ID 공급자에서 ‘ SAML ’ 싱글 사인온(SSO) 구성

온라인에서 편집하기

VerifySAML 를 사용하여 싱글 사인온(SSO)을 구현하면, 애플리케이션이 에서 수행된 인증 결과를 바탕으로 사용자의 신원을 확인할 수 있습니다. 사용자는 로그인을 위해 로 Verify 이동합니다. Verify 사용자의 신원을 확인하고, 해당 정보를 OAuth 2.0 인증 정보( SAML )를 통해 전송한 뒤, 서비스 제공자에게 사용자가 해당 리소스에 접근하고 사용할 권한이 있는지 확인합니다.

시작하기 전에

이 태스크를 완료하려면 관리 권한이 있어야 합니다.
설정을 완료하려면 최소한 두 개의 브라우저 창을 여십시오. 하나는 관리 콘솔용이고 Verify , 다른 하나는 대상 애플리케이션의 관리 콘솔용입니다.
- 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.
- 관리자 계정을 사용하여 대상 애플리케이션 관리 콘솔에 로그인하십시오.
‘일반’ 탭에서 애플리케이션 인스턴스의 기본 정보를 설정해야 합니다. ‘기본 애플리케이션 정보 설정’을 참조하십시오.

이 태스크에 대한 정보

Verify 단일 로그인(SSO) 신원 제공자 또는 서비스 제공자 역할을 수행할 수 있습니다. 이 작업에서 는 Verify 신원 제공자 이며, 대상 애플리케이션은 서비스 제공자 입니다.

사용자 지정 애플리케이션 템플릿을 사용하는 경우, 계속 진행하기 전에 ‘사용자 지정 애플리케이션’ 섹션을 참조하십시오.

와 서비스 제공 자가 서로 통신할 수 있도록 설정하십시오 Verify . SAML 의 싱글 사인온(SSO) 기능을 활성화하려면 다음 정보를 제공해야 합니다:

Verify 서비스 제공 업체로부터 제공받은 특정 데이터와 함께.
Verify.에서 특정 데이터를 보유한 서비스 제공업체

서비스 제공 자가 ‘ SAML ’ 인증 요청에 서명하는 경우, 먼저 [ 보안 > 인증서 ] 페이지에서 서명자 인증서를 추가해야 합니다. ‘인증서 관리’를 참조하십시오.

서비스 제공자가 ` SAML ` 어설션의 기본 제공 속성 외에 다른 속성을 요구하는 경우, ‘디렉터리 > 속성’ 페이지에서 필요한 속성 소스를 추가하십시오. ‘속성 관리’를 참조하십시오.

참고: 테넌트 관리자는 및 readFederations API 권한을 사용하여 manageFederations 새로운 API 엔드포인트를 /v1.0/saml/federations/{federationName} 통해 일부 SAML 페더레이션 구성을 확인하고 업데이트할 수 있습니다.

ID 소스에 사용되는 구성 특성은 다음과 같습니다.

clockSkew

수신된 SAML 어설션 NotBefore 및 NotOnOrAfter의 유효성 검증 시 허용 오차(초)입니다.

messageValidTime

수신된 SAML 메시지 IssueInstant의 유효성이 검증될 때 허용 오차(초)입니다.

skipTargetUrlValidation

SAML에서 targetURL 유효성 검증을 건너뛸지 여부를 표시합니다.

false기본값은.입니다.

allowedTargetUrls

SAML에 대해 허용된 대상 URL을 표시합니다.

이 구성 특성의 값은 문자열 배열입니다. 각 배열 요소는 URL입니다. URL 호스트 이름은 와일드카드를 지원합니다. 예를 들면, *.ibmcloud.com입니다.

기본적으로 값은 비어 있습니다.

signatureAlgorithm

서명을 위해 알고리즘은 SAML AuthnRequest 메시지에 디지털 서명을 수행하며, 지원되는 값은 다음과 같습니다: RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384, ECDSA-SHA512. 비어 있을 경우 기본값인 RSA-SHA256 이 사용됩니다.

