서명된 SAML 인증 요청 적용
SAML 요청 서명 확인은 서명된 인증 요청의 서명에 대한 유효성을 검사하는 기능입니다. 이제 앱 관리자는 서명된 요청의 적용 사용 및 사용 안 함을 설정하고 유효성 검사를 수행하는 데 사용해야 하는 공개 키를 업로드할 수 있습니다.
사용하도록 설정된 경우 Microsoft Entra ID는 구성된 공개 키에 대한 요청의 유효성을 검사합니다. 인증 요청이 실패할 수 있는 몇 가지 시나리오가 있습니다.
- 프로토콜이 서명된 요청에 허용되지 않습니다. SAML 프로토콜만 지원됩니다.
- 요청이 서명되지 않았지만 확인이 사용하도록 설정되었습니다.
- SAML 요청 서명 확인을 위해 구성된 확인 인증서가 없습니다. 인증서 요구 사항에 대한 자세한 내용은 인증서 서명 옵션을 참조하세요.
- 서명을 확인하지 못했습니다.
- 요청의 키 식별자가 누락되었으며 가장 최근에 추가된 두 개의 인증서가 요청 서명과 일치하지 않습니다.
- 요청이 서명되었지만 알고리즘이 누락되었습니다.
- 제공된 키 식별자와 일치하는 인증서가 없습니다.
- 서명 알고리즘이 허용되지 않습니다. RSA-SHA256만 지원됩니다.
참고 항목
AuthnRequest
요소의 Signature
요소는 선택 사항입니다. Require Verification certificates
가 선택되지 않은 경우 Microsoft Entra ID는 서명이 있는 경우 서명된 인증 요청의 유효성을 검사하지 않습니다. 요청자 확인은 등록된 Assertion Consumer Service URL에만 응답하여 제공됩니다.
Require Verification certificates
가 선택되면 SAML 요청 서명 확인은 SP 개시(서비스 공급자/신뢰 당사자 개시) 인증 요청에 대해서만 작동합니다. 서비스 공급자가 구성한 애플리케이션만 애플리케이션에서 들어오는 SAML 인증 요청에 서명하기 위해 프라이빗 및 공개 키에 액세스할 수 있습니다. 요청을 확인할 수 있도록 공개 키를 업로드해야 합니다. 이 경우 Microsoft Entra ID는 공개 키에만 액세스할 수 있습니다.
Require Verification certificates
를 사용하도록 설정하면 IDP가 등록된 애플리케이션과 동일한 프라이빗 키를 소유하지 않기 때문에 IDP가 시작한 인증 요청(예: SSO 테스트 기능, MyApps 또는 M365 앱 시작 관리자)의 유효성을 검사할 수 없습니다.
필수 조건
SAML 요청 서명 확인을 구성하려면 다음이 필요합니다.
- Microsoft Entra 사용자 계정. 계정이 없다면 무료로 만들 수 있습니다.
- 클라우드 애플리케이션 관리자, 애플리케이션 관리자 또는 서비스 사용자 소유자 역할 중 하나입니다.
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
SAML 요청 서명 확인 구성
최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.
검색 상자에서 기존 애플리케이션 이름을 입력한 다음, 검색 결과에서 애플리케이션을 선택합니다.
Single Sign-On으로 이동합니다.
SSO(Single Sign-On) 화면에서 SAML 인증서 아래의 확인 인증서라는 하위 섹션으로 스크롤합니다.
편집을 선택합니다.
애플리케이션에서 여전히 RSA-SHA1을 사용하여 인증 요청에 서명하는 경우 새 창에서 서명된 요청 확인을 활성화하고 약한 알고리즘 확인을 사용하도록 설정할 수 있습니다.
서명된 요청의 확인을 사용하도록 설정하려면 확인 인증서 요구를 선택하고 요청에 서명하는 데 사용되는 프라이빗 키와 일치하는 확인 공개 키를 업로드합니다.
확인 인증서를 업로드한 후 저장을 선택합니다.
서명된 요청 확인을 활성화하면 서비스 공급자가 요청에 서명해야 하므로 테스트 환경이 비활성화됩니다.
엔터프라이즈 애플리케이션의 현재 구성을 확인하려면 Single Sign-On 화면으로 이동하여 SAML 인증서 아래에서 구성 요약을 볼 수 있습니다. 여기서는 서명된 요청의 확인이 사용하도록 설정되어 있는지와 활성 및 만료된 확인 인증서의 수를 확인할 수 있습니다.
다음 단계
- Microsoft Entra ID가 SAML 프로토콜을 사용하는 방법을 알아봅니다.
- Microsoft Entra ID의 SAML 토큰의 형식, 보안 특성 및 콘텐츠에 대해 알아봅니다.