티 식별자가 동일한 단일 Microsoft Entra 테넌트에는 두 개의 애플리케이션이 있을 수 없습니다. 예를 들어 AD FS(Active Directory Federation Services)가 신뢰 당사자 STS인 경우 식별자는 양식 http://{hostname.domain}/adfs/services/trust의 URL일 수 있습니다.
    2. 신뢰 당사자 STS의 어설션 소비자 서비스 URL 또는 회신 URL도 필요합니다. 이 URL은 애플리케이션에 Single Sign-On의 일부로 Microsoft Entra에서 신뢰 당사자 STS로 SAML 토큰을 안전하게 전송하기 위한 URL이어야 합니다 HTTPS . 예를 들어 AD FS가 신뢰 당사자 STS인 경우 URL은 형식 https://{hostname.domain}/adfs/ls/일 수 있습니다.
  • 해당 신뢰 당사자 STS와 이미 통합된 애플리케이션
  • Microsoft Entra의 다음 역할 중 하나: 클라우드 애플리케이션 관리자, 애플리케이션 관리자
  • 애플리케이션에 로그인할 수 있는 Microsoft Entra의 테스트 사용자

Note

이 자습서에서는 하나의 Microsoft Entra 테넌트, 하나의 신뢰 당사자 STS 및 신뢰 당사자 STS에 연결된 애플리케이션이 있다고 가정합니다. 이 자습서에서는 신뢰 당사자 STS에서 제공하는 엔터티 식별자를 사용하여 적절한 엔터프라이즈 애플리케이션을 결정하고 응답으로 SAML 토큰을 보내도록 Microsoft Entra를 구성하는 방법을 보여 줍니다. 단일 신뢰 당사자 STS에 둘 이상의 애플리케이션이 연결된 경우 MICROSOFT Entra는 SAML 토큰을 발급할 때 이러한 두 애플리케이션을 구분할 수 없습니다. 다른 엔터티 식별자를 구성하는 것은 이 자습서의 범위를 벗어납니다.

Microsoft Entra에서 애플리케이션 만들기

먼저 Microsoft Entra에서 엔터프라이즈 애플리케이션을 만듭니다. 이를 통해 Microsoft Entra는 애플리케이션에 제공할 신뢰 당사자 STS에 대한 SAML 토큰을 생성할 수 있습니다.

  1. 적어도 클라우드 애플리케이션 관리자로서 Microsoft Entra 관리 센터에 로그인하세요.
  2. Browse to Entra ID>Enterprise apps>All applications.
  3. 신뢰 당사자 STS를 나타내는 애플리케이션을 이미 구성한 경우 검색 상자에 기존 애플리케이션의 이름을 입력하고 검색 결과에서 애플리케이션을 선택한 다음 다음 섹션에서 계속 진행합니다.
  4. Select New application.
  5. 사용자 고유의 애플리케이션을 만드세요.
  6. 입력 이름 상자에 새 애플리케이션의 이름을 입력하고 갤러리에서 찾을 수 없는 다른 애플리케이션 통합(비갤리)을 선택하고 만들기를 선택합니다.

애플리케이션에서 Single Sign-On 구성

  1. In the Manage section of the left menu, select Single sign-on to open the Single sign-on pane for editing.

  2. Select SAML to open the SSO configuration page.

  3. 기본 SAML 구성 상자에서 편집을 선택합니다. SAML 구성을 추가로 변경하려면 먼저 식별자 및 회신 URL을 설정해야 합니다. 엔터프라이즈 애플리케이션에 대한 Single Sign-On에 필요한 기본 SAML 구성을 보여 주는 스크린샷

  4. 기본 SAML 구성 페이지의 식별자(엔터티 ID)에 나열된 식별자가 없는 경우 식별자 추가를 선택합니다. 신뢰 당사자 STS에서 제공하는 애플리케이션의 식별자를 입력합니다. 예를 들어 식별자는 양식 http://{hostname.domain}/adfs/services/trust의 URL일 수 있습니다.

  5. 기본 SAML 구성 페이지의 회신 URL(Assertion Consumer Service URL)에서 회신 URL 추가를 선택합니다. 신뢰 당사자 STS Assertion Consumer Service의 HTTPS URL을 입력합니다. 예를 들어 URL은 형식 https://{hostname.domain}/adfs/ls/일 수 있습니다.

  6. Optionally, configure the sign on, relay state, or logout URLs, if required by the relying party STS.

  7. Select Save.

Microsoft Entra에서 메타데이터 및 인증서 다운로드

신뢰 당사자 STS는 구성을 완료하기 위해 ID 공급자로 Microsoft Entra의 페더레이션 메타데이터를 요구할 수 있습니다. The federation metadata and associated certificates are provided in the SAML Certificates section of the Basic SAML configuration page. For more information, see federation metadata.

