맨 위로 이동

SAML 로그인 설정

본 항목

  1. SAML 로그인 환경
  2. SAML 로그인 구성
  3. ArcGIS Online SAML 인증서 관리
  4. SAML IdP 수정 또는 제거
  5. SAML IdP의 서명 인증서 업데이트
  6. SAML 보안 모범 사례

Security Assertion Markup Language(SAML) 로그인(이전에는 엔터프라이즈 로그인이라고 함)과 같은 기관별 로그인을 구성하면 기관의 구성원이 기관의 내부 시스템에 접근하는 데 사용한 것과 동일한 로그인을 사용하여 ArcGIS Online에 로그인할 수 있습니다. 이 접근 방법을 사용하여 기관별 로그인을 설정하면 구성원이 ArcGIS Online 시스템에서 추가 로그인을 생성할 필요 없이 해당 기관에 이미 설정된 로그인을 사용할 수 있다는 이점이 있습니다. 구성원은 ArcGIS Online에 로그인할 때 기관의 ID 공급자(IdP)라고도 하는 기관의 로그인 관리자에 직접 기관의 사용자 이름과 비밀번호를 입력합니다. 구성원의 자격 증명을 확인할 때 IdP는 로그인하려는 구성원의 확인된 ID를 ArcGIS Online에 알립니다.

비고:

기관에 기존 ArcGIS 계정이 있는 경우 기관별 계정(SAML 로그인 또는 OpenID Connect 로그인)으로 마이그레이션할 수 있습니다. 이렇게 하려면 각 구성원의 항목과 그룹을 새 기관별 계정으로 이전하고 기존 ArcGIS 계정은 삭제됩니다. 마이그레이션 프로세스를 자동화하려면 ArcGIS API for Python을 사용해 보세요. 이 샘플 스크립트를 다운로드하여 시작하세요.

ArcGIS Online에서는 SAML 로그인을 구성할 수 있도록 SAML 2.0을 지원합니다. SAML은 IdP(기관)와 서비스 공급자(SP) 간에 인증 및 권한 부여 데이터를 안전하게 교환하기 위한 개방형 표준입니다. 이 경우 ArcGIS Online은 SAML 2.0 프로토콜을 준수하고 Active Directory Federation Services (AD FS), Google Workspace, Okta와 같이 SAML 2.0을 지원하는 IdP와 통합됩니다.

SAML 로그인만 표시되거나 SAML 로그인이 ArcGIS 로그인, OpenID Connect 로그인(구성된 경우), 소셜 로그인(구성된 경우) 옵션 중 하나와 함께 표시되도록 ArcGIS Online 로그인 페이지를 구성할 수 있습니다.

SAML 로그인이 안전하게 구성되었는지 확인하려면 SAML 보안의 모범 사례를 검토합니다.

대부분의 경우 기관에서는 단일 IdP를 사용하여 SAML 로그인을 설정합니다. 이 IdP는 여러 서비스 공급자에 호스팅되는 보안 리소스에 접근하는 사용자를 인증합니다. IdP와 모든 서비스 공급자는 동일한 기관이 관리합니다.

SAML 로그인으로 사용자를 인증하는 또 다른 방법은 SAML 기반 IdP 페더레이션을 사용하도록 기관을 구성하는 것입니다. 여러 기관 간의 SAML 기반 페더레이션에서 각 구성원 기관은 계속해서 자체 IdP를 사용하지만 하나 이상의 SP가 페더레이션 내에서 독점적으로 작동하도록 구성합니다. 페더레이션 내에서 공유되는 보안 리소스에 접근하려면 사용자가 자신의 기관 IdP로 아이덴티티를 인증해야 합니다. 정상적으로 인증되면 이 유효성이 검사된 아이덴티티가 보안 리소스를 호스팅하는 SP에 제공됩니다. 그러면 SP가 사용자의 접근 권한을 확인한 후 리소스에 대한 접근 권한을 부여합니다.

SAML 로그인 환경

ArcGIS Online은 SP 시작 SAML 로그인 및 IdP 시작 SAML 로그인을 지원합니다. 로그인 환경은 각각 다릅니다.

