Add to collection(s) Add to saved
  1. No category
Uploaded by kmjimn

SAML SSO구성

advertisement 
ID 공급자 (Idp)
ID 공급자는 사용자의 ID 를 인증하는 신뢰할 수 있는 서비스 역할을 합니다.
서비스 공급자 (Sp)
서비스 공급자는 Salesforce 조직 또는 Workday 등 타사 앱과 같이 사용자가
액세스하려는 응용 프로그램입니다.
1.
Salesforce 를 SAML ID공급자로 활성화
자체 서명 인증서 생성 (기본적으로,,,? 내 경우엔 인증서가 만료되어서!)
: 인증서 및 키 관리 > 자체 서명 인증서 작성!!
: 설정 > ID공급자 > 설정 활성화 (내가 만든 Tableau Online 자체 서명 인증서 이용)
2.
id공급자로 서비스 공급자에 정보 제공 (서비스 공급자 지원형식에 따라 xml메타데이터
or 인증서 형식)
: 서비스 공급자가 뭘 원하는 지 몰라서 메타데이터, 인증서 모두 다운 받아 놓음!
3.
서비스 공급자로부터 구성 정보 (엔티티id, acs가져옴)
//tableau online entitiy id
https://sso.online.tableau.com/public/sp/metadata/f8b6b000-6e29-4ffe8d11-72aed8967979
//acs
https://sso.online.tableau.com/public/sp/SSO/f8b6b000-6e29-4ffe-8d1172aed8967979




4.
어설션 소비자 서비스(ACS) URL - ID 공급자가 SAML 응답을 보내는 URL
엔티티 ID - 서비스 공급자의 고유 식별자
제목 유형 - 서비스 공급자가 Salesforce 에서 SAML 어설션의 사용자 ID 정보를 보낼
것으로 예상하는 위치를 지정합니다. Salesforce 에서는 어설션의 제목 또는 사용자
정의 특성에 있는 사용자 정보를 보낼 수 있습니다.
보안 인증서 - 서비스 공급자가 Salesforce 에 로그인을 시작하고 SAML 요청에
서명하는 경우 필요합니다.
SAML 사용 연결된 앱으로 서비스 공급자 통합
사용자 인증에 SAML을 구현하는 연결된 앱을 사용해야함
서비스 공급자에 SAML활성화하고 연결된 앱을 구성해야함
Tableau Online을 연결된 앱으로 구성하고,
Salesforce 조직을 연결된 앱의 ID공급자로 정의.
연결된 앱 만들기
앱 관리자 > 새 연결된 앱> 만들때 saml통합 기반으로!
웹 앱 설정 섹션에서 SAML 활성화를 선택하고 서비스 공급자에서 사용할 수 있는 다음
정보를 입력합니다.
a.
엔티티 ID - 서비스 공급자의 전역적으로 고유한 ID. 서비스 공급자에서 여러 앱에
액세스하고 있는 경우 서비스 공급자를 정의한 다음 RelayState 매개 변수를
사용하여 URL 값을 추가하고 로그인 후 사용자를 올바른 앱으로 안내합니다.
b. ACS URL - (어설션 수요자 서비스) SAML 어설션을 수신하는 서비스 공급자의 끝점.
c. 제목 유형 - 앱에 대한 사용자의 ID 를 정의하는 필드를 지정합니다. 옵션에 사용자의
사용자 이름, 연합 ID, 사용자 ID, 사용자 정의 속성 또는 알고리즘 방식으로 계산된
영구 ID 가 포함됩니다. 이메일, 텍스트, URL 또는 수식(텍스트 반환 유형 사용)
데이터 유형 중 하나인 경우 사용자 정의 특성은 조직의 사용자 개체에 추가된
사용자 정의 필드일 수 있습니다. 제목 유형에 대해 사용자 정의 특성을 선택하면
Salesforce 가 조직에서 사용 가능한 사용자 개체 사용자 정의 필드의 목록과 함께
사용자 정의 특성 필드를 표시합니다.
d. 이름 ID 형식 - SAML 메시지에서 보낸 형식 속성을 지정합니다. 기본 선택
항목은 지정되지 않음입니다. SAML 서비스 공급자에 따라 이 형식을 이메일 주소,
영구 또는 임시로 설정할 수 있습니다. 이메일 주소에 이 형식을 설정하면 ID
공급자가 SAML 메시지에서 조직 사용자와 Experience Cloud 사용자를 다르게
설명합니다. 조직 사용자의 경우 SAML 메시지에 사용자의 이메일 주소만 포함됩니다.
이 샘플은 이메일 주소로 설정된 이름 ID 형식을 사용하여 조직 사용자가 로그인할
때 전송되는 SAML 메시지를 보여줍니다.
제목 유형에서 걸렸다!!
사용자 이름, saml 1.1 email-address로 갈게,,,
사용자 정의 특성을 일단은 PROFILEID로 해놓음
사용자 매핑!!-> 사용자 이름이 이메일 주소로 되어있음!
연결된 앱에 대한 액세스 관리가 안됨
 캔버스 앱으로 설정, 프로필 등록, 권한 집합 설정!!
, 연결 안됨, 오류뜸! -> 메타데이터 교체로 해결
프로비저닝 해야해
https://www.apexhours.com/setup-okta-single-sign-on-sso-with-salesforce/
사용자 추가는 csv로! SAML로 설정!
데이터 교체 작업,
Download
advertisement