자습서: 페더레이션된 Single Sign-On에 대한 인증서 관리

  • 아티클

이 문서에서는 Microsoft Entra ID에서 SaaS(Software as a Service) 애플리케이션에 페더레이션된 SSO(Single Sign-On)를 설정하기 위해 만드는 인증서와 관련된 일반적인 질문과 정보를 다룹니다. Microsoft Entra 애플리케이션 갤러리에서 또는 비갤러리 애플리케이션 템플릿을 사용하여 애플리케이션을 추가합니다. 페더레이션된 SSO 옵션을 사용하여 애플리케이션을 구성합니다.

이 자습서는 SAML(Security Assertion Markup Language) 페더레이션을 통해 Microsoft Entra SSO를 사용하도록 구성된 앱에만 관련됩니다.

이 자습서에서는 관리자가 다음을 수행하는 방법을 알아봅니다.

  • 갤러리 및 비갤러리 애플리케이션에 대한 인증서 생성
  • 인증서 만료 날짜 사용자 지정
  • 인증서 만료 날짜에 대한 이메일 알림 주소 추가
  • 인증서 갱신

필수 조건

  • 활성 구독이 있는 Azure 계정. 계정이 아직 없는 경우 무료로 계정을 만듭니다.
  • 다음 역할 중 하나: 전역 관리자, 권한 있는 역할 관리자, 클라우드 애플리케이션 관리자 또는 애플리케이션 관리자.
  • Microsoft Entra 테넌트에 구성된 엔터프라이즈 애플리케이션입니다.

갤러리에서 새 애플리케이션을 추가하고 SAML 기반 로그온을 구성하면(애플리케이션 개요 페이지에서 Single Sign-On>SAML 선택) Microsoft Entra ID에서 해당 애플리케이션에 대해 3년 동안 유효한 자체 서명된 인증서를 생성합니다. 활성 인증서를 보안 인증서(.cer) 파일로 다운로드하려면 해당 페이지(SAML 기반 로그온)로 돌아가 SAML 서명 인증서 제목의 다운로드 링크를 선택합니다. 원시(이진) 인증서 또는 Base 64(Base 64로 인코딩된 텍스트) 인증서 중에서 선택할 수 있습니다. 갤러리 애플리케이션의 경우 이 섹션에는 애플리케이션의 요구 사항에 따라 페더레이션 메타데이터 XML(.xml 파일)로 인증서를 다운로드하는 링크가 표시될 수도 있습니다.

SAML 서명 인증서 제목이 표시되는 편집 아이콘(연필)을 선택하고 SAML 서명 인증서 페이지를 표시하여 활성 또는 비활성 인증서를 다운로드할 수도 있습니다. 다운로드하려는 인증서 옆에 있는 줄임표(...)를 선택하고 원하는 인증서 형식을 선택합니다. 인증서를 PEM(Privacy-Enhanced Mail) 형식으로 다운로드하는 기타 옵션이 제공됩니다. 이 형식은 Base64와 동일하지만 Windows에서 인증서 형식으로 인식되지 않는 .pem 파일 이름 확장명을 사용합니다.

SAML signing certificate download options (active and inactive).

페더레이션 인증서의 만료 날짜 사용자 지정 및 새 인증서 롤오버

기본적으로 Azure는 SAML Single Sign-On 구성 중에 인증서를 자동으로 만들 때 3년 후에 만료되도록 인증서를 구성합니다. 인증서를 저장한 후에는 인증서 날짜를 변경할 수 없으므로 다음을 수행해야 합니다.

  1. 원하는 날짜로 새 인증서를 만듭니다.
  2. 새 인증서를 저장합니다.
  3. 올바른 형식으로 새 인증서를 다운로드합니다.
  4. 애플리케이션에 새 인증서를 업로드합니다.
  5. Microsoft Entra 관리 센터에서 새 인증서를 활성화합니다.

다음 두 섹션은 이러한 단계를 수행하는 데 도움이 됩니다.

