비 갤러리 응용 프로그램에 대 한 SAML 기반 Single Sign-On 구성Configure SAML-based single sign-on to non-gallery applications

갤러리 앱 또는 비 갤러리 웹 앱 을 Azure AD 엔터프라이즈 응용 프로그램에 추가 하면 사용할 수 있는 Single Sign-On 옵션 중 하나는 SAML 기반 Single Sign-On입니다.When you add a gallery app or a non-gallery web app to your Azure AD Enterprise Applications, one of the single sign-on options available to you is SAML-based single sign-on. SAML 프로토콜 중 하나를 사용 하 여 인증 하는 응용 프로그램의 경우 가능 하면 항상 SAML을 선택 합니다.Choose SAML whenever possible for applications that authenticate using one of the SAML protocols. SAML Single Sign-On을 사용하는 Azure AD는 사용자의 Azure AD 계정을 사용하여 애플리케이션에 인증합니다.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD는 연결 프로토콜을 통해 애플리케이션에 로그온 정보를 통신합니다.Azure AD communicates the sign-on information to the application through a connection protocol. 사용자가 SAML 클레임에서 정의한 규칙에 따라 특정 응용 프로그램 역할에 사용자를 매핑할 수 있습니다.You can map users to specific application roles based on rules you define in your SAML claims. 이 문서에서는 비갤러리 앱에 대한 SAML 기반 Single Sign-On을 구성하는 방법에 대해 설명합니다.This article describes how to configure SAML-based single sign-on for a non-gallery app.

참고

갤러리 앱을 추가하나요?Adding a gallery app? 이에 대한 단계별 설치 지침은 SaaS 앱 자습서 목록에서 확인하세요.Find step-by-step setup instructions in the list of SaaS app tutorials

코드를 작성 하지 않고 비 갤러리 응용 프로그램에 대해 SAML Single Sign-On를 구성 하려면 구독이 나 Azure AD Premium 있어야 하 고 응용 프로그램에서 SAML 2.0을 지원 해야 합니다.To configure SAML single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Azure AD 버전에 대한 자세한 내용은 Azure AD 가격 책정에서 확인할 수 있습니다.For more information about Azure AD versions, visit Azure AD pricing.

시작하기 전에Before you begin

응용 프로그램을 Azure AD 테 넌 트에 추가 하지 않은 경우 비 갤러리 앱 추가를 참조 하세요.If the application hasn't been added to your Azure AD tenant, see Add a non-gallery app.

1단계.Step 1. 기본 SAML 구성 편집Edit the Basic SAML Configuration

  1. Azure Portal에 Azure AD 테넌트의 클라우드 애플리케이션 관리자 또는 애플리케이션 관리자로 로그인합니다.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Azure Active Directory > 엔터프라이즈 애플리케이션으로 차례로 이동하고, 목록에서 애플리케이션을 선택합니다.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • 애플리케이션을 검색하려면 애플리케이션 유형 메뉴에서 모든 애플리케이션, 적용을 차례로 선택합니다.To search for the application, in the Application Type menu, select All applications, and then select Apply. 검색 상자에서 애플리케이션 이름을 입력한 다음, 결과에서 애플리케이션을 선택합니다.Enter the name of the application in the search box, and then select the application from the results.
  3. 관리 섹션 아래에서 Single Sign-On을 선택합니다.Under the Manage section, select Single sign-on.

  4. SAML을 선택합니다.Select SAML. SAML로 Single Sign-On 설정 - 미리 보기 페이지가 표시됩니다.The Set up Single Sign-On with SAML - Preview page appears.

    1 단계 기본 SAML 구성 편집

  5. 기본 SAML 구성 옵션을 편집하려면 기본 SAML 구성 섹션의 오른쪽 위 모서리에 있는 편집 아이콘(연필 모양)을 선택합니다.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

  6. 다음 설정을 입력합니다.Enter the following settings. 응용 프로그램 공급 업체에서 값을 가져와야 합니다.You should get the values from the application vendor. 필드 값을 추출하려면 수동으로 값을 입력하거나 메타데이터 파일을 업로드할 수 있습니다.You can manually enter the values or upload a metadata file to extract the value of the fields.