SP 초기화 로그인

SP 초기화 로그인을 사용하면 구성원이 ArcGIS Online 웹사이트에 직접 접근할 수 있으며 SAML SP 로그인 또는 ArcGIS 로그인을 사용하여 로그인하는 옵션이 표시됩니다. 구성원이 SP 옵션을 선택한 경우 SAML 사용자 이름과 비밀번호를 입력하라는 메시지가 표시된 웹페이지(로그인 관리자라고 함)로 리디렉션됩니다. 구성원의 자격 증명을 검증할 때 IdP는 로그인하려는 구성원에 대해 확인된 ID를 ArcGIS Online에 알려 주고 구성원은 ArcGIS Online 웹사이트로 리디렉션됩니다.

구성원이 ArcGIS 옵션을 선택하는 경우 ArcGIS Online의 로그인 페이지가 나타납니다. 그러면 구성원은 ArcGIS 사용자 이름과 비밀번호를 입력하여 웹사이트에 접근할 수 있습니다.

IdP 시작 로그인

IdP 시작 로그인을 통해 구성원은 기관 로그인 관리자에 직접 접근하고 계정으로 로그인합니다. 구성원이 계정 정보를 제출하면 IdP가 SAML 응답을 직접 ArcGIS Online에 전송합니다. 그러고 나면 구성원이 로그인되고 기관에 다시 로그인할 필요 없이 리소스에 바로 접근할 수 있는 ArcGIS Online 웹사이트로 리디렉션됩니다.

비고:

기관별 사용자 이름에는 기관 URL 키가 접미어로 포함됩니다. 예를 들어, SAML 사용자 이름이 JohnDoe@example.com인 경우 기관별 사용자 이름은 JohnDoe@example.com_OrganizationURLKey가 됩니다.

로그인 관리자에서 직접 ArcGIS 계정을 사용하여 로그인하는 옵션은 IdP 로그인에서는 사용할 수 없습니다. ArcGIS 계정을 사용하여 ArcGIS Online에 로그인하려면 구성원이 ArcGIS Online 웹사이트에 직접 접근해야 합니다.

SAML 로그인 구성

아래에서는 ArcGIS Online에서 IdP를 구성하는 프로세스에 대해 설명합니다. 계속 진행하기 전에 IdP 또는 IdP 페더레이션의 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다. 예를 들어 기관에서 Microsoft Entra ID를 사용하는 경우 IdP 쪽에서 SAML을 구성하거나 활성화하고 ArcGIS Online 쪽에서 구성에 필요한 매개변수를 얻으려면 이를 담당하는 관리자에게 문의하면 됩니다. 또한 ArcGIS/idp GitHub 저장소에서 상세한 서드 파티 IdP 구성 문서에 접근하거나 이에 기여할 수 있습니다.

SAML 로그인을 구성하려면 다음 단계를 완료하세요.

  1. 내 기관에 로그인했는지 확인합니다.

    해당 계정은 기본 관리자 역할의 구성원 또는 기관의 보안 설정을 구성할 수 있는 권한이 있는 사용자 정의 역할의 구성원이어야 합니다.

    비고:

    기관에는 기관 관리자를 두 명 이상 두는 것을 권장합니다. 기본 관리자 역할을 할당할 수 있는 구성원의 수에는 제한이 없습니다. 그러나 보안상의 이유로, 해당 권한이 실제로 필요한 구성원에게만 이 역할을 할당하세요.

  2. 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
  3. 구성원 자동 가입을 허용하려는 경우 먼저 새 구성원에 대한 기본 설정을 구성해야 합니다. 필요한 경우 기관에 가입되어 있는 구성원에 대해 이러한 설정을 변경할 수 있습니다. 이러한 단계는 다음과 같이 요약됩니다.
    1. 페이지 옆쪽에서 새 구성원 기본값을 클릭합니다.
    2. 새 구성원의 기본 사용자 유형과 역할을 선택합니다.
    3. 구성원이 기관에 가입할 때 자동으로 할당받게 될 애드온 라이선스를 선택합니다.
    4. 구성원이 기관에 가입할 때 추가될 그룹을 선택합니다.
    5. 기관에 크레딧 예산 편성이 활성화된 경우에는 각각의 새 구성원에 대한 크레딧 할당을 특정 크레딧 수 또는 제한 없음으로 설정합니다.
    6. 필요에 따라 새 구성원에 대한 Esri 접근을 활성화합니다.