새 인증서 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

먼저 다른 만료 날짜로 새 인증서를 만들고 저장합니다.

  1. 최소한 클라우드 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.
  3. 검색 상자에서 기존 애플리케이션 이름을 입력한 다음, 검색 결과에서 애플리케이션을 선택합니다.
  4. 관리 섹션 아래에서 Single Sign-On을 선택합니다.
  5. Single Sign-On 방법 선택 페이지에서 SAML을 선택합니다.
  6. SAML로 Single Sign-On 설정 페이지에서 SAML 서명 인증서 제목을 찾고 편집 아이콘(연필)을 선택합니다. SAML 서명 인증서 페이지가 표시됩니다. 여기에는 각 인증서의 상태(활성 또는 비활성), 만료 날짜 및 지문(해시 문자열)이 표시됩니다.
  7. 새 인증서를 선택합니다. 인증서 목록 아래에 새 행이 나타납니다. 여기에서 만료 날짜의 기본값은 현재 날짜부터 정확히 3년 이후입니다. (변경 내용은 아직 저장되지 않았으므로 만료 날짜를 수정할 수 있습니다.)
  8. 새 인증서 행에서 만료 날짜 열 위로 마우스를 이동하고 날짜 선택 아이콘(달력)을 선택합니다. 새 행의 현재 만료 날짜를 표시하는 달력 컨트롤이 나타납니다.
  9. 달력 컨트롤을 사용하여 새 날짜를 설정할 수 있습니다. 현재 날짜와 현재 날짜로부터 3년 기간 이내의 아무 날짜나 설정할 수 있습니다.
  10. 저장을 선택합니다. 이제 새 인증서에 비활성상태, 선택한 만료 날짜 및 지문이 표시됩니다.

    참고 항목

    기존 인증서가 만료된 상태에서 새 인증서를 만들면 새 인증서를 활성화하지 않더라도 토큰에 서명하는 것으로 간주됩니다.

  11. X를 선택하여 SAML로 Single Sign-On 설정 페이지로 돌아갑니다.

인증서 업로드 및 활성화

다음으로, 새 인증서를 올바른 형식으로 다운로드하고, 애플리케이션에 업로드한 후 Microsoft Entra ID에서 활성으로 만듭니다.

  1. 다음 옵션 중 하나를 사용하여 애플리케이션에 대한 SAML 로그온 구성 지침을 더 봅니다.

    • 별도의 브라우저 창 또는 탭에서 볼 구성 가이드 링크를 선택합니다.
    • 설정 제목으로 이동하고 단계별 지침 보기를 선택하여 사이드바에서 볼 수 있습니다.

  2. 지침에서 인증서 업로드에 필요한 인코딩 형식을 확인합니다.

  3. 앞서 갤러리 및 비갤러리 애플리케이션에 대한 자동 생성된 인증서 섹션의 지침을 따릅니다. 이 단계에서는 애플리케이션에서 업로드하는 데 필요한 인코딩 형식으로 인증서를 다운로드합니다.

  4. 새 인증서로 롤오버하려면 SAML 서명 인증서 페이지로 돌아가 새로 저장된 인증서 행에서 줄임표(...)를 선택하고 인증서 활성화를 선택합니다. 새 인증서의 상태가 활성으로 변경되고 이전에 활성화된 인증서가 비활성 상태로 변경됩니다.

  5. 앞에서 표시한 애플리케이션의 SAML 로그온 구성 지침에 따라 SAML 서명 인증서를 올바른 인코딩 형식으로 업로드할 수 있습니다.

앱에 인증서 만료 유효성 검사가 부족하고 인증서가 Microsoft Entra ID와 앱 모두와 일치하는 경우 만료되었음에도 불구하고 액세스할 수 기본 있습니다. 애플리케이션에서 인증서의 만료 날짜를 확인할 수 있는지 확인합니다.

