Keycloak으로 SAML 구성

요약

다음 절차에서는 Mattermost에 Keycloak으로 SAML을 구성하는 단계를 제공합니다. Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요. Keycloak v26.4.0으로 테스트되었습니다.

다음 절차에서는 Mattermost에 Keycloak으로 SAML을 구성하는 단계를 제공합니다.

Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요.

Mattermost SSO를 위한 Keycloak 설정#

Note

Keycloak v26.4.0으로 테스트되었습니다. Mattermost를 기본 realm에 클라이언트로 추가하는 것을 권장합니다.

관리자로 Keycloak에 로그인합니다.

Clients 를 선택한 다음 Create client 를 선택합니다. 이후 단계에서 이 클라이언트 ID를 사용합니다.

Client type: SAML
Client ID: mattermost

Next 를 클릭하고 다음 값을 업데이트합니다:

Root URL: http://your-mattermost-url.com
Home URL: /login/sso/saml
Valid redirect URIs: /login/sso/saml

클라이언트를 Save 합니다.

Settings 탭에서 다음 값을 업데이트합니다:

Enabled: On
Name ID format: email
Force Name ID format: On

In Keycloak, create the Mattermost client, specify the Client ID and Client Protocol, then save your changes.

Signature and Encryption 섹션에서 다음 값을 업데이트합니다:

Sign Documents: Off
Sign Assertions: On
Signature Algorithm: RSA_SHA1
SAML signature key name: NONE
Canonicalization Method: EXCLUSIVE
Encryption Algorithm: AES_256_GCM
Key Transport Algorithm: RSA_OAEP_MGF1P
Digest method for RSA-OAEP: SHA1

In Keycloak, configure the Signature and Encryption settings for the Mattermost client.

Warning

Mattermost는 Keycloak SAML에 대해 RSA_SHA1 만 지원합니다. Keycloak이 RSA_SHA512 및 RSA_SHA256 에 xmlenc 를 사용하는 반면 Mattermost는 현재 xmldsig 만 지원하기 때문입니다. 따라서 이 섹션에 설명된 대로 Signature Algorithm 및 Digest Method 로 RSA_SHA1 을 사용해야 합니다.

Keys 탭으로 이동합니다.

Client signature required: Off
Encrypt Assertions: On

a. Generate 를 클릭합니다.

b. private.key 파일을 다운로드합니다. c. Confirm 을 클릭합니다. In Keycloak, on the Keys tab, generate new keys for encryption.

Warning

Mattermost는 Keycloak을 통한 요청 서명을 지원하지 않으므로 위에서 언급한 대로 Client signature 설정을 비활성화해야 합니다. 다음으로 Export 를 클릭하고 다음 값을 업데이트하여 keystore.p12 파일을 다운로드합니다.

Archive Format: PKCS12

Key Alias: mattermost

Key Password: mattermost

Store Password: mattermost

In Keycloak, on the Keys tab, generate new keys, export using the values documented, then select Download.

Client scopes 탭으로 이동합니다.

먼저 이메일, 이름, 성을 위한 미리 정의된 매퍼를 추가합니다.

a. mattermost-dedicated 를 선택합니다. b. Add predefined mapper 를 클릭합니다. c. X500 email, X500 givenName 및 X500 surname 속성을 선택합니다. d. Add 를 클릭합니다. 다음으로 사용자 이름과 id를 위한 매퍼를 추가합니다. a. Add Mapper -> By Configuration -> User Property를 선택합니다. b. Name 을 Username 으로 설정합니다. c. Property 를 username 으로 설정합니다 (대소문자를 구분하며 소문자여야 합니다). d. SAML Attribute Name 을 username 으로 설정합니다. e. Save 를 선택합니다. In Keycloak, on the Mappers tab, create a protocol mapper, then save your changes.

In Keycloak, on the Mappers tab, create a protocol mapper, then save your changes.

f. 위 단계를 반복하고 id 의 커스텀 속성을 사용하여 ID 속성을 생성합니다. In Keycloak, on the Mappers tab, create a protocol mapper for the ID attribute, then save your changes.

Note

Mattermost 내에서 SAML 사용자를 LDAP와 동기화하려는 경우 여기에서 사용하는 ID 값이 Mattermost LDAP ID Attribute 와 일치해야 합니다.

완료되면 매퍼는 다음과 같아야 합니다:

Example of protocol mapper configuration.

Keycloak에서 메타데이터 URL 가져오기:

a. Realm 내에서 Realm Settings 를 선택합니다.

b. General 탭 하단에 SAML 2.0 Identity Provider Metadata 엔드포인트가 표시됩니다. 마우스 오른쪽 버튼으로 클릭하여 이 URL을 복사합니다. 다음 단계를 위해 저장합니다. Within your Realm, select Realm Settings. At the bottom of the General tab, you should see a SAML 2.0 Identify Provider Metadata endpoint. Copy this URL for the next step.

Within your Realm, select Realm Settings. At the bottom of the General tab, you should see a SAML 2.0 Identify Provider Metadata endpoint. Copy this URL for the next step.