      Esri에 접근할 수 있는 계정이 있는 구성원은 My Esri를 사용하고, 과정을 학습하고, Esri Community에 참여하고, ArcGIS Blog 기사에 의견을 추가하고, Esri의 이메일 통신을 관리할 수 있습니다. 구성원은 이러한 Esri 리소스에 대한 자신의 접속 권한을 활성화하거나 비활성화할 수 없습니다.

  4. 페이지 옆쪽에서 보안을 클릭합니다.
  5. 로그인 섹션에서 새 SAML 로그인을 클릭합니다.
  6. 창이 나타나면 다음 중 하나를 선택하세요.
    • 하나의 ID 공급자 — 사용자가 기관에서 관리되는 기존 SAML 자격 증명을 사용하여 로그인할 수 있습니다. 이 구성은 가장 일반적인 구성입니다.
    • ID 공급자의 페더레이션 — SWITCHaai 페더레이션과 같이 기존 기관 간 페더레이션에 속한 사용자가 해당 페더레이션에서 지원되는 자격 증명으로 로그인할 수 있습니다.
  7. 다음을 클릭합니다.
  8. 6단계에서 하나의 ID 공급자를 선택한 경우 다음을 수행하세요.
    1. 기관의 이름을 입력합니다.
    2. SAML 로그인을 가진 구성원이 ArcGIS Online 기관에 가입하는 방법(자동 또는 초대를 통해)을 선택합니다. 자동 옵션을 사용하면 구성원이 SAML 로그인으로 로그인하여 기관에 가입할 수 있습니다. 초대 옵션을 사용하면 관리자가 ArcGIS Online을 통해 기관 가입 방법이 포함된 이메일 초대를 생성해야 합니다. 자동 옵션을 선택하는 경우에도 기관에 가입하도록 구성원을 초대하거나 SAML ID를 사용하여 구성원을 직접 추가할 수 있습니다.
    3. ArcGIS Online에서 IdP에 대한 메타데이터 정보를 얻기 위해 접근해야 하는 소스를 지정하여 IdP에 대한 메타데이터 정보를 ArcGIS Online에 입력합니다.

      이 정보를 얻을 수 있는 출처는 다음과 같습니다.

      • URL — IdP에 대한 메타데이터 정보를 반환하는 URL을 입력합니다.
      • 파일 — IdP에 대한 메타데이터 정보가 포함된 파일을 업로드합니다.
      • 여기에 지정된 매개변수 — 다음 매개변수를 제공하여 IdP에 대한 메타데이터 정보를 직접 입력합니다.
        • 로그인 URL(리디렉션) — 구성원의 로그인을 허용하기 위해 ArcGIS Online에서 사용할 IdP URL(HTTP 리디렉션 바인딩 지원)을 입력합니다.
        • 로그인 URL(POST) — 구성원의 로그인을 허용하기 위해 ArcGIS Online에서 사용할 IdP URL(HTTP POST 바인딩 지원)을 입력합니다.
        • 인증서 — IdP의 인증서(BASE 64 형식으로 인코딩됨)를 제공합니다. 이 인증서를 통해 ArcGIS Online은 IdP로부터 전송된 SAML 응답의 디지털 서명을 확인할 수 있습니다.

      비고:

      제공해야 하는 메타데이터 정보의 원본은 IdP의 관리자에게 문의하세요.

  9. 6단계에서 ID 공급자의 페더레이션을 선택한 경우 다음을 수행하세요.
    1. 페더레이션 이름을 입력합니다.
    2. SAML 로그인을 가진 구성원이 ArcGIS Online 기관에 가입하는 방법(자동 또는 초대를 통해)을 선택합니다. 자동 옵션을 사용하면 구성원이 SAML 로그인으로 로그인하여 기관에 가입할 수 있습니다. 초대 옵션을 사용하면 관리자가 ArcGIS Online을 통해 기관 가입 방법이 포함된 이메일 초대를 생성해야 합니다. 자동 옵션을 선택하는 경우에도 기관에 가입하도록 구성원을 초대하거나 SAML ID를 사용하여 구성원을 직접 추가할 수 있습니다.
    3. 페더레이션에서 호스팅하는 중앙 집중식 IdP 검색 서비스에 대한 URL을 입력합니다(예시: https://wayf.samplefederation.com/WAYF).
    4. 페더레이션에 참여하는 모든 IdP 및 SP의 메타데이터 집계인 페더레이션 메타데이터에 대한 URL을 입력합니다.
    5. 기관에서 페더레이션 메타데이터의 유효성을 확인할 수 있도록 Base64 형식으로 인코딩된 인증서를 복사한 후 붙여넣습니다.
  10. 해당되는 경우 고급 설정 표시를 클릭하여 다음과 같은 고급 설정을 구성할 수 있습니다.
    • 암호화된 어설션 허용 — 암호화된 SAML 어설션 응답이 ArcGIS Online에서 지원됨을 SAML IdP에 나타내려는 경우 이 옵션을 활성화합니다. 이 옵션을 활성화하면 IdP가 SAML 응답의 어설션 섹션을 암호화합니다. ArcGIS Online과 주고받는 모든 SAML 트래픽이 HTTPS 사용을 통해 이미 암호화되어 있더라도 이 옵션을 통해 또 다른 암호화 레이어가 추가됩니다.
      비고:

