본문으로 건너뛰기

Microsoft Entra ID로 싱글 사인온 (SSO)을 설정하세요 (OIDC)

최소한의 구성만으로, 이 커넥터를 통해 Microsoft Entra ID(이전 명칭 Azure AD)와 엔터프라이즈 싱글 사인온 (SSO)을 통합할 수 있습니다.

:

SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.

1단계: Microsoft EntraID OIDC 애플리케이션 생성하기

  1. Microsoft Entra 관리자 센터로 이동하여 관리자 계정으로 로그인하세요.

  2. Identity > Applications > App registrations로 이동합니다.

애플리케이션 생성

  1. New registration을 선택합니다.

  2. 애플리케이션 이름을 입력하고 애플리케이션에 적합한 계정 유형을 선택합니다.

  3. 애플리케이션 플랫폼으로 Web을 선택합니다.

  4. Logto의 SSO 설정 페이지에서 redirect URI를 복사하여 붙여넣습니다. redirect URI는 사용자가 Microsoft Entra ID로 인증한 후 리디렉션되는 URL입니다.

애플리케이션 구성
  1. 애플리케이션을 생성하려면 Register를 클릭하세요.

2단계: Logto에서 Microsoft Entra ID OIDC SSO 구성하기

Microsoft Entra OIDC 애플리케이션을 성공적으로 생성한 후, IdP 구성을 Logto에 다시 제공해야 합니다. Logto 콘솔의 Connection 탭으로 이동하여 다음 설정을 입력하세요:

  1. 클라이언트 ID: Microsoft Entra에서 OIDC 애플리케이션에 할당한 고유 식별자입니다. 이 식별자는 Logto가 OIDC 플로우 중 애플리케이션을 식별하고 인증하는 데 사용됩니다. 애플리케이션 개요 페이지에서 Application (client) ID로 확인할 수 있습니다.
Application Details
  1. 클라이언트 시크릿: 새 클라이언트 시크릿을 생성하고 해당 값을 Logto에 복사하세요. 이 시크릿은 OIDC 애플리케이션을 인증하고 Logto와 IdP 간의 통신을 보호하는 데 사용됩니다.
Create Secret

  1. 발급자 (Issuer): 발급자 URL은 IdP의 고유 식별자로, OIDC 아이덴티티 제공자의 위치를 지정합니다. 이는 OIDC 구성에서 매우 중요한 부분으로, Logto가 필요한 엔드포인트를 찾는 데 도움이 됩니다.

    모든 OIDC 엔드포인트를 수동으로 입력하는 대신, Logto는 제공한 발급자 URL을 사용하여 IdP의 디스커버리 엔드포인트에 호출을 하여 필요한 구성과 IdP 엔드포인트를 자동으로 가져옵니다.

    발급자 URL을 얻으려면, 애플리케이션 개요 페이지의 Endpoints 섹션에서 확인할 수 있습니다.

    OpenID Connect metadata document 엔드포인트를 찾아 URL을 복사하되, 마지막 경로.well-known/openid-configuration 없이 복사하세요. Logto가 OIDC 구성을 가져올 때 발급자 URL 뒤에 .well-known/openid-configuration을 자동으로 추가하기 때문입니다.

Endpoints
  1. 스코프 (Scope) (선택 사항): Logto는 모든 요청에 필수 스코프(openid, profile, email)를 자동으로 포함합니다. 애플리케이션에서 IdP로부터 추가 권한이나 접근 수준이 필요한 경우, 공백으로 구분된 목록으로 추가 스코프를 지정할 수 있습니다.

저장을 클릭하여 구성 과정을 완료하세요.