    기본 SAML 구성 설정Basic SAML Configuration setting SP 시작SP-Initiated idP 시작idP-Initiated 설명Description
    식별자 (엔터티 ID)Identifier (Entity ID) 일부 앱의 경우 필수Required for some apps 일부 앱의 경우 필수Required for some apps 응용 프로그램을 고유 하 게 식별 합니다.Uniquely identifies the application. Azure AD는 SAML 토큰의 대상 매개 변수로 애플리케이션에 식별자를 보냅니다.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. 애플리케이션이 식별자의 유효성을 검사해야 합니다.The application is expected to validate it. 또한 이 값은 애플리케이션에서 제공하는 모든 SAML 메타데이터 내에서 엔터티 ID로 표시됩니다.This value also appears as the Entity ID in any SAML metadata provided by the application. 이 값은 애플리케이션에서 보낸 AuthnRequest(SAML 요청)에서 Issuer(발급자) 요소로 찾을 수 있습니다.You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    회신 URLReply URL 필수Required 필수Required 애플리케이션이 SAML 토큰을 수신해야 하는 위치를 지정합니다.Specifies where the application expects to receive the SAML token. 회신 URL은 ACS(Assertion Consumer Service) URL이라고도 합니다.The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. 추가 회신 URL 필드를 사용 하 여 여러 회신 Url을 지정할 수 있습니다.You can use the additional reply URL fields to specify multiple reply URLs. 예를 들어 여러 하위 도메인에 대 한 추가 회신 Url이 필요할 수 있습니다.For example, you might need additional reply URLs for multiple subdomains. 또는 테스트를 위해 한 번에 여러 회신 Url (로컬 호스트 및 공용 Url)을 지정할 수 있습니다.Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
    로그온 URLSign-on URL 필수Required 지정하지 않음Don't specify 사용자가 이 URL을 열면 서비스 공급자가 Azure AD를 리디렉션하여 사용자를 인증하고 로그온하도록 합니다.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD는 URL을 사용하여 Office 365 또는 Azure AD 액세스 패널에서 애플리케이션을 시작합니다.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. 비어 있는 경우 Azure AD는 사용자가 Office 365, Azure AD 액세스 패널 또는 Azure AD SSO URL에서 응용 프로그램을 시작할 때 IdP 시작 로그온을 수행 합니다.When blank, Azure AD performs IdP-initiated sign-on when a user launches the application from Office 365, the Azure AD Access Panel, or the Azure AD SSO URL.
    릴레이 상태Relay State 옵션Optional 옵션Optional 인증이 완료되면 사용자를 리디렉션할 위치를 애플리케이션에 지정합니다.Specifies to the application where to redirect the user after authentication is completed. 일반적으로 이 값은 애플리케이션에 대한 올바른 URL입니다.Typically the value is a valid URL for the application. 그러나 일부 애플리케이션에서는 이 필드를 다르게 사용합니다.However, some applications use this field differently. 자세한 내용은 애플리케이션 공급 업체에 요청하세요.For more information, ask the application vendor.
    로그아웃 URLLogout URL 옵션Optional 옵션Optional SAML 로그아웃 응답을 애플리케이션에 다시 보내는 데 사용됩니다.Used to send the SAML Logout responses back to the application.

자세한 내용은 Single SIGN-ON SAML 프로토콜을 참조 하세요.For more information, see Single sign-on SAML protocol.