Mattermost에서 SAML 구성#

Mattermost System Console 에서 Authentication > SAML 로 이동합니다.
Identity Provider Metadata URL 을 위 단계에서 복사한 값으로 설정하고 Get SAML Metadata from IdP 를 선택합니다. 메타데이터 가져오기는 Keycloak 구성과 관련된 필드를 채웁니다.

이 가져오기에 문제가 있으면 mattermost.log 파일에서 자세한 정보를 확인할 수 있습니다. 디버그 로깅 활성화 후 다시 시도합니다.

In Mattermost, configure SAML in the System Console by going to Authentication > SAML. Set the Identity Provider Metadata URL to the value you copied in the previous step. When you select Get SAML Metadata from IdP, fields related to your Keycloak configuration are populated.

Note

Mattermost가 Identity Provider Public Certificate 를 올바르게 가져오지 못하는 경우 브라우저에서 메타데이터 URL을 열고 인증서 값을 복사한 다음 인증서를 형식화할 수 있는 OneLogin's X.509 formatter 와 같은 도구를 사용하여 수동으로 추가할 수 있습니다. 그런 다음 올바르게 형식화된 인증서를 파일에 저장하고 Mattermost System Console의 Identity Provider Public Certificate 필드에 업로드합니다.
Mattermost가 메타데이터를 가져오지 못하고 연결 문제가 발생하는 경우 디버그 로깅을 활성화하고 System Console의 Environment > Developer 에서 Allowed Untrusted Internal Connections 목록에 Keycloak URL을 추가하고 서버를 재시작해야 하는지 확인하세요. 자세한 내용은 허용된 신뢰할 수 없는 내부 연결 문서를 참조하세요.

다음 필드를 설정합니다:

Verify Signature: false
Service Provider Login URL: http://your-mattermost-url.com/login/sso/saml
Service Provider Identifier: mattermost

서비스 제공자 식별자는 두 번째 Keycloak 단계에서 구성한 Client ID 와 일치합니다.

In the System Console, configure SAML as documented, where the Service Provider Identifier matches the Client ID you configured in Keycloak.

Keycloak 구성의 6단계에서 다운로드한 키를 사용하여 암호화를 구성합니다.

a. .p12 파일에서 .crt 파일을 생성합니다.

openssl pkcs12 -password pass:mattermost -in keystore.p12 -out mattermost.crt -nodes -legacy

b. ``.p12`` 파일에서 ``.key`` 파일을 생성합니다.

openssl pkcs12 -password pass:mattermost -in keystore.p12 -out mattermost.key -nodes -nocerts -legacy

c. Mattermost System Console 내에서 이 두 파일을 업로드합니다. **Upload** 를 선택해야 합니다.
- **Service Provider Private Key**: ``mattermost.key``
 - **Service Provider Private Certificate**: ``mattermost.crt``
 - **Sign Request**: **true**
 - **Signature Algorithm**: ``RSAwithSHA256``
 - **Canonicalization Algorithm**: ``Exclusive XML Canonicalization 1.0 (omits comments)``

 :alt: In the System Console, upload both the Service Provider Private Key and the Service Provider Private Certificate.</code></pre>
<li class="numbered">Mattermost에서 사용자 정보를 업데이트할 SAML 어설션의 속성을 설정합니다.

아래 속성은 위 7단계와 8단계에서 가져온 것입니다. 이 값들은 Keycloak 내에서 SAML Attribute Name 이어야 합니다. 자세한 내용은 SAML 구성 설정 문서 를 참조하세요.

Email Attribute: email
Username Attribute: username
Id Attribute: id

   

Save 를 선택합니다.


SAML이 올바르게 작동하는지 확인하려면 Mattermost에서 로그아웃하거나 새 시크릿 브라우저 창에서 Mattermost를 열고 로그인 페이지에서 Sign in with SAML 을 선택한 다음 기존 Keycloak 계정으로 로그인합니다.

SAML 로그인으로 마이그레이션될 Mattermost의 기존 사용자가 있는 경우 사용자 마이그레이션을 계획하고 그에 따라 사용자를 업데이트하세요.

config.json 을 편집하여 Keycloak용 SAML을 구성할 수도 있습니다. Mattermost 서버를 시작하기 전에 config.json 을 편집하여 SAML 구성 설정 을 기반으로 SAML을 활성화합니다. 변경 사항이 적용되려면 Mattermost 서버를 재시작해야 합니다.

Keycloak에서 SAML 사용자를 게스트로 구성#

Mattermost에서 System Console > Authentication > SAML 로 이동합니다.

어떤 SAML 사용자가 게스트인지 지정하려면 Guest Attribute 를 설정합니다.


Keycloak 관리 인터페이스에서 게스트를 위한 사용자 속성 매퍼를 추가합니다.

a. LHS 메뉴에서 Clients 를 선택합니다.
  b. 목록에서 mattermost 를 선택합니다.

Client Scopes 탭을 선택합니다.
스코프 목록에서 mattermost dedicated 를 선택합니다.
Add mapper 드롭다운을 클릭하고 By configuration 을 선택합니다.
열리는 모달에서 User Attribute 를 선택합니다.
표시된 대로 Name, User Attribute 및 SAML Attribute Name 값을 추가합니다.

