InfoGrab Docs

SAML 싱글 사인온

요약

싱글 사인온(SSO)은 사용자가 자격 증명을 다시 입력하지 않고도 단일 사용자 ID와 비밀번호로 여러 애플리케이션에 로그인할 수 있는 방법입니다. Mattermost는 SAML 2.0 서비스 제공자로 작동하도록 구성할 수 있으며, Mattermost는 공식적으로 Okta, OneLogin 및 Microsoft ADFS를 ID 공급자(IDP)로 지원합니다.

싱글 사인온(SSO)은 사용자가 자격 증명을 다시 입력하지 않고도 단일 사용자 ID와 비밀번호로 여러 애플리케이션에 로그인할 수 있는 방법입니다. SAML 표준은 ID 공급자가 서비스 제공자에게 자격 증명을 전달할 수 있도록 합니다. Mattermost는 SAML 2.0 서비스 제공자로 작동하도록 구성할 수 있습니다.

Mattermost는 SAML 2.0 서비스 제공자로 작동하도록 구성할 수 있으며, Mattermost는 공식적으로 Okta, OneLogin 및 Microsoft ADFS를 ID 공급자(IDP)로 지원합니다. 이러한 공급자로 SAML을 구성하는 방법에 대한 자세한 내용은 아래 링크를 참조하세요.

공식 지원 ID 공급자 외에도 커스텀 IdP를 위한 SAML도 구성할 수 있습니다. 예를 들어 고객들은 miniOrange, Azure AD, DUO, PingFederate, Keycloak 및 SimpleSAMLphp를 커스텀 IdP로 성공적으로 설정했습니다. 이러한 ID 공급자에 대해 테스트하지 않으므로 ID 공급자와 함께 작동하는지 확인하기 위해 스테이징 환경에서 새 버전의 Mattermost를 테스트하는 것이 중요합니다. 추가 보안을 위해 SAML 공급자 위에 MFA를 설정할 수도 있습니다.

SAML 싱글 사인온 통합은 다음과 같은 이점을 제공합니다:

  • 싱글 사인온. 사용자는 SAML 자격 증명으로 Mattermost에 로그인할 수 있습니다.
  • 중앙화된 ID 관리. Mattermost 계정은 로그인 시 SAML에서 전체 이름, 이메일, 사용자 이름 등의 사용자 속성을 자동으로 가져옵니다.
  • 자동 계정 프로비저닝. Mattermost 사용자 계정은 Mattermost 서버에서 SAML 자격 증명으로 처음 로그인할 때 자동으로 생성됩니다.
  • Mattermost의 사전 정의된 역할에 그룹 동기화. LDAP 그룹 동기화를 통해 그룹에 팀 및 채널 역할을 할당합니다.
  • 관리자 관리를 통한 컴플라이언스 조정. SAML 속성을 사용하여 System Console에서 Mattermost에 대한 관리자 액세스를 관리합니다.
Important
    • SAML 싱글 사인온 자체는 사용자 속성의 주기적 업데이트나 자동 디프로비저닝을 지원하지 않습니다. 그러나 AD/LDAP 동기화를 통한 SAML은 이러한 사용 사례를 지원하도록 구성할 수 있습니다.
    • 계정 생성 및 업데이트는 식별에 구성된 속성에 의해 영향을 받습니다.
    • 이메일 주소가 고유 식별자로 사용되고 변경된 경우 Mattermost는 이를 새 사용자로 해석할 수 있습니다. ID 속성이 설정되지 않거나 이메일 주소를 사용하도록 설정된 경우 이메일 주소가 변경될 때 Mattermost에서 새 계정이 생성될 수 있습니다.
    • employeeID처럼 변경되지 않는 ID 속성이 구성된 경우 Mattermost는 이 일관된 ID를 사용하여 사용자 계정을 인식하고 매칭할 수 있습니다. 이를 통해 새 계정을 생성하지 않고도 이메일과 같은 다른 속성을 업데이트할 수 있습니다. 사용자 세부 정보는 변경되지 않는 ID 속성을 기반으로 업데이트되어 중복 계정 없이 연속성 및 올바른 사용자 식별을 보장합니다.
    • EU-Login 시스템을 인증에 사용하도록 Mattermost를 구성하는 경우 해당 `issuerURI` 필드가 Mattermost에서 "서비스 공급자 식별자"라고 불리는 것임을 알아두세요.
    • SAML에 대한 자세한 내용은 Varonis의 이 글DUO의 개념적 예시 를 참조하세요.
    • Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요.