      일부 IdP는 기본 설정에 따라 어설션을 암호화하지 않습니다. IdP 관리자에게 암호화된 어설션이 활성화되어 있는지 확인하는 것을 권장합니다.

    • 서명한 요청 활성화 — 이 옵션을 활성화하면 IdP로 보낸 SAML 인증 요청이 ArcGIS Online에 의해 서명됩니다. ArcGIS Online에서 보낸 초기 로그인 요청에 서명함으로써 IdP는 모든 로그인 요청이 신뢰할 수 있는 SP로부터 시작된 것임을 확인할 수 있습니다.
    • 기본 SAML 인증서 — SAML 인증 요청에 서명하고 SAML 인증서에서 수신한 어설션을 복호화하는 데 사용되는 인증서입니다. 이 설정은 암호화된 어설션 허용 또는 서명된 요청 활성화를 켠 경우에만 표시됩니다.
      비고:

      자세한 내용은 아래 ArcGIS Online SAML 인증서 관리 섹션을 참고하세요.

    • 보조 SAML 인증서 — 보조 SAML 인증서는 기본 SAML 인증서를 교체해야 할 때 SAML 로그인이 계속 작동하도록 하는 데 사용됩니다. 이 설정은 암호화된 어설션 허용 또는 서명된 요청 활성화를 켠 경우에만 표시됩니다.
    • ID 공급자에 로그아웃 전파 — 해당 옵션을 활성화하면 ArcGIS Online이 로그아웃 URL을 사용하여 사용자를 IdP에서 로그아웃시킵니다. 로그아웃 URL 설정에서 사용할 URL을 입력합니다. IdP의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화 옵션도 활성화해야 합니다. 이 옵션이 비활성화된 경우 ArcGIS Online에서 로그아웃을 클릭하면 사용자가 ArcGIS Online에서 로그아웃되며 IdP에서는 로그아웃되지 않습니다. 사용자의 웹 브라우저 캐시가 지워지지 않은 경우 바로 SAML 로그인 옵션을 사용하여 ArcGIS Online에 다시 로그인을 시도하면 SAML IdP에 사용자 자격 증명을 제공할 필요 없이 즉시 로그인됩니다. 이는 무단 사용자나 일반 사용자가 쉽게 접근할 수 있는 컴퓨터를 사용하는 경우 악용될 수 있는 보안 취약성입니다.
    • 로그인 시 프로필 업데이트 — 이 옵션을 활성화하면 ArcGIS Online 사용자 프로필에 저장된 계정 정보(전체 이름과 이메일 주소)가 IdP에서 수신된 최신 계정 정보와 자동으로 동기화됩니다. 해당 옵션을 활성화하면 기관에서 사용자가 SAML 로그인으로 로그인한 시간 및 계정이 처음 생성된 이후 IdP 정보가 변경되었는지 여부를 확인하여 변경된 경우 사용자의 ArcGIS Online 계정 프로필을 그에 따라 업데이트할 수 있습니다.
    • SAML 기반 그룹 멤버십 활성화 — 이 옵션을 활성화하면 그룹 생성 프로세스 중에 기관 구성원이 지정된 SAML 기반 그룹을 ArcGIS Online 그룹에 연결할 수 있습니다. 이 옵션을 활성화하면 SAML 그룹에 연결할 권한이 있는 기관 구성원은 필요에 따라 외부 SAML IdP에서 관리하는 SAML 그룹에 의해 멤버십이 제어되는 ArcGIS Online 그룹을 생성할 수 있습니다. 그룹이 외부 SAML 기반 그룹에 연결되면 해당 그룹의 각 사용자 멤버십은 사용자가 로그인할 때마다 IdP에서 수신되는 SAML 어설션 응답에 정의됩니다.