2단계.Step 2. 사용자 특성 및 클레임 구성Configure User attributes and claims

사용자가 응용 프로그램에 인증할 때 Azure AD는 응용 프로그램을 고유 하 게 식별 하는 사용자에 대 한 정보 (또는 클레임)가 있는 SAML 토큰을 발급 합니다.When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. 기본적으로이 정보는 사용자의 사용자 이름, 전자 메일 주소, 이름 및 성을 포함 합니다.By default, this information includes the user's username, email address, first name, and last name. 예를 들어 응용 프로그램에 특정 클레임 값 이나 username 이외의 이름 형식이 필요한 경우 이러한 클레임을 사용자 지정 해야 할 수 있습니다.You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username. 갤러리 앱에 대한 요구 사항은 애플리케이션 관련 자습서에 설명되어 있거나 애플리케이션 공급업체에 문의할 수 있습니다.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. 사용자 특성 및 클레임을 구성하는 일반적인 단계는 다음과 같습니다.The general steps for configuring user attributes and claims are described below.

  1. 사용자 특성 및 클레임 섹션의 오른쪽 위 모서리에서 편집 아이콘(연필)을 선택합니다.In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

    2 단계 사용자 특성 및 클레임 구성

  2. 이름 식별자 값을 확인합니다.Verify the Name Identifier Value. 기본값은 user.principalname입니다.The default value is user.principalname. 사용자 ID는 애플리케이션 내에서 각 사용자를 고유하게 식별합니다.The user identifier uniquely identifies each user within the application. 예를 들어 이메일 주소가 사용자 이름 및 고유 식별자 모두인 경우 값을 user.mail로 설정합니다.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. 이름 식별자 값을 수정하려면 이름 식별자 값 필드에 대한 편집 아이콘(연필 모양)을 선택합니다.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. 필요에 따라 식별자 형식과 원본을 적절하게 변경합니다.Make the appropriate changes to the identifier format and source, as needed. 자세한 내용은 NameId 편집을 참조하세요.For details, see Editing NameId. 완료되면 변경 내용을 저장합니다.Save the changes when you're done.

  4. 그룹 클레임을 구성하려면 클레임에서 반환되는 그룹 필드에 대한 편집 아이콘을 선택합니다.To configure group claims, select the Edit icon for the Groups returned in claim field. 자세한 내용은 그룹 클레임 구성을 참조하세요.For details, see Configure group claims.

  5. 클레임을 추가하려면 페이지의 위쪽에서 새 클레임 추가를 선택합니다.To add a claim, select Add new claim at the top of the page. 이름을 입력하고 적절한 원본을 선택합니다.Enter the Name and select the appropriate source. 특성 원본을 선택하는 경우 사용하려는 원본 특성을 선택해야 합니다.If you select the Attribute source, you'll need to choose the Source attribute you want to use. 번역 원본을 선택하는 경우 사용하려는 변환매개 변수 1을 선택해야 합니다.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. 자세한 내용은 애플리케이션 관련 클레임 추가를 참조하세요.For details, see Adding application-specific claims. 완료되면 변경 내용을 저장합니다.Save the changes when you're done.

  6. 저장을 선택합니다.Select Save. 테이블에 새 클레임이 표시됩니다.The new claim appears in the table.

    참고

    Azure AD에서 애플리케이션에 대한 SAML 토큰을 사용자 지정하는 다른 방법은 다음 리소스를 참조하세요.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

3단계.Step 3. SAML 서명 인증서 관리Manage the SAML signing certificate

Azure AD는 인증서를 사용하여 애플리케이션에 보내는 SAML 토큰에 서명합니다.Azure AD uses a certificate to sign the SAML tokens it sends to the application. Azure AD 및 애플리케이션 간 신뢰를 설정하려면 이 인증서가 필요합니다.You need this certificate to set up the trust between Azure AD and the application. 인증서 형식에 대한 자세한 내용은 애플리케이션의 SAML 설명서를 참조합니다.For details on the certificate format, see the application’s SAML documentation. 자세한 내용은 페더레이션 Single Sign-On에 대 한 인증서 관리SAML 토큰의 고급 인증서 서명 옵션을 참조 하세요.For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

Azure AD에서 활성 인증서를 사용 하는 기본 Single Sign-on 설정 SAML 페이지에서 바로 Base64 또는 원시 형식으로 다운로드할 수 있습니다.From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. 또는 응용 프로그램 메타 데이터 XML 파일을 다운로드 하거나 앱 페더레이션 메타 데이터 URL을 사용 하 여 활성 인증서를 가져올 수 있습니다.Alternatively, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. 인증서 (활성 또는 비활성)를 보거나 만들거나 다운로드 하려면 다음 단계를 수행 합니다.To view, create, or download your certificates (active or inactive), follow these steps.