기본적으로 값은 비어 있습니다.

signingKeyLabel

서명 시, 이 인증서는 싱글 사인온(SSO) 과정에서 SAML AuthnRequest 에 서명하는 데 사용됩니다. 기본 선택 항목은 [ 보안 > 인증서 > 개인 인증서 ]에서 구성한 기본 개인 인증서를 의미합니다.

기본 개인 인증서가 선택되었습니다.

decryptionKeyLabel

단일 로그인(SSO) 과정에서 수신한 ‘ SAML ’ 응답 메시지에 암호화된 요소가 포함되어 있는 경우, 이 인증서를 사용하여 해당 메시지를 복호화하십시오. ‘보안 > 인증서 > 개인 인증서’에서 구성한 기본 개인 인증서입니다.

기본 개인 인증서가 선택되었습니다.

애플리케이션에 사용되는 구성 특성은 다음과 같습니다.

assertionSettings.assertionValidAfter: SAML 어설션이 발행될 때 NotOnOrAfter에 추가되는 허용 오차(초)입니다.
assertionSettings.assertionValidBefore: SAML 어설션이 발행될 때 NotBefore에 추가되는 허용 오차(초)입니다.
messageValidTime: 수신된 SAML 메시지 IssueInstant의 유효성이 검증될 때 허용 오차(초)입니다.

ID 소스 및 애플리케이션 모두에 사용되는 구성 특성은 다음과 같습니다.

crlEnabled

인증서 폐기 목록을 확인합니다. 외부 인증서를 사용하는 모든 기능에 대한 검사를 완료합니다. 사용자 구성에 CRL 확인이 필요하지 않은 경우 이를 사용 안함으로 설정할 수 있습니다. 예를 들어 내부 인증 기관(CA)을 사용하는 경우 CRL 확인을 사용 안함으로 설정할 수 있습니다. 다음crlEnabled기본값은true.

keySelectionCriteria

다양한 메시지를 사인, 유효성 검증, 암호화 또는 복호화하는 데 사용할 키 또는 인증서를 지정하십시오. 지정된 별칭을 가진 키나 인증서와 동일한 SubjectDN 키나 인증서가 여러 개 있는 경우, 이 설정은 그중 어느 것을 사용할지 결정합니다. 다음 선택 방법 중 하나를 사용하십시오.

only.alias: 지정된 별명이 있는 키 또는 인증서를 선택하십시오. 이 방법이 기본값입니다.
longest.lifetime: 서명의 경우 사용 가능한 수명이 가장 긴 유효 키가 사용됩니다. 유효성 검증을 위해 동일한 SubjectDN 항목이 있는 키는 수명 가용성에 따라 정렬됩니다. 유효성 검증이 성공할 때까지 수명 가용성이 가장 긴 키부터 순차적으로 키를 시도합니다.
shortest.lifetime: 서명의 경우 사용 가능한 수명이 가장 짧은 유효 키가 사용됩니다. 유효성 검증을 위해 동일한 SubjectDN 항목이 있는 키는 수명 가용성에 따라 정렬됩니다. 유효성 검증이 성공할 때까지 수명 가용성이 가장 짧은 키부터 순차적으로 키를 시도합니다.

데이터 유형: 문자열
예: only.alias

프로시저

애플리케이션을 구성할 때 메타데이터를 사용할지 여부를 선택하십시오.

