연동
연동은 다양한 애플리케이션에 대한 인증 서비스와 계정 정보를 설정하고 관리하는 서비스입니다.
SCP SingleID에서는 맞춤형으로 준비되어 제공되는 인증 연계 및 계정 배포 서비스와, DIY(Do-It-Yourself)기능을 통해 새로운 애플리케이션과의 연동을 지원합니다.
연동 메뉴를 통해 애플리케이션, Identity Provider, Authenticator, MFA Service Provider 와 같은 연동 관리 기능을 제공합니다.
애플리케이션
애플리케이션은 SCP SingleID의 인증 서비스를 적용하기 위한 다양한 애플리케이션들을 등록과 연결하는 메뉴입니다.
관리자는 애플리케이션 목록 화면을 통해서 새로운 애플리케이션을 등록/수정 할 수 있고, 등록된 애플리케이션들을 정렬, 검색, 삭제할 수 있습니다.
애플리케이션 목록
관리자는 애플리케이션 목록 화면에서 등록된 애플리케이션을 선택하여 수정/삭제, 정렬, 검색 등을 할 수 있으며, 등록 을 통해서 새로운 애플리케이션을 등록할 수 있는 메뉴 화면으로 이동할 수 있다.
애플리케이션 목록을 확인하려면, 다음과 같이 메뉴에 접근합니다.
- Admin Portal > 연동 > 애플리케이션
| 구분 | 설명 |
|---|---|
| 이름 | 애플리케이션의 이름입니다. 애플리케이션 생성 시 입력 가능합니다. |
| 유형 | 애플리케이션 연동 프로토콜로 SAML, OIDC, SCIM으로 구분합니다. |
| 화면표시 | User Portal 애플리케이션 목록에 표시 항목입니다.
|
| 상태 | 애플리케이션 상태입니다. 활성, 비활성으로 구분합니다.
|
| 모두 버튼 | 활성 애플리케이션과 비활성 애플리케이션을 목록에 모두 표시합니다. |
| 활성 버튼 | 활성 애플리케이션만 목록에 표시됩니다. |
| 비활성 버튼 | 비활성 애플리케이션만 목록에 표시됩니다. |
| 검색어 입력란 | 애플리케이션 목록을 검색 가능합니다. 검색어를 입력 후 돋보기 모양을 클릭하거나 Enter를 입력하면 검색이 수행됩니다.
|
| 상세 버튼 | 검색을 상세하게 검색 가능합니다. 검색 조건을 AND 조건으로 검색 가능합니다. 여러 필드를 입력 후 ‘검색’ 버튼을 클릭하면, 조건에 맞게 검색이 됩니다.
|
| 다운로드 버튼 | SAML 메타 데이터 다운로드가 가능합니다. 내부 네트워크와 인터넷망의 SAML 메타 데이터 파일을 다운로드할 수 있습니다. |
| 등록 버튼 | 신규로 애플리케이션을 등록 가능합니다. |
애플리케이션 등록
관리자는 애플리케이션을 목록 화면에서 등록 버튼을 클릭하여 등록을 할 수 있습니다.
애플리케이션 등록은 Custom App Integration과 Pre-Built App Integration 두 가지 방법으로 등록 가능합니다.
애플리케이션 등록하려면, 다음과 같이 메뉴에 접근합니다.
- Admin Portal > 연동 > 애플리케이션 > 등록 버튼 클릭
- Custom App Integration or Pre-Built App Integration 탭 선택
Custom App Integration
Custom App Integration 등록은 연동하려는 애플리케이션 인증하고 계정 배포하기 위한 연결 메뉴입니다.
다음과 같이 세가지 유형의 연결 기능을 제공합니다.
인증을 연결하여 애플리케이션을 등록하고자 할 때에는 표준 인증연계 방식에 따라서 유형(SAML, OIDC)을 제공하며 선택합니다.
계정 배포를 연결하여 애플리케이션을 등록할 때에는 표준 온라인 API방식(SCIM)을 제공합니다.
SingleID에서 제공되는 연계 기능은 다음과 같이 구분할 수 있으며, 필요한 연계 범위에 따라서 정보 입력 및 설정 단계가 다릅니다. 표준 인증 연계 방식인 SAML과 OIDC 설정 시 계정 배포를 선택하지 않으면 속성 연계 단계가 생략되어 등록 단계가 단축됩니다.
| 표준 프로토콜 | 인증 연계, 계정 배포 연계 | 인증 연계 | 계정 배포 연계 |
|---|---|---|---|
| SAML | ○ | ○ | - |
| OIDC | ○ | ○ | - |
| SCIM | - | - | ○ |
애플리케이션 Custom App Integration을 등록하려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > 애플리케이션 > 등록 버튼 클릭
- Custom App Integration > Web Application(SAML) orWeb Application(OIDC) or Identity Provisioning(SCIM v2.0) 선택 > 다음 버튼 클릭
- 상세 설정으로 이동
다음과 같이 6단계로 이루어진 화면을 통해서 연계에 필요한 정보를 입력하고 설정하여 애플리케이션을 등록할 수 있습니다.
표준 프로토콜(SAML, OIDC, SCIM) 방식의 애플리케이션은 다음과 같은 6단계로 이루어진 화면을 통해 정보를 등록하고 정책과 속성 등을 설정할 수 있습니다.