  1. SAML 서명 인증서 섹션으로 이동합니다.Go to the SAML Signing Certificate section.

    3 단계 SAML 서명 인증서 관리

  2. 인증서에 다음이 있는지 확인합니다.Verify the certificate has:

    • 원하는 만료 날짜입니다.The desired expiration date. 만료 날짜는 최대 3 년 이후까지 구성할 수 있습니다.You can configure the expiration date for up to three years into the future.
    • 원하는 인증서의 활성 상태입니다.A status of active for the desired certificate. 상태가 비활성이면 상태를 활성으로 변경 합니다.If the status is Inactive, change the status to Active. 상태를 변경 하려면 원하는 인증서의 행을 마우스 오른쪽 단추로 클릭 하 고 인증서를 활성 상태로 만들기를 선택 합니다.To change the status, right-click the desired certificate's row and select Make certificate active.
    • 올바른 서명 옵션 및 알고리즘입니다.The correct signing option and algorithm.
    • 올바른 알림 전자 메일 주소입니다.The correct notification email address(es). 활성 인증서가 만료 날짜에 가까워지면 Azure AD는이 필드에 구성 된 전자 메일 주소로 알림을 보냅니다.When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.
  3. 인증서를 다운로드 하려면 Base64 형식, 원시 형식 또는 페더레이션 메타 데이터 XML에 대 한 옵션 중 하나를 선택 합니다.To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. 또한 Azure AD는 형식의 애플리케이션과 관련된 메타데이터에 액세스할 수 있는앱 페더레이션 메타데이터 URLhttps://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>을 제공합니다.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  4. 인증서를 관리, 만들기 또는 가져오려면 SAML 서명 인증서 섹션의 오른쪽 위 모퉁이에 있는 편집 아이콘 (연필)을 선택 합니다.To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

    SAML 서명 인증서

    다음 작업 중 하나를 수행 합니다.Take any of the following actions:

    • 새 인증서를 만들려면 새 인증서, 만료 날짜, 저장을 차례로 선택합니다.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. 인증서를 활성화하려면 상황에 맞는 메뉴( ... ), 인증서를 활성 상태로 만들기를 차례로 선택합니다.To activate the certificate, select the context menu (...) and select Make certificate active.
    • 프라이빗 키 및 pfx 자격 증명을 사용하여 인증서를 업로드하려면 인증서 가져오기를 선택하여 해당 인증서로 이동합니다.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. PFX 암호를 입력한 다음, 추가를 선택합니다.Enter the PFX Password, and then select Add.
    • 고급 인증서 서명 옵션을 구성하려면 다음 옵션을 사용합니다.To configure advanced certificate signing options, use the following options. 이러한 옵션에 대한 설명은 고급 인증서 서명 옵션 문서를 참조하세요.For descriptions of these options, see the Advanced certificate signing options article.
      • 서명 옵션 드롭다운 목록에서 SAML 응답 서명, SAML 어설션 서명 또는 SAML 응답 및 어설션 서명을 선택합니다.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • 서명 알고리즘 드롭다운 목록에서 SHA-1 또는 SHA-256을 선택합니다.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • 활성 인증서의 만료 날짜가 가까워질 때 추가 사용자에게 알리려면 알림 이메일 주소 필드에서 이메일 주소를 입력합니다.To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  5. 변경한 경우 SAML 서명 인증서 섹션의 위쪽에서 저장 을 선택 합니다.If you made changes, select Save at the top of the SAML Signing Certificate section.

