ID 공급자와의 통합을 위한 SAML
SAML(Security Assertion Markup Language)은 인증 및 권한 부여를 위한 XML 기반 개방형 표준입니다. SAML의 주요 이점 중 하나는 SSO(Single Sign-On)를 활성화하여 사용자가 클라우드 응용 프로그램 및 웹 사이트에 로그온해야 하는 횟수를 최소화한다는 것입니다.
인증 프로세스에는 세 가지 엔터티가 관련됩니다.
-
사용자가 응용 프로그램이나 서비스에 대한 액세스를 시작합니다.
-
IdP(ID 공급자)는 사용자 인증을 위한 신뢰할 수 있는 시스템입니다(예: Microsoft Entra ID 또는 Okta).
-
서비스 공급자(SP)는 사용자가 로그인하려는 응용 프로그램 또는 서비스입니다(예: Qlik Cloud).
ID 공급자는 사용자를 인증하고 사용자의 ID를 서비스 공급자에게 어설션합니다. 이는 SAML 어설션으로 알려진 디지털 서명된 XML 문서를 교환하여 수행됩니다. 이러한 어설션에는 사용자, 인증 상태 및 잠재적인 추가 특성에 대한 정보가 포함됩니다. 그러면 서비스 공급자는 사용자에게 해당 서비스에 대한 액세스 권한을 부여할 수 있습니다. ID 공급자에서 SSO를 활성화하면 사용자는 각 사이트에 로그인하지 않고도 여러 서비스 공급자 사이트와 응용 프로그램에 액세스할 수 있습니다.
SP 시작 및 IdP 시작 SSO
SAML은 서비스 공급자(SP) 또는 ID 공급자(IdP)가 시작한 로그인 흐름을 지원합니다.
SP 시작 SSO를 사용하면 사용자는 서비스 공급자 사이트에서 시작하지만 사이트에 로그인하는 대신 ID 공급자를 통해 SSO 인증이 시작됩니다. 예를 들어, 사용자가 서비스 공급자인 Qlik Cloud에 로그인하면 로그인이 실제 SSO 인증을 처리하는 ID 공급자로 전송됩니다.
IdP 시작 SSO를 사용하면 사용자가 ID 공급자에 직접 로그인하고 응용 프로그램을 선택하여 서비스 공급자에 대한 SSO 인증을 시작합니다.
어설션
어설션은 표준화된 형식의 인증 및 권한 부여 정보를 포함하는 XML 기반 문입니다. 이는 ID 공급자가 생성하고 서비스 공급자가 확인합니다.
ID 공급자와 통합할 때 SAML 어설션을 안전하게 교환하도록 응용 프로그램을 구성해야 할 수도 있습니다. 여기에는 신뢰 관계, 종료 지점 URL 및 인증서 교환 설정이 포함됩니다.
클레임
클레임은 ID 공급자가 주장하고 인증 프로세스 중에 서비스 공급자에게 전송되는 사용자에 대한 정보입니다. SAML은 이름, 이메일과 같은 사용자 특성을 포함한 일련의 표준 클레임을 정의합니다. 응용 프로그램 요구 사항에 따라 클레임 매핑을 수정할 수 있습니다.
메타데이터
신뢰 관계를 설정하고 SAML 프로토콜이 제대로 작동하도록 보장하기 위해서 IdP(ID 공급자)와 SP(서비스 공급자) 간의 메타데이터 교환은 필수적입니다.
IdP 메타데이터
서비스 공급자 설정에는 ID 공급자에 대한 메타데이터가 필요합니다. Qlik Cloud에서 관리 활동 센터를 통해 이 정보를 IdP 메타데이터 파일로 업로드할 수 있습니다.
ID 공급자 메타데이터에는 다음 세부 정보가 포함됩니다.
-
ID 공급자의 엔터티 ID.
-
단일 사인온(SSO) URL. 이는 서비스 공급자가 ID 공급자에게 SAML 인증 요청을 보내는 종료 지점입니다. 인증을 위해 사용자가 리디렉션되는 URL입니다.
-
서비스 공급자에게 보내는 SAML 어설션에 서명하기 위해 ID 공급자가 사용하는 서명 인증서.
SP 메타데이터
ID 공급자 측에서 구성을 설정하려면 서비스 공급자 메타데이터가 필요합니다. 이 정보는 Qlik Cloud의 관리 활동 센터에서 가져올 수 있습니다.
서비스 공급자 메타데이터에는 다음 세부 정보가 포함됩니다.
-
서비스 공급자의 엔터티 ID.
-
ACS(어설션 소비자 서비스) URL. 여기에서 ID 공급자가 인증 후 SAML 어설션을 보냅니다.
-
서비스 공급자가 ID 공급자에게 보내는 인증 요청에 서명하는 데 사용되는 서명 인증서.