    

Keycloak에서 User details 에 속성을 추가하여 어떤 사용자가 게스트인지 지정합니다.

  
a. LHS 메뉴에서 Users 를 선택합니다.
  b. 원하는 사용자의 사용자 이름을 선택합니다.
  c. Attribute 탭을 선택하고 + add an attribute 를 선택합니다.
  d. 키와 값을 추가합니다.

    



AD/LDAP와 SAML 동기화 구성#

SAML 로그인 구성 외에도 선택적으로 SAML 계정을 AD/LDAP와 동기화하도록 구성할 수 있습니다. 구성 시:

Mattermost가 AD/LDAP에서 관련 계정 정보를 쿼리하고 속성(이름, 성 및 닉네임) 변경에 따라 SAML 계정을 업데이트합니다.
AD/LDAP에서 비활성화된 계정은 Mattermost에서 비활성화되며 Mattermost가 속성을 동기화하면 활성 세션이 취소됩니다.

AD/LDAP와 SAML 동기화를 구성하려면:

System Console > Authentication > SAML 2.0 으로 이동한 다음 Enable Synchronizing SAML Accounts With AD/LDAP 를 true 로 설정합니다.
System Console > Authentication > AD/LDAP 로 이동하여 AD/LDAP 마법사를 열고 Connection Settings 섹션으로 이동한 다음 Enable Synchronization with AD/LDAP 를 true 로 설정합니다.
동기화 시 게스트 사용자를 무시하려면 System Console > Authentication > SAML 2.0 으로 이동한 다음 Ignore Guest Users when Synchronizing with AD/LDAP 를 true 로 설정합니다.
구성 설정 문서 에 따라 나머지 AD/LDAP 설정을 지정하여 Mattermost를 AD/LDAP 서버와 연결합니다.

AD/LDAP 로그인을 활성화하지 않으려면 System Console > Authentication > AD/LDAP 마법사로 이동하고 Connection Settings 섹션으로 이동한 다음 Enable sign-in with AD/LDAP 를 false 로 설정합니다.

Mattermost가 SAML 사용자 계정을 AD/LDAP와 얼마나 자주 동기화하는지 지정하려면 System Console > Authentication > AD/LDAP 마법사로 이동하고 Sync Performance 섹션으로 이동한 다음 Synchronization Interval 을 분 단위로 설정합니다. 기본 설정은 60분입니다. 계정 비활성화 후 즉시 동기화하려면 Sync History 섹션으로 이동하고 AD/LDAP Synchronize Now 를 선택합니다.
Mattermost가 AD/LDAP 서버에 성공적으로 연결할 수 있는지 확인하려면 System Console > Authentication > AD/LDAP 마법사로 이동하고 Connection Settings 섹션으로 이동한 다음 Test Connection 을 선택합니다.

AD/LDAP와의 동기화가 활성화되면 사용자 속성이 이메일 주소를 기반으로 AD/LDAP와 동기화됩니다. 주어진 이메일 주소를 가진 사용자가 AD/LDAP 계정을 가지지 않으면 다음 AD/LDAP 동기화 시 Mattermost에서 비활성화됩니다.

계정을 다시 활성화하려면:

AD/LDAP 서버에 사용자를 추가합니다.
System Console > Environment > Web Server 로 이동하여 Purge All Caches 를 선택하여 Mattermost의 모든 캐시를 지웁니다.
System Console > Authentication > AD/LDAP 마법사로 이동하여 Sync History 섹션으로 이동한 다음 AD/LDAP Synchronize Now 를 선택하여 AD/LDAP 동기화를 실행합니다.
System Console > Environment > Web Server 로 이동하여 Purge All Caches 를 다시 선택하여 Mattermost의 모든 캐시를 다시 지웁니다. 이렇게 하면 Mattermost에서 계정이 다시 활성화됩니다.

사용자가 AD/LDAP에서 비활성화되면 다음 동기화 시 Mattermost에서 비활성화됩니다. System Console 사용자 목록에 "Deactivated"로 표시되고, 모든 세션이 만료되며 Mattermost에 다시 로그인할 수 없게 됩니다.
사용자가 SAML에서 비활성화되면 AD/LDAP에서 비활성화될 때까지 세션이 만료되지 않습니다. 그러나 Mattermost에 다시 로그인할 수 없습니다.
AD/LDAP와의 SAML 동기화는 인증을 제어하는 것이 아니라 이름, 성 등의 사용자 속성을 AD/LDAP에서 가져오도록 설계되었습니다. 특히 사용자 필터는 Mattermost에 로그인할 수 있는 사람을 제어하는 데 사용할 수 없으며, 이는 SAML 서비스 공급자의 그룹 권한으로 제어해야 합니다.


자세한 내용은 AD/LDAP와의 SAML 동기화 기술적 설명 을 참조하세요.

AD/LDAP 데이터로 SAML 데이터 재정의#

또는 AD/LDAP 정보로 SAML 바인딩 데이터를 재정의하도록 선택할 수 있습니다. SAML ID 속성으로 사용자를 바인딩하는 방법에 대한 자세한 내용은 이 문서 를 참조하세요.

