README
Microsoft Entra ID (OIDC)로 싱글 사인온 (SSO)을 설정하세요
최소한의 구성 노력으로, 이 커넥터는 Microsoft Entra ID (이전 Azure AD)와의 통합을 통해 엔터프라이즈 SSO를 가능하게 합니다.
SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.
1단계: Microsoft EntraID OIDC 애플리케이션 생성
-
Microsoft Entra 관리자 센터로 이동하여 관리자 계정으로 로그인하세요.
-
Identity > Applications > App registrations로 이동합니다.
-
New registration을 선택합니다. -
애플리케이션 이름을 입력하고 애플리케이션에 적합한 계정 유형을 선택합니다.
-
애플리케이션 플랫폼으로
Web을 선택합니다. -
Logto의 SSO 설정 페이지에서
redirect URI를 복사하여 붙여넣습니다.redirect URI는 사용자가 Microsoft Entra ID로 인증한 후 리디렉션되는 URL입니다.
- 애플리케이션을 생성하려면
Register를 클릭하세요.
2단계: Logto에서 Microsoft Entra ID OIDC SSO 구성
Microsoft Entra OIDC 애플리케이션을 성공적으로 생성한 후, IdP 구성을 Logto에 다시 제공해야 합니다. Logto Console의 Connection 탭으로 이동하여 다음 구성을 입력하세요:
- Client ID: Microsoft Entra에서 OIDC 애플리케이션에 할당한 고유 식별자입니다. 이 식별자는 OIDC 흐름 동안 Logto가 애플리케이션을 식별하고 인증하는 데 사용됩니다. 애플리케이션 개요 페이지에서
Application (client) ID로 찾을 수 있습니다.
- Client Secret: 새로운 클라이언트 비밀을 생성하고 그 값을 Logto에 복사하세요. 이 비밀은 OIDC 애플리케이션을 인증하고 Logto와 IdP 간의 통신을 보호하는 데 사용됩니다.
-
발급자 (Issuer): IdP의 고유 식별자인 발급자 URL로, OIDC 아이덴티티 제공자를 찾을 수 있는 위치를 지정합니다. 이는 Logto가 필요한 엔드포인트를 발견하는 데 도움을 주기 때문에 OIDC 구성의 중요한 부분입니다.
모든 OIDC 엔드포인트를 수동으로 제공하는 대신, Logto는 제공한 발급자 URL을 사용하여 IdP의 발견 엔드포인트에 호출을 하여 필요한 구성과 IdP 엔드포인트를 자동으로 가져옵니다.
발급자 URL을 얻으려면 애플리케이션 개요 페이지의
Endpoints섹션에서 찾을 수 있습니다.OpenID Connect metadata document엔드포인트를 찾아 URL을 복사하되, 끝 경로.well-known/openid-configuration은 제외하세요. 이는 Logto가 OIDC 구성을 가져올 때 발급자 URL에.well-known/openid-configuration을 자동으로 추가하기 때문입니다.
- 스코프 (Scope): OIDC 인증 과정에서 Logto가 요청하는 원하는 권한 또는 접근 수준을 정의하는 공백으로 구분된 문자열 목록입니다. 스코프 매개변수를 통해 Logto가 IdP로부터 요청하는 정보와 접근을 지정할 수 있습니다.
스코프 매개변수는 선택 사항입니다. 사용자 지정 스코프 설정과 관계없이, Logto는 항상 openid, profile, email 스코프를 IdP에 전송합니다.
구성 과정을 완료하려면 Save를 클릭하세요.
3단계: 이메일 도메인 설정 및 SSO 커넥터 활성화
커넥터 경험 탭에서 조직의 이메일 도메인을 제공하세요. 이렇게 하면 해당 사용자들에게 SSO 커넥터가 인증 (Authentication) 방법으로 활성화됩니다.
지정된 도메인의 이메일 주소를 가진 사용자들은 오직 SSO 커넥터만을 인증 (Authentication) 방법으로 사용할 수 있도록 제한됩니다.