다중 제공자 SSO를 사용하는 SAML 2.0 구성

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 8분

    • 복수 제공자 SSO 기능에서 SAML 2.0 SSO 구성을 생성하거나 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: 관리자

    이 태스크 정보

    주:
    릴리스에 새로 추가된 Jakarta 릴리스에서는 IdP 구성을 활성화하기 전에 연결 테스트 기능을 사용하여 구성의 유효성을 확인해야 합니다. 업데이트 기능을 사용하여 구성 데이터를 저장할 수 있지만 연결 테스트가 성공하지 않으면 활성 구성이 아닙니다.

    프로시저

    1. 다음으로 이동 모두 > 복수 제공자 SSO > ID 제공자.
    2. 다음 옵션 중 하나를 수행합니다.
      • 구성을 업데이트하려면 SSO 구성 기록을 클릭합니다.
      • 새 구성을 만들려면 다음을 클릭합니다. 신규 > SAML.
    3. 다음 방법 중 하나로 IdP 정보를 입력합니다.
      옵션설명
      메타데이터 설명자 URL 사용 URL 확인란을 클릭하고 사용 중인 IdP의 URL을 입력합니다.
      메타데이터 설명자 XML 파일 사용 XML 확인란을 클릭하고 사용 중인 IdP에서 작성된 XML 데이터를 붙여넣습니다.
      수동으로 메타데이터 입력 팝업 창을 닫고 속성 필드에 데이터를 수동으로 입력합니다.
      주:
      ID 제공자 양식에 모든 필수 필드를 작성해야 합니다.
      표 1. 다중 제공자 SSO(Single Sign-On) 필드
      속성 필수 설명
      이름 IdP의 이름을 입력합니다. 이 IdP는 자동 리디렉션 시스템 ID입니다.
      활성 인증에 사용할 IdP에 대해 Active를 true로 설정해야 합니다.
      주:
      이 속성을 설정하는 옵션은 연결 테스트가 성공한 후에만 제공됩니다.
      기본값 아니요 자동 리디렉션 IdP(이전의 기본 IdP)는 사용자를 기본 인스턴스 URL에 액세스하도록 자동으로 리디렉션합니다. 이 속성은 이 IdP 구성을 기본값으로 설정합니다.
      IDP 자동 리디렉션 아니요 이 IdP 구성을 자동 리디렉션 IdP로 설정합니다.
      주:
      새 자동 리디렉션 IdP 구성을 활성화하면 쿠키가 glide_sso_id 새 자동 리디렉션 IdP로 업데이트됩니다. glide.authenticate.sso.update.idp.cookie 자동으로 활성화된 시스템 속성이 이 기능을 제어합니다.
      ID 제공자 URL IdP의 URL을 입력합니다. 각 IdP URL은 고유해야 합니다.
      ID 제공자의 AuthnRequest SingleSignOnService 요소에서 가져온 HTTP-Redirect 바인딩에 대한 URL을 입력합니다.
      ID 제공자의 SingleLogoutRequest 아니요 SingleLogoutService 요소에서 가져온 URL을 입력합니다.
      ServiceNow 홈페이지 IdP가 인증되는 인스턴스의 URL을 입력합니다(로그인 페이지 포함). 예: https://yourinstance.service-now.com/navpage.do
      엔터티 ID/발급자 로그인 페이지를 제외한 기본 URL을 입력합니다. IdP가 인증하는 인스턴스의 예: https://yourinstance.service-now.com/
      대상 그룹 URI 로그인 페이지를 제외한 기본 URL을 입력합니다. IdP가 인증하는 인스턴스의 예: https://yourinstance.service-now.com/
      NameID 정책 통합에서 사용하는 NameIDFormat 요소의 값을 입력합니다.
      외부 로그아웃 리디렉션 아니요 사용자가 로그아웃한 후 통합이 사용자를 리디렉션하는 URL을 입력합니다.