엔터프라이즈 애플리케이션에 대한 SAML 서명 인증서 및 페더레이션 메타데이터 다운로드 옵션을 보여 주는 스크린샷

  • 신뢰 당사자 STS가 인터넷 엔드포인트에서 페더레이션 메타데이터를 다운로드할 수 있는 경우 앱 페더레이션 메타데이터 URL 옆에 있는 값을 복사합니다.
  • If your relying party STS requires a local XML file containing the federation metadata, then select Download next to Federation Metadata XML.
  • If your relying party STS requires the certificate of the identity provider, then select Download next to either the Certificate (Base64) or Certificate (Raw).
  • If your relying party STS does not support federation metadata, then copy the Login URL and MIcrosoft Entra Identifier to configure your relying party STS. 엔터프라이즈 애플리케이션에 대한 Microsoft Entra 로그인 URL 및 식별자를 보여 주는 스크린샷

Microsoft Entra에서 발급한 클레임 구성

기본적으로 Microsoft Entra 사용자의 몇 가지 특성만 Microsoft Entra가 신뢰 당사자 STS에 보내는 SAML 토큰에 포함됩니다. 애플리케이션에 필요한 클레임을 추가하고 SAML 이름 식별자에 제공된 특성을 변경할 수 있습니다. 표준 클레임에 대한 자세한 내용은 SAML 토큰 클레임 참조를 참조하세요.

  1. 특성 및 클레임 상자에서 편집을 선택합니다.
  2. 이름 식별자의 값으로 전송되는 Entra ID 특성을 변경하려면 고유 사용자 식별자(이름 ID) 행을 선택합니다. 원본 특성을 다른 Microsoft Entra 기본 제공 또는 확장 특성으로 변경할 수 있습니다. Then select Save.
  3. To change which Entra ID attribute is sent as the value of a claim already configured, select the row in the Additional claims section.
  4. 새 클레임을 추가하려면 새 클레임 추가를 선택합니다.
  5. When complete, select SAML-based Sign-on to close this screen.

애플리케이션에 로그인할 수 있는 사용자 구성

구성을 테스트할 때 지정된 테스트 사용자를 Microsoft Entra의 애플리케이션에 할당하여 사용자가 Microsoft Entra 및 신뢰 당사자 STS를 통해 애플리케이션에 로그온할 수 있는지 확인해야 합니다.

  1. In the Manage section of the left menu, select Properties.
  2. 사용자가 로그인할 수 있도록 설정됨의 값이 로 설정되어 있는지 확인하세요.
  3. Ensure that the value of Assignment required is set to Yes.
  4. If you made any changes, select Save.
  5. In the Manage section of the left menu, select Users and groups.
  6. Select Add user/group.
  7. Select None selected.
  8. In the search box, type the name of the test user, then pick the user and select Select.
  9. Select Assign to assign the user to the default User role of the application.
  10. In the Security section of the left menu, select Conditional Access.
  11. Select What if.
  12. 사용자 또는 서비스 주체가 선택되지 않음을 선택하고, 사용자가 선택되지 않음을 선택한 다음, 이전에 애플리케이션에 할당된 사용자를 선택하십시오.
  13. 임의의 클라우드 앱을 선택하고, 엔터프라이즈 애플리케이션을 선택하세요.
  14. Select What if. 적용할 모든 정책에서 사용자가 애플리케이션에 로그인할 수 있는지 확인합니다.

신뢰 당사자 STS에서 Microsoft Entra를 ID 공급자로 구성

다음으로, 페더레이션 메타데이터를 신뢰 당사자 STS로 가져옵니다. 다음 단계는 AD FS를 사용하여 표시되지만 다른 신뢰 당사자 STS를 대신 사용할 수 있습니다.

  1. 신뢰 당사자 STS의 클레임 공급자 트러스트 목록에서 클레임 공급자 트러스트 추가를 선택하고 시작을 선택합니다.
  2. Microsoft Entra에서 페더레이션 메타데이터를 다운로드했는지 여부에 따라 온라인 또는 로컬 네트워크에 게시된 클레임 공급자에 대한 데이터 가져오기를 선택하거나 파일에서 클레임 공급자에 대한 데이터를 가져옵니다.
  3. 신뢰 당사자 STS에 Microsoft Entra 인증서를 제공해야 할 수도 있습니다.
  4. MICROSOFT Entra를 ID 공급자로 구성이 완료되면 다음을 확인합니다.
    • 클레임 공급자 식별자는 양식 https://sts.windows.net/{tenantid}의 URI입니다.
    • Microsoft Entra ID 전역 서비스를 사용하는 경우 SAML Single Sign-On에 대한 엔드포인트는 양식 https://login.microsoftonline.com/{tenantid}/saml2의 URI입니다. 국가별 클라우드의 경우 Microsoft Entra 인증 및 국가별 클라우드를 참조하세요.
    • Microsoft Entra의 인증서는 신뢰 당사자 STS에서 인식됩니다.
    • 암호화가 구성되지 않았습니다.
    • Microsoft Entra에 구성된 클레임은 신뢰 당사자 STS의 클레임 규칙 매핑에 사용할 수 있는 것으로 나열됩니다. 이후에 추가 클레임을 추가한 경우 신뢰 당사자 STS의 ID 공급자 구성에 클레임을 추가해야 할 수도 있습니다.

