본문으로 건너뛰기

Microsoft Entra ID (SAML)로 싱글 사인온 (SSO)을 설정하세요

최소한의 구성 노력으로, 이 커넥터는 Microsoft Entra ID (이전의 Azure AD)와의 엔터프라이즈 SSO 통합을 허용합니다.

:

SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.

1단계: Azure AD SSO 애플리케이션 생성

Azure AD 측에서 SSO 애플리케이션을 생성하여 Azure AD SSO 통합을 시작하세요.

  1. Azure 포털로 이동하여 관리자 계정으로 로그인하세요.
  2. Microsoft Entra ID 서비스를 선택하세요.
  3. 사이드 메뉴에서 Enterprise applications로 이동합니다. New application을 클릭하고 Create your own application을 선택하세요.
Azure AD 애플리케이션 생성
  1. 애플리케이션 이름을 입력하고 Integrate any other application you don't find in the gallery (Non-gallery)를 선택하세요.
  2. Setup single sign-on > SAML을 선택하세요.
Azure AD SSO 설정
  1. 지침을 따르세요. 첫 번째 단계로, Logto에서 제공한 다음 정보를 사용하여 기본 SAML 구성을 입력해야 합니다.
Azure AD SP 구성
  • 대상 URI (SP Entity ID): Logto 서비스에 대한 전역적으로 고유한 식별자로, IdP에 대한 인증 요청 시 SP의 EntityId로 작동합니다. 이 식별자는 IdP와 Logto 간의 SAML 어설션 및 기타 인증 관련 데이터의 안전한 교환에 필수적입니다.
  • ACS URL: Assertion Consumer Service (ACS) URL은 SAML 어설션이 POST 요청과 함께 전송되는 위치입니다. 이 URL은 IdP가 SAML 어설션을 Logto로 보내는 데 사용됩니다. 이는 Logto가 사용자의 아이덴티티 정보를 포함한 SAML 응답을 수신하고 처리할 것으로 기대하는 콜백 URL로 작동합니다.

Save를 클릭하여 계속하세요.

2단계: Logto에서 SAML SSO 구성

SAML SSO 통합을 작동시키려면, IdP 메타데이터를 Logto에 다시 제공해야 합니다. Logto 측으로 돌아가서 Azure AD SSO 커넥터의 Connection 탭으로 이동하세요.

Logto는 IdP 메타데이터를 구성하는 세 가지 방법을 제공합니다. 가장 쉬운 방법은 Azure AD SSO 애플리케이션의 metadata URL을 제공하는 것입니다.

Azure AD SSO 애플리케이션의 SAML Certificates section에서 App Federation Metadata Url을 복사하여 Logto의 Metadata URL 필드에 붙여넣으세요.

Azure AD Metadata URL

Logto는 URL에서 메타데이터를 가져와 SAML SSO 통합을 자동으로 구성합니다.

3단계: 사용자 속성 매핑 구성

Logto는 IdP에서 반환된 사용자 속성을 Logto의 사용자 속성에 매핑하는 유연한 방법을 제공합니다. Logto는 기본적으로 IdP에서 다음 사용자 속성을 동기화합니다:

  • id: 사용자의 고유 식별자. Logto는 SAML 응답에서 nameID 클레임을 읽어 사용자 SSO 아이덴티티 id로 사용합니다.
  • email: 사용자의 이메일 주소. Logto는 기본적으로 SAML 응답에서 email 클레임을 읽어 사용자 기본 이메일로 사용합니다.
  • name: 사용자의 이름.

사용자 속성 매핑 로직은 Azure AD 측 또는 Logto 측에서 관리할 수 있습니다.

  1. AzureAD 사용자 속성을 Logto 사용자 속성에 Logto 측에서 매핑합니다.

    Azure AD SSO 애플리케이션의 Attributes & Claims 섹션을 방문하세요.

    다음 속성 이름 (네임스페이스 접두사 포함)을 복사하여 Logto의 해당 필드에 붙여넣으세요.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name (권장: 더 나은 사용자 경험을 위해 이 속성 값 맵을 user.displayname으로 업데이트하세요)
Azure AD 기본 속성 매핑

  1. AzureAD 사용자 속성을 AzureAD 측에서 Logto 사용자 속성에 매핑합니다.

    Azure AD SSO 애플리케이션의 Attributes & Claims 섹션을 방문하세요.

    Edit을 클릭하고, Logto 사용자 속성 설정에 따라 Additional claims 필드를 업데이트하세요:

    • Logto 사용자 속성 설정에 따라 클레임 이름 값을 업데이트하세요.
    • 네임스페이스 접두사를 제거하세요.
    • 계속하려면 Save를 클릭하세요.

    다음 설정으로 끝나야 합니다:

Azure AD_Logto 속성 매핑

Azure AD 측에서 추가 사용자 속성을 지정할 수도 있습니다. Logto는 사용자의 sso_identity 필드 아래에 IdP에서 반환된 원래 사용자 속성을 기록으로 유지합니다.

4단계: Azure AD SSO 애플리케이션에 사용자 할당

Azure AD SSO 애플리케이션의 Users and groups 섹션을 방문하세요. Add user/group을 클릭하여 Azure AD SSO 애플리케이션에 사용자를 할당하세요. Azure AD SSO 애플리케이션에 할당된 사용자만 Azure AD SSO 커넥터를 통해 인증할 수 있습니다.

Azure AD 사용자 할당

5단계: 이메일 도메인 설정 및 SSO 커넥터 활성화

Logto의 커넥터 SSO 경험 탭에서 조직의 이메일 도메인을 제공하세요. 이렇게 하면 해당 사용자에게 SSO 커넥터를 인증 (Authentication) 방법으로 사용할 수 있게 됩니다.

지정된 도메인의 이메일 주소를 가진 사용자는 SAML SSO 커넥터를 유일한 인증 (Authentication) 방법으로 사용하도록 리디렉션됩니다.

Azure AD SSO 통합에 대한 자세한 내용은 Azure AD의 공식 문서를 확인하세요.