표 1. 메타데이터 옵션
정보	설명
메타데이터 사용	애플리케이션을 구성할 때 메타데이터를 사용할지 여부를 지정합니다. 애플리케이션을 생성할 때는 기본적으로 true로 설정되며, 기존 애플리케이션을 업데이트할 때는 false로 설정됩니다.
가져오기 유형	메타데이터의 유형을 지정합니다. 소스는 메타데이터 파일이나 누구나 접근할 수 있는 URL 일 수 있습니다.
메타데이터 파일	‘파일에서 메타데이터 가져오기’를 가져오기 유형으로 선택하면 파일 업로드 버튼이 표시됩니다. 클릭하여 메타데이터 파일을 업로드하세요.
메타데이터 URL	‘수입 유형’에서 ‘ URL 에서 메타데이터 가져오기’를 선택하면 ‘ URL ’ 필드가 표시됩니다. 메타데이터 파일을 다운로드하려는 URL 을 입력하세요.

참고: ‘메타데이터 사용’이 선택되어 있으면 다음 표의 일부 필드가 표시되지 않을 수 있습니다.

서비스 제공자와 제공자 간 단일 로그인(SSO)을 설정하는 데 필요한 URL을 확인하십시오.

표 2. ID 및 URL
정보	설명
제공업체 ID	Verify이는 대상 애플리케이션을 고유하게 식별하는 대상 애플리케이션 제공자 ID입니다. 서드파티 애플리케이션에서 이 정보를 얻을 수 있습니다. 대상 애플리케이션에 따라 이 정보는 다음과 같은 적용 가능한 소스에서 제공될 수 있습니다. 대상 애플리케이션 관리 콘솔의 싱글 사인온 구성 페이지 해당 페이지에 접속하는 방법은 ‘단일 로그인(SSO) 구성’을 참조하십시오. 서비스 제공자 메타데이터에서. 대상 애플리케이션의 ‘ SAML ’ 단일 로그인(SSO) 설정 문서에서. 대상 애플리케이션 지원 팀 값은 서드파티 애플리케이션에 따라 달라집니다. 다음과 같습니다. 정적 또는 다음 형식 중 하나: `https://{@domainName}.<application>.com` `{@domainName}.<application>.com` 여기서 `{@domainName}`은 제공자 ID의 동적 구성요소에만 해당하고 일반 탭에서 지정한 값으로 런타임 시 자동으로 대체됩니다. 중요: ‘일반 ’ 탭에서 공급자 ID 를 업데이트한 후 도메인 이름을 업데이트하면, 공급자 ID 값이 지정된 도메인 이름을 기준으로 기본값으로 재설정됩니다. 동적 제공자 ID에 여러 동적 구성요소가 있습니다. 이와 같이, 필드 값은 자동으로 채워지지 않습니다. 참고: ASCII 문자만 지원됩니다. 자세한 내용은 https://ascii.cl/ 을 참조하십시오.
고유 ID 사용	이 선택란은 일부 애플리케이션에서 사용할 수 있습니다. 중복 제공자 ID 충돌을 피하기 위해 애플리케이션에 대해 고유 ID를 작성합니다.
권한 정보 이용자 서비스 URL(HTTP-POST)	서비스 공급자 측에서 ‘ SAML ’ 인증 응답을 수신하는 엔드포인트를 지정합니다. ID 제공자는 SAML 인증 응답을 URL 로 리디렉션합니다. 이 엔드포인트는 ` SAML ` 어설션을 수신하고 처리합니다. 서비스 제공자는 SAML 인증 요청 을 전송할 때 선호하는 URL 을 지정할 수 있습니다. 값은 서드파티 애플리케이션에 따라 달라집니다. 다음과 같습니다. 정적 또는 다음 형식 중 하나: `https://{@domainName}.<application>.com/saml/consume` `https://{@domainName}.<application>.com/saml/callback` 여기서 `{@domainName}`은 권한 정보 이용자 서비스 URL의 동적 구성요소에만 해당하고 일반 탭에서 지정한 값으로 런타임 시 자동으로 대체됩니다. 동적 권한 정보 이용자 서비스 URL에 여러 동적 구성요소가 있습니다. 이와 같이, 필드 값은 자동으로 채워지지 않습니다. 서드파티 애플리케이션에서 이 정보를 얻을 수 있습니다. 대상 애플리케이션에 따라 이 정보는 다음과 같은 적용 가능한 소스에서 제공될 수 있습니다. 대상 애플리케이션 관리 콘솔의 싱글 사인온 구성 페이지 해당 페이지에 접속하는 방법은 ‘단일 로그인(SSO) 구성’을 참조하십시오. 서비스 제공자 메타데이터에서. 대상 애플리케이션의 ‘ SAML ’ 단일 로그인(SSO) 설정 문서에서. 대상 애플리케이션 지원 팀 참고: 사용자 정의 애플리케이션의 경우 권한 정보 이용자 서비스 URL이 여러 개일 수 있습니다. 최대 1500개의 URL을 지정할 수 있습니다. URL의 색인 값을 수정할 수 있지만 각 값은 고유해야 합니다. 기본 URL이 되게 할 URL도 선택할 수 있습니다.