인증서 만료 유효성 검사를 사용하지 않도록 설정하려면 인증서 롤오버에 대한 예약된 유지 관리 기간까지 새 인증서를 만들어서는 안 됩니다. 애플리케이션에 만료된 인증서와 비활성 유효한 인증서가 모두 있는 경우 Microsoft Entra ID는 유효한 인증서를 자동으로 활용합니다. 이 경우 사용자는 애플리케이션 중단이 발생할 수 있습니다.

인증서 만료에 대한 메일 알림 주소 추가

Microsoft Entra ID는 SAML 인증서 만료 60일, 30일, 7일 전에 메일 알림을 보냅니다. 알림을 받을 이메일 주소를 둘 이상 추가할 수 있습니다. 하나 이상의 전자 메일 주소를 지정하려면 알림을 다음으로 보내려고 합니다.

  1. SAML 서명 인증서 페이지에서 알림 메일 주소 제목으로 이동합니다. 기본적으로 이 제목은 애플리케이션을 추가한 관리자의 메일 주소만 사용합니다.
  2. 최종 메일 주소 아래에 인증서의 만료 알림을 받을 메일 주소를 입력한 후 Enter 키를 누릅니다.
  3. 추가하려는 각 메일 주소에 대해 이전 단계를 반복합니다.
  4. 삭제하려는 각 메일 주소에 대해 메일 주소 옆에 있는 삭제 아이콘(휴지통)을 선택합니다.
  5. 저장을 선택합니다.

알림 목록에 최대 5개의 메일 주소를 추가할 수 있습니다(애플리케이션을 추가한 관리자의 메일 주소 포함). 더 많은 사용자에게 알림이 필요한 경우 배포 목록 메일을 사용합니다.

에서 알림 전자 메일을 받습니다 azure-noreply@microsoft.com. 메일이 스팸 위치로 이동하지 않도록 방지하려면 이 메일을 연락처에 추가해야 합니다.

곧 만료되도록 설정된 인증서 갱신

인증서가 곧 만료되는 경우 사용자에게 심각한 가동 중지 시간이 발생하지 않도록 하는 절차를 사용하여 갱신할 수 있습니다. 만료 예정인 인증서를 갱신하려면

  1. 기존 인증서와 겹치는 날짜를 사용하여 앞에 나오는 새 인증서 만들기 섹션의 지침을 따릅니다. 해당 날짜로 인해 인증서 만료로 인한 가동 중지 시간이 제한됩니다.

  2. 애플리케이션에서 인증서를 자동으로 롤오버할 수 있는 경우 다음 단계에 따라 새 인증서를 활성으로 설정합니다.

    1. SAML 서명 인증서 페이지로 돌아갑니다.
    2. 새로 저장된 인증서 행에서 줄임표(...)를 선택한 다음, 인증서 활성화를 선택합니다.
    3. 다음 두 단계를 건너뜁니다.

  3. 애플리케이션이 한 번에 하나의 인증서만 처리할 수 있는 경우에는 다음 단계를 수행할 가동 중지 시간 간격을 선택합니다. 그렇지 않으면 애플리케이션이 새 인증서를 자동으로 선택하지 않지만 둘 이상의 서명 인증서를 처리할 수 있는 경우 언제든지 다음 단계를 수행할 수 있습니다.

  4. 이전 인증서가 만료되기 전에 앞에 나오는 인증서 업로드 및 활성화 섹션의 지침을 따르세요. Microsoft Entra ID에서 새 인증서가 업데이트된 후 애플리케이션 인증서가 업데이트되지 않으면 애플리케이션에 대한 인증이 실패할 수 있습니다.

  5. 애플리케이션에 로그인하여 인증서가 제대로 작동하는지 확인합니다.

앱에 인증서 만료 유효성 검사가 부족하고 인증서가 Microsoft Entra ID와 앱 모두와 일치하는 경우 만료되었음에도 불구하고 액세스할 수 기본 있습니다. 애플리케이션에서 인증서 만료의 유효성을 검사할 수 있는지 확인합니다.