다음을 통해 공유


서명된 SAML 인증 요청 적용

SAML 요청 서명 확인은 서명된 인증 요청의 서명에 대한 유효성을 검사하는 기능입니다. 이제 앱 관리자는 서명된 요청의 적용 사용 및 사용 안 함을 설정하고 유효성 검사를 수행하는 데 사용해야 하는 공개 키를 업로드할 수 있습니다.

사용하도록 설정된 경우 Microsoft Entra ID는 구성된 공개 키에 대한 요청의 유효성을 검사합니다. 인증 요청이 실패할 수 있는 몇 가지 시나리오가 있습니다.

  • 프로토콜이 서명된 요청에 허용되지 않습니다. SAML 프로토콜만 지원됩니다.
  • 요청이 서명되지 않았지만 확인이 사용하도록 설정되었습니다.
  • SAML 요청 서명 확인을 위해 구성된 확인 인증서가 없습니다. 인증서 요구 사항에 대한 자세한 내용은 인증서 서명 옵션을 참조하세요.
  • 서명을 확인하지 못했습니다.
  • 요청의 키 식별자가 누락되었으며 가장 최근에 추가된 두 개의 인증서가 요청 서명과 일치하지 않습니다.
  • 요청이 서명되었지만 알고리즘이 누락되었습니다.
  • 제공된 키 식별자와 일치하는 인증서가 없습니다.
  • 서명 알고리즘이 허용되지 않습니다. RSA-SHA256만 지원됩니다.

참고 항목

AuthnRequest 요소의 Signature 요소는 선택 사항입니다. Require Verification certificates가 선택되지 않은 경우 Microsoft Entra ID는 서명이 있는 경우 서명된 인증 요청의 유효성을 검사하지 않습니다. 요청자 확인은 등록된 Assertion Consumer Service URL에만 응답하여 제공됩니다.

Require Verification certificates가 선택되면 SAML 요청 서명 확인은 SP 개시(서비스 공급자/신뢰 당사자 개시) 인증 요청에 대해서만 작동합니다. 서비스 공급자가 구성한 애플리케이션만 애플리케이션에서 들어오는 SAML 인증 요청에 서명하기 위해 프라이빗 및 공개 키에 액세스할 수 있습니다. 요청을 확인할 수 있도록 공개 키를 업로드해야 합니다. 이 경우 Microsoft Entra ID는 공개 키에만 액세스할 수 있습니다.

Require Verification certificates를 사용하도록 설정하면 IDP가 등록된 애플리케이션과 동일한 프라이빗 키를 소유하지 않기 때문에 IDP가 시작한 인증 요청(예: SSO 테스트 기능, MyApps 또는 M365 앱 시작 관리자)의 유효성을 검사할 수 없습니다.

필수 조건

SAML 요청 서명 확인을 구성하려면 다음이 필요합니다.

  • Microsoft Entra 사용자 계정. 계정이 없다면 무료로 만들 수 있습니다.
  • 클라우드 애플리케이션 관리자, 애플리케이션 관리자 또는 서비스 사용자 소유자 역할 중 하나입니다.

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

SAML 요청 서명 확인 구성

  1. 최소한 클라우드 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.

  3. 검색 상자에서 기존 애플리케이션 이름을 입력한 다음, 검색 결과에서 애플리케이션을 선택합니다.

  4. Single Sign-On으로 이동합니다.

  5. SSO(Single Sign-On) 화면에서 SAML 인증서 아래의 확인 인증서라는 하위 섹션으로 스크롤합니다.

    엔터프라이즈 애플리케이션 페이지의 SAML 인증서 아래에 있는 확인 인증서 스크린샷.

  6. 편집을 선택합니다.

  7. 애플리케이션에서 여전히 RSA-SHA1을 사용하여 인증 요청에 서명하는 경우 새 창에서 서명된 요청 확인을 활성화하고 약한 알고리즘 확인을 사용하도록 설정할 수 있습니다.

  8. 서명된 요청의 확인을 사용하도록 설정하려면 확인 인증서 요구를 선택하고 요청에 서명하는 데 사용되는 프라이빗 키와 일치하는 확인 공개 키를 업로드합니다.

    엔터프라이즈 애플리케이션 페이지에서 확인 인증서가 필요하다는 것을 보여 주는 스크린샷.

  9. 확인 인증서를 업로드한 후 저장을 선택합니다.

  10. 서명된 요청 확인을 활성화하면 서비스 공급자가 요청에 서명해야 하므로 테스트 환경이 비활성화됩니다.

    엔터프라이즈 애플리케이션 페이지에서 서명된 요청이 사용하도록 설정된 경우 사용하지 않도록 설정된 경고를 테스트하는 스크린샷.

  11. 엔터프라이즈 애플리케이션의 현재 구성을 확인하려면 Single Sign-On 화면으로 이동하여 SAML 인증서 아래에서 구성 요약을 볼 수 있습니다. 여기서는 서명된 요청의 확인이 사용하도록 설정되어 있는지와 활성 및 만료된 확인 인증서의 수를 확인할 수 있습니다.

    SSO(Single Sign-On) 화면의 엔터프라이즈 애플리케이션 구성 스크린샷.

다음 단계