SAML 로그인 설정

SAML 로그인(이전에는 엔터프라이즈 로그인이라고 함)과 같은 기관별 로그인을 구성하면 기관의 구성원이 기관의 내부 시스템을 접근하는 데 사용한 것과 동일한 로그인을 사용하여 ArcGIS Online에 로그인할 수 있습니다. 이 접근 방법을 사용하여 기관별 로그인을 설정하면 구성원이 ArcGIS Online 시스템 내에서 추가 로그인을 생성할 필요 없이 해당 기관에 이미 설정된 로그인을 사용할 수 있다는 이점이 있습니다. 구성원은 ArcGIS Online에 로그인할 때 기관의 ID 공급자(IdP)라고도 하는 기관의 로그인 관리자에 직접 기관의 사용자 이름과 비밀번호를 입력합니다. 구성원의 자격 증명을 확인할 때 IdP는 로그인하려는 구성원의 확인된 ID를 ArcGIS Online에 알립니다.

ArcGIS Online에서는 SAML 로그인을 구성할 수 있도록 SAML 2.0을 지원합니다. SAML은 IdP(기관)와 서비스 공급자(SP) 간에 인증 및 권한 부여 데이터를 안전하게 교환하기 위한 개방형 표준입니다. 이 경우 ArcGIS OnlineSAML 2.0 프로토콜을 준수하고 Active Directory Federation Services (AD FS), Google Workspace, Okta와 같이 SAML 2.0을 지원하는 IdP와 통합됩니다.

SAML 로그인만 표시되거나 SAML 로그인이 ArcGIS 로그인, OpenID Connect 로그인(구성된 경우), 소셜 로그인(구성된 경우) 옵션 중 하나와 함께 표시되도록 ArcGIS Online 로그인 페이지를 구성할 수 있습니다.

SAML 로그인이 안전하게 구성되었는지 확인하려면 SAML 보안의 모범 사례를 검토합니다.

대부분의 경우 기관에서는 단일 IdP를 사용하여 SAML 로그인을 설정합니다. 이 IdP는 여러 서비스 공급자에 호스팅되는 보안 리소스에 접근하는 사용자를 인증합니다. IdP와 모든 서비스 공급자는 동일한 기관이 관리합니다.

비고:

새 버전의 ArcGIS Online SAML 서명 및 암호화 인증서가 제공되는 경우 관리자는 새 인증서로 업데이트해야 합니다.

SAML 로그인으로 사용자를 인증하는 또 다른 방법은 SAML 기반 IdP 페더레이션을 사용하도록 기관을 구성하는 것입니다. 여러 기관 간의 SAML 기반 페더레이션에서 각 구성원 기관은 계속해서 자체 IdP를 사용하지만 하나 이상의 SP가 페더레이션 내에서 독점적으로 작동하도록 구성합니다. 페더레이션 내에서 공유되는 보안 리소스에 접근하려면 사용자가 자신의 기관 IdP로 아이덴티티를 인증해야 합니다. 정상적으로 인증되면 이 유효성이 검사된 아이덴티티가 보안 리소스를 호스팅하는 SP에 제공됩니다. 그러면 SP가 사용자의 접근 권한을 확인한 후 리소스에 대한 접근 권한을 부여합니다.

SAML 로그인 환경

ArcGIS Online은 SP 시작 SAML 로그인 및 IdP 시작 SAML 로그인을 지원합니다. 로그인 환경은 각각 다릅니다.

SP 초기화 로그인

SP 초기화 로그인을 사용하면 구성원이 ArcGIS Online 웹사이트에 직접 접근할 수 있으며 SAML SP 로그인 또는 ArcGIS 로그인을 사용하여 로그인하는 옵션이 표시됩니다. 구성원이 SP 옵션을 선택한 경우 SAML 사용자 이름과 비밀번호를 입력하라는 메시지가 표시된 웹페이지(로그인 관리자라고 함)로 리디렉션됩니다. 구성원의 자격 증명을 검증할 때 IdP는 로그인하려는 구성원에 대해 확인된 ID를 ArcGIS Online에 알려 주고 구성원은 ArcGIS Online 웹사이트로 리디렉션됩니다.

구성원이 ArcGIS 옵션을 선택하는 경우 ArcGIS Online의 로그인 페이지가 나타납니다. 그러면 구성원은 ArcGIS 사용자 이름과 비밀번호를 입력하여 웹사이트에 접근할 수 있습니다.

