본문으로 건너뛰기

기본 SAML 통합 설정

이 가이드는 Logto에서 SAML 애플리케이션을 구성하는 데 도움을 줄 것입니다. 기본 SAML 통합을 설정하려면 다음 단계를 따르세요.

애플리케이션 설정

기본 정보

  • 애플리케이션 이름 (필수): SAML 애플리케이션의 이름을 입력하세요. 이 이름은 Logto에서 애플리케이션을 식별하는 데 도움이 됩니다.
  • 설명: 애플리케이션에 대한 자세한 정보를 제공하기 위해 선택적으로 설명을 추가하세요.

SAML 서비스 제공자 구성

  • Assertion consumer service URL (Reply URL) (필수): 인증 (Authentication)이 성공한 후 Logto가 SAML 어설션을 보내야 하는 URL을 입력하세요. 이 URL은 서비스 제공자 (SP) 애플리케이션에서 제공된 ACS URL과 일치해야 합니다.

  • 서비스 제공자 (SP) 엔티티 ID (필수): 서비스 제공자의 고유 식별자를 입력하세요. 이 값은 SP 애플리케이션에서 찾을 수 있는 엔티티 ID와 일치해야 합니다. SP 엔티티 ID는 일반적으로 URI 형식을 따르는 문자열 입력입니다 (필수는 아님).

    • 일반적인 형식은 다음과 같습니다:
      • urn:your-domain.com:sp:saml:{serviceProviderId}
      • https://your-domain/saml/{serviceProviderId}

SAML IdP 메타데이터

기본 설정을 구성한 후, Logto는 서비스 제공자에서 구성해야 하는 중요한 SAML 아이덴티티 제공자 (IdP) 메타데이터를 제공합니다:

IdP 메타데이터 URL

이 URL을 사용하여 SP에 IdP 메타데이터를 구성하세요. 메타데이터에는 SAML 통합에 필요한 모든 정보가 포함되어 있습니다.

싱글 사인온 서비스 URL

이 URL은 SP가 SAML 인증 요청을 보내야 하는 곳입니다.

IdP 엔티티 ID

아이덴티티 제공자의 고유 식별자입니다.

노트:

"싱글 사인온 서비스 URL"과 "IdP 엔티티 ID"는 이미 IdP 메타데이터에 포함되어 있으므로, SP가 메타데이터 URL을 처리할 수 있는 경우 별도로 구성할 필요가 없습니다.

SAML 서명 인증서

Logto는 이 인증서를 사용하여 SAML 어설션에 서명합니다. SP에서 서명을 확인하려면 이를 구성해야 합니다:

  • 만료일: 인증서의 만료 날짜
  • 지문: 확인을 위한 인증서의 고유 지문
  • 상태: 인증서의 현재 상태 (활성 또는 비활성)
SAML 애플리케이션 인증서
중요한 인증서 관리 규칙:
  • 한 번에 하나의 인증서만 활성화할 수 있습니다. 활성 인증서는 IdP 메타데이터 URL에서 사용됩니다.
  • 활성 인증서가 없으면 IdP 메타데이터 URL을 사용할 수 없습니다.
  • 활성 인증서를 삭제할 수 없습니다. 인증서를 삭제하려면 먼저 비활성화해야 합니다.
  • 비활성 인증서를 활성화하면 현재 활성 인증서가 자동으로 비활성화됩니다.

추가 설정

Name ID 형식

SAML 어설션에서 사용자 식별자를 어떻게 형식화할지 선택하세요. 기본값은 "Persistent"로, Logto 사용자 ID를 Name ID로 사용합니다.

SAML Name ID 형식

Logto에서 제공하는 네 가지 형식을 찾을 수 있습니다:

  • Persistent (Logto 사용자 ID를 Name ID로 사용): 세션 간에 일관성을 유지하는 영구적이고 재사용 불가능한 식별자를 생성합니다. 여러 번의 로그인에서 안정적인 사용자 아이덴티티를 유지하는 데 이상적이며 대부분의 엔터프라이즈 애플리케이션에 권장됩니다.

  • 이메일 주소 (이메일 주소를 Name ID로 사용): 사용자의 이메일 주소를 식별자로 사용합니다. 서비스 제공자가 사용자 식별을 위해 이메일 주소에 의존하거나 사람이 읽을 수 있는 식별자가 필요한 경우 유용합니다.

  • Transient (일회용 사용자 ID를 Name ID로 사용): 각 인증 요청마다 변경되는 임시 일회용 식별자를 생성합니다. 이는 향상된 프라이버시를 제공하며 지속적인 사용자 추적이 필요하지 않은 애플리케이션에 적합합니다.

  • Unspecified (현재 Logto 사용자 ID를 Name ID로 사용): Persistent 형식과 유사하지만 특정 형식이 필요하지 않음을 나타냅니다. 안정적인 Logto 사용자 ID를 식별자로 사용하면서 유연성을 제공합니다.

SAML 어설션 암호화

향상된 보안을 위해 SAML 어설션을 암호화하려면 이 옵션을 전환하세요. 활성화되면 SAML 어설션은 SP로 보내지기 전에 암호화됩니다.

SAML 어설션 암호화
노트:

SAML 어설션 암호화를 활성화하면 서비스 제공자의 서명 인증서를 제공해야 합니다. 이 인증서는 SAML 어설션을 암호화하는 데 사용되며, 이를 통해 SP만이 어설션 내용을 해독하고 읽을 수 있습니다.