일반
애플리케이션 일반 정보를 아래를 참조하여 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 이름 | 애플리케이션의 이름 입력합니다. | 필수 |
| 설명 | 애플리케이션에 대한 설명 입력입력합니다. | 선택 |
| 로고 이미지 | 로고 등록합니다. (파일 업로드 또는 URL 링크) | 선택 |
| 화면표시 | User Portal에서 사용자에게 표시합니다. | 선택 |
| Access URL | 애플리케이션 접속 URL 입력합니다. | 필수 |
| 자동 로그아웃 | 세션 정책에 따른 자동 로그아웃 설정합니다. | 선택 |
| 자동 리다이렉션 | 로그아웃 후 Service Provider로 자동 이동 설정합니다. | 선택 |
| 로그아웃 후 URL | 로그아웃 시 이동할 URL 주소 입력를 입력 (미입력 시 Access URL 사용) | 선택 |
SSO
SSO 정보 입력 화면에서 Single Sign On 설정 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| Issuer | SP의 고유 식별 값 입력합니다. | 필수 |
| Single Sign-On URL | 로그인용 Full URL 입력합니다. | 필수 |
| 로그아웃 URL | SLO Return URL 입력합니다. | 선택 |
| 로그아웃 방식 | Back-Channel Logout, Front-Channel Logout(HTTP Redirect Binding), Front-Chennel Logout(HTTP POST Binding) 제공합니다. | 필수 |
| Response Signing | SAML Response 서명 설정입니다. | 선택 |
| Validation On-Request | Signature Validation 사용 여부 설정입니다. | 선택 |
| Encryption | Encryption 적용 여부 설정입니다. | 선택 |
| Application Certificate | 인증서 등록입니다.(PEM 형식) | 필수 |
| Attribute to map during SSO | SSO 연결 속성 정보 선택 및 고유 값 설정합니다. | 필수 |
| ‘메타데이터 파일 가져오기’ 버튼 | SAML 메타데이터 파일 업로드 기능 제공합니다.(ID 제공자 엔드포인트 및 인증서 식별) | 선택 |
Single Sign-On 설정
- Validation On Request와 Encryption 중 하나를 선택하면, 인증서를 등록해야 합니다. (Plain Text로 Export 받은 인증서 값을 등록)
- Attribute to map during SSO 정보는 추가를 클릭하여 SingleID에서 제공하는 속성 정보를 선택할 수 있습니다. 선택된 속성 중 사용자 식별을 위한 고유 값을 필수로 선택하여야 합니다.
- SingleID의 Attribute 정보를 연결되는 대상 애플리케이션에 전달하기 위해 SingleID 속성 이름을 애플리케이션에 매핑될 속성 이름으로 맞추어서 전달할 수 있습니다. 이렇게 인증을 하면서 통신하는 정보를 클레임(Claim) 정보라고 하며, 전달받은 정보를 활용하여 SP에서는 권한을 설정하거나 운영 및 관리를 위한 속성정보로 활용하게 됩니다.
Provisioning
Provisioning 메뉴는 계정 관리 기능으로 사용자 정보를 애플리케이션으로 배포하여 동기화 할 수 있습니다. SingleID에서는 SCIM과 REST 등 글로벌 표준 API 규격의 방식을 제공합니다.
Provisioning 정보입력 화면에서 계정정보 배포를 위한 설정 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| Provisioning Configuration | 계정 정보 동기화를 사용하시려면, On 버튼을 클릭해주세요. Off를 선택하면 계정 동기화를 SKIP 할 수 있습니다. | 필수 |
| Base Address | SCIM API를 지원하는 대상 시스템의 Endpoint를 정의하는 Base Address(URL)를 입력합니다. | 필수 |
| Accept | SCIM REQUEST에 사용되는 HTTP Accept Header 값 인 Accept (예: application/json) 정보를 입력합니다. | 필수 |
| Content Type | SCIM REQUEST에 사용되는 HTTP Content Type header 값인 Content Type(예: application/json)을 입력합니다. | 필수 |
| User Name | 대상 REST 서비스에 인증시 사용되는 User Name을 등록합니다. | 필수 |
| Password | 대상 REST 서비스에 인증시 사용되는 Password를 설정합니다. | 필수 |
| Bearer Token | API를 호출할 때 사용되는 Bearer Token을 등록합니다(authorizaton용). | 선택 |
| Client ID | Client ID를 등록합니다. Client ID는 인증 서버에서 등록된 Client에게 발급하는 ID이며, Clien ID 자체는 리소스 오너에 공개되는 정보이기 때문에 Client 인증시 Clident ID 만으로 사용하면 안 됩니다. | 선택 |
| Client Secret | Client Secret 정보를 등록합니다. Client Secret은 인증 서버에 의해 생성되는 비밀 정보로써 인증 서버에게만 알려진 고유한 값 입니다. | 선택 |
| Access Token Node ID | Access Token Node ID를 등록합니다. Access Token Node ID는 JSON Object Node의 Field ID로써, 대상 Access Token REST 서비스로부터 리턴받게되며 Token 값을 포함합니다. Access Token은 리소스에 접근을 허가(authorize)하는 목적에 사용됩니다. 리소스 서버는 Client로부터 Access Token 만 수용하도록 하는 것이 중요합니다. | 선택 |
| Access Token Base Address | 대상 REST 서비스의 Base Address로써 Access Token을 받기 위해 필요한 Access Token Base Address(URL)를 등록합니다. | 선택 |
| Access Token Content Type | 대상 Access Token REST 서비스의 HTTP Content Type header 값인 Access Token Content Type(예: application/x-www-form-urlencoded)을 등록합니다. | 필수 |
| Provisioning | Provisioning 대상을 사용자와 그룹 중 기본 하나를 선택하며, 필요한 경우 사용자와 그룹 모두 선택하여 설정할 수 있습니다. | 선택 |
| Inbound Provisioning Schedule | On을 클릭하여 Intbound Provisioning Schedule을 통해서 주기적(시간, 일자, 월, 년)으로 등록할 수 있습니다 | 선택 |
| Outbound Provisioning Schedule | On을 클릭하여 Outbound Provisioning Schedule을 등록할 수 있습니다. Off을 클릭하면 실시간으로 배포할 수 있습니다. | 선택 |
프로파일
프로파일 정보입력 화면에서 배포를 위한 사용자/그룹의 설정 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 프로파일 이름 | 프로파일 이름을 입력합니다. | 필수 |
| 설명 | 프로파일에 대한 설명을 등록합니다. | 선택 |
| 속성 | 추가을 클릭하여 속성 정보를 선택하여 입력합니다. | 선택 |
프로파일 매핑
- Provisioning 대상을 선택한 탭 메뉴로 사용자, 그룹을 클릭하여 속성을 추가 합니다.
- 프로파일 매핑을 클릭해서 SCIM 스키마 정보를 기준으로 대상 애플리케이션에서 필요한 정보를 맞추어 연결합니다.