      ArcGIS Online 그룹이 외부 SAML 그룹에 성공적으로 연결되었는지 확인하려면 그룹 생성자가 SAML 어설션의 속성 값에서 반환된 외부 SAML 그룹의 정확한 값을 입력해야 합니다. SAML IdP의 SAML 어설션 응답을 통해 그룹을 참조하는 데 사용되는 값을 확인합니다. 사용자의 그룹 멤버십을 정의하는 속성에 대해 지원되는 이름(대/소문자 구분 안 함)은 다음과 같습니다.

      • 그룹
      • 그룹
      • 역할
      • 역할
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      예를 들어 로그인 중인 사용자가 SAML 그룹 FullTimeEmployees 및 GIS Faculty의 구성원입니다. IdP에서 수신된 SAML 어설션에서 그룹 정보가 포함된 속성의 이름은 아래 나와 있는 대로 MemberOf입니다. 이 예시에서 SAML 그룹 GIS Faculty에 연결된 그룹을 생성하려면 그룹 생성자가 GIS Faculty를 그룹 이름으로 입력해야 합니다.

      <saml2p:Response>
  ...
  ...
  <saml2:Assertion>
      ...
      ...	  
      <saml2:AttributeStatement>
        ...
        ...	  
        <saml2:Attribute Name="MemberOf">
  	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
        </saml2:Attribute>	  
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>

      다음은 ID 값을 사용하여 그룹을 식별하는 또 다른 예시입니다.

      <saml2p:Response>
  ...
  ...
  <saml2:Assertion>
      ...
      ...	  
      <saml2:AttributeStatement>
        ...
        ...	  
        <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
  	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
        </saml2:Attribute>	  
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>

    • 로그아웃 URL — 6단계에서 하나의 ID 공급자를 선택한 경우 현재 로그인한 사용자를 로그아웃하는 데 사용할 IdP URL을 입력하세요. IdP의 메타데이터 파일에 이 등록정보가 지정되어 있으면 해당 URL이 자동으로 설정됩니다.
    • 엔티티 ID — 새 엔티티 ID를 사용하여 ArcGIS Online 기관을 SAML IdP 또는 SAML 페더레이션에 고유하게 식별하려면 이 값을 업데이트합니다.
  11. 입력을 완료한 후 저장을 클릭합니다.
  12. 구성 프로세스를 완료하려면 ArcGIS Online SP 메타데이터를 페더레이션의 검색 서비스(해당하는 경우) 및 IdP에 등록하여 신뢰 관계를 형성합니다.

    다음과 같은 방법으로 이 메타데이터를 확인할 수 있습니다.

    • 서비스 공급자 메타데이터 다운로드를 클릭하여 기관의 메타데이터 파일을 다운로드합니다.
    • 메타데이터 파일의 URL을 열고 컴퓨터에 .xml 파일로 저장합니다. 서비스 공급자 메타데이터 다운로드 링크 아래의 SAML 로그인 편집 창에서 URL을 확인하고 복사할 수 있습니다.

    SP 메타데이터를 인증된 공급자에 등록하는 지침과 관련한 링크는 위의 SAML IdP 섹션에서 확인할 수 있습니다. SP 메타데이터를 다운로드한 후 ID 공급자의 페더레이션을 선택한 경우에는 SP 메타데이터를 페더레이션의 집계된 메타데이터 파일에 통합하는 방법에 대한 지침을 SAML 페더레이션 관리자에게 문의하세요. IdP를 페더레이션에 등록하기 위한 관리자의 지침도 필요합니다.

ArcGIS Online SAML 인증서 관리

SAML 로그인과 같은 기관별 로그인은 인증서 및 키 쌍을 사용하여 서명된 요청과 암호화된 어설션을 지원합니다. SAML 요청에 서명하고 어설션 응답을 암호화하는 데 사용되는 인증서는 ArcGIS Online에서 관리됩니다.

기관은 Esri에서 제공하는 기본 인증서를 사용하거나, 자체 서명된 인증서를 생성하거나, 자체 서명된 인증서 또는 인증 기관에서 서명한(CA 서명) 인증서를 업로드할 수 있습니다. 인증서를 직접 업로드하는 경우 관리자는 인증서 만료 및 교체일을 선택할 수 있습니다.

