Entra ID Single Sign-On
팀 생성, 계정 생성 및 로그인을 위한 SSO(Single Sign-on) 서비스로 Entra ID 로그온 자격 증명과 Azure Active Directory 계정을 사용하도록 Mattermost를 구성하려면 다음 단계를 따르세요.
EntraID를 Single Sign-On(SSO) 서비스로 구성하기#
- 이 문서는 OpenID Connect 인증을 위한 Entra ID 구성을 다룹니다. SAML 인증을 위한 Entra ID 구성이 필요한 경우 Microsoft Entra ID로 SAML 구성 문서를 참조하세요.
- Microsoft는 SSL이 활성화된 OAuth 리다이렉트 URI만 허용하므로 시스템에서 SSL을 사용해야 합니다.
팀 생성, 계정 생성 및 로그인을 위한 SSO(Single Sign-on) 서비스로 Entra ID 로그온 자격 증명과 Azure Active Directory 계정을 사용하도록 Mattermost를 구성하려면 다음 단계를 따르세요.
1단계: Azure Portal에서 애플리케이션 등록#
- 애플리케이션을 등록할 Azure Active Directory 테넌트와 연결된 계정으로 Azure Portal 에 로그인합니다. 포털 오른쪽 상단에서 테넌트를 확인할 수 있습니다.
- 왼쪽 탐색 창에서 Microsoft EntraID 를 선택한 후 아래쪽에서 Add application registrations 를 선택합니다.
- 새 등록에 Name 을 지정합니다.
- 애플리케이션에 접근할 수 있는 Supported account types 를 정의합니다. 예를 들어 기업의 Azure AD 계정에서만 접근하려면 Accounts in this organizational directory only 를 선택합니다.
- Redirect URI 를 Web 클라이언트로 정의하고 Mattermost 서비스에 특정한 호스트 이름과
/signup/office365/complete를 포함한 URL을 입력합니다. 예:https://your.mattermost.com/signup/office365/complete
앱 등록이 생성되면 추가로 구성할 수 있습니다. 참고를 위해 표준 Azure AD 문서 를 참조하세요.
2단계: Azure Portal에서 새 클라이언트 시크릿 생성#
- 새로 생성된 Registered App 의 개요 페이지에서 메뉴에서 Certificates and Secrets 를 선택한 후 New Client secret 생성 버튼을 선택합니다.
- 설명을 입력하고 토큰의 만료 기간을 정의한 후 Add 를 선택합니다.
- 새 시크릿의 value 를 안전한 위치에 저장합니다.
- Azure Portal에서 메뉴에서 Overview 를 선택한 후 Application (client) ID와 Directory (tenant) ID를 임시 위치에 복사하여 붙여넣습니다. 이 값들은 Mattermost System Console에서 Application ID 와 Auth Endpoint 및 Token Endpoint URL의 일부로 입력할 것입니다.
- App Registrations > > Manage > API Permissions 에서 구성된 권한에 대한 관리자 동의를 부여합니다.
3단계: Entra ID SSO를 위한 Mattermost 구성#
- Mattermost에 로그인한 후 System Console > Authentication > OpenID Connect 로 이동합니다.
- 서비스 제공자로 Entra ID 를 선택합니다.
- Azure Portal의 Directory (tenant) ID 를 Mattermost의 Directory (tenant) ID 로 붙여넣습니다.
- Entra ID를 사용한 OpenID Connect의 Discovery Endpoint 는
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration으로 미리 채워져 있습니다. - Azure Portal의 Application (client) ID 를 Mattermost의 Client ID 로 붙여넣습니다.
- Azure Portal의 client secret 값을 Mattermost의 Client Secret 으로 붙여넣습니다.
- Save 를 선택합니다.
Mattermost가 사용자 인증을 위해 OpenID Connect 또는 OAuth 2.0을 사용하도록 구성된 경우 Mattermost API를 통해 다음 사용자 속성을 변경할 수 없습니다: 이름, 성 또는 사용자 이름. OpenID Connect 또는 OAuth 2.0이 이러한 사용자 속성의 권한 있는 소스여야 합니다.
Microsoft Active Directory 테넌트 참고 사항#
Microsoft Active Directory(AD) 테넌트는 Azure 또는 Entra ID와 같은 Microsoft 클라우드 서비스에 가입할 때 받은 Azure Active Directory(Azure AD)의 전용 인스턴스입니다. 테넌트는 일반적으로 비밀번호, 사용자 프로필 데이터 및 권한과 같은 사용자 정보를 저장하려는 조직에서 사용됩니다. Azure AD 테넌트 획득에 대한 자세한 내용은 Microsoft Entra ID
Azure AD 사용자가 Entra ID SSO를 사용하여 Mattermost에 로그인할 수 있도록 하려면 사용자 정보가 포함된 Microsoft Azure AD 테넌트에 Mattermost를 등록해야 합니다. `Microsoft Azure Portal 에서 등록할 수 있습니다. 테넌트에서 Mattermost 계정을 등록하는 단계는 위에 제공된 것과 유사하며 여기서 앱과 Azure AD 통합에 대한 자세한 정보 를 확인할 수 있습니다.
조직에서 사용하는 Microsoft Azure AD 테넌트에 Mattermost를 등록하지 않으면 사용자에 대한 Entra ID SSO가 실패할 가능성이 높습니다.
Azure Active Directory를 사용하지 않는 경우 Entra ID 또는 Azure 계정(개인, 직장 또는 학교 계정)으로 Mattermost를 등록한 후 위에 제공된 단계를 사용하여 Mattermost와 Entra ID SSO를 설정할 수 있습니다.
Entra ID SSO를 위한 Mattermost config.json 구성#
System Console을 사용하는 대신 Mattermost 서버의 config.json 파일에 직접 Entra ID 설정을 추가할 수 있습니다.
- 텍스트 편집기에서 root 로
config.json을 엽니다. 일반적으로/opt/mattermost/config에 있지만 시스템에 따라 다를 수 있습니다. Office365Settings섹션을 찾아 다음 정보를 추가하거나 업데이트합니다:- 변경 사항을 저장한 후 Mattermost 서버를 재시작합니다. 서버가 재시작된 후 사용자는 Entra ID로 로그인하기 전에 로그인 방법을 변경해야 합니다.
"Office365Settings": {
"Enable": false,
"Secret": "i.hddd6Pu3--5dg~cRddddqOrBdd1a",
"Id": "28ddd714-1f2f-4f9c-9486-90b8dddd27",
"Scope": "profile openid email",
"AuthEndpoint": "",
"TokenEndpoint": "",
"UserApiEndpoint": "",
"DiscoveryEndpoint": "https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration",
"DirectoryId": "common"
}자주 묻는 질문#
OpenID에서 LDAP 속성이나 그룹을 사용하는 방법은?#
현재 LDAP 데이터는 OpenID와 호환되지 않습니다. 현재 LDAP를 사용하여 사용자의 팀, 채널, 그룹 또는 속성을 관리하는 경우 OpenID로 로그인한 사용자에게는 자동으로 이를 적용할 수 없습니다. 각 사용자에게 LDAP를 동기화해야 하는 경우 로그인 제공자로 SAML 또는 LDAP를 사용하는 것을 권장합니다. Keycloak과 같은 일부 OpenID 제공자는 대신 SAML을 사용할 수 있습니다.