이 프로세스는 구성된 경우 SAML 이메일 주소를 AD/LDAP 이메일 주소 데이터로 재정의하거나 SAML Id 속성을 AD/LDAP Id 속성으로 재정의합니다. 사용자의 이메일 주소가 변경될 때 새 사용자가 생성되지 않도록 SAML ID 속성과 함께 이 구성을 사용하는 것을 권장합니다.

이 프로세스에서 기존 사용자 계정이 비활성화되지 않도록 하려면 두 시스템에서 데이터를 내보내고 ID 데이터를 비교하여 SAML ID가 LDAP ID와 일치하는지 확인하세요. Mattermost 내에서 AD/LDAP와 SAML 모두에 대한 ID 속성을 동일한 데이터를 보유하는 필드에 매핑하면 ID가 일치하게 됩니다.

System Console > Authentication > SAML 2.0 > Id Attribute 로 이동하여 SAML Id Attribute 를 설정합니다.
System Console > Authentication > SAML 2.0 > Override SAML bind data with AD/LDAP information 을 true 로 설정합니다.
System Console > Authentication > SAML 2.0 > Enable Synchronizing SAML Accounts With AD/LDAP 를 true 로 설정합니다.
System Console > Authentication > AD/LDAP 마법사로 이동하고 Sync History 섹션으로 이동한 다음 AD/LDAP Synchronize Now 를 선택하여 AD/LDAP 동기화를 실행합니다.






자주 묻는 질문#

SAML에서 지원되는 암호화 옵션은 무엇인가요?#

Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요.

이메일 대신 Id 속성으로 인증을 바인딩하는 방법#

또는 이메일 대신 Id 속성을 사용하여 사용자를 바인딩할 수 있습니다. 고유하고 시간이 지나도 변경되지 않는 ID를 선택하는 것을 권장합니다.

Id 속성으로 구성하면 이전 사용자의 정보를 노출하지 않고 새 사용자를 위해 이메일 주소를 재사용할 수 있습니다. 예를 들어, joe.smith@mattermost.com 이메일 주소를 가진 사용자가 한때 직원이었다면 Joe Smith라는 새 직원이 동일한 이메일을 사용할 수 있습니다. 이 구성은 사용자의 이름이 변경되어 이메일을 업데이트해야 할 때도 유용합니다.

이 프로세스는 이메일 바인딩과의 하위 호환성을 위해 설계되었습니다. 다음은 새 계정 생성 및 구성 후 로그인하는 계정에 적용되는 프로세스입니다:

SAML로 인증된 사용자는 Id 속성(구성된 경우)을 사용하거나 SAML에서 받은 이메일을 통해 SAML 서비스 사용자에 바인딩됩니다.
사용자가 로그인을 시도하고 SAML 서버가 유효한 인증으로 응답하면 서버는 SAML 인증의 "Id" 필드를 사용하여 사용자를 검색합니다.
해당 ID에 바인딩된 사용자가 이미 존재하면 해당 사용자로 로그인됩니다.
해당 ID에 바인딩된 사용자가 존재하지 않으면 이메일을 기반으로 검색합니다.
이메일에 바인딩된 사용자가 존재하면 이메일로 로그인하고 인증 데이터를 이메일 대신 ID로 업데이트합니다.
ID 또는 이메일에 바인딩된 사용자가 존재하지 않으면 ID로 SAML 계정에 바인딩된 새 Mattermost 계정을 생성하고 사용자가 로그인할 수 있도록 합니다.

    기존 계정은 서버에 로그인할 때까지 업데이트되지 않습니다.
 
Microsoft ADFS를 통한 SAML을 통합 Windows 인증(IWA)으로 구성할 수 있나요?#

예. IWA는 브라우저에서 지원되며 2019년 2분기(모바일 앱 v1.18 이상)에 iOS 및 Android 모바일 앱에 지원이 추가되었습니다.

그러나 IWA는 Electron의 제한으로 인해 Mattermost 데스크톱 앱에서는 지원되지 않습니다. 해결 방법으로 데스크톱 앱처럼 Mattermost에 빠르게 액세스하기 위한 브라우저 바탕화면 바로가기를 만들 수 있습니다.

SAML을 통해 로그인하는 사용자를 프로비저닝 및 디프로비저닝할 수 있나요?#

예, 하지만 이는 AD/LDAP를 통해 수행됩니다. 현재 SCIM은 지원하지 않습니다. 자세한 내용은 "사용자를 어떻게 비활성화하나요?" 를 참조하세요.

사용자를 한 인증 방법(예: 이메일)에서 SAML로 마이그레이션하는 방법#

자세한 내용은 mmctl user migrate-auth 명령 문서를 참조하세요.

SAML은 OAuth 2.0 및 OpenID Connect와 어떻게 다른가요?#

OAuth 2.0은 주로 위임된 권한 부여를 위해 설계되었으며, 예를 들어 앱이 Google 연락처 목록과 같은 리소스에 액세스하도록 권한을 부여합니다. 인증을 처리하지 않습니다.

OpenID Connect는 OAuth 2.0 위에 구축되어 인증을 지원하므로 직접 SSO가 가능합니다.