SAML 속성을 사용하여 역할 적용#

속성을 사용하여 로그인 시 지정된 사용자에게 역할을 할당할 수 있습니다. SAML 속성 설정에 액세스하려면 System Console > SAML 2.0 으로 이동합니다.

Username 속성#

(선택 사항) 사용자를 검색할 때 사용할 SAML 어설션 필터를 입력합니다.

  1. System Console > Authentication > SAML 2.0 (또는 5.12 이전 버전의 경우 System Console > SAML) 으로 이동합니다.
  2. Username Attribute 필드를 작성합니다.
  3. Save 를 선택합니다.

사용자가 Mattermost URL에 액세스할 때 조직 로그인에 사용하는 것과 동일한 사용자 이름과 비밀번호로 로그인합니다.

게스트 속성#

활성화된 경우 Mattermost의 guest 속성은 SAML 어설션이 guest인 외부 사용자를 식별하며 이 사용자들은 Mattermost 서버에 참여하도록 초대됩니다. 이 사용자들은 기본 멤버 사용자 역할 대신 첫 번째 로그인 시 즉시 게스트 역할이 적용됩니다. 이렇게 하면 System Console에서 역할을 수동으로 할당할 필요가 없습니다.

Mattermost 게스트 사용자가 SAML 시스템에서 게스트 역할을 제거하면 동기화 프로세스는 자동으로 해당 사용자를 멤버 사용자 역할로 승격시키지 않습니다. 이는 System Console > User Management 를 통해 수동으로 수행합니다. 멤버 사용자에게 guest 속성이 추가되면 동기화 프로세스는 자동으로 멤버 사용자를 게스트 역할로 강등시킵니다.

  1. System Console > SAML 2.0 을 통해 게스트 액세스를 활성화합니다.
  2. System Console > Authentication > SAML 2.0 으로 이동합니다.
  3. 게스트 속성 필드를 작성합니다.
  4. Save 를 선택합니다.

게스트가 처음 로그인하면 채널에 추가될 때까지 기본 방문 페이지가 표시됩니다.

이 기능에 대한 자세한 내용은 게스트 계정 문서 를 참조하세요.

Admin 속성#

(선택 사항) 시스템 관리자를 지정하기 위한 SAML 어설션의 속성입니다. 쿼리로 선택된 사용자는 시스템 관리자로 Mattermost 서버에 액세스할 수 있습니다. 기본적으로 시스템 관리자는 Mattermost System Console에 완전히 액세스할 수 있습니다.

이 속성으로 식별된 기존 멤버는 다음 로그인 시 멤버에서 시스템 관리자로 승격됩니다. 다음 로그인은 System Console > Session Lengths 에 설정된 세션 길이를 기반으로 합니다. 즉시 액세스가 제한되도록 System Console > User Management 에서 사용자를 수동으로 멤버로 강등시키는 것을 권장합니다.

  1. System Console > Authentication > SAML 2.0 으로 이동합니다.
  2. Enable Admin Attributetrue 로 설정합니다.
  3. Admin Attribute 필드를 작성합니다.
  4. Save 를 선택합니다.
Note

admin 속성이 false 로 설정된 경우 멤버의 시스템 관리자 역할은 유지됩니다. 그러나 속성이 제거되거나 변경된 경우 속성을 통해 승격된 시스템 관리자는 멤버로 강등되어 System Console에 대한 액세스를 유지하지 못합니다. 이 속성이 사용되지 않을 때는 System Console > User Management 에서 시스템 관리자를 수동으로 승격/강등시킬 수 있습니다.

구성 지원#

Mattermost 기술 구성 질문에 답하고 Mattermost SAML 구성 설정과 관련된 문제 해결을 위해 IdP 공급자와 협력하여 커스텀 IdP를 구성하는 데 도움을 제공합니다. 그러나 연결이 Mattermost에서 작동하는 것을 보장할 수 없습니다.

SAML에 대한 기술 문서는 sso-saml-technical 를 참조하세요.

커스텀 IdP의 사용자 파일을 가져오는 프로세스를 지원하려면 이 문서 를 참조하세요.

연결이 Mattermost에서 작동하는 것을 보장할 수 없지만 가능한 한 기능을 개선하는 것을 고려합니다. 지원 받기에 대한 자세한 내용은 여기 에서 확인하고 특정 공급자의 공식 지원 요청은 기능 아이디어 포털 에 제출할 수 있습니다.