      실패한 요구 사항 리디렉션 아니요 실패한 인증 요청을 리디렉션하기 위한 URL을 입력합니다. 기본적으로 IdP에서 구성한 오류 페이지 또는 로그아웃 페이지의 URL 엔드포인트입니다. glide.authenticate.failed_requirement_redirect 필드에 이 값을 채울 수 있습니다.
      클라이언트 유형 아니요 클라이언트 유형에 따라 클라이언트 유형을 선택합니다. 옵션: Iframe 임베디드.
      주:
      구성에 클라이언트 유형 필드가 필요한 경우 양식을 편집하고 필드를 추가할 수 있습니다. 자세한 내용은 를 참조하십시오 OAuth 및 SSO 기록에 대한 클라이언트 유형 구성.
    4. 옵션: 암호화 및 서명 탭
      주:
      • 암호화 및 서명에 사용자 고유의 인증서를 사용하는 것이 좋습니다.
      • FIPS 승인 모드에는 암호화 및 서명을 위해 다른 인증서가 필요합니다.
      • 인증서를 사용하는 동안 다음 시스템 속성을 인증서의 sys_id(x.509 인증서)으로 업데이트해야 합니다.
        • 서명 (glide.authenticate.sso.saml2.keystore)
        • 암호화 (glide.authenticate.sso.saml2.encryption.keystore)
      • ID 제공자 기록에서 서명 및 암호화 키 저장소의 키 별칭 및 암호를 업데이트하고 메타데이터를 생성해야 합니다( 메타데이터 생성 선택).
      • 생성된 메타데이터(XML)에 있는 서명 및 암호화 인증서를 ID 제공자에게 업로드합니다.
      암호화 및 서명
      표 2. 암호화 및 서명 필드
      속성 설명
      서명 키 별칭 SAML 2.0 SP 키 스토어에 저장되는 키 입력의 서명 별칭을 입력합니다.
      서명 키 암호 SAML 2.0 SP 키 스토어에 저장되는 키 입력의 서명 암호를 입력하십시오.
      암호화 키 별칭 SAML 2.0 SP 키 스토어에 저장된 키 항목의 암호화 별칭을 입력합니다.
      암호화 키 암호 SAML 2.0 SP 키 스토어에 저장된 키 입력의 암호화 암호를 입력합니다.
      어설션 암호화 SAML 응답에서 어설션을 암호화하려면 확인란을 선택합니다. IDP에 대해 생성된 메타데이터에는 x509 인증서가 포함되며, IDP는 이 인증서를 생성하여 생성되는 SAML 응답의 어설션을 암호화하는 데 사용합니다.
      서명 알고리즘 전자 서명을 인증을 위해 SAML 2.0 ID 제공자 AuthnRequest 소비자를 가리키는 URL을 입력합니다.
      AuthnRequest에 서명 IdP SSO(Single Sign-On) 서비스가 서명된 AuthnRequest를 수신할 수 있도록 하려면 이 확인란을 선택합니다.
      LogoutRequest에 서명 IdP SSO(Single Sign-On) 서비스가 서명된 LogoutRequest를 수신할 수 있도록 하려면 확인란을 선택합니다.
      로그아웃 응답 서명 IdP SSO(Single Sign-On) 서비스가 서명된 로그아웃 응답을 수신할 수 있도록 하려면 이 확인란을 선택합니다.
    5. 옵션: 사용자 프로비저닝 탭
      표 3. 사용자 프로비저닝 필드
      속성 설명
      자동 프로비저닝 사용자 자동 사용자 프로비저닝을 활성화하고 IdP에서 제공한 정보를 기반으로 인스턴스 사용자 테이블에 사용자가 없을 때 사용자를 작성합니다.
      각 로그인 시 사용자 기록 업데이트 사용자가 SAML을 사용하여 로그인할 때마다 인스턴스 사용자 테이블의 사용자 정보를 IdP의 정보로 업데이트합니다.
    6. 옵션: 고급 탭
      고급 탭
      표 4. 고급 필드
      속성 설명
      사용자 필드 IdP가 사용자를 식별하는 데 필요한 값이 포함된 필드를 사용자 테이블에 입력합니다. 응답의 일부로 지정된 고유 ID입니다. 예를 들어 사용자 이름, 직원 ID 등이 있습니다. 시스템 사용자 테이블에서 이 고유 ID는 사용자 상세 정보와 일치합니다.
