한국어
  • sso
  • authentication
  • consent
  • permissions
  • idp

Logto를 타사 식별 제공자(IdP)로 사용하기

Logto는 타사 애플리케이션의 식별 제공자로 사용될 수 있습니다. 이 문서는 Logto를 IdP로 구성하는 방법을 설명합니다.

Simeng
Simeng
Developer

Logto는 포괄적인 인증, 권한 부여 및 사용자 관리 기능을 제공하는 클라우드 기반 식별 및 접근 관리(IAM) 플랫폼입니다. 이것은 당신의 타사 애플리케이션이나 서비스에 대한 IdP로 사용될 수 있으며, 사용자를 인증하고 그들의 애플리케이션 접근을 관리할 수 있게 합니다.

이 문서에서는 Logto를 타사 애플리케이션의 IdP로 구성하는 방법과 이를 사용하여 사용자를 인증하고 권한을 관리하는 방법을 설명하겠습니다.

식별 제공자(IdP)란 무엇인가요?

식별 제공자(IdP)는 사용자 신원을 확인하고 그들의 로그인 정보를 관리하는 서비스입니다. 사용자의 신원을 확인한 후, IdP는 인증 토큰이나 주장을 생성하고 사용자가 여러 애플리케이션이나 서비스에 다시 로그인할 필요 없이 접근할 수 있게 합니다. 본질적으로, 이는 기업 내에서 직원 식별 정보와 권한을 관리하는 주된 시스템입니다.

타사 IdP란 무엇인가요?

타사 IdP는 서비스 제공자(SP)와 다른 조직이 소유한 IdP입니다. SP는 자신이 소유하지 않은 사용자 데이터에 접근을 요청합니다. 예를 들어, 당신이 Logto를 IdP로 사용하고 타사 소셜 앱에 로그인했다면, Logto는 그 소셜 앱의 타사 IdP입니다.

실제 세계에서는 많은 애플리케이션이 Google, Facebook 또는 다른 타사 서비스를 IdP로 사용합니다. 이를 단일 사인온(SSO)이라고 합니다. SSO에 대해 더 알고 싶다면 우리의 기사 CIAM 101: Authentication, Identity, SSO를 확인하세요.

이제 Logto를 타사 IdP로 당신의 애플리케이션에 통합하는 방법을 보겠습니다.

애플리케이션을 위한 타사 IdP 통합 및 최상의 관행

사전 준비

  • 시작하기 전에 Logto 계정이 필요합니다. 계정이 없다면 Logto에서 무료 계정을 등록할 수 있습니다.

  • Logto를 IdP로 설정하고자 하는 타사 애플리케이션. 사용자는 그들의 Logto 계정으로 로그인할 수 있습니다.

Logto에 타사 OIDC 애플리케이션 생성하기

Logto에서 타사 OIDC 애플리케이션을 생성하려면 다음 단계를 따르세요:

  1. Logto 콘솔로 이동하여 애플리케이션 페이지로 이동하세요.

  2. 페이지 우측 상단에 위치한 애플리케이션 생성 버튼을 클릭하세요. 애플리케이션 유형으로 "타사 앱 -> OIDC"를 선택하세요.

    애플리케이션 생성하기

  3. 기본 애플리케이션 세부정보, 즉 이름설명을 팝업 모달에 입력하세요. 생성 버튼을 클릭하세요. 이렇게 하면 Logto에 새로운 타사 애플리케이션 엔티티가 생성되고 세부정보 페이지로 이동하게 됩니다.

    애플리케이션 세부정보

OIDC 구성 설정하기

애플리케이션 세부정보 페이지에서 OIDC 설정을 구성하려면 다음 단계를 따르세요:

  1. 방금 생성한 타사 애플리케이션의 애플리케이션 세부정보 페이지로 이동하세요.

  2. 타사 애플리케이션의 리디렉션 URI를 제공합니다. 이는 사용자가 Logto에 의해 인증된 후 타사 애플리케이션이 사용자에게 리디렉션할 URL입니다. 이 정보는 일반적으로 타사 애플리케이션의 IdP 연결 설정 페이지에서 찾을 수 있습니다.

    리디렉션 URI

    (Logto는 여러 리디렉션 URI를 지원합니다. 추가 버튼을 클릭하여 더 많은 리디렉션 URI를 추가할 수 있습니다.)

  3. Logto에서 클라이언트 ID클라이언트 비밀을 복사하여 서비스 제공자의 IdP 연결 설정 페이지에 입력하세요.

    클라이언트 자격 증명

  4. Logto에서 OIDC 디스커버리 엔드포인트를 복사하여 서비스 제공자의 IdP 연결 설정 페이지에 입력하세요.

    OIDC 디스커버리 엔드포인트는 서비스 제공자가 IdP의 OIDC 구성 세부정보를 발견할 수 있는 URL입니다. 이는 서비스 제공자가 Logto와 함께 사용자 인증을 위해 필요한 인증 엔드포인트, 토큰 엔드포인트, 사용자 정보 엔드포인트 등의 정보를 포함합니다.

    디스커버리 엔드포인트 엔드포인트 세부정보

체크 포인트

모든 OIDC 구성 세부정보가 제자리에 있다면, 이제 당신의 애플리케이션에 Logto를 타사 IdP로 사용할 수 있습니다. 사용자가 그들의 Logto 계정으로 로그인할 수 있는지 확인하기 위해 여러분의 타사 애플리케이션에서 통합을 테스트하세요.