Name Identifier Management URL (HTTP-POST)	`Not Specified`참고: 이 옵션은 ‘ NameID ’ `Persistent` 형식으로 구성되어 있고, ‘Name’ 식별자가 ‘.’인 사용자 지정 애플리케이션 템플릿에서만 사용할 수 있습니다. SAML `Manage Name ID`요청 및 SAML `Manage Name ID` 응답을 수신하는 서비스 제공자에서 엔드포인트를 지정합니다. ID 제공자는 이 URL에 SAML `Manage Name ID` 요청 및 SAML `Manage Name ID` 응답을 경로 재지정합니다. 이 엔드포인트는 SAML `Manage Name ID` 요청 및 SAML `Manage Name ID` 응답을 수신하고 처리합니다. 이 값은 써드파티 애플리케이션에 따라 다릅니다. 써드파티 애플리케이션에서 이 정보를 가져올 수 있습니다. 대상 애플리케이션에 따라 이 정보는 다음과 같은 적용 가능한 소스에서 제공될 수 있습니다. 대상 애플리케이션 관리 콘솔의 싱글 사인온 구성 페이지입니다. 페이지에 액세스하는 방법에 대한 정보는 애플리케이션의 싱글 사인온 구성 지시사항을 참조하십시오. 서비스 공급자 메타데이터에서. 대상 애플리케이션의 SAML 싱글 사인온 설정 문서에서. 대상 애플리케이션 지원 팀
ID 제공자 시작 싱글 사인온 사용	참고: 이 옵션은 사용자 지정 애플리케이션 템플릿에서만 사용할 수 있습니다. 서비스 제공자가 ID 제공자가 시작한 사인온을 지원하는 경우 이 옵션을 선택하십시오. 이 시나리오에서 사용자는 직접 ID 제공자 사이트에 사인인한 후 서비스 제공자에 액세스합니다. 이 기능이 활성화되면, ID 공급자가 시작한 싱글 사인온( URL )이 자동으로 구성됩니다. 신원 제공자 측에서 SSO 흐름을 시작하는 것은 URL 입니다. 서비스 제공자 SSO( URL )를 제공할 필요는 없습니다. 이 옵션이 활성화되지 않은 경우, 서비스 공급자 SSO URL 를 입력해야 합니다. 서비스 제공자 측에서 SSO 흐름을 시작하는 것은 URL 입니다.
대상 URL	사용자가 사인온 후 경로 재지정되는 대상 애플리케이션의 사용자 시작 페이지입니다. 반드시 대상 애플리케이션의 관리자 콘솔을 의미하는 것은 아닙니다. 싱글 사인온의 최종 목적지인 서비스 제공자의 보호된 리소스 중 하나일 수 있습니다. 이 필드는 다음 조건에만 표시됩니다. 대상 애플리케이션이 릴레이 상태를 지원합니다. 대상 애플리케이션이 ID 제공자 시작 싱글 사인온을 지원합니다. 이 URL 는 SAML 2.0 신원 제공자가 단일 로그인을 시작할 때만 사용됩니다. 대상 URL 는 동적 변수이거나 하나 이상의 가능한 값을 가집니다. 서드파티 애플리케이션에서 이 정보를 얻을 수 있습니다. 대상 애플리케이션에 따라 이 정보는 다음과 같은 적용 가능한 소스에서 제공될 수 있습니다. 대상 애플리케이션 관리 콘솔의 싱글 사인온 구성 페이지 해당 페이지에 접속하는 방법은 ‘단일 로그인(SSO) 구성’을 참조하십시오. 대상 애플리케이션 웹 사이트 대상 시작 페이지로 이동하십시오. 이 필드에서 URL을 복사하고 붙여넣으십시오.
서비스 제공자 SSO URL	서비스 제공자 엔드포인트는 사용자 브라우저로부터 SAML 인증 요청 을 시작하고, 사용자를 인증하기 위해 SAML 인증 응답 을 반환합니다. 이 필드는 다음 조건에만 표시됩니다. 대상 애플리케이션이 서비스 제공자 시작 싱글 사인온을 지원합니다. 서비스 제공자 SSO URL은 동적이거나 둘 이상의 가능한 값을 가집니다. 서드파티 애플리케이션에서 이 정보를 얻을 수 있습니다. 대상 애플리케이션에 따라 이 정보는 다음과 같은 적용 가능한 소스에서 제공될 수 있습니다. 대상 애플리케이션 관리 콘솔의 싱글 사인온 구성 페이지 해당 페이지에 접속하는 방법은 ‘단일 로그인(SSO) 구성’을 참조하십시오. 대상 애플리케이션의 ‘ SAML ’ 단일 로그인(SSO) 설정 문서에서. 대상 애플리케이션 지원 팀