3단계: 추가 스코프 (선택 사항)

스코프 (Scope)는 애플리케이션이 사용자로부터 요청하는 권한 (Permission)을 정의하며, 애플리케이션이 Microsoft Entra ID 계정에서 접근할 수 있는 데이터를 제어합니다. Microsoft Graph 권한을 요청하려면 양쪽 모두에서 구성이 필요합니다:

Microsoft Entra 관리 센터에서:

  1. Microsoft Entra ID > 앱 등록으로 이동하여 애플리케이션을 선택하세요.
  2. API 권한 > 권한 추가 > Microsoft Graph > 위임된 권한으로 이동하세요.
  3. 애플리케이션에 필요한 권한만 선택하세요:
    • OpenID 권한:
      • openid (필수) - 사용자를 로그인시킴
      • profile (필수) - 사용자의 기본 프로필 보기
      • email (필수) - 사용자의 이메일 주소 보기
      • offline_access (선택) - Logto 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 활성화하고 Microsoft Graph API에 장기적으로 접근하기 위해 리프레시 토큰이 필요한 경우에만 필요합니다.
    • API 접근 (선택): 애플리케이션에 추가로 필요한 권한을 추가하세요. 일반적인 Microsoft Graph 권한에는 Mail.Read, Calendars.Read, Files.Read 등이 있습니다. 사용 가능한 권한은 Microsoft Graph 권한 참조에서 확인할 수 있습니다.
  4. 권한 추가를 클릭하여 선택을 확인하세요.
  5. 애플리케이션이 특정 권한에 대해 관리자 동의를 필요로 하는 경우, [조직 이름]에 대한 관리자 동의 부여를 클릭하세요.
Microsoft API 권한 추가

Logto Microsoft Entra ID 커넥터에서:

  1. Logto는 기본적으로 openid, profile, email 스코프를 포함하여 기본 사용자 아이덴티티 정보를 가져옵니다. 기본 사용자 정보만 필요하다면 Scopes 필드를 비워두어도 됩니다.
  2. 지속적인 API 접근을 위해 토큰을 저장할 계획이라면 Scopes 필드에 offline_access를 추가하세요. 이 스코프는 장기 API 접근을 위한 리프레시 토큰을 활성화합니다.
  3. Microsoft Graph에서 더 많은 데이터를 요청하려면 Scopes 필드에 추가 스코프를 (공백으로 구분하여) 입력하세요. 예시: User.Read Mail.Read Calendars.Read
:

애플리케이션이 Microsoft Graph API에 접근하고 작업을 수행하기 위해 이러한 스코프를 요청하는 경우, Logto Microsoft Entra ID 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 반드시 활성화하세요. 자세한 내용은 다음 섹션을 참고하세요.

4단계: Microsoft API에 접근하기 위한 토큰 저장 (선택 사항)

Microsoft Graph API에 접근하고 사용자 인가 (Authorization)로 작업을 수행하려면, Logto가 특정 API 스코프 (Scope)를 받아 토큰을 저장해야 합니다.

  1. Microsoft Entra 관리 센터의 API 권한 구성과 Logto Microsoft Entra ID 커넥터에 필요한 스코프 (Scope)를 추가하세요.
  2. Logto Microsoft Entra ID 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 활성화하세요. Logto는 Microsoft 액세스 토큰 (Access token)과 리프레시 토큰 (Refresh token)을 Secret Vault에 안전하게 저장합니다.
  3. 리프레시 토큰 (Refresh token)이 반환되도록 하려면, Microsoft Entra ID 애플리케이션 권한에 offline_access 스코프 (Scope)를 추가하고 Logto Microsoft Entra ID 커넥터 스코프에도 포함하세요. 이 스코프 (Scope)는 애플리케이션이 장기간 리소스에 접근할 수 있도록 해줍니다.

5단계: 이메일 도메인 설정 및 SSO 커넥터 활성화

커넥터 경험 (Experience) 탭에서 조직의 이메일 도메인 (domains)을 입력하세요. 이렇게 하면 해당 사용자들에게 SSO 커넥터가 인증 (Authentication) 방법으로 활성화됩니다.

지정한 도메인 (domains)의 이메일 주소를 가진 사용자는 오직 SSO 커넥터만을 인증 (Authentication) 방법으로 사용할 수 있습니다.