- Provisioning을 실행 할 때 실시간으로 컨버전 할 수 있는 실행 스크립트(JEXL 표준 스크립트 기반으로 컨버팅 스크립트) 작성를 구성할 수있는 기능을 제공합니다. 단, 입력한 대로 받아서 실행하는 구조로 밸리데이션 체크 기능은 없습니다.
모든 항목을 입력 후 완료 버튼을 클릭하면 기본적인 애플리케이션 설정이 완료됩니다. 새로운 애플리케이션 등록을 완료하면, 애플리케이션 목록에 등록되고 정책, 할당 이라는 신규 탭이 추가 생성됩니다.
정책
애플리케이션 정책 설정을 위한 로그인 정책과 접근제어 정보를 설정할 수 있습니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 로그인 정책 | 애플리케이션에 로그인 할 때 적용되는 로그인 정책을 설정합니다. 설정하려면 설정할 로그인 정책에서 애플리케이션을 할당해주세요. | 선택 |
| 접근 제어 | 사용자가 앱 사용을 접근을 제어하는 설정입니다. 활성화 시 애플리케이션에 접근 허용 요청 여부 및 승인 유무에 대해서 설정할 수 있습니다. | 선택 |
할당
애플리케이션 사용자를 할당하기 위한 정보를 사용자와 그룹 기준으로 등록합니다. 등록한 애플리케이션에 접근할 수 있는 사용자와 그룹을 설정하여 접근 권한을 할당하는 메뉴입니다.
사용자를 할당하시려면, 다음의 절차를 따르세요.
- 애플리케이션 클릭하면, 해당 애플리케이션 상세 페이지로 이동합니다.
- 할당 탭을 클릭하시고 사용자 탭 > 할당 버튼을 클릭하세요.
- 사용자 할당 팝업창이 나타나면 할당하려는 사용자를 선택하고, 할당 버튼을 클릭하세요.
- 할당 탭에 선택하신 사용자가 목록에 나타납니다.
동일하게 그룹 탭에서 할당 버튼을 통해 사전에 정의된 그룹을 할당이 가능합니다. 동일한 방법으로 그룹을 할당하세요.
그룹 설정
- 애플리케이션에 접근할 수 있는 그룹을 설정할 때 특정 그룹을 정의하여 구분할 수 있는 정보 포함하도록 설정합니다.
- 그룹을 구분할 수 있는 멤버 규칙으로 접근권한을 관리할 수 있도록 사전에 규칙과 그룹을 정의하여야 합니다.
애플리케이션 상태
활성화(Active): User Portal에 애플리케이션을 노출시키며, Sign-On 서비스, 프로비저닝, 정책 등을 설정하여 사용자가 애플리케이션에 접근하여 사용할 수 있는 상태입니다.
비활성화(Inactive): User Portal에 애플리케이션을 노출시키지 않으며, 애플리케이션을 삭제할 수 있는 상태입니다.
삭제: 등록한 애플리케이션을 삭제를 할 때에는 주의가 필요합니다. 이에 팝업창을 띄워서 애플리케이션 정보와 상태를 한 번 더 확인할 수 있도록 합니다.
Pre-Built App Integration
Pre-Built App Integration 메뉴는 사용하고자 하는 SaaS 애플리케이션을 쉽고 빠르게 바로 연결하여 사용할 수 있도록 연결 정보, 이름, 아이콘을 비롯한 필요한 설정을 미리 준비하여 편리하게 사용하도록 제공되는 메뉴입니다.
Pre-Built App Integration을 통해 애플리케이션을 연동하려면, 아래의 메뉴 경로를 확인하세요.
- Admin Portal > 연동 > 애플리케이션 > 등록 > Pre-Built App Integration 탭 클릭
- Application 선택 > 다음 버튼 클릭
- 상세 설정으로 이동
Pre-Built App Integration 메뉴도 Custom App Integration 메뉴와 동일하게 다음과 같이 6단계로 이루어진 화면을 통해서 연계에 필요한 정보를 입력하고 설정하여 애플리케이션을 등록할 수 있습니다.
각 단계별 입력 항목과 방법은 Pre-Built를 위해 사전에 정의되어 입력된 정보를 제외하고 동일합니다.
일반
애플리케이션 일반 정보를 아래를 참조하여 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 이름 | 애플리케이션의 이름을 입력합니다. | 필수 |
| 설명 | 애플리케이션에 대한 설명(업무, 용도 등)을 입력합니다. | 선택 |
| 로고 이미지 | 애플리케이션을 직관적으로 식별할 수 있는 로고를 등록합니다. 파일 업로드 방식과 URL 링크 방식이 있습니다. | 선택 |
| 화면표시 | 선택 시 User Protal에서 사용자에게 보여집니다. | 선택 |
| Access URL | 애플리케이션의 Access URL을 입력합니다. 접속할 애플리케이션 Access은 로그인 페이지를 입력하세요. | 필수 |
| 자동 로그아웃 | 선택 시 세션 정책에 의해 로그 아웃 시 재 확인 없이 자동 로그아웃 처리 됩니다. | 선택 |
| 자동 리다이렉션 | 선택 시 로그아웃 완료 페이지를 표시하지 않고 Service Provider로 이동합니다. | 선택 |
| 로그아웃 후 URL | 사용자가 로그아웃 할 경우 이동할 URL 주소를 입력하세요. 미입력 시 Access URL 주소로 설정됩니다. | 선택 |
SSO
SSO 정보 입력 화면에서 Single Sign On 설정 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| Issuer | SP (Service Provider)의 고유한 식별 값이자 Response Issuer에 의해 확인되는 값인 Issuer를 입력합니다. | 필수 |
| Single Sign-On URL | 시스템에 로그인될 때 필요한 Full URL인 Single Sign-On URL을 입력합니다. | 필수 |
| 로그아웃 URL | SLO (Single Logout) Return을 위한 URL 값인 Logout URL을 입력합니다. | 선택 |
| 로그아웃 방식 | SLO (Single Logout) Return을 위한 로그아웃 방식은 아래와 같이 3가지 방식으로 제공합니다.