ArcGIS Online SAML 인증서 교체

SAML 인증서는 유효 기간이 정해져 있으며 특정 날짜에 만료됩니다. 인증서가 만료되면 사용자는 더 이상 ArcGIS Online에 로그인할 수 없습니다.

비고:

관리자는 SAML 인증서 만료가 임박하면 알림을 받습니다.

ArcGIS_Default SAML 인증서를 대체할 새 인증서를 사용할 수 있게 되면 새 인증서로 교체하는 방법에 대한 지침과 함께 관리자에게 알림이 전송됩니다.

기관에서 SAML에 사용자 설정 인증서를 사용하는 경우 SAML 로그인 장애를 방지하려면 만료 30~45일 전에 SAML 인증서를 갱신하는 것을 권장합니다. 이를 통해 SAML 로그인 중단 없이 새 SAML 인증서로 전환할 수 있습니다.

새 SAML 인증서로 전환하려면 다음을 수행해야 합니다.

  1. 자체 서명된 인증서 및 키 쌍을 생성하거나 서명된 인증서 및 키 쌍을 업로드하세요.
  2. 전환 기간 동안 SAML 로그인 인증서를 구성하세요. 보조 SAML 인증서 값을 새 대체 인증서로 업데이트하세요.
  3. 새 ArcGIS Online 메타데이터를 다운로드하세요. ArcGIS Online 메타데이터에는 기본 및 보조 SAML 인증서가 모두 포함됩니다.
  4. 새 ArcGIS Online 메타데이터를 사용하여 ArcGIS Online에 대한 SAML ID 공급자 등록을 업데이트하세요. SAML IdP는 시그니처 검증에 기본 및 보조 인증서를 모두 사용하고 암호화에 보조 인증서를 사용하도록 구성해야 합니다.
    비고:

    IdP 업데이트의 일부는 ArcGIS Online 시스템 외부에서 수행됩니다.

  5. SAML 로그인 기능의 문제를 해결하고 확인하세요. ArcGIS Online에서 SAML 로그인이 계속 작동하는지 테스트하세요.
  6. 이전 SAML 인증서가 만료되기 전에 새 인증서를 기본 SAML 인증서로 사용하도록 SAML 로그인 인증서를 구성하고 보조 SAML 인증서를 없음으로 설정하세요.
  7. SAML 로그인 기능의 문제를 해결하고 확인하세요. ArcGIS Online에서 SAML 로그인이 계속 작동하는지 테스트하세요.

SAML IdP 수정 또는 제거

SAML IdP를 설정한 경우 현재 등록된 SAML IdP 옆에 있는 로그인 구성을 클릭하여 설정을 업데이트할 수 있습니다. SAML 로그인 편집 창에서 설정을 업데이트합니다.

현재 등록된 IdP를 제거하려면 IdP 옆의 로그인 구성을 클릭하고 SAML 로그인 편집 창에서 로그인 삭제를 클릭하세요. IdP를 제거하면 필요에 따라 새 IdP 또는 IdP의 페더레이션을 설정할 수 있습니다.

SAML IdP의 서명 인증서 업데이트

SAML IdP가 사용자를 인증하면 어설션 응답을 ArcGIS Online에 다시 보냅니다. SAML IdP가 x.509 인증서를 사용하여 어설션 응답에 서명하도록 구성하는 것을 권장합니다. IdP 관리자가 SAML IdP 서명 인증서를 갱신한 경우 SAML 로그인이 계속 작동하도록 하려면 ArcGIS Online 기관의 SAML 구성을 즉시 새 인증서로 업데이트해야 합니다.

비고:

IdP의 서명 인증서를 갱신하기 전에 SAML IdP 및 ArcGIS Online 기관 모두를 위해 적절한 유지관리 또는 작동 중단 기간을 예약하는 것을 권장합니다.

기관의 SAML 로그인 구성에 대한 IdP 인증서를 교체하려면 다음 단계를 완료하세요.

  1. SAML IdP 관리자에게 최신 SAML IdP 메타데이터를 받습니다.
  2. 기관에 로그인했는지 확인합니다.

    해당 계정은 기본 관리자 역할의 구성원 또는 기관의 보안 설정을 구성할 수 있는 권한이 할당된 사용자 설정 역할의 구성원이어야 합니다.