SAML 싱글 사인온

원문 보기
요약

싱글 사인온(SSO)은 사용자가 자격 증명을 다시 입력하지 않고도 단일 사용자 ID와 비밀번호로 여러 애플리케이션에 로그인할 수 있는 방법입니다. Mattermost는 SAML 2.0 서비스 제공자로 작동하도록 구성할 수 있으며, Mattermost는 공식적으로 Okta, OneLogin 및 Microsoft ADFS를 ID 공급자(IDP)로 지원합니다.

싱글 사인온(SSO)은 사용자가 자격 증명을 다시 입력하지 않고도 단일 사용자 ID와 비밀번호로 여러 애플리케이션에 로그인할 수 있는 방법입니다. SAML 표준은 ID 공급자가 서비스 제공자에게 자격 증명을 전달할 수 있도록 합니다. Mattermost는 SAML 2.0 서비스 제공자로 작동하도록 구성할 수 있습니다.

Mattermost는 SAML 2.0 서비스 제공자로 작동하도록 구성할 수 있으며, Mattermost는 공식적으로 Okta, OneLogin 및 Microsoft ADFS를 ID 공급자(IDP)로 지원합니다. 이러한 공급자로 SAML을 구성하는 방법에 대한 자세한 내용은 아래 링크를 참조하세요.

공식 지원 ID 공급자 외에도 커스텀 IdP를 위한 SAML도 구성할 수 있습니다. 예를 들어 고객들은 miniOrange, Azure AD, DUO, PingFederate, Keycloak 및 SimpleSAMLphp를 커스텀 IdP로 성공적으로 설정했습니다. 이러한 ID 공급자에 대해 테스트하지 않으므로 ID 공급자와 함께 작동하는지 확인하기 위해 스테이징 환경에서 새 버전의 Mattermost를 테스트하는 것이 중요합니다. 추가 보안을 위해 SAML 공급자 위에 MFA를 설정할 수도 있습니다.

SAML 싱글 사인온 통합은 다음과 같은 이점을 제공합니다:

  • 싱글 사인온. 사용자는 SAML 자격 증명으로 Mattermost에 로그인할 수 있습니다.
  • 중앙화된 ID 관리. Mattermost 계정은 로그인 시 SAML에서 전체 이름, 이메일, 사용자 이름 등의 사용자 속성을 자동으로 가져옵니다.
  • 자동 계정 프로비저닝. Mattermost 사용자 계정은 Mattermost 서버에서 SAML 자격 증명으로 처음 로그인할 때 자동으로 생성됩니다.
  • Mattermost의 사전 정의된 역할에 그룹 동기화. LDAP 그룹 동기화를 통해 그룹에 팀 및 채널 역할을 할당합니다.
  • 관리자 관리를 통한 컴플라이언스 조정. SAML 속성을 사용하여 System Console에서 Mattermost에 대한 관리자 액세스를 관리합니다.
Important
    • SAML 싱글 사인온 자체는 사용자 속성의 주기적 업데이트나 자동 디프로비저닝을 지원하지 않습니다. 그러나 AD/LDAP 동기화를 통한 SAML은 이러한 사용 사례를 지원하도록 구성할 수 있습니다.
    • 계정 생성 및 업데이트는 식별에 구성된 속성에 의해 영향을 받습니다.
    • 이메일 주소가 고유 식별자로 사용되고 변경된 경우 Mattermost는 이를 새 사용자로 해석할 수 있습니다. ID 속성이 설정되지 않거나 이메일 주소를 사용하도록 설정된 경우 이메일 주소가 변경될 때 Mattermost에서 새 계정이 생성될 수 있습니다.
    • employeeID처럼 변경되지 않는 ID 속성이 구성된 경우 Mattermost는 이 일관된 ID를 사용하여 사용자 계정을 인식하고 매칭할 수 있습니다. 이를 통해 새 계정을 생성하지 않고도 이메일과 같은 다른 속성을 업데이트할 수 있습니다. 사용자 세부 정보는 변경되지 않는 ID 속성을 기반으로 업데이트되어 중복 계정 없이 연속성 및 올바른 사용자 식별을 보장합니다.
    • EU-Login 시스템을 인증에 사용하도록 Mattermost를 구성하는 경우 해당 `issuerURI` 필드가 Mattermost에서 "서비스 공급자 식별자"라고 불리는 것임을 알아두세요.
    • SAML에 대한 자세한 내용은 Varonis의 이 글DUO의 개념적 예시 를 참조하세요.
    • Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요.