| 필수 |
| Response Signing | Return된 SAML Response를 인증 프로세스 이후에 서명 하려면 Response Signing을 사용합니다. | 선택 |
| Validation On-Request | Signature Validation을 사용하려면 체크합니다. | 선택 |
| Encryption | Encryption 적용 여부를 선택합니다. | 선택 |
| Application Certificate | Validation On Request와 Encryption 중 하나를 선택하면, “인증서”를 등록해야 합니다. PEM(Privacy-Enhanced Mail) 형식에 맞게 유효한 값을 입력해주세요. | 필수 |
| Attribute to map during SSO | SSO 연결에 필요한 속성 정보를 선택하여 사용자 식별을 위한 고유 값을 설정합니다. ※ Subject Attribute를 선택해야 ‘다음’ 버튼이 활성화됩니다. | 필수 |
| ‘메타데이터 파일 가져오기’ 버튼 | SAML 메타데이터 파일에는 SAML 2.0 프로토콜 메시지 교환에 사용할 수 있는 다양한 SAML 인증 기관에 대한 정보가 포함되어 있습니다. 이 메타데이터는 SAML 2.0 메시지 교환을 보호하기 위해 ID 제공자 엔드포인트 및 인증서를 식별합니다. 메타데이터 파일 가져오기를 클릭하면, 파일을 업로드 할 수 있습니다. | 선택 |
Single Sign-On 설정
- Validation On Request와 Encryption 중 하나를 선택하면, 인증서를 등록해야 합니다. (Plain Text로 Export 받은 인증서 값을 등록)
- Attribute to map during SSO 정보는 추가를 클릭하여 SingleID에서 제공하는 속성 정보를 선택할 수 있습니다. 선택된 속성 중 사용자 식별을 위한 고유 값을 필수로 선택하여야 합니다.
- SingleID의 Attribute 정보를 연결되는 대상 애플리케이션에 전달하기 위해 SingleID 속성 이름을 애플리케이션에 매핑될 속성 이름으로 맞추어서 전달할 수 있습니다. 이렇게 인증을 하면서 통신하는 정보를 클레임(Claim) 정보라고 하며, 전달받은 정보를 활용하여 SP에서는 권한을 설정하거나 운영 및 관리를 위한 속성정보로 활용하게 됩니다.
Provisioning
Provisioning 메뉴는 계정 관리 기능으로 사용자 정보를 애플리케이션으로 배포하여 동기화 할 수 있습니다. SingleID에서는 SCIM과 REST 등 글로벌 표준 API 규격의 방식을 제공합니다.
Provisioning 정보 입력 화면에서 계정 정보 배포를 위한 설정 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| Provisioning Configuration | 계정 정보 동기화를 사용하려면 ‘On’ 버튼을 클릭하세요. ‘Off’를 선택하면 계정 동기화를 SKIP할 수 있습니다. | 필수 |
| Base Address | SCIM API를 지원하는 대상 시스템의 Endpoint를 정의하는 Base Address(URL)를 입력합니다. | 필수 |
| Accept | SCIM REQUEST에 사용되는 HTTP Accept Header 값인 Accept(예: application/json) 정보를 입력합니다. | 필수 |
| Content Type | SCIM REQUEST에 사용되는 HTTP Content Type header 값인 Content Type(예: application/json)을 입력합니다. | 필수 |
| User Name | 대상 REST 서비스에 인증 시 사용되는 User Name을 등록합니다. | 필수 |
| Password | 대상 REST 서비스에 인증 시 사용되는 Password를 설정합니다. | 필수 |
| Bearer Token | API를 호출할 때 사용되는 Bearer Token을 등록합니다(authorization용). | 선택 |
| Client ID | Client ID를 등록합니다. Client ID는 인증 서버에서 등록된 Client에게 발급하는 ID이며, Client ID 자체는 리소스 오너에 공개되는 정보이기 때문에 Client 인증 시 Client ID 만으로 사용하면 안 됩니다. | 선택 |
| Client Secret | Client Secret 정보를 등록합니다. Client Secret은 인증 서버에 의해 생성되는 비밀 정보로써 인증 서버에게만 알려진 고유한 값입니다. | 선택 |
| Access Token Node ID | Access Token Node ID를 등록합니다. Access Token Node ID는 JSON Object Node의 Field ID로써, 대상 Access Token REST 서비스로부터 리턴받게 되며 Token 값을 포함합니다. Access Token은 리소스에 접근을 허가(authorize)하는 목적에 사용됩니다. 리소스 서버는 Client로부터 Access Token 만 수용하도록 하는 것이 중요합니다. | 선택 |
| Access Token Base Address | 대상 REST 서비스의 Base Address로써 Access Token을 받기 위해 필요한 Access Token Base Address(URL)를 등록합니다. | 선택 |
| Access Token Content Type | 대상 Access Token REST 서비스의 HTTP Content Type header 값인 Access Token Content Type(예: application/x-www-form-urlencoded)을 등록합니다. | 필수 |
| Provisioning | Provisioning 대상을 사용자와 그룹 중 기본 하나를 선택하며, 필요한 경우 사용자와 그룹 모두 선택하여 설정할 수 있습니다. | 선택 |
| Inbound Provisioning Schedule | On을 클릭하여 Intbound Provisioning Schedule을 통해서 주기적(시간, 일자, 월, 년)으로 등록할 수 있습니다. | 선택 |
| Outbound Provisioning Schedule | On을 클릭하여 Outbound Provisioning Schedule을 등록할 수 있습니다. Off을 클릭하면 실시간으로 배포할 수 있습니다. | 선택 |
프로 파일
프로파일 정보입력 화면에서 배포를 위한 사용자/그룹의 설정 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 프로파일 이름 | 프로파일 이름을 입력합니다. | 필수 |
| 설명 | 프로파일에 대한 설명을 등록합니다. | 필수 |
| 속성 | 추가를 클릭하여 속성 정보를 선택하여 입력합니다. | 필수 |
프로파일 매핑
- Provisioning 대상을 선택한 탭 메뉴로 사용자, 그룹을 클릭하여 속성을 추가 합니다.