신뢰 당사자 STS에서 클레임 규칙 구성

Microsoft Entra가 ID 공급자로 보낼 클레임이 신뢰 당사자 STS에 알려지면 해당 클레임을 애플리케이션에 필요한 클레임으로 매핑하거나 변환해야 합니다. 다음 단계는 AD FS를 사용하여 표시되지만 다른 신뢰 당사자 STS를 대신 사용할 수 있습니다.

  1. 신뢰 당사자 STS의 클레임 공급자 트러스트 목록에서 Microsoft Entra에 대한 클레임 공급자 트러스트를 선택하고 클레임 규칙 편집을 선택합니다.
  2. For each claim provided by Microsoft Entra and required by your application, select Add Rule. 각 규칙에서 애플리케이션의 요구 사항에 따라 들어오는 클레임 통과 또는 필터링을 선택하거나 들어오는 클레임을 변환합니다.

애플리케이션에 대한 Single Sign-On 테스트

애플리케이션이 Microsoft Entra 및 신뢰 당사자 STS에서 구성되면 사용자는 Microsoft Entra에 인증하고 Microsoft Entra에서 제공하는 토큰을 신뢰 당사자 STS에서 애플리케이션에 필요한 양식 및 클레임으로 변환하여 로그인할 수 있습니다.

이 자습서에서는 신뢰 당사자가 시작한 Single Sign-On 패턴을 구현하는 웹 기반 애플리케이션을 사용하여 로그인 흐름을 테스트하는 방법을 보여 줍니다. 자세한 내용은 Single Sign-On SAML 프로토콜을 참조하세요.

애플리케이션, 의존 당사자 STS, ID 공급자로서 Microsoft Entra ID 사이에서 웹 브라우저의 리디렉션을 보여주는 다이어그램입니다.

  1. 웹 브라우저 프라이빗 브라우징 세션에서 애플리케이션에 연결하고 로그인 프로세스를 시작합니다. 애플리케이션은 웹 브라우저를 신뢰 당사자 STS로 리디렉션하고 신뢰 당사자 STS는 적절한 클레임을 제공할 수 있는 ID 공급자를 결정합니다.
  2. 신뢰 당사자 STS에서 메시지가 표시되면 Microsoft Entra ID 공급자를 선택합니다. 신뢰 당사자 STS는 Microsoft Entra ID 글로벌 서비스를 사용하는 경우 웹 브라우저를 Microsoft Entra 로그인 엔드포인트 https://login.microsoftonline.com 로 리디렉션합니다.
  3. 이전에 애플리케이션에 로그인할 수 있는 사용자를 구성하는 단계에서 구성한 테스트 사용자의 ID를 사용하여 Microsoft Entra에 로그인합니다. 그런 다음 Microsoft Entra는 엔터티 식별자를 기반으로 엔터프라이즈 애플리케이션을 찾고 웹 브라우저를 SAML 토큰을 전송하는 웹 브라우저를 사용하여 신뢰 당사자 STS 회신 URL 엔드포인트로 리디렉션합니다.
  4. 신뢰 당사자 STS는 Microsoft Entra에서 발급한 SAML 토큰의 유효성을 검사한 다음 SAML 토큰에서 클레임을 추출 및 변환하고 웹 브라우저를 애플리케이션으로 리디렉션합니다. Microsoft Entra를 통해 귀하의 애플리케이션이 필요한 클레임을 받았는지 확인하십시오.

Complete configuration

  1. 초기 로그인 구성을 테스트한 후, 새로운 인증서가 Microsoft Entra에 추가될 때 신뢰 당사자 STS가 최신 상태를 유지하도록 해야 합니다. 일부 신뢰 당사자 STS에는 ID 공급자의 페더레이션 메타데이터를 모니터링하는 기본 제공 프로세스가 있을 수 있습니다.
  2. 이 자습서에서는 Single Sign-In 구성을 설명했습니다. 신뢰 당사자 STS는 SAML Single Sign-Out을 지원할 수도 있습니다. 이 기능에 대한 자세한 내용은 단일 Sign-Out SAML 프로토콜을 참조하세요.
  3. 애플리케이션에 대한 테스트 사용자의 할당을 제거할 수 있습니다. 동적 그룹 또는 권한 관리와 같은 다른 기능을 사용하여 애플리케이션에 사용자를 할당할 수 있습니다. 자세한 내용은 빠른 시작: 사용자 계정 만들기 및 할당을 참조하세요.

Next steps

  • Last updated on