서비스 제공자가 단일 로그아웃을 지원하는 경우 단일 로그아웃 설정을 구성하십시오.

IBM Verify참고: 현재 세션 내의 어떤 애플리케이션이든 에서 전송된 로그아웃 요청에 응답하지 않으면, 단일 로그아웃은 해당 애플리케이션에서 중단됩니다. 다음 애플리케이션에서 단일 로그아웃을 재개하려면 사용자가 단일 로그아웃을 다시 수행해야 합니다.

표 3. 단일 로그아웃 설정
정보	설명
단일 로그아웃 URL(HTTP-POST)	서비스 공급자 측에서 SAML 로그아웃 요청과 SAML 로그아웃 응답을 수신하는 엔드포인트를 지정합니다. ID 제공자는 SAML 로그아웃 요청과 SAML 로그아웃 응답을 이 URL 로 리디렉션합니다. 이 엔드포인트는 SAML 로그아웃 요청과 SAML 로그아웃 응답을 수신하고 처리합니다. 이 값은 써드파티 애플리케이션에 따라 다릅니다. 써드파티 애플리케이션에서 이 정보를 가져올 수 있습니다. 대상 애플리케이션에 따라 이 정보는 다음과 같은 적용 가능한 소스에서 제공될 수 있습니다. 대상 애플리케이션 관리 콘솔의 싱글 사인온 구성 페이지에서 페이지에 액세스하는 방법에 대한 정보는 애플리케이션의 싱글 사인온 구성 지시사항을 참조하십시오. 서비스 공급자 메타데이터에서. 대상 애플리케이션의 SAML 싱글 사인온 설정 문서에서. 대상 애플리케이션 지원 팀

서명 옵션을 구성하십시오. 디지털 서명을 사용하여 사용자와 서비스 제공자 간의 Verify 신뢰를 구축하십시오.