- 프로파일 매핑을 클릭해서 SCIM 스키마 정보를 기준으로 대상 애플리케이션에서 필요한 정보를 맞추어 연결합니다.
- Provisioning을 실행 할 때 실시간으로 컨버전 할 수 있는 실행 스크립트(JEXL 표준 스크립트 기반으로 컨버팅 스크립트 작성)를 구성할 수있는 기능을 제공합니다.
단, 입력한 대로 받아서 실행하는 구조로 밸리데이션 체크 기능은 없습니다.
모든 항목을 입력 후 완료 버튼을 클릭하면 기본적인 애플리케이션 설정이 완료됩니다. 새로운 애플리케이션 등록을 완료하면, 애플리케이션 목록에 등록되고 정책, 할당 이라는 신규 탭이 추가 생성됩니다.
정책
애플리케이션 정책 설정을 위한 로그인 정책과 접근제어 정보를 설정할 수 있습니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 로그인 정책 | 애플리케이션에 로그인 할 때 적용되는 로그인 정책을 설정합니다. 설정하려면 설정할 ‘로그인 정책’에서 애플리케이션을 할당해주세요. | 선택 |
| 접근 제어 | 사용자가 앱 사용을 접근을 제어하는 설정입니다. 활성화 시 애플리케이션에 접근 허용 요청 여부 및 승인 유무에 대해서 설정할 수 있습니다. | 선택 |
할당 설정
애플리케이션 사용자를 할당하기 위한 정보를 사용자와 그룹 기준으로 등록합니다. 등록한 애플리케이션에 접근할 수 있는 사용자와 그룹을 설정하여 접근 권한을 할당하는 메뉴입니다.
사용자를 할당하시려면, 다음의 절차를 따르세요.
- 애플리케이션 클릭하면, 해당 애플리케이션 상세 페이지로 이동합니다.
- 할당 탭을 클릭하시고 사용자 탭 > 할당 버튼을 클릭하세요.
- 사용자 할당 팝업창이 나타나면 할당하려는 사용자를 선택하고, 할당 버튼을 클릭하세요.
- 할당 탭에 선택하신 사용자가 목록에 나타납니다.
동일하게 그룹 탭에서 할당 버튼을 통해 사전에 정의된 그룹을 할당이 가능합니다. 동일한 방법으로 그룹을 할당하세요.
그룹 설정
애플리케이션에 접근할 수 있는 그룹을 설정할 때 특정 그룹을 정의하여 구분할 수 있는 정보 포함하도록 설정합니다. 그룹을 구분할 수 있는 멤버 규칙으로 접근권한을 관리할 수 있도록 사전에 규칙과 그룹을 정의하여야 합니다.
애플리케이션 상태
- 활성화(Active): User Portal에 애플리케이션을 노출시키며, Sign-On 서비스, 프로비저닝, 정책 등을 설정하여 사용자가 애플리케이션에 접근하여 사용할 수 있는 상태입니다.
- 비활성화(Inactive): User Portal에 애플리케이션을 노출시키지 않으며, 애플리케이션을 삭제할 수 있는 상태입니다.
- 삭제: 등록한 애플리케이션을 삭제를 할 때에는 주의가 필요합니다. 이에 팝업창을 띄워서 애플리케이션 정보와 상태를 한 번 더 확인할 수 있도록 합니다.
애플리케이션 수정
애플리케이션을 목록 화면에서 애플리케이션을 클릭하면 설정을 수정할 수 있습니다.
애플리케이션을 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > 애플리케이션 선택 > 수정 버튼을 클릭하세요.
- 일반, SSO, 프로비저닝, 정책, 할당, 권한 항목, 리브랜딩 탭을 클릭하여 수정할 항목 수정하세요.
- 저장 버튼을 클릭하세요.
권한 항목
권한 항목 탭은 애플리케이션의 권한과 동기화 연동을 제공합니다.
권한를 설정하시려면, 다음의 절차를 따르세요.
- 애플리케이션 클릭하면, 해당 애플리케이션 상세 페이지로 이동합니다.
- 할당 탭을 클릭하시고 권한 항목 탭 > 등록 버튼을 클릭하세요.
- 권한 항목 팝업창이 나타나면 권한 항목을 등록이 필요합니다.
- 권한, 키, 표시이름, 내용을 입력하고 저장을 클릭하면 권한이 등록 됩니다.
리브랜딩
애플리케이션에서 등록 시에는 나타나지 않는 리브랜딩 탭이 추가로 생성이 됩니다. 애플리케이션의 리브랜딩은 별도의 애플리케이션을 접근할 경우 로그인 페이지에 대한 리브랜딩 기능이 포함되어 있습니다.
포함된 리브랜딩 기능은 아래와 같습니다.
- 파비콘 : 브라우저 상 파비콘을 수정 가능합니다.
- 헤더 로고: 로그인 화면상 헤더의 로고를 원하시는 로고로 수정이 가능합니다.
- 키비주얼 이미지: 기본으로 설정된 로그인 페이지의 키 이미지를 수정이 가능합니다.
- 회원가입 페이지 리다이렉션: SingleID의 회원 가입 페이지가 아닌 별도 운영 회원 가입 페이지로 등록 가능합니다.
- 개인정보처리방침 리다이렉션: 기존 애플리케이션에서 사용하던 개인정보처리방침 URL를 등록할 수 있습니다.
- 이용약관 리다이렉션: 기존 애플리케이션에서 사용하던 이용약관 URL를 등록할 수 있습니다.
리브랜딩 탭 활성화 조건
리브랜딩 탭은 SAML, OIDC 대상 애플리케이션에서 나타납니다.
UI
애플리케이션을 목록 화면에서 애플리케이션을 클릭하여, 리브랜딩 탭에서 수정 버튼을 클릭하면 UI에 대한 애플리케이션별 리브랜딩 설정이 가능합니다.
파비콘 변경
애플리케이션에서 별도의 파비콘 변경은 기업 애플리케이션 특성에 맞게 설정할 수 있습니다.
파비콘을 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > 애플리케이션 선택 > UI > 수정 버튼을 클릭하세요.
- 파비콘 항목에서 사용자 정의를 선택하세요.
