통합 인증(SSO) 구성하기

이 문서에서는 플랫폼의 통합 인증(SSO) 기능과 조직에서 SSO를 활성화하는 방법에 대해 설명합니다. 조직의 SSO 구성에 관심이 있으시면 고객 성공 관리 담당자에게 문의하시기 바랍니다.

개요

Udemy는 통합 인증(SSO)에서 SAML 2.0을 지원합니다. Security Assertion Markup Language(SAML)는 조직의 사용자에게 로그인할 수 있는 단일 URL을 제공하고 사용 권한이 있는 애플리케이션을 선택할 수 있는 엔드 포인트를 생성합니다. 이는 특정 세션 중에 애플리케이션을 전환할 때 추가 로그인 프롬프트가 발생하지 않도록 하여 보안 수준을 강화하고 사용자 인증을 간소화합니다.

SSO 사용의 이점:

  • 사용자 경험 개선
  • 내부 운영 비용 절감
  • 사용자 관리 중앙 집중화
  • 엔터프라이즈 시스템에 대한 보안 강화
  • 규정(SOX, HIPPA) 준수

표준 지원

  • 당사는 SSO에 OASIS Security Assertion Markup Language(SAML) v2.0 표준을 지원합니다
  • SAML v2.0은 Microsoft Active Directory(ADFS 사용), Tivoli Federated Identity Manager, Okta 및 기타 페더레이션 인증 플랫폼 등 여러 공통 ID 제공업체와의 통합을 지원합니다

일반 가정

  • SAML v2.0 트러스트 관계에서 SP(서비스 제공업체) 역할을 수행합니다
  • IDP에서 SAML v2.0 준수 IDP(ID 제공업체) 메타데이터 파일을 요구합니다. IDP 메타데이터 파일 포함 사항:
    • SingleSignOnService 엔드포인트 위치
    • 어설션 서명에 사용되는 X.509 공용 인증서(해당하는 경우)
  • 당사는 다음 항목을 포함하는 SP 메타데이터 파일을 제공합니다.
    • SP 엔드포인트

개발 프로세스

일반적인 통합 워크플로는 다음과 같습니다.

  • 어떤 구성 옵션을 사용할 것인지 배정된 계정 담당자와 논의합니다
  • 당사에서 SP 메타데이터 파일 URL을 제공합니다
  • 귀하가 IDP 메타데이터 파일을 제공합니다
  • 통합 테스트 및 복원은 지정된 이해 관계자가 통합이 성공적이라고 승인할 때까지 수행됩니다. IDP 시작 및 SP 시작 액세스 유형을 모두 테스트해야 합니다. 이 시점에서 프로덕션 기간을 합의합니다.

지원되는 구성

현재 다음 SAML 구성을 지원합니다.

  • 단일 로그아웃(SLO)
    • 비활성화됨 – 현재 SLO를 지원하지 않습니다
  • NameID 형식
    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(기본값)
    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    • urn:oasis:names:tc:SAML:2.0:nameid-format:entity
  • 어셜션 서명 여부
    • 아니요 / 예(기본값)
  • 인증 요청 서명 여부
    • 아니요
  • 신규 사용자 권한 설정
    • 비활성화됨(기본값) / 활성화됨
  • 기존 사용자 특성 업데이트
    • 비활성화됨(기본값) / 활성화됨
  • 기본 인증 요청 바인딩:
    • POST(기본값) / 리디렉션

설정 질문

SSO를 시작하는 첫 번째 단계는 먼저 고객 성공 관리 담당자와 만나서 설정 및 SSO 구성 질문에 답하는 것입니다. 그 질문은 다음과 같습니다.

  1. 시스템에서 사용자의 고유 식별자로 무엇을 사용하시겠어요?
    • 당사의 플랫폼은 이메일 주소 또는 외부 전 세계적 단일 식별자(GUID) 사용을 지원합니다.
    • 가장 일반적인 설정은 향후 다른 사람의 이메일 주소가 변경되었을 때 발생하는 문제를 줄이기 위해 이메일 주소 대신 외부 GUID를 사용하는 것입니다. 또한 직원의 직원 ID는 외부 GUID로 사용되는 것이 가장 일반적입니다.
  2. 인증 시 사용자 정보를 업데이트하시겠어요?
    • 그렇다면 어떤 필드를 포함할 계획이며 해당 SSO 시스템 내에서 모든 필드를 사용할 수 있나요? 또한 SAML 어설션에서 이러한 필드를 무엇이라고 부르고 이러한 필드를 플랫폼의 필드에 어떻게 매핑하나요?
  3. 사용자가 플랫폼에 아직 계정이 없는 경우 인증 시 플랫폼에 새 사용자를 생성하시겠어요?
    • 그렇다면 어떤 필드를 포함할 계획이며 해당 SSO 시스템 내에서 모든 필드를 사용할 수 있나요? 또한 SAML 어설션에서 이러한 필드를 무엇이라고 부르고 이러한 필드를 플랫폼의 필드에 어떻게 매핑하나요?
  4. 플랫폼에 액세스해야 하는 모든 사용자가 SSO 솔루션에 액세스할 수 있나요?
    • 그렇지 않은 경우 사용자 이름/비밀번호 양식과 SSO 로그인 옵션을 지원하는 이중 로그인 환경이 필요한가요?

SSO 구성

귀하의 SSO 요구 사항을 파악한 뒤에는 당사에서 구성을 진행하여 설정을 시작할 수 있습니다. 다음 단계:

  1. 당사에서 SP 메타데이터 XML을 제공합니다.
  2. 귀하께서 SSO를 구성하고 당사 팀에 IDP 메타데이터 XML을 제공합니다.
  3. 당사에서 귀하의 IDP 메타데이터 XML을 적용하여 설정을 완료합니다.
  4. 귀하가 사용자 테스트를 수행하고 환경을 테스트하고 검증합니다.
  5. 검증이 완료되면 귀하의 팀과 당사가 프로덕션 출시 시기에 대해 합의합니다.

관련 문서

문의하기