본문으로 건너뛰기

OpenID Connect (OIDC)로 싱글 사인온 (SSO)을 설정하세요

최소한의 설정만으로, 이 커넥터를 통해 모든 OIDC 기반 아이덴티티 제공자 (IdP)와 통합할 수 있습니다.

:

SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.

1단계: IdP에서 OIDC 애플리케이션 생성하기

OIDC SSO 통합을 시작하려면 IdP 측에서 애플리케이션을 생성하세요. Logto 서버에서 다음 설정을 제공해야 합니다.

  • Callback URI: Logto Callback URI는 Redirect URI 또는 Reply URL로도 알려져 있으며, 사용자가 성공적으로 인증한 후 IdP가 사용자의 브라우저를 리디렉션하는 특정 엔드포인트 또는 URL입니다. 사용자가 IdP에서 성공적으로 인증을 마치면, IdP는 사용자의 브라우저를 이 지정된 URI로 인가 코드와 함께 다시 리디렉션합니다. Logto는 이 URI에서 받은 인가 코드를 기반으로 인증 과정을 완료합니다.

Logto Callback URI를 IdP OIDC 애플리케이션 설정 양식에 입력하고 애플리케이션 생성을 계속하세요. (대부분의 OIDC IdP는 선택할 수 있는 다양한 애플리케이션 유형을 제공합니다. Logto에서 웹 기반 SSO 커넥터를 생성하려면 Web Application 유형을 선택하세요.)

2단계: Logto에서 OIDC SSO 구성하기

IdP 측에서 OIDC 애플리케이션을 성공적으로 생성한 후, 해당 IdP 설정 정보를 Logto에 다시 제공해야 합니다. Connection 탭으로 이동하여 다음 설정 정보를 입력하세요:

  • Client ID: IdP에서 OIDC 애플리케이션에 할당한 고유 식별자입니다. 이 식별자는 Logto가 OIDC 플로우 중 애플리케이션을 식별하고 인증하는 데 사용됩니다.
  • Client Secret: Logto와 IdP 간에 공유되는 비밀 값입니다. 이 비밀 값은 OIDC 애플리케이션을 인증하고 Logto와 IdP 간의 통신을 보호하는 데 사용됩니다.
  • 발급자 (Issuer): 발급자 URL로, IdP의 고유 식별자이며 OIDC 아이덴티티 제공자 (IdP)가 위치한 곳을 지정합니다. 이는 OIDC 설정에서 매우 중요한 부분으로, Logto가 필요한 엔드포인트를 찾는 데 도움을 줍니다. 설정 과정을 더 쉽게 하기 위해 Logto는 필요한 OIDC 엔드포인트와 설정 정보를 자동으로 가져옵니다. 이는 입력한 발급자 (Issuer)를 활용하여 IdP의 OIDC 디스커버리 엔드포인트에 요청을 보내는 방식으로 이루어집니다. Logto가 필요한 정보를 올바르게 가져올 수 있도록 발급자 (Issuer) 엔드포인트가 유효하고 정확하게 설정되어 있는지 반드시 확인해야 합니다. 요청이 성공적으로 완료되면, 발급자 (Issuers) 섹션에서 파싱된 IdP 설정 정보를 확인할 수 있습니다.

3단계: 스코프 구성 (선택 사항)

스코프 (Scopes)는 애플리케이션이 사용자로부터 요청하는 권한 (Permissions)을 정의하며, 엔터프라이즈 계정에서 애플리케이션이 접근할 수 있는 데이터를 제어합니다.

스코프 설정은 양쪽에서 구성이 필요합니다:

  1. 아이덴티티 제공자 (IdP): IdP 콘솔에서 인가 (Authorization)에 허용할 권한 (Permissions)을 구성하세요.
    • 일부 IdP는 모든 공개 스코프 (Scopes)를 기본적으로 활성화합니다 (별도의 조치 필요 없음)
    • 다른 IdP는 명시적으로 권한 (Permissions)을 부여해야 합니다
  2. Logto 엔터프라이즈 커넥터: Logto OIDC 엔터프라이즈 커넥터 설정 > Scopes 필드에서 인증 (Authentication) 중 요청할 스코프 (Scopes)를 지정하세요.
    • Logto는 기본 사용자 아이덴티티 정보를 가져오기 위해 항상 openid, profile, email 스코프 (Scopes)를 포함합니다. 이는 사용자 지정 스코프 설정과 관계없이 적용됩니다.
    • 추가 정보를 IdP로부터 요청하려면, 공백으로 구분하여 추가 스코프 (Scopes)를 입력할 수 있습니다.
:

애플리케이션이 이러한 스코프 (Scopes)를 사용하여 API에 접근해야 하는 경우, Logto 엔터프라이즈 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 반드시 활성화하세요. 자세한 내용은 다음 섹션을 참고하세요.

4단계: 타사 API에 접근하기 위한 토큰 저장 (선택 사항)

아이덴티티 제공자 (IdP)의 API에 접근하고 사용자 인가 (Authorization)로 작업을 수행하려면, Logto가 특정 API 스코프 (Scope)를 받아 토큰을 저장해야 합니다.

  1. 위의 안내에 따라 scope 필드에 필요한 스코프 (Scope)를 추가하세요.
  2. Logto OIDC 엔터프라이즈 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 활성화하세요. Logto는 액세스 토큰 (Access token)을 시크릿 볼트에 안전하게 저장합니다.
  3. 표준 OIDC 아이덴티티 제공자 (IdP)의 경우, 리프레시 토큰 (Refresh token)을 얻기 위해 반드시 offline_access 스코프 (Scope)를 포함해야 하며, 이를 통해 반복적인 사용자 동의 화면 (Consent screen) 표시를 방지할 수 있습니다.

5단계: 이메일 도메인 설정 및 SSO 커넥터 활성화

Logto의 커넥터 SSO 경험 탭에서 조직의 이메일 도메인을 입력하세요. 이렇게 하면 해당 도메인의 사용자들에게 SSO 커넥터가 인증 (Authentication) 방법으로 활성화됩니다.

지정한 도메인에 속한 이메일 주소를 가진 사용자는 SSO 커넥터만을 인증 (Authentication) 방법으로 사용하도록 리디렉션됩니다.