애플리케이션 권한 관리

자체 애플리케이션과 달리, 타사 애플리케이션은 Logto가 소유하지 않은 애플리케이션입니다. 일반적으로 이러한 애플리케이션은 Logto를 외부 IdP로 사용하여 사용자를 인증하는 타사 서비스 제공자에 의해 소유됩니다. 예를 들어, Slack, Zoom, Notion은 모두 타사 애플리케이션입니다.

타사 애플리케이션이 사용자 정보에 접근을 요청할 때 올바른 권한을 부여하는 것이 중요합니다. Logto를 사용하면 타사 애플리케이션의 권한을 관리할 수 있습니다. 이에는 사용자 프로필 범위, API 리소스 범위, 조직 범위가 포함됩니다.

비활성화된 범위를 요청하면 오류가 발생합니다. 이는 사용자 정보가 보호되고 신뢰하는 타사 애플리케이션에서만 접근할 수 있도록 보장하기 위함입니다. 범위가 활성화되면, 타사 애플리케이션이 이러한 활성화된 범위에 대한 접근을 요청할 수 있습니다. 이러한 범위는 사용자가 확인하고 접근을 허용할 수 있는 동의 화면에 표시됩니다.

사용자 동의 화면에 대한 자세한 내용은 우리의 기사 사용자 동의 화면을 확인하세요.

타사 애플리케이션에 권한 추가하기

애플리케이션 세부정보 페이지로 이동하여 권한 탭으로 이동합니다. 권한 추가 버튼을 클릭하여 타사 애플리케이션의 권한을 추가하세요.

권한 탭

사용자 권한 (사용자 프로필 범위)

이러한 권한은 OIDC 표준이며 Logto에서 사용자 클레임에 접근하는 데 사용되는 필수 사용자 프로필 범위입니다. 사용자 클레임은 ID 토큰과 userinfo 엔드포인트에 따라 반환됩니다.

사용자 권한

API 리소스 권한 (API 리소스 범위)

Logto는 API 리소스에 대한 RBAC(역할 기반 접근 제어)를 제공합니다. API 리소스는 당신의 서비스에 의해 소유되고 Logto에 의해 보호되는 리소스입니다. 자체 정의 API 범위를 타사 애플리케이션에 할당하여 당신의 API 리소스에 접근할 수 있도록 할 수 있습니다. 이러한 API 리소스 범위를 사용하는 방법을 모른다면 우리의 RBACAPI 보호하기 가이드를 확인하세요.

API 리소스 권한

API 리소스 범위를 생성하고 관리하려면 Logto 콘솔의 API 리소스 페이지로 이동하세요.

조직 권한 (조직 범위)

조직 권한은 Logto 조직에 대해 독점적으로 정의된 범위입니다. 이는 조직 정보 및 자원에 접근하는 데 사용됩니다. 조직 및 조직 범위를 사용하는 방법에 대해 더 알고 싶다면 우리의 조직 가이드를 확인하세요.

조직 권한

조직 범위를 생성하고 관리하려면 Logto 콘솔의 조직 템플릿 페이지로 이동하세요. 자세한 내용은 조직 구성하기를 참조하세요.

동의 페이지

모든 권한이 활성화되면, 타사 애플리케이션이 활성화된 권한에 대해 접근을 요청할 수 있습니다. 이러한 권한은 사용자가 검토하고 타사 애플리케이션에 대한 접근을 허용할 수 있는 동의 페이지에 표시됩니다.

동의 권한

인증 버튼을 클릭하면 사용자는 요청된 권한에 대한 접근을 타사 애플리케이션에 허용하게 됩니다.

동의 화면 맞춤화하기

마지막으로 중요한 것은, 사용자가 타사 애플리케이션의 동의 페이지로 리디렉션될 때, 타사의 브랜드 정보 및 개인정보 보호 링크가 제대로 표시되도록 하는 것입니다.

자체 애플리케이션의 공용 로그인 경험과는 별도로, Logto는 타사 애플리케이션의 추가적인 브랜드 정보를 사용자에게 맞춤화할 수 있도록 허용합니다. 여기에는 애플리케이션 이름, 로고, 이용 약관 링크가 포함됩니다.

  1. Logto 콘솔로 이동하여 타사 애플리케이션의 세부정보 페이지로 이동하세요.

  2. 브랜딩 탭으로 이동하세요.

    브랜딩 탭

  • 표시 이름: 사용자의 정보에 접근을 요청하는 타사 애플리케이션을 나타낼 동의 페이지에 표시될 타사 애플리케이션의 이름입니다. 이 필드를 비워두면 애플리케이션 이름이 사용됩니다.
  • 로고: 사용자의 정보에 접근을 요청하는 타사 애플리케이션의 브랜드를 나타낼 동의 페이지에 표시될 타사 애플리케이션의 로고입니다. 타사 애플리케이션의 로고와 Logto의 공용 로그인 경험 로고가 모두 제공된 경우 동의 페이지에 함께 표시됩니다.
  • Dark logto: 다크 모드 로그인 경험이 활성화된 경우에만 사용할 수 있습니다. Sign-in experience 페이지에서 다크 모드 설정을 관리하세요.
  • 이용 약관 링크: 동의 페이지에 표시될 타사 애플리케이션의 이용 약관 링크입니다.
  • 개인정보 보호 링크: 동의 페이지에 표시될 타사 애플리케이션의 개인정보 보호 링크입니다.

요약

축하합니다! 당신은 성공적으로 Logto를 당신의 애플리케이션에 타사 IdP로 통합했습니다. OIDC 설정을 구성함으로써 사용자 인증 및 권한 부여를 위한 강력하고 안전한 메커니즘을 구축했습니다. Logto를 통해 이제 사용자를 원활하게 인증하고 타사 애플리케이션에 대한 그들의 접근을 규제할 수 있게 되었습니다.

Logto 무료로 사용해보기