- 파비콘 이미지(연필 모양) 항목을 클릭하여, 파비콘 이미지를 클릭하세요.
- 아이콘 파일을 업로드하시거나 아이콘 이미지 URL을 입력하세요.
- 저장 버튼을 클릭하여 미리보기 화면을 통해 정상적으로 업로드가 되었는지 확인하세요. 6.한국어 페이지 제목에 한국어로 입력하세요.
- 영문 페이지 제목에 영어로 입력하세요.
- 입력이 완료됬으면, 오른쪽 미리보기를 통해 정상적으로 입력이 되었는지 확인하세요.
- 우측 하단에 발행 버튼을 클릭하세요.
헤더 로고 변경
애플리케이션에서 별도의 헤더 로고 변경은 기업 애플리케이션 특성에 맞게 설정할 수 있습니다.
헤더 로고을 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > 애플리케이션 선택 > UI > 수정 버튼을 클릭하세요.
- 헤더 로고 항목에서 사용자 정의를 선택하세요.
- 텍스트 로고와 이미지 로고를 선택하여 설정 가능합니다.
- 한국어 Redirect URL과 영어 Redirect URL를 입력하세요.
- 입력이 완료됬으면, 오른쪽 미리보기를 통해 정상적으로 입력이 되었는지 확인하세요.
- 우측 하단에 발행 버튼을 클릭하세요.
키비주얼 변경
애플리케이션에서 별도의 키비주얼 변경은 기업 애플리케이션 특성에 맞게 설정할 수 있습니다.
키비주얼을 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > 애플리케이션 선택 > UI > 수정 버튼을 클릭하세요.
- 키비주얼 항목에서 사용자 정의를 선택하세요.
- 모든 언어의 하나의 키비주얼 사용과 언어별 키비주얼 사용을 클릭하세요.
- 이미지 업로드가 완료됬으면, 오른쪽 미리보기를 통해 정상적으로 입력이 되었는지 확인하세요.
- 우측 하단에 발행 버튼을 클릭하세요.
리다이렉션
애플리케이션을 목록 화면에서 애플리케이션을 클릭하여, 리브랜딩 탭에서 수정 버튼을 클릭하면 리다이렉션에 대한 애플리케이션별 리브랜딩 설정이 가능합니다.
| 구분 | 설명 |
|---|---|
| 회원가입 | 별도의 회원가입 페이지를 설정하시고 싶은 경우 URL를 입력합니다. |
| 개인정보처리방침 | 애플리케이션에서 별도의 개인정보처리방침 URL를 입력합니다. |
| 이용약관 | I애플리케이션에서 별도의 이용약관 URL를 입력합니다. |
애플리케이션 삭제
애플리케이션 목록 화면에서 애플리케이션를 선택 후 비활성화 한 후 목록 화면으로 돌아와 삼점 모양에서 삭제할 수 있습니다. 다시 등록하시려면 추가 버튼을 클릭하여 등록하세요.
Identity Provider
SCP SingleID에 인증 서비스와 인증 정보를 제공해 주는 IdP를 등록하고 관리하는 메뉴입니다. 이때 SCP SingleID는 Service Provider되어 IdP로부터 인증 서비스를 제공 받게 됩니다.
Identity Provider 목록
목록 화면에서 등록된 Identity Provider를 선택하여 수정/삭제, 정렬, 검색 등을 할 수 있으며, 등록 을 통해서 새로운 Identity Provider를 등록할 수 있는 메뉴 화면으로 이동할 수 있다.
Identity Provider 목록을 확인하려면, 다음과 같은 메뉴에 접근 가능합니다.
- Admin Portal > 연동 > Identity Provider
| 구분 | 설명 |
|---|---|
| 이름 | Identity Provider 이름입니다. |
| 유형 | Identity Provider가 등록된 표준 프로토콜를 표시합니다. Identity Provider 유형은 SAML2.0과 OIDC 방식으로 구분됩니다. |
| 상태 | Identity Provider의 상태를 표시합니다. 활성과 비활성으로 구분됩니다. |
| 활성 버튼 | 활성 Identity Provider만 목록에 표시됩니다. |
| 비활성 버튼 | 비활성 Identity Provider만 목록에 표시됩니다. |
| 검색어 입력란 | Identity Provider 목록을 검색 가능합니다. 검색어를 입력 후 돋보기 모양을 클릭하거나 Enter를 입력하면 검색이 수행됩니다. 검색 가능 항목: 이름, 설명 |
| 상세 버튼 | 검색을 상세하게 검색 가능합니다. 검색 조건을 AND 조건으로 검색 가능합니다. 여러 필드를 입력 후 검색 버튼을 클릭하면, 조건에 맞게 검색이 됩니다. 재설정 버튼을 클릭하면, 모든 검색 필드가 초기화됩니다. |
| 다운로드 버튼 | SAML 메타 데이터 다운로드가 가능합니다. 내부 네트워크와 인터넷망의 SAML 메타 데이터 파일을 다운로드 할 수 있습니다. |
| 등록 버튼 | 신규로 애플리케이션을 등록 가능합니다. |
Identity Provider 등록
Identity Provider 목록 화면 상단에서 등록을 클릭하여 등록을 할 수 있습니다.
Identity Provider 을 등록하려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > Identity Provider > 등록 버튼 클릭
- Custom App Integration > Web Application(SAML) or Web Application(OIDC) 선택 > 다음 버튼 클릭
- 상세 설정으로 이동
Identity Provider는 다음과 같이 3단계로 이루어진 화면을 통해서 연계에 필요한 정보를 입력하고 설정하여 Identity Provider를 등록할 수 있습니다.
일반
IdP(Identity Provider) 일반 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 이름 | Identity Provider의 이름을 입력합니다. 이름으로 식별되기 때문에 구분 및 관리를 위한 규칙이 필요합니다. | 필수 |
| 설명 | Identity Provider에 대한 설명(업무, 용도 등)을 입력합니다. | 선택 |
| 로고 이미지 | Identity Provider을 직관적으로 식별할 수 있는 로고를 등록합니다. | 선택 |
| 로그인 버튼 | IdP를 버튼/링크(Text) 등으로 표시합니다.
| 필수 |
SSO
SSO 정보 입력 화면에서 Single Sign On 설정 정보를 입력합니다.
