본문으로 건너뛰기

OpenID Connect (OIDC)로 싱글 사인온 (SSO) 설정하세요

최소한의 구성 노력으로, 이 커넥터는 OIDC 기반 아이덴티티 제공자 (IdP)와의 통합을 허용합니다.

:

SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.

1단계: IdP에서 OIDC 애플리케이션 생성하기

OIDC SSO 통합을 시작하려면 IdP 측에서 애플리케이션을 생성하세요. Logto 서버에서 다음 설정을 제공해야 합니다.

  • Callback URI: Logto Callback URI는 Redirect URI 또는 Reply URL로도 알려져 있으며, 사용자가 성공적으로 인증한 후 IdP가 사용자의 브라우저를 리디렉션하는 특정 엔드포인트 또는 URL입니다. 사용자가 IdP에서 성공적으로 인증을 마치면, IdP는 사용자의 브라우저를 이 지정된 URI로 인가 코드와 함께 다시 리디렉션합니다. Logto는 이 URI에서 받은 인가 코드를 기반으로 인증 과정을 완료합니다.

Logto Callback URI를 IdP OIDC 애플리케이션 설정 양식에 입력하고 애플리케이션 생성을 계속하세요. (대부분의 OIDC IdP는 선택할 수 있는 다양한 애플리케이션 유형을 제공합니다. Logto에서 웹 기반 SSO 커넥터를 생성하려면 Web Application 유형을 선택하세요.)

2단계: Logto에서 OIDC SSO 구성하기

IdP 측에서 OIDC 애플리케이션을 성공적으로 생성한 후, IdP 구성을 Logto에 다시 제공해야 합니다. Connection 탭으로 이동하여 다음 구성을 입력하세요:

  • Client ID: IdP에 의해 OIDC 애플리케이션에 할당된 고유 식별자입니다. 이 식별자는 OIDC 흐름 동안 Logto가 애플리케이션을 식별하고 인증하는 데 사용됩니다.
  • Client Secret: Logto와 IdP 간에 공유되는 기밀 비밀입니다. 이 비밀은 OIDC 애플리케이션을 인증하고 Logto와 IdP 간의 통신을 보호하는 데 사용됩니다.
  • 발급자 (Issuer): OIDC 아이덴티티 제공자가 위치한 장소를 지정하는 IdP의 고유 식별자인 발급자 URL입니다. 이는 Logto가 필요한 엔드포인트를 발견하는 데 도움을 주는 OIDC 구성의 중요한 부분입니다. 구성 과정을 쉽게 하기 위해 Logto는 제공한 발급자를 사용하여 IdP의 OIDC 발견 엔드포인트에 호출을 하여 필요한 OIDC 엔드포인트와 구성을 자동으로 가져옵니다. 발급자 엔드포인트가 유효하고 정확하게 구성되어 Logto가 필요한 정보를 올바르게 가져올 수 있도록 하는 것이 중요합니다. 요청이 성공적으로 완료되면 발급자 섹션에서 구문 분석된 IdP 구성을 볼 수 있어야 합니다.
  • 스코프 (Scope): OIDC 인증 과정에서 Logto가 요청하는 원하는 권한 또는 접근 수준을 정의하는 공백으로 구분된 문자열 목록입니다. 스코프 매개변수를 통해 Logto가 IdP로부터 어떤 정보와 접근을 요청하는지 지정할 수 있습니다. 스코프 매개변수는 선택 사항입니다. 사용자 정의 스코프 설정과 관계없이, Logto는 항상 openid, profile, email 스코프를 IdP에 전송합니다. 이는 Logto가 IdP로부터 사용자의 아이덴티티 정보와 이메일 주소를 올바르게 가져올 수 있도록 하기 위함입니다. IdP로부터 더 많은 정보를 요청하기 위해 스코프 매개변수에 추가적인 스코프를 추가할 수 있습니다.

3단계: 이메일 도메인 설정 및 SSO 커넥터 활성화하기

Logto의 커넥터 SSO 경험 탭에서 조직의 이메일 도메인을 제공하세요. 이렇게 하면 해당 사용자들에게 SSO 커넥터가 인증 (Authentication) 방법으로 활성화됩니다.

지정된 도메인의 이메일 주소를 가진 사용자는 SSO 커넥터를 유일한 인증 (Authentication) 방법으로 사용하도록 리디렉션됩니다.