SAML은 OpenID Connect와 유사하지만 일반적으로 엔터프라이즈 환경에서 사용됩니다. OpenID Connect는 소비자 웹사이트 및 웹/모바일 앱에서 더 일반적입니다.

https://hackernoon.com/demystifying-oauth-2-0-and-openid-connect-and-saml-12aa4cf9fdba 에서 자세히 알아보세요.


Docs/Mattermost/Onboard/Sso-saml-keycloak
Keycloak으로 SAML 구성
원문 보기
번역일: 2026-04-22
요약
다음 절차에서는 Mattermost에 Keycloak으로 SAML을 구성하는 단계를 제공합니다. Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요. Keycloak v26.4.0으로 테스트되었습니다.



다음 절차에서는 Mattermost에 Keycloak으로 SAML을 구성하는 단계를 제공합니다.

Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요.

Mattermost SSO를 위한 Keycloak 설정#

Note
Keycloak v26.4.0으로 테스트되었습니다. Mattermost를 기본 realm에 클라이언트로 추가하는 것을 권장합니다.

관리자로 Keycloak에 로그인합니다.

Clients 를 선택한 다음 Create client 를 선택합니다. 이후 단계에서 이 클라이언트 ID를 사용합니다.

Client type: SAML
Client ID: mattermost

Next 를 클릭하고 다음 값을 업데이트합니다:

Root URL: http://your-mattermost-url.com
Home URL: /login/sso/saml
Valid redirect URIs: /login/sso/saml

클라이언트를 Save 합니다.

Settings 탭에서 다음 값을 업데이트합니다:

Enabled: On
Name ID format: email
Force Name ID format: On

  

  
Signature and Encryption 섹션에서 다음 값을 업데이트합니다:

Sign Documents: Off
Sign Assertions: On
Signature Algorithm: RSA_SHA1
SAML signature key name: NONE
Canonicalization Method: EXCLUSIVE
Encryption Algorithm: AES_256_GCM
Key Transport Algorithm: RSA_OAEP_MGF1P
Digest method for RSA-OAEP: SHA1

  

  Warning
Mattermost는 Keycloak SAML에 대해 RSA_SHA1 만 지원합니다. Keycloak이 RSA_SHA512 및 RSA_SHA256 에 xmlenc 를 사용하는 반면 Mattermost는 현재 xmldsig 만 지원하기 때문입니다. 따라서 이 섹션에 설명된 대로 Signature Algorithm 및 Digest Method 로 RSA_SHA1 을 사용해야 합니다.

Keys 탭으로 이동합니다.

Client signature required: Off
Encrypt Assertions: On

    
a. Generate 를 클릭합니다.
    b. private.key 파일을 다운로드합니다.
    c. Confirm 을 클릭합니다.

    
    Warning
Mattermost는 Keycloak을 통한 요청 서명을 지원하지 않으므로 위에서 언급한 대로 Client signature 설정을 비활성화해야 합니다.

다음으로 Export 를 클릭하고 다음 값을 업데이트하여 keystore.p12 파일을 다운로드합니다.
Archive Format: PKCS12
Key Alias: mattermost
Key Password: mattermost
Store Password: mattermost 

    
Client scopes 탭으로 이동합니다.

먼저 이메일, 이름, 성을 위한 미리 정의된 매퍼를 추가합니다.

   a. mattermost-dedicated 를 선택합니다.
   b. Add predefined mapper 를 클릭합니다.
   c. X500 email, X500 givenName 및 X500 surname 속성을 선택합니다.
   d. Add 를 클릭합니다.

   다음으로 사용자 이름과 id를 위한 매퍼를 추가합니다.

   a. Add Mapper -> By Configuration -> User Property를 선택합니다.
   b. Name 을 Username 으로 설정합니다.
   c. Property 를 username 으로 설정합니다 (대소문자를 구분하며 소문자여야 합니다).
   d. SAML Attribute Name 을 username 으로 설정합니다.
   e. Save 를 선택합니다.

   
   f. 위 단계를 반복하고 id 의 커스텀 속성을 사용하여 ID 속성을 생성합니다.

   
Note
Mattermost 내에서 SAML 사용자를 LDAP와 동기화하려는 경우 여기에서 사용하는 ID 값이 Mattermost LDAP ID Attribute 와 일치해야 합니다.

완료되면 매퍼는 다음과 같아야 합니다:



Keycloak에서 메타데이터 URL 가져오기:

   
a. Realm 내에서 Realm Settings 를 선택합니다.
   b. General 탭 하단에 SAML 2.0 Identity Provider Metadata 엔드포인트가 표시됩니다. 마우스 오른쪽 버튼으로 클릭하여 이 URL을 복사합니다. 다음 단계를 위해 저장합니다.

   
Mattermost에서 SAML 구성#

Mattermost System Console 에서 Authentication > SAML 로 이동합니다.

Identity Provider Metadata URL 을 위 단계에서 복사한 값으로 설정하고 Get SAML Metadata from IdP 를 선택합니다. 메타데이터 가져오기는 Keycloak 구성과 관련된 필드를 채웁니다.