Web Application(OIDC)로 연동할 경우
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| Client ID | Client ID를 등록합니다. Client ID는 인증 서버에서 등록된 Client에게 발급하는 ID이며, Client ID 자체는 리소스 오너에 공개되는 정보이기 때문에 Client 인증시 Clident ID 만으로 사용하면 안 됩니다. | 필수 |
| Client Secret | Client Secret 정보를 등록합니다. Client Secret은 대상 REST 서비스에 인증시 사용되는 비밀 정보로써 인증 서버에게만 알려진 고유한 값 입니다. | 필수 |
| Authorization Endpoint URL | Authorization Endpoint는 Resource Owner으로부터 Authorization 허가를 취득하여야합니다. 이 때 사용되는 URL 값인 Authorization Endpoint URL을 입력합니다. | 필수 |
| Token Endpoint URL | Token Endpoint는 Client에의해 사용되며 Authorization Grant 또는 Refresh Token을 통해 Access Token을 취득합니다. 이 때 사용되는 URL 값인 Token Endpoint URL을 입력합니다. | 필수 |
| Logout URL | SLO (Single Logout) Return을 위한 URL 값인 Logout URL을 입력합니다. | 선택 |
| Userinfo Endpoint URL | IdP(Identity Provider)에의해 제공되며 사용자 프로필(username, name 등)을 포함하는 Userinfo Endpoint URL을 입력합니다. | 선택 |
| IdP Sign-In Key | IdP Sign-In Key값을 설정하고, IdP Sign-In Key를 위한 SingleID 매핑 속성을 선택합니다. | 필수 |
IdP Sign-In Key 설정 ID를 넘겨주는 Key 값을 받아서 SCP SingleID에서 로그인을 처리하는 방법은 다음 두가지가 있습니다.
- 표준 SAML Keyword로 식별자 ID값을 받는 방법
- 커스텀한 식별자 ID를 만들어서 받는 방법
위 방법 중 하나로 받은 이름을 User ID와 매핑할 수도 있고, CN 값과도 매핑할 수 있습니다. 이와 같이 인증정보를 어떤 값과 매핑하여 로그인을 처리할지를 설정하는 기능입니다.
JIT 프로비저닝
Identity Provider의 JIT 프로비저닝 기능 탭이 추가 되었습니다. 이 기능은 사용자의 변경 사항이 발생시 계정을 실시간으로 동기화 기능입니다. 계정을 실시간 동기화 시 항목을 설정할 수 있습니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| JIT 프로비저닝 | JIT 프로비저닝은 Just-In Provisioning 약자로 사용자가 시스템에 처음 로그인할 때 신속하게 사용자 계정을 생성하는 데 사용되는 ID 및 액세스 관리 기능입니다.
| 필수 |
| IdP 사용자에 맵핑된 SingleID 사용자가 없는 경우 | 사용자가 처음 접속 할 경우 Action을 관리합니다.
| 필수 |
| IdP 사용자에 맵핑된 SingleID 사용자가 있는 경우 | 사용자가 있을 경우 사용자 정보를 업데이트합니다. | 필수 |
모든 항목을 입력 후 완료 버튼을 클릭하면 기본적인 애플리케이션 설정이 완료됩니다.
Identity Provider 수정
Identity Provider을 목록 화면에서 Identity Provider을 클릭하면 설정을 수정할 수 있습니다.
Identity Provider을 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 >Identity Provider 선택 > 수정 버튼 클릭하세요.
- 일반, SSO, 프로비저닝, 정책, 할당 탭을 클릭하여 수정할 항목 수정하세요.
- 저장 버튼을 클릭하세요.
Identity Provider 삭제
Identity Provider 목록 화면에서 Identity Provider를 선택 후 비활성화 한 후 목록 화면으로 돌아와 삼점 모양에서 삭제할 수 있습니다. 다시 등록하시려면 추가 버튼을 클릭하여 등록하세요.
Authenticator
SCP SingleID에서 제공되는 Authenticator를 연동하여 설정합니다. 기본적으로 패스워드와 Email은 활성 상태로 기본 설정이 되어 있습니다.
추가적으로 설정 및 제공하는 Authenticator는 다음과 같습니다.
- Knox Messenger: Knox Messenger로 OTP 발송 가능합니다.
- PC SSO Agent: SingleID: Agentless로 SSO를 제공하지만 SSO Agent를 사용하여 멀티 브라우저 SSO 기능,
- SingleID Authenticator: SingleID 전용 인증 모바일 앱으로 생체(지문, 안면), PIN, mOTP, TOTP를 지원합니다.
- SMS: 모바일 SMS로 OTP를 발송가능합니다.
- Active Directory: AD 계정으로 인증을 수행합니다.
- Passkey: Mobile Passkey, 보안 키, Window 생체/PIN 코드로 간편하게 로그인이 가능한 간편 인증 수단입니다.
Authenticator 목록
지원 가능한 6가지 유형의 모든 Authenticator 지원하고 있습니다.
Authenticator를 확인하시려면 다음 경로에서 확인 바랍니다.
- Admin Portal > 연동 >Authenticator
Authenticator 추가
Authenticator 목록 화면에서 등록을 클릭하면 다음 화면으로 이동하여 Authenticator를 추가할 수 있는 화면으로 전환됩니다.
Authenticator를 추가하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > Authentictor > 추가 버튼 클릭하세요.
- 각 인증 수단을 선택 > 다음 버튼 클릭하세요.
- 인증 설정에 필요한 정보를 입력하세요.
- 저장 버튼을 클릭하세요.
Authenticator 수정
Authenticator 목록 화면에서 Authenticator를 선택 후 수정을 클릭하면 수정할수 있는 확면으로 전환됩니다.
Authenticator를 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > Authentictor > 수정 버튼 클릭
- 각 항목을 수정하여 수정 버튼을 클릭하여 수정을 완료하세요.