  3. 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
  4. 페이지 옆쪽에서 보안을 클릭합니다.
  5. 로그인 섹션에서 SAML 로그인 토글 버튼 옆에 있는 로그인 구성을 클릭합니다.
  6. SAML 로그인 편집 창에서 엔터프라이즈 ID 공급자의 메타데이터 원본 아래에 있는 파일을 클릭합니다.
  7. 파일 선택을 클릭하고 SAML IdP 관리자에게 받은 새 IdP 메타데이터 파일을 찾아서 선택하세요.
  8. 저장을 클릭하여 새 인증서를 사용하도록 ArcGIS Online SAML 로그인 구성을 업데이트합니다.

SAML 보안 모범 사례

SAML 로그인을 안전하게 관리하려면 다음 모범 사례를 고려하세요.

  • SSO(Single Sign-On) 로그인에 문제가 발생하더라도 빌트인 자격 증명을 사용하여 www.arcgis.com을 통해 계정에 계속 접근할 수 있도록 SSO 관리자 계정 및 빌트인 관리자 계정을 모두 가지고 계세요.
  • Esri 고객 서비스로부터 연락 내용을 계속 수신할 수 있도록 기관의 ArcGIS Online 관리 담당자 연락처가 최신 상태인지 확인하세요. 여러 개의 연락처를 추가하는 것을 권장합니다.
  • 인증서 만료 또는 구성 오류로 인해 SAML이 실패하는 경우 ArcGIS Online 기관에 대한 접근 권한을 복구할 수 있도록 엄격하게 통제된 다중 인증 적용 기본 관리자 계정을 유지하세요.
  • SAML 요청에 서명하고 어설션 응답을 암호화하는 데 사용되는 인증서는 ArcGIS Online에서 관리됩니다. 기존 인증서를 업로드하거나 자체 서명된 인증서를 생성할 수 있습니다.

SAML 로그인 및 로그아웃 요청에 디지털 서명 및 SAML 어설션 응답에 서명

서명은 SAML 메시지의 무결성을 보장하고 중간자(MITM) 공격에 대한 보호 장치로 사용됩니다. SAML 요청에 디지털로 서명하면 신뢰할 수 있는 SP가 전송한 요청임을 확인할 수 있어 IdP가 서비스 거부(DOS) 공격에 더 잘 대응할 수 있습니다. SAML 로그인을 구성할 때 고급 설정에서 서명된 요청 활성화 옵션을 켭니다.

비고:

  • 서명된 요청을 활성화하려면 SP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 IdP를 업데이트해야 합니다.
  • 서명된 요청을 활성화하려면 IdP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 SP(ArcGIS Online)를 업데이트해야 합니다.

SAML 어설션 응답의 전송 중 변경을 예방하려면 SAML IdP를 구성하여 SAML 응답에 서명합니다.

IdP의 HTTPS 엔드포인트 사용

내부 네트워크나 인터넷을 통해 암호화되지 않은 형식으로 전송되는 SP, IdP, 사용자 브라우저 간의 통신은 악의적인 작업자가 가로챌 수 있습니다. SAML IdP가 HTTPS를 지원하는 경우 SAML 로그인 중에 전송된 데이터의 확실한 비밀성을 위해 HTTPS 엔드포인트를 사용하는 것을 권장합니다.

SAML 어설션 응답 암호화

SAML 통신에 HTTPS를 사용하면 IdP와 SP 간에 전송된 SAML 메시지가 보호됩니다. 그러나 로그인한 사용자는 계속해서 웹 브라우저를 통해 SAML 메시지를 디코딩하고 볼 수 있습니다. 어설션 응답의 암호화를 활성화하면 사용자가 IdP와 SP 간에 통신되는 기밀 또는 민감한 정보 보기를 예방할 수 없습니다.

비고:

암호화된 어설션을 활성화하려면 SP(ArcGIS Online)에서 사용하는 암호화 인증서를 갱신하거나 교체할 때마다 IdP를 업데이트해야 합니다.

이 항목에 대한 피드백을 제공하시겠습니까?

본 항목
  1. SAML 로그인 환경
  2. SAML 로그인 구성
  3. ArcGIS Online SAML 인증서 관리
  4. SAML IdP 수정 또는 제거
  5. SAML IdP의 서명 인증서 업데이트
  6. SAML 보안 모범 사례