이 가져오기에 문제가 있으면 mattermost.log 파일에서 자세한 정보를 확인할 수 있습니다. 디버그 로깅 활성화 후 다시 시도합니다.

    
Note
Mattermost가 Identity Provider Public Certificate 를 올바르게 가져오지 못하는 경우 브라우저에서 메타데이터 URL을 열고 인증서 값을 복사한 다음 인증서를 형식화할 수 있는 OneLogin's X.509 formatter 와 같은 도구를 사용하여 수동으로 추가할 수 있습니다. 그런 다음 올바르게 형식화된 인증서를 파일에 저장하고 Mattermost System Console의 Identity Provider Public Certificate 필드에 업로드합니다.
Mattermost가 메타데이터를 가져오지 못하고 연결 문제가 발생하는 경우 디버그 로깅을 활성화하고 System Console의 Environment > Developer 에서 Allowed Untrusted Internal Connections 목록에 Keycloak URL을 추가하고 서버를 재시작해야 하는지 확인하세요. 자세한 내용은 허용된 신뢰할 수 없는 내부 연결 문서를 참조하세요.
다음 필드를 설정합니다:

Verify Signature: false
Service Provider Login URL: http://your-mattermost-url.com/login/sso/saml
Service Provider Identifier: mattermost

   
서비스 제공자 식별자는 두 번째 Keycloak 단계에서 구성한 Client ID 와 일치합니다.

   
Keycloak 구성의 6단계에서 다운로드한 키를 사용하여 암호화를 구성합니다.

a. .p12 파일에서 .crt 파일을 생성합니다.

   
openssl pkcs12 -password pass:mattermost -in keystore.p12 -out mattermost.crt -nodes -legacy

b. ``.p12`` 파일에서 ``.key`` 파일을 생성합니다.

openssl pkcs12 -password pass:mattermost -in keystore.p12 -out mattermost.key -nodes -nocerts -legacy

c. Mattermost System Console 내에서 이 두 파일을 업로드합니다. **Upload** 를 선택해야 합니다.
- **Service Provider Private Key**: ``mattermost.key``
 - **Service Provider Private Certificate**: ``mattermost.crt``
 - **Sign Request**: **true**
 - **Signature Algorithm**: ``RSAwithSHA256``
 - **Canonicalization Algorithm**: ``Exclusive XML Canonicalization 1.0 (omits comments)``

 :alt: In the System Console, upload both the Service Provider Private Key and the Service Provider Private Certificate.</code></pre>
<li class="numbered">Mattermost에서 사용자 정보를 업데이트할 SAML 어설션의 속성을 설정합니다.

아래 속성은 위 7단계와 8단계에서 가져온 것입니다. 이 값들은 Keycloak 내에서 SAML Attribute Name 이어야 합니다. 자세한 내용은 SAML 구성 설정 문서 를 참조하세요.

Email Attribute: email
Username Attribute: username
Id Attribute: id

   

Save 를 선택합니다.


SAML이 올바르게 작동하는지 확인하려면 Mattermost에서 로그아웃하거나 새 시크릿 브라우저 창에서 Mattermost를 열고 로그인 페이지에서 Sign in with SAML 을 선택한 다음 기존 Keycloak 계정으로 로그인합니다.

SAML 로그인으로 마이그레이션될 Mattermost의 기존 사용자가 있는 경우 사용자 마이그레이션을 계획하고 그에 따라 사용자를 업데이트하세요.

config.json 을 편집하여 Keycloak용 SAML을 구성할 수도 있습니다. Mattermost 서버를 시작하기 전에 config.json 을 편집하여 SAML 구성 설정 을 기반으로 SAML을 활성화합니다. 변경 사항이 적용되려면 Mattermost 서버를 재시작해야 합니다.

Keycloak에서 SAML 사용자를 게스트로 구성#

Mattermost에서 System Console > Authentication > SAML 로 이동합니다.

어떤 SAML 사용자가 게스트인지 지정하려면 Guest Attribute 를 설정합니다.


Keycloak 관리 인터페이스에서 게스트를 위한 사용자 속성 매퍼를 추가합니다.

a. LHS 메뉴에서 Clients 를 선택합니다.
  b. 목록에서 mattermost 를 선택합니다.

Client Scopes 탭을 선택합니다.
스코프 목록에서 mattermost dedicated 를 선택합니다.
Add mapper 드롭다운을 클릭하고 By configuration 을 선택합니다.
열리는 모달에서 User Attribute 를 선택합니다.
표시된 대로 Name, User Attribute 및 SAML Attribute Name 값을 추가합니다.

    

Keycloak에서 User details 에 속성을 추가하여 어떤 사용자가 게스트인지 지정합니다.

  
a. LHS 메뉴에서 Users 를 선택합니다.
  b. 원하는 사용자의 사용자 이름을 선택합니다.
  c. Attribute 탭을 선택하고 + add an attribute 를 선택합니다.
  d. 키와 값을 추가합니다.