Authenticator 삭제
Authenticator 목록 화면에서 Authenticator를 선택 후 비활성화 한 후 목록 화면으로 돌아와 삼점 모양에서 삭제할 수 있습니다. 다시 등록하시려면 추가 버튼을 클릭하여 등록하세요.
MFA Service Provider
MFA Service Provider 메뉴는 복합 인증을 통해서 기업에서 필요로 하는 보안 요건을 충족시키면서 보다 강화된 인증 기술과 함께 생체 인증 및 간편 인증 기술을 적용하여 사용자 편의성을 높이는 서비스를 제공합니다.
MFA Service Provider 목록
MFA Service Provider 목록을 확인하려면, 다음과 같은 메뉴에 접근 가능합니다.
- Admin Portal > 연동 > MFA Service Provider
| 구분 | 설명 |
|---|---|
| 이름 | MFA Service Provider의 이름입니다. |
| 시스템 코드 | 시스템 코드 정보를 표시합니다. |
| 프로젝트 코드 | 프로젝트 코드 정보를 표시합니다. |
| User Tag | User Tag를 표시합니다. |
| 유형 | MFA Service Provider 연동 방법을 표시합니다. 아래 3가지 방식으로 표시합니다.
|
| 시스템 코드 입력란 | 시스템 코드 정보를 입력합니다. |
| 프로젝트 코드 입력란 | 프로젝트 코드 정보를 입력합니다. |
| 검색어 입력란 | Identity Provider 목록을 검색 가능합니다. 검색어를 입력 후 돋보기 모양을 클릭하거나 Enter를 입력하면 검색이 수행됩니다.
|
| 상세 버튼 | 검색을 상세하게 검색 가능합니다. 검색 조건을 AND 조건으로 검색 가능합니다. 여러 필드를 입력 후 ‘검색’ 버튼을 클릭하면, 조건에 맞게 검색이 됩니다.
|
| 등록 버튼 | 신규로 MFA Service Provider을 등록 가능합니다. |
MFA Service Provider 등록
MFA Service Provider 을 등록하려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > MFA Service Provider > 등록 버튼 클릭
- ADFS Federated Application or Custom Application or Network Equipment 선택 > 다음 버튼 클릭
MFA Service Provider는 다음과 같은 세가지 유형이 있습니다.
- ADFS Federated Application : SingleID MFA와 연동될 ADFS 페더레이션 애플리케이션을 등록 합니다.
- Custom Application : SingleID MFA와 연동될 MFA API를 사용하는 애플리케이션을 등록합니다.
- Network Equipment : RADIUS 기반의 MFA가 연동될 네트워크 장비를 등록합니다.
다음과 같이 3단계로 이루어진 화면을 통해서 MFA Service Provider 연계에 필요한 정보를 입력하고 설정하여 MFA Service Provider를 등록할 수 있습니다.
일반
MFA Service Provider 일반 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 이름 | MFA Service Provider의 이름을 입력합니다. 이름으로 식별 되기 때문에 구분 및 관리를 위한 규칙이 필요합니다. | 필수 |
| 설명 | MFA Service Provider에 대한 설명(업무, 용도 등)을 입력합니다. | 선택 |
| 로고 이미지 | MFA Service Provider을 직관적으로 식별할 수 있는 로고를 등록합니다. | 선택 |
| User Tag를 사용하여 사용자 관리 | User Tag 사용을 활성화하면, MFA Service Provider로 부터 새로운 사용자가 등록될 때 사용자의 ID 뒤에 “#"+User Tag가 자동으로 추가되어 ID가 중복으로 등록되는 것을 방지할 수 있습니다. | 선택 |
| User Tag | MFA Service Provider 하나에 1개의 User Tag 만 등록할 수 있습니다.
| 필수 |
| 시스템 코드 | 시스템 코드 정보를 입력합니다. | 선택 |
| 프로젝트 코드 | 프로젝트 코드 정보를 입력합니다. | 선택 |
| 캠페인 | 하나의 인증수단만 사용하는 경우 사용자에게 본인 인증 수단 등록 안내 팝업페이지를 안내합니다. 선택 박스 선택시 활성화됩니다. | 선택 |
MFA 연동
MFA 연동 정보를 입력합니다.
| 구분 | 설명 | 필수 여부 |
|---|---|---|
| 로그인 | 제공하는 Authenticator를 드롭 다운 목록에서 선택하세요. | 필수 |
| 등록 시 본인 확인 | 등록 과정에서 필수적으로 수행하여야 하는 본인 확인 방식을 설정합니다.
| 필수 |
| ADFS Identifier | ADFS Identifier URL 정보를 입력하세요. | 필수 |
| Claim | Claim 이름을 입력하세요.
| 필수 |
| Secret Key | Secret Key는 SingleID와 MFA Service Provider 간의 신뢰할 수 있는 통신을 위한 암호화 키입니다.
| 필수 |
담당자
신규로 등록하는 MFA Service Provider를 담당하는 담당자를 선택하여 등록합니다.
| 구분 | 설명 |
|---|---|
| 추가 버튼 | MFA Service Provider의 담당자를 추가할 수 있습니다. |
| 검색 | 검색어(ID, 이름, 이메일, 상태)로 담당자를 찾을 수 있습니다. |
| 선택(Check Box) | 목록에서 검색된 담당자를 선택합니다. |
| 추가 | 선택한 담당자를 추가할 수 있습니다. |
| 완료 | 담당자 지정을 완료합니다. |
완료 버튼을 클릭하면 등록이 완료 됩니다.
MFA Service Provider 수정
MFA Service Provider 목록 화면에서 Authenticator를 선택 후 수정을 클릭하면 수정할수 있는 확면으로 전환됩니다.
MFA Service Provider를 수정하시려면, 다음의 절차를 따르세요.
- Admin Portal > 연동 > MFA Service Provider > 수정 버튼 클릭하세요.
- 각 항목을 수정하여 수정 버튼을 클릭하여 수정을 완료하세요.
MFA Service Provider 삭제
MFA Service Provider 목록 화면에서 MFA Service Provider를 선택 후 비활성화 한 후 목록 화면으로 돌아와 삼점 모양에서 삭제할 수 있습니다. 다시 등록하시려면 추가 버튼을 클릭하여 등록하세요.