      NameID 속성 새 NameID 정책을 구성하지 않는 한 이 필드를 비워 둡니다. 새 정책을 구성하는 경우 시스템은 로그인하는 사용자를 식별하는 데 사용해야 하는 사용자 테이블이 필요합니다. 시스템은 NameID 토큰을 여기에서 해당 사용자 테이블 필드의 이름과 일치시킵니다.
      AuthnContextClass 작성 암호 보호 전송과 같은 특정 컨텍스트 클래스를 지정하려면 확인란을 선택합니다. 확인란의 선택을 취소하면 IdP는 가장 적합한 컨텍스트 클래스를 선택합니다.
      AuthnContextClassRef 메서드 IdP에서 사용자를 인증하는 데 사용할 로그인 메커니즘의 URN을 입력합니다.
      AuthnRequest 강제 적용 AuthnRequest를 강제로 실행하려면 확인란을 선택합니다.
      소극적 AuthnRequest임 AuthnRequest가 수동인 경우 확인란을 선택합니다.
      1회 사용자 인증(SSO) 스크립트 Single Sign-On 스크립트를 선택합니다. 기본값은 MultiSSOV2_SAML2_custom입니다.
      로그아웃 응답 서명 이 필드에 로그아웃 응답 상세 정보를 입력합니다.
      클럭 오차 SAMLResponse nonce를 구성하는 두 속성 사이의 시간(초)을 입력합니다. 기본값은 60입니다. 올바른 SAMLResponse는 notBeforenotOnOrAfter 날짜-시간 값 사이에 있어야 합니다. 샘플 SAMLResponse 메시지는 SubjectConfirmation 및 SubjectConfirmationData 요소가 포함된 샘플 SAML 2 응답 및 AudienceRestrictions 및 Audience 요소가 포함된 샘플 SAML 2 응답을 참조하십시오.
      IDP의 SingleLogoutReuqest에 대한 프로토콜 바인딩 SingleLogoutService 요소의 Binding 특성에 나열된 지원되는 값 중 하나를 입력합니다.
      IDP 속성을 임포트하는 메타데이터 URL IdP 속성은 이 URL에서 임포트됩니다. 설정하면 이전 인증서가 만료된 경우 IdP에서 SAML 인증서를 자동으로 임포트할 수 있습니다.
      주:
      SAML2 업데이트 1에서 다중 제공자 SSO로 업그레이드하거나 SSO 연결을 수동으로 설정하는 경우 IdP 메타데이터 URL이 자동으로 채워지지 않습니다.
      요청 요청의 일부인 고유 ID이며 ID는 사용자 이름, 직원 ID 등이 될 수 있습니다.
      주:
      요청에 대해 리디렉션 및 사후 바인딩이 모두 지원됩니다. 이 필드를 설정하는 옵션은 연결 테스트가 성공한 후에만 나타납니다. 자세한 내용은 IdP 연결 테스트 문서를 참조하십시오.
      응답 응답의 일부인 고유 ID이며 ID는 사용자 이름, 직원 ID 등이 될 수 있습니다.
      주:
      응답에는 리디렉션 및 사후 바인딩이 모두 지원됩니다. 이 필드를 설정하는 옵션은 연결 테스트가 성공한 후에만 나타납니다. 자세한 내용은 IdP 연결 테스트 문서를 참조하십시오.
    7. 옵션: Continuous Authentication(연속 인증) 탭에서 다음 필드를 구성합니다.
      주:
      • 연속 인증 탭은 라이센스가 필요한 제로 트러스트 -com.snc.zero_trust_continuous_authentication(연속 인증) 플러그인을 설치할 때만 나타납니다.
      • 연속 인증 정책을 사용하여 테이블 또는 데이터 클래스에 대한 액세스를 보호하는 경우 을 참조하십시오 연속 인증(CA).
      연속 인증 - 탭 정보
      표 5. 연속 인증
      필드 설명
      연속 인증 구성됨 구성을 활성화하려면 확인란을 선택합니다.
      연속 인증 소비자 URL ID 제공자의 소비자 URL을 제공합니다.
      연속 인증 스크립트

      조회 아이콘을 선택하여 플랫폼에서 제공되는 스크립트를 선택합니다. 이 구성에서 SAML의 경우: MultiSSOv2_SAML2_ContinuousAuth_custom