표 4. 서명 옵션
정보	설명
인증 응답 서명	참고: 이 옵션은 사용자 지정 애플리케이션 템플릿에서만 사용할 수 있습니다. ID 제공자가 ‘ SAML ’ 어설션 및 인증 응답 에 서명하는지 여부를 나타냅니다. 참고: 일부 서비스 제공업체는 서명된 인증 응답 을 수락하지 못할 수 있습니다. 이 옵션을 선택하면 ‘ SAML ’ 어설션과 인증 응답 모두에 서명이 적용됩니다. 이 옵션을 선택하지 않으면 ‘ SAML ’ 어설션만 서명됩니다. SAML 조건 은 확인란이 선택되어 있든 없든 항상 참으로 평가됩니다.
서명 알고리즘	참고: 이 옵션은 사용자 지정 애플리케이션 템플릿에서만 사용할 수 있습니다. 서명 알고리즘은 ‘ SAML ’ 어설션 또는 ‘ SAML ’ 인증 응답 에 디지털 서명을 합니다. 디지털 서명 알고리즘을 사용하여 데이터를 다이제스트한 후 해당 다이제스트를 암호화하십시오. 지원되는 다음 알고리즘 중에서 선택하십시오. RSA-SHA1 RSA-SHA256 RSA-SHA512 ECDSA-SHA256 ECDSA-SHA384 ECDSA-SHA512 대부분의 애플리케이션은 ` SAML ` 어설션이나 인증 응답 에 서명할 때 기본 알고리즘으로 ` RSA-SHA256 `를 사용합니다. RSA-SHA1은 더 이상 사용되지 않으며 좀 더 강력한 암호화를 지원하지 않는 레거시 애플리케이션과 함께 사용하는 경우에만 제공됩니다.
서명 인증서	‘설정 > 인증서 > 개인 인증서’ 페이지에서 업로드된 모든 개인 인증서를 나열합니다. 선택한 애플리케이션용으로 업로드한 개인 인증서를 선택하십시오.
SAML 요청 서명 유효성 검증	서비스 제공 자가 SAML 단일 로그인(SSO) 흐름을 시작할 때 SAML 인증 요청에 서명하는지 여부를 나타냅니다. SAML 인증 요청 에 서명하는 것은 일부 서비스 제공업체 에서는 필수 사항일 수 있지만, 다른 업체에서는 선택 사항일 수 있습니다. 선택 시 개인 인증서를 선택해야 합니다. 참고: 이 옵션은 SAML 인증 요청에 서명하지 않는 서비스 제공자에게는 사용할 수 없습니다.
SAML 로그아웃 요청 서명의 유효성 검증	수신 로그아웃 요청 메시지에 서명이 필요한지 여부를 표시합니다. 선택 시 개인 인증서를 선택해야 합니다.
SAML 로그아웃 응답 서명 유효성 검증	수신 로그아웃 요청 메시지에 서명이 필요한지 여부를 표시합니다. 선택 시 개인 인증서를 선택해야 합니다.

암호화 옵션을 구성하십시오. SAML 어설션의 내용을 보호하기 위해 암호화를 활성화하여, 의도된 수신자만 해당 내용에 접근할 수 있도록 하십시오.