    



AD/LDAP와 SAML 동기화 구성#

SAML 로그인 구성 외에도 선택적으로 SAML 계정을 AD/LDAP와 동기화하도록 구성할 수 있습니다. 구성 시:

Mattermost가 AD/LDAP에서 관련 계정 정보를 쿼리하고 속성(이름, 성 및 닉네임) 변경에 따라 SAML 계정을 업데이트합니다.
AD/LDAP에서 비활성화된 계정은 Mattermost에서 비활성화되며 Mattermost가 속성을 동기화하면 활성 세션이 취소됩니다.

AD/LDAP와 SAML 동기화를 구성하려면:

System Console > Authentication > SAML 2.0 으로 이동한 다음 Enable Synchronizing SAML Accounts With AD/LDAP 를 true 로 설정합니다.
System Console > Authentication > AD/LDAP 로 이동하여 AD/LDAP 마법사를 열고 Connection Settings 섹션으로 이동한 다음 Enable Synchronization with AD/LDAP 를 true 로 설정합니다.
동기화 시 게스트 사용자를 무시하려면 System Console > Authentication > SAML 2.0 으로 이동한 다음 Ignore Guest Users when Synchronizing with AD/LDAP 를 true 로 설정합니다.
구성 설정 문서 에 따라 나머지 AD/LDAP 설정을 지정하여 Mattermost를 AD/LDAP 서버와 연결합니다.

AD/LDAP 로그인을 활성화하지 않으려면 System Console > Authentication > AD/LDAP 마법사로 이동하고 Connection Settings 섹션으로 이동한 다음 Enable sign-in with AD/LDAP 를 false 로 설정합니다.

Mattermost가 SAML 사용자 계정을 AD/LDAP와 얼마나 자주 동기화하는지 지정하려면 System Console > Authentication > AD/LDAP 마법사로 이동하고 Sync Performance 섹션으로 이동한 다음 Synchronization Interval 을 분 단위로 설정합니다. 기본 설정은 60분입니다. 계정 비활성화 후 즉시 동기화하려면 Sync History 섹션으로 이동하고 AD/LDAP Synchronize Now 를 선택합니다.
Mattermost가 AD/LDAP 서버에 성공적으로 연결할 수 있는지 확인하려면 System Console > Authentication > AD/LDAP 마법사로 이동하고 Connection Settings 섹션으로 이동한 다음 Test Connection 을 선택합니다.

AD/LDAP와의 동기화가 활성화되면 사용자 속성이 이메일 주소를 기반으로 AD/LDAP와 동기화됩니다. 주어진 이메일 주소를 가진 사용자가 AD/LDAP 계정을 가지지 않으면 다음 AD/LDAP 동기화 시 Mattermost에서 비활성화됩니다.

계정을 다시 활성화하려면:

AD/LDAP 서버에 사용자를 추가합니다.
System Console > Environment > Web Server 로 이동하여 Purge All Caches 를 선택하여 Mattermost의 모든 캐시를 지웁니다.
System Console > Authentication > AD/LDAP 마법사로 이동하여 Sync History 섹션으로 이동한 다음 AD/LDAP Synchronize Now 를 선택하여 AD/LDAP 동기화를 실행합니다.
System Console > Environment > Web Server 로 이동하여 Purge All Caches 를 다시 선택하여 Mattermost의 모든 캐시를 다시 지웁니다. 이렇게 하면 Mattermost에서 계정이 다시 활성화됩니다.

사용자가 AD/LDAP에서 비활성화되면 다음 동기화 시 Mattermost에서 비활성화됩니다. System Console 사용자 목록에 "Deactivated"로 표시되고, 모든 세션이 만료되며 Mattermost에 다시 로그인할 수 없게 됩니다.
사용자가 SAML에서 비활성화되면 AD/LDAP에서 비활성화될 때까지 세션이 만료되지 않습니다. 그러나 Mattermost에 다시 로그인할 수 없습니다.
AD/LDAP와의 SAML 동기화는 인증을 제어하는 것이 아니라 이름, 성 등의 사용자 속성을 AD/LDAP에서 가져오도록 설계되었습니다. 특히 사용자 필터는 Mattermost에 로그인할 수 있는 사람을 제어하는 데 사용할 수 없으며, 이는 SAML 서비스 공급자의 그룹 권한으로 제어해야 합니다.


자세한 내용은 AD/LDAP와의 SAML 동기화 기술적 설명 을 참조하세요.

AD/LDAP 데이터로 SAML 데이터 재정의#

또는 AD/LDAP 정보로 SAML 바인딩 데이터를 재정의하도록 선택할 수 있습니다. SAML ID 속성으로 사용자를 바인딩하는 방법에 대한 자세한 내용은 이 문서 를 참조하세요.

이 프로세스는 구성된 경우 SAML 이메일 주소를 AD/LDAP 이메일 주소 데이터로 재정의하거나 SAML Id 속성을 AD/LDAP Id 속성으로 재정의합니다. 사용자의 이메일 주소가 변경될 때 새 사용자가 생성되지 않도록 SAML ID 속성과 함께 이 구성을 사용하는 것을 권장합니다.

이 프로세스에서 기존 사용자 계정이 비활성화되지 않도록 하려면 두 시스템에서 데이터를 내보내고 ID 데이터를 비교하여 SAML ID가 LDAP ID와 일치하는지 확인하세요. Mattermost 내에서 AD/LDAP와 SAML 모두에 대한 ID 속성을 동일한 데이터를 보유하는 필드에 매핑하면 ID가 일치하게 됩니다.