SAML 속성을 사용하여 역할 적용#

속성을 사용하여 로그인 시 지정된 사용자에게 역할을 할당할 수 있습니다. SAML 속성 설정에 액세스하려면 System Console > SAML 2.0 으로 이동합니다.

Username 속성#

(선택 사항) 사용자를 검색할 때 사용할 SAML 어설션 필터를 입력합니다.

  1. System Console > Authentication > SAML 2.0 (또는 5.12 이전 버전의 경우 System Console > SAML) 으로 이동합니다.
  2. Username Attribute 필드를 작성합니다.
  3. Save 를 선택합니다.

사용자가 Mattermost URL에 액세스할 때 조직 로그인에 사용하는 것과 동일한 사용자 이름과 비밀번호로 로그인합니다.

게스트 속성#

활성화된 경우 Mattermost의 guest 속성은 SAML 어설션이 guest인 외부 사용자를 식별하며 이 사용자들은 Mattermost 서버에 참여하도록 초대됩니다. 이 사용자들은 기본 멤버 사용자 역할 대신 첫 번째 로그인 시 즉시 게스트 역할이 적용됩니다. 이렇게 하면 System Console에서 역할을 수동으로 할당할 필요가 없습니다.

Mattermost 게스트 사용자가 SAML 시스템에서 게스트 역할을 제거하면 동기화 프로세스는 자동으로 해당 사용자를 멤버 사용자 역할로 승격시키지 않습니다. 이는 System Console > User Management 를 통해 수동으로 수행합니다. 멤버 사용자에게 guest 속성이 추가되면 동기화 프로세스는 자동으로 멤버 사용자를 게스트 역할로 강등시킵니다.

  1. System Console > SAML 2.0 을 통해 게스트 액세스를 활성화합니다.
  2. System Console > Authentication > SAML 2.0 으로 이동합니다.
  3. 게스트 속성 필드를 작성합니다.
  4. Save 를 선택합니다.

게스트가 처음 로그인하면 채널에 추가될 때까지 기본 방문 페이지가 표시됩니다.

이 기능에 대한 자세한 내용은 게스트 계정 문서 를 참조하세요.

Admin 속성#

(선택 사항) 시스템 관리자를 지정하기 위한 SAML 어설션의 속성입니다. 쿼리로 선택된 사용자는 시스템 관리자로 Mattermost 서버에 액세스할 수 있습니다. 기본적으로 시스템 관리자는 Mattermost System Console에 완전히 액세스할 수 있습니다.

이 속성으로 식별된 기존 멤버는 다음 로그인 시 멤버에서 시스템 관리자로 승격됩니다. 다음 로그인은 System Console > Session Lengths 에 설정된 세션 길이를 기반으로 합니다. 즉시 액세스가 제한되도록 System Console > User Management 에서 사용자를 수동으로 멤버로 강등시키는 것을 권장합니다.

  1. System Console > Authentication > SAML 2.0 으로 이동합니다.
  2. Enable Admin Attributetrue 로 설정합니다.
  3. Admin Attribute 필드를 작성합니다.
  4. Save 를 선택합니다.
Note

admin 속성이 false 로 설정된 경우 멤버의 시스템 관리자 역할은 유지됩니다. 그러나 속성이 제거되거나 변경된 경우 속성을 통해 승격된 시스템 관리자는 멤버로 강등되어 System Console에 대한 액세스를 유지하지 못합니다. 이 속성이 사용되지 않을 때는 System Console > User Management 에서 시스템 관리자를 수동으로 승격/강등시킬 수 있습니다.

구성 지원#

Mattermost 기술 구성 질문에 답하고 Mattermost SAML 구성 설정과 관련된 문제 해결을 위해 IdP 공급자와 협력하여 커스텀 IdP를 구성하는 데 도움을 제공합니다. 그러나 연결이 Mattermost에서 작동하는 것을 보장할 수 없습니다.

SAML에 대한 기술 문서는 sso-saml-technical 를 참조하세요.

커스텀 IdP의 사용자 파일을 가져오는 프로세스를 지원하려면 이 문서 를 참조하세요.

연결이 Mattermost에서 작동하는 것을 보장할 수 없지만 가능한 한 기능을 개선하는 것을 고려합니다. 지원 받기에 대한 자세한 내용은 여기 에서 확인하고 특정 공급자의 공식 지원 요청은 기능 아이디어 포털 에 제출할 수 있습니다.