표 5. 암호화 옵션
정보	설명
권한 정보 암호화	서비스 제공자에게 전송되는 전체 ‘ SAML ’ 어설션을 암호화합니다. 정해진 서비스 제공자만 복호화하여 해당 컨텐츠를 볼 수 있습니다. 참고: 이 옵션은 암호화를 지원하는 서비스 제공업체 에서만 사용할 수 있습니다.
SAML 권한 정보 암호화 알고리즘	이 알고리즘은 ‘ SAML ’ 어설션의 내용을 암호화합니다. 다음과 같은 AES(Advanced Encryption Standard: 고급 암호화 표준) 또는 DES(Data Encryption Standard: 데이터 암호화 표준) 알고리즘에서 선택: AES-128 AES-CBC 모드에서 128비트 키를 사용합니다. 10 주기로 데이터 변환을 반복합니다. AES-192 AES-CBC 모드에서 192비트 키를 사용합니다. 12 주기로 데이터 변환을 반복합니다. AES-256 AES-CBC 모드에서 256비트 키를 사용합니다. 14 주기로 데이터 변환을 반복합니다. 기본 또는 일반적으로 사용되는 암호화 알고리즘입니다. Triple DES 3개의 8바이트 DES 키로 구성된 3중 데이터 키를 사용하여 8바이트의 데이터를 암호화합니다. 사용되는 방법은 다음과 같습니다. 첫 번째 키를 사용하여 데이터를 암호화합니다. 두 번째 키를 사용하여 결과를 암호화합니다. 세 번째 키를 사용하여 두 번째 결과를 암호화합니다. AES-128-GCM AES- GCM 모드에서 128비트 키를 사용합니다. AES-192-GCM AES- GCM 모드에서 192비트 키를 사용합니다. AES-256-GCM AES- GCM 모드에서 256비트 키를 사용합니다. 참고: 이 옵션은 암호화를 지원하는 모든 애플리케이션에서 사용할 수 있습니다.
암호화 키 전송 알고리즘	이 알고리즘은 권한 정보 암호화 키를 암호화합니다. 다음과 같은 알고리즘에서 선택하십시오. RSA-OAEP 공개 키 암호화 스킴. 짧은 메시지 일반적으로, 대칭 암호화를 위한 비밀 키만 암호화하도록 설계되었습니다. http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p 을 참조하십시오. RSA-v1.5 서명 스킴. http://www.w3.org/2001/04/xmlenc#rsa-1_5 참조 참고: 2024년 3월부터 ‘ RSA-v1.5 ’ 암호화 키 전송 알고리즘은 지원되지 않습니다. 참고: 이 옵션은 암호화를 지원하는 모든 애플리케이션에서 사용할 수 있습니다.
서비스 제공자 암호화 인증서	‘보안 > 인증서 > 서명자 인증서’에 가져온 모든 서비스 제공자 암호화 인증서를 나열합니다. 선택한 ‘ SAML ’ 어설션 암호화 알고리즘과 함께 사용하여 ‘ SAML ’ 어설션 내용을 암호화해야 하는 Verify 암호화 인증서를 선택하십시오.

SAML 어설션을 위한 ID 제공자 속성 소스를 식별합니다. “ SAML 구성” 항목을 참조하고 속성을 매핑하십시오.
사용자가 애플리케이션에 액세스할 수 있는 방법을 판별하는 정책을 선택하십시오.

지정된 기본 액세스 정책(모든 디바이스에서 액세스 허용)을 계속 사용할 수 있습니다. 또는 확인란의 선택을 해제한 다음 버튼을 클릭하여 미리 정의된 액세스 정책 목록에서 선택할 수 있습니다. 자세한 내용은 액세스 정책을 참조하세요.
‘저장’을 클릭하세요.

다음에 수행할 작업

서비스 제공자에게 [ Verify 사용자] 와 서비스 제공자 간의 Verify SAML 단일 로그인(SSO) 설정을 완료하는 데 필요한 정보를 제공하십시오. 사용자 인터페이스에 제공되는 지시사항을 참조하십시오.
SAML 애플리케이션의 서명 인증서로 ‘기본 개인 인증서’가 설정된 경우, ‘확인’에서 https://{tenantName}/v1.0/saml/federations/saml20ip/metadataSAML 메타데이터를 다운로드할 수 있습니다. https://{tenantName}/v1.0/saml/federations/saml20ip/metadata?keyLabel={actualKeyLabel}SAML 애플리케이션이 ‘ {actualKeyLabel} ’라는 레이블을 가진 기본값이 아닌 개인 인증서를 서명 인증서로 설정해 둔 경우, SAML 메타데이터를 다음 위치에서 다운로드할 수 있습니다.
사용자 또는 그룹 인타이틀먼트를 추가하여 구성된 애플리케이션에 대한 액세스를 허용하십시오. “애플리케이션 권한 관리(관리자 또는 애플리케이션 소유자)”를 참조하십시오.
사용자가 구성된 애플리케이션에 사인온할 때 사용자에 대해 강화된 보안 제어를 위해 이중 인증을 적용하십시오. “인증 요소 구성”을 참조하십시오.