System Console > Authentication > SAML 2.0 > Id Attribute 로 이동하여 SAML Id Attribute 를 설정합니다.
System Console > Authentication > SAML 2.0 > Override SAML bind data with AD/LDAP information 을 true 로 설정합니다.
System Console > Authentication > SAML 2.0 > Enable Synchronizing SAML Accounts With AD/LDAP 를 true 로 설정합니다.
System Console > Authentication > AD/LDAP 마법사로 이동하고 Sync History 섹션으로 이동한 다음 AD/LDAP Synchronize Now 를 선택하여 AD/LDAP 동기화를 실행합니다.






자주 묻는 질문#

SAML에서 지원되는 암호화 옵션은 무엇인가요?#

Mattermost가 SAML을 위해 지원하는 암호화 방법 에 대한 자세한 내용은 암호화 옵션 문서를 참조하세요.

이메일 대신 Id 속성으로 인증을 바인딩하는 방법#

또는 이메일 대신 Id 속성을 사용하여 사용자를 바인딩할 수 있습니다. 고유하고 시간이 지나도 변경되지 않는 ID를 선택하는 것을 권장합니다.

Id 속성으로 구성하면 이전 사용자의 정보를 노출하지 않고 새 사용자를 위해 이메일 주소를 재사용할 수 있습니다. 예를 들어, joe.smith@mattermost.com 이메일 주소를 가진 사용자가 한때 직원이었다면 Joe Smith라는 새 직원이 동일한 이메일을 사용할 수 있습니다. 이 구성은 사용자의 이름이 변경되어 이메일을 업데이트해야 할 때도 유용합니다.

이 프로세스는 이메일 바인딩과의 하위 호환성을 위해 설계되었습니다. 다음은 새 계정 생성 및 구성 후 로그인하는 계정에 적용되는 프로세스입니다:

SAML로 인증된 사용자는 Id 속성(구성된 경우)을 사용하거나 SAML에서 받은 이메일을 통해 SAML 서비스 사용자에 바인딩됩니다.
사용자가 로그인을 시도하고 SAML 서버가 유효한 인증으로 응답하면 서버는 SAML 인증의 "Id" 필드를 사용하여 사용자를 검색합니다.
해당 ID에 바인딩된 사용자가 이미 존재하면 해당 사용자로 로그인됩니다.
해당 ID에 바인딩된 사용자가 존재하지 않으면 이메일을 기반으로 검색합니다.
이메일에 바인딩된 사용자가 존재하면 이메일로 로그인하고 인증 데이터를 이메일 대신 ID로 업데이트합니다.
ID 또는 이메일에 바인딩된 사용자가 존재하지 않으면 ID로 SAML 계정에 바인딩된 새 Mattermost 계정을 생성하고 사용자가 로그인할 수 있도록 합니다.

    기존 계정은 서버에 로그인할 때까지 업데이트되지 않습니다.
 
Microsoft ADFS를 통한 SAML을 통합 Windows 인증(IWA)으로 구성할 수 있나요?#

예. IWA는 브라우저에서 지원되며 2019년 2분기(모바일 앱 v1.18 이상)에 iOS 및 Android 모바일 앱에 지원이 추가되었습니다.

그러나 IWA는 Electron의 제한으로 인해 Mattermost 데스크톱 앱에서는 지원되지 않습니다. 해결 방법으로 데스크톱 앱처럼 Mattermost에 빠르게 액세스하기 위한 브라우저 바탕화면 바로가기를 만들 수 있습니다.

SAML을 통해 로그인하는 사용자를 프로비저닝 및 디프로비저닝할 수 있나요?#

예, 하지만 이는 AD/LDAP를 통해 수행됩니다. 현재 SCIM은 지원하지 않습니다. 자세한 내용은 "사용자를 어떻게 비활성화하나요?" 를 참조하세요.

사용자를 한 인증 방법(예: 이메일)에서 SAML로 마이그레이션하는 방법#

자세한 내용은 mmctl user migrate-auth 명령 문서를 참조하세요.

SAML은 OAuth 2.0 및 OpenID Connect와 어떻게 다른가요?#

OAuth 2.0은 주로 위임된 권한 부여를 위해 설계되었으며, 예를 들어 앱이 Google 연락처 목록과 같은 리소스에 액세스하도록 권한을 부여합니다. 인증을 처리하지 않습니다.

OpenID Connect는 OAuth 2.0 위에 구축되어 인증을 지원하므로 직접 SSO가 가능합니다.

SAML은 OpenID Connect와 유사하지만 일반적으로 엔터프라이즈 환경에서 사용됩니다. OpenID Connect는 소비자 웹사이트 및 웹/모바일 앱에서 더 일반적입니다.

https://hackernoon.com/demystifying-oauth-2-0-and-openid-connect-and-saml-12aa4cf9fdba 에서 자세히 알아보세요.

목차
Mattermost SSO를 위한 Keycloak 설정Mattermost에서 SAML 구성Keycloak에서 SAML 사용자를 게스트로 구성