SAML 연합 ID 개념

클라우드 서비스에서 구현된 연합 ID 프로세스, 지원되는 플로우 모델 및 인증 유형에 대해 알아봅니다.

SAML을 사용하는 프로세스 개요

클라우드 서비스는 SAML을 사용하여 SSO 서비스를 제공합니다. 이 구현에서는 조직이 ID 제공자이고 클라우드 서비스가 서비스 제공자입니다. SAML 1.1 또는 SAML 2.0을 사용할 수 있습니다.

ID 제공자로서 조직이 사용자를 인증합니다. 사용자 이름과 비밀번호로 로그인하거나 다른 방법으로 인증할 수 있습니다. 모바일 앱의 경우 사용자 이름과 비밀번호로 로그인하여 인증해야 합니다.

사용자가 인트라넷에 대한 액세스 권한을 얻거나 클라우드 서비스를 사용하려는 경우 조직에서 클라우드 서비스의 SAML 엔드포인트로 SAML 어설션을 보냅니다. SAML 어설션은 사용자를 안전하게 식별합니다. 클라우드 서비스에서는 SAML 어설션을 사용하여 사용자가 액세스할 수 있는지 결정합니다.

플로우 모델

연합 ID 관리에는 두 가지 플로우 모델이 있습니다. 한 모델은 ID 제공자 시작 모델(IdP 시작)이고 다른 모델은 서비스 제공자 시작 모델(SP 시작)입니다. 모바일 앱에서는 SP 시작 모델을 사용합니다.

SAML 1.1에서는 ID 제공자 검색 프로파일을 지원하지 않으므로 일반적으로 SP 시작 플로우 모델은 SAML 1.1에서 사용할 수 없습니다. 그러나 클라우드 서비스에서는 SAML 1.1 및 SAML 2.0을 모두 허용하는 하이브리드 버전의 SP 시작을 사용합니다. 결과적으로 ID 제공자 검색 프로파일은 클라우드 서비스에서는 필요하지 않으며 구현되지 않습니다.

클라우드 서비스는 SAML 1.1에서 사용하는 브라우저/POST 프로파일을 구현하고 SAML 2.0의 웹 브라우저 SSO 프로파일과 호환됩니다. 현재 다른 프로파일은 지원되지 않습니다.

다음 개요에서는 두 개의 플로우를 설명합니다.

IdP 시작
  1. 사용자가 조직의 인증 메커니즘을 통해 인트라넷에 대한 액세스 권한을 얻습니다.
  2. 사용자가 클라우드 제품(예: Connections Cloud 또는 SmartCloud Notes® web)의 링크가 포함된 인트라넷의 웹 페이지로 이동합니다.
  3. 사용자가 링크를 클릭합니다.
  4. SSO 프로세스가 시작됩니다. HTTP POST를 통해 SAML 어설션을 클라우드 엔드포인트로 보냅니다. 사용자에게 올바른 계정이 있으면 액세스가 허용됩니다.
  5. 사용자가 클라우드 제품과 상호 작용합니다.
SP 시작 하이브리드
  1. 사용자가 클라우드 서비스 로그인 페이지로 이동합니다.
  2. 사용자가 내 조직의 로그인 사용을 클릭합니다.
  3. 사용자가 사용자의 계정과 연관된 이메일 주소를 입력합니다.
  4. 클라우드 서비스가 이메일 주소를 검색한 다음 사용자의 경로를 조직의 인증 메커니즘으로 재지정합니다.
  5. Idp 시작 모델의 4단계부터 플로우가 계속됩니다.

SP 시작 하이브리드 플로우 모델은 모바일 앱에도 적용됩니다. 모바일 앱을 사용하기 전에 사용자가 클라우드 서버를 사용하도록 모바일 앱을 한 번 설정해야 합니다. 모바일 앱마다 설정 프로세스가 다르며, 지시사항은 각 앱의 문서에 포함되어 있습니다.

다음 개요에서는 모바일 앱의 플로우를 설명합니다.

모바일 앱용 SP 시작 하이브리드
  1. 모바일 앱이 클라우드 서비스에 연결을 시작합니다.
  2. 클라우드 서버가 이메일 주소를 검색한 다음 사용자 조직 모바일 인증 메커니즘의 모바일 로그인 URL로 응답합니다.
  3. 모바일 클라이언트에서 사용자의 이메일 주소와 비밀번호로 모바일 로그인 URL에 기본 인증 요청을 발행합니다.
  4. 기본 인증에 성공하면 SAML 어설션이 모바일 앱에 리턴됩니다.
  5. 모바일 앱에서 HTTP POST를 통해 클라우드 엔드포인트에 SAML 어설션을 보냅니다. 사용자에게 올바른 계정이 있으면 액세스가 허용됩니다.
  6. 모바일 사용자가 클라우드 제품과 상호 작용합니다.