4단계.Step 4. Azure AD를 사용하도록 애플리케이션 설정Set up the application to use Azure AD

<applicationName> 설정 섹션에는 애플리케이션에서 구성해야 하는 값이 나열되어 있으므로 Azure AD를 SAML ID 공급자로 사용합니다.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. 필요한 값은 애플리케이션에 따라 달라집니다.The required values vary according to the application. 자세한 내용은 애플리케이션의 SAML 설명서를 참조합니다.For details, see the application's SAML documentation. 설명서를 찾으려면 응용 프로그램 이름 설정 <> 제목으로 이동 하 고 단계별 지침 보기를 선택 합니다.To find the documentation, go to the Set up <application name> heading and select View step-by-step instructions. 설명서는 로그온 구성 페이지에 표시 됩니다.The documentation appears in the Configure sign-on page. 이 페이지에서는 응용 프로그램 이름 <설정 > 제목의 로그인 URL, Azure AD 식별자로그 아웃 url 값을 입력 하는 방법을 안내 합니다.That page guides you in filling out the Login URL, Azure AD Identifier, and Logout URL values in the Set up <application name> heading.

  1. <applicationName> 설정 섹션까지 아래로 스크롤합니다.Scroll down to the Set up <applicationName> section.

    4 단계 응용 프로그램 설정

  2. 필요에 따라 이 섹션의 각 행에서 값을 복사하고, 해당 값을 애플리케이션에 추가하기 위한 애플리케이션 관련 지침을 따릅니다.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. 갤러리 앱의 경우 단계별 지침 보기를 선택하여 설명서를 볼 수 있습니다.For gallery apps, you can view the documentation by selecting View step-by-step instructions.

    • 로그인 URL로그아웃 URL 값은 모두 동일한 엔드포인트로 확인됩니다. 이 엔드포인트는 Azure AD 인스턴스에 대한 SAML 요청 처리 엔드포인트입니다.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • Azure AD 식별자는 애플리케이션에 발급된 SAML 토큰의 Issuer(발급자) 값입니다.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. 모든 값을 해당 필드에 붙여넣은 다음, 저장을 선택합니다.When you've pasted all the values into the appropriate fields, select Save.

5단계.Step 5. Single Sign-On 유효성 검사Validate single sign-on

Azure AD를 SAML 기반 id 공급자로 사용 하도록 응용 프로그램을 구성한 후에는 설정을 테스트 하 여 Single Sign-On 계정에 대해 작동 하는지 확인할 수 있습니다.Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

  1. 을(를) 사용하여 Single Sign-On 유효성 검사 섹션으로 스크롤합니다.Scroll to the Validate single sign-on with section.

    5 단계 Single Sign-On 유효성 검사

  2. 유효성 검사를 선택합니다.Select Validate. 테스트 옵션이 표시됩니다.The testing options appear.

  3. 현재 사용자로 로그인을 선택합니다.Select Sign in as current user.

로그온에 성공하면 사용자 및 그룹을 SAML 애플리케이션에 할당할 준비가 된 것입니다.If sign-on is successful, you're ready to assign users and groups to your SAML application. 오류 메시지가 표시되면 다음 단계를 수행합니다.If an error message appears, complete the following steps:

  1. 세부 정보를 어떤 오류인 것 같습니까? 상자에 복사하고 붙여넣습니다.Copy and paste the specifics into the What does the error look like? box.

    해결 지침 가져오기

  2. 해결 지침 가져오기를 선택합니다.Select Get resolution guidance. 근본 원인 및 해결 지침이 표시됩니다.The root cause and resolution guidance appear. 이 예제에서 사용자는 애플리케이션에 할당되지 않았습니다.In this example, the user wasn't assigned to the application.

  3. 해결 지침을 읽은 다음, 가능한 경우 문제를 해결합니다.Read the resolution guidance and then, if possible, fix the issue.

  4. 성공적으로 완료될 때까지 테스트를 다시 실행합니다.Run the test again until it completes successfully.

자세한 내용은 Azure Active Directory의 응용 프로그램에 대 한 SAML 기반 Single Sign-On 디버그를 참조 하세요.For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

다음 단계Next steps