Azure AD (Entra ID) SAML SSO 를 당신의 인증 제공자와 통합하는 방법

Logto 는 SSO ID 공급자와 통합하기 위한 기본 제공 SAML 커넥터를 제공합니다. 각 공급자는 구성해야 할 고유한 정보가 있습니다. 이 가이드는 Logto 와 Azure AD 를 통합하는 단계를 안내합니다.

Logto 에서 새로운 SAML 소셜 커넥터 생성하기#

1. Logto 클라우드 콘솔에 방문하여 커넥터 섹션으로 이동합니다.

2. 소셜 커넥터 탭으로 전환하고 오른쪽 상단의 소셜 커넥터 추가 버튼을 클릭합니다.

   

3. SAML 커넥터를 선택합니다.

   

   SAML 커넥터 생성 양식이 나타납니다:

   

4. 커넥터 일반 정보를 입력합니다

   

   필드명	설명
   소셜 로그인 버튼 이름	로그인 페이지에 표시될 소셜 로그인 버튼의 이름입니다.
   소셜 로그인 버튼의 로고 URL	로그인 페이지에 표시될 소셜 로그인 버튼의 로고 URL 입니다.
   ID 공급자 이름	커넥터의 대상 공급자를 식별하는 데 도움이 될 수 있는 ID 공급자의 이름입니다.
   프로필 정보 동기화	ID 공급자로부터 사용자 프로필 정보를 초기 가입 후 또는 각 로그인 세션 후에 동기화할지 여부입니다.

5. 엔티티 ID 및 Assertion Consumer Service URL 설정

   

   엔티티 ID 와 ACS URL 은 ID 및 서비스 공급자를 위한 SAML 교환 프로세스에 사용되는 필수 구성 요소입니다.

   SP 엔티티 ID: 엔티티 ID 는 SAML 기반 시스템 내에서 SAML 엔티티를 나타내는 고유한 식별자입니다. 이는 SAML 교환의 다양한 참가자를 구별하는 데 사용됩니다. SP 엔티티 ID 는 IdP 가 요청 청중을 인식하고 신뢰를 구축하는 데 도움을 줍니다.

   ACS URL (Assertion Consumer Service URL): ACS URL 은 ID 공급자 (IdP) 가 인증에 성공한 후 SAML assertion 을 보내는 서비스 공급자 (Logto) 가 제공하는 특정 엔드포인트입니다. 사용자가 IdP 에 의해 인증되면 IdP 는 사용자 속성을 포함하고 디지털 서명된 SAML assertion 을 생성합니다. 그 후 IdP 는 SP 의 ACS URL 로 이 assertion 을 전송합니다. SP 는 assertion 을 검증하고 사용자 속성을 추출하여 사용자를 로그인시킵니다.

   필드명	설명	예시
   SP 엔티티 ID (청중)	AzureAD 가 Logto 의 ID 를 식별하는 데 사용되는 SP 엔티티 입니다. EntityID 는 Logto 테넌트 엔드포인트를 사용하는 것이 추천됩니다.	https://<tenant-id>.logto.app
   IdP 싱글 사인온 URL	IdP 로그인 엔드포인트입니다. Azure 에서 선택적입니다. 이 필드는 SP 가 IdP 시작 로그인 세션을 식별하는 데 사용됩니다. 현재 Logto 는 IdP 시작 로그인 세션을 지원하지 않습니다. 이 필드는 비워두세요.
   X.509 인증서	SAML assertion 을 서명하는 데 사용된 IdP 인증서입니다. (이 인증서는 후에 AzureAD 에서 가져올 것입니다)
   IdP 메타데이터 XML 형식	IdP 메타데이터 XML 파일 내용입니다. (이 파일은 후에 AzureAD 에서 가져올 것입니다)
   Assertion Consumer Service URL	SP 의 ACS URL 입니다. SAML assertion 요청을 받기 위한 SP(Logto) 엔드포인트입니다. 테넌트 ID 와 커넥터 ID 를 대신하여 당신의 것으로 바꾸세요.	https://<tenant-id>.logto.app/api/authn/saml/<connector-id>

Azure 포털에서 SAML SSO 애플리케이션 만들기#

1. Azure Active Directory 대시보드에 로그인합니다. "엔터프라이즈 애플리케이션"을 선택합니다.

   

2. "새 애플리케이션" → "자체 애플리케이션 생성"을 선택합니다.

   

3. SAML 애플리케이션을 초기화합니다.

   

4. Logto 에서 설정한 EntityId 와 ACS URL 로 구성을 채웁니다.

   

5. 사용자 속성과 클레임 구성

   "사용자 속성 및 클레임" 섹션의 "편집" 버튼을 클릭하여 사용자 속성을 구성할 수 있습니다.

   

   Logto 는 다음 기본 사용자 속성을 SAML assertion 에서 보내줄 것을 요구합니다:

   클레임 이름	속성 이름
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.name

6. SAML 애플리케이션에 그룹 및 사용자 할당 사용자가 인증되기 위해서는 AzureAD SAML 애플리케이션에 해당 사용자 또는 사용자 그룹을 할당해야 합니다. 탐색 메뉴의 "관리" 섹션에서 "사용자 및 그룹"을 선택한 다음 "사용자/그룹 추가"를 선택합니다.

   

7. 인증서와 메타데이터 파일 다운로드를 통해 AzureAD IdP 의 세부 정보를 얻습니다. "다운로드" 버튼을 클릭하여 Federation Metadata XML 파일과 Certificate (Base64) 파일을 다운로드합니다. 이 파일들은 Logto 에서 SAML 커넥터 생성 완료에 필요합니다.

   

Logto 에서 SAML 연결 생성 완료하기#

Logto 클라우드 콘솔의 SAML 커넥터 생성 양식으로 돌아가 IdP 세부 정보를 계속 입력합니다. IdP 메타데이터 XML 파일 내용을 IdP 메타데이터 필드에 복사하고, IdP 인증서를 IdP 인증서 필드에 붙여넣습니다.

사용자 프로필 매핑 설정

AzureAD 사용자 클레임 설정에 따라 Logto 에서 키 매핑 구성을 진행할 수 있습니다:

Logto 에서 사용 가능한 사용자 필드는 다음과 같습니다:

“저장하고 완료” 버튼을 클릭합니다.

SAML 커넥터 활성화하기#

SAML 커넥터 생성이 완료되면, "로그인 경험" 섹션으로 이동하여 "소셜 로그인" 방법으로 커넥터를 추가하여 커넥터를 활성화할 수 있습니다:

우리의 미리보기 데모 앱을 사용하여 AzureAD SSO 로그인을 확인하세요:

축하합니다! AzureAD SSO 와 Logto 를 성공적으로 통합하셨습니다. 이제 AzureAD 를 사용하여 Logto 계정에 로그인할 수 있습니다.