로그인 유형

사용 가능한 로그인 유형에는 4가지(표준, 연합, 사용자 선택 및 관리자 선택)가 있습니다. 다른 유형 중 하나를 지정하지 않는 한 기본적으로 조직의 모든 사용자에게 표준 유형이 지정됩니다.

표준(비연합)

클라우드 로그인이 조직의 로그인 프로시저에 대해 독립적이며 별도로 수행됩니다. 사용자는 클라우드 기반 서비스를 사용하기 위해 자신의 이메일 주소 및 비밀번호로 로그인해야 합니다.

표준 유형은 기본 유형이며 사용자 측에서 수행할 조치가 없기 때문에 가장 쉽고 간단한 유형입니다.

연합

모든 사용자는 클라우드 기반 서비스에 액세스하기 전에 조직에서 인증을 받아야 합니다. 사용자에게는 클라우드 사용자 이름 또는 비밀번호가 없습니다. 클라우드 로그인 페이지로 이동하면 내 조직의 로그인 사용을 클릭해야 합니다. 연합 유형은 조직의 모든 사용자에 적용됩니다.

연합 유형은 일반적으로 사무실에서 작업하는 사용자에게 편리합니다. 사용자는 별도의 사용자 이름/비밀번호 조합을 사용하지 않고 시스템에 로그인하여 클라우드 제품을 사용할 수 있습니다. 그러나 사용자가 집이나 여행 중에 작업하는 경우 인터넷에서 디렉토리 서버에 액세스할 수 있어야 합니다. 또한 사용자에게 클라우드를 위한 별도의 로그인이 없기 때문에 SAML 또는 애플리케이션 비밀번호 사용을 지원하지 않는 서비스(예: POP/IMAP)는 사용할 수 없습니다.

연합 유형을 선택하면 SP 시작 플로우 모델을 구현해야 합니다.

사용자 선택

사용자가 클라우드 기반 서비스에 액세스하기 전에 조직에서 인증받거나 클라우드 사용자 이름 및 비밀번호를 사용하여 클라우드에 로그온하도록 선택할 수 있습니다. 사용자 선택 유형은 조직의 모든 사용자에게 적용됩니다.

사용자 선택 유형을 사용하면 사용자가 인터넷에서 클라우드에 액세스할 수 있지만 인터넷에서 디렉토리 서버에 액세스 가능하도록 만들 필요는 없습니다. 사용자가 사무실에 있을 경우 싱글 사인온 서비스를 사용하고 사무실 외부에 있을 경우 클라우드 로그인을 사용할 수 있습니다.

관리자 선택

조직의 각 사용자에게 이전에 나열된 유형(표준, 연합 또는 사용자 선택) 중 하나가 지정됩니다. 특정 사용자에게 유형을 지정하지 않을 경우 해당 사용자에게는 표준 유형이 지정됩니다.

하나의 그룹은 일반적으로 사무실에서 작업하고 다른 사용자 그룹은 일반적으로 집에서 작업하거나 자주 여행하는 경우 관리자 선택 유형을 사용하십시오. 예를 들어 사무실 직원에게는 연합 유형을 지정하고 외근 영업 팀에는 사용자 선택 유형을 지정할 수 있습니다.

관리자 선택 유형을 사용하여 사용 가능한 서비스별로 사용자를 그룹화할 수도 있습니다. 연합 유형의 사용자는 POP/IMAP에 대한 액세스 권한이 없지만 사용자 선택 유형의 사용자에게는 POP/IMAP에 대한 액세스 권한이 있습니다.

관리자 선택 유형을 선택하는 경우 SP 시작 플로우 모델을 구현해야 합니다.

연합 유형 중 하나가 구현되고 나면 고객 서비스 담당자에게 연락하여 다른 유형 중 하나로 변경할 수 있습니다. 고객 서비스 담당자가 프로세스에 대해 도움을 줍니다. 부분 유형을 사용하는 경우 고객 서비스 담당자에게 연락하지 않아도 한 유형에서 다른 유형으로 개별 사용자를 변경할 수 있습니다.

사용자가 싱글 사인온 세션에서 로그아웃할 때 브라우저의 경로가 재지정되는 URL을 지정하는 옵션이 있습니다. 이 옵션을 사용하여 사용자가 로그아웃할 때 사용자에게 표시되는 사용자 정의 웹 페이지를 보유할 수 있습니다. 또한 이 URL을 사용하여 사용자의 ID 제공자 관련 세션을 해제할 수도 있습니다. 고객 서비스 담당자는 이 기능에 대한 자세한 정보 및 사용법을 제공할 수 있습니다.