IdP 시작 로그인

IdP 시작 로그인을 통해 구성원은 기관 로그인 관리자에 직접 접근하고 계정으로 로그인합니다. 구성원이 계정 정보를 제출하면 IdP가 SAML 응답을 직접 ArcGIS Online에 전송합니다. 그러고 나면 구성원이 로그인되고 기관에 다시 로그인할 필요 없이 리소스에 바로 접근할 수 있는 ArcGIS Online 웹사이트로 리디렉션됩니다.

로그인 관리자에서 직접 ArcGIS 계정을 사용하여 로그인하는 옵션은 IdP 로그인에서는 사용할 수 없습니다. ArcGIS 계정을 사용하여 ArcGIS Online에 로그인하려면 구성원이 ArcGIS Online 웹사이트에 직접 접근해야 합니다.

SAML 로그인 구성

아래에서는 ArcGIS Online에서 IdP를 구성하는 프로세스에 대해 설명합니다. 계속 진행하기 전에 IdP 또는 IdP 페더레이션의 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다. 예를 들어 기관에서 Microsoft Entra ID를 사용하는 경우 IdP 쪽에서 SAML을 구성하거나 활성화하고 ArcGIS Online 쪽에서 구성에 필요한 매개변수를 얻으려면 이를 담당하는 관리자에게 문의하면 됩니다. 또한 ArcGIS/idp GitHub 저장소에서 상세한 서드 파티 IdP 구성 문서에 접근하거나 이에 기여할 수 있습니다.

  1. 보안 설정을 구성할 수 있는 권한이 있는 관리자 또는 사용자 설정 역할로 로그인했는지 확인합니다.
  2. 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
  3. 구성원 자동 가입을 허용하려는 경우 먼저 새 구성원에 대한 기본 설정을 구성해야 합니다. 필요한 경우 기관에 가입되어 있는 구성원에 대해 이러한 설정을 변경할 수 있습니다.
    1. 페이지 옆쪽에서 새 구성원 기본값을 클릭합니다.
    2. 새 구성원의 기본 사용자 유형과 역할을 선택합니다.
    3. 구성원이 기관에 가입할 때 자동으로 할당받게 될 애드온 라이선스를 선택합니다.
    4. 구성원이 기관에 가입할 때 추가될 그룹을 선택합니다.
    5. 기관에 크레딧 예산 편성이 활성화된 경우에는 각각의 새 구성원에 대한 크레딧 할당을 특정 크레딧 수 또는 제한 없음으로 설정합니다.
    6. 필요에 따라 새 구성원에 대한 Esri 접근을 활성화합니다.

      Esri에 접속할 수 있는 계정을 가진 구성원은 My Esri를 사용하고, 과정을 학습하고, Esri Community에 참여하고, ArcGIS Blog에 의견을 추가하고, Esri의 이메일 통신을 관리할 수 있습니다. 구성원은 이러한 Esri 리소스에 대한 자신의 접속 권한을 활성화하거나 비활성화할 수 없습니다.

  4. 페이지 옆쪽에서 보안을 클릭합니다.
  5. 로그인 섹션에서 새 SAML 로그인을 클릭합니다.
  6. 창이 나타나면 다음 중 하나를 선택합니다.
    • 하나의 아이텐티티 공급자 - 사용자가 기관에서 관리되는 기존 SAML 자격 증명을 사용하여 로그인할 수 있습니다. 이 구성은 가장 일반적인 구성입니다.
    • 아이덴티티 공급자의 페더레이션 - SWITCHaai 페더레이션과 같이 기존 기관 페더레이션에 속한 사용자가 해당 페더레이션에서 지원되는 자격 증명으로 로그인할 수 있습니다.
  7. 다음을 클릭합니다.
  8. 단일 ID 공급자를 선택한 경우에는 다음을 수행합니다.
    1. 기관의 이름을 입력합니다.
    2. SAML 로그인을 가진 구성원이 ArcGIS Online 기관에 가입하는 방법(자동 또는 초대를 통해)을 선택합니다. 자동 옵션을 사용하면 구성원이 SAML 로그인으로 로그인하여 기관에 가입할 수 있습니다. 초대 옵션을 사용하면 관리자가 ArcGIS Online을 통해 기관 가입 방법이 포함된 이메일 초대를 생성해야 합니다. 자동 옵션을 선택하는 경우에도 기관에 가입하도록 구성원을 초대하거나 SAML ID를 사용하여 구성원을 직접 추가할 수 있습니다.
    3. ArcGIS Online에서 IdP에 대한 메타데이터 정보를 얻기 위해 접근해야 하는 원본을 지정하여 IdP에 대한 메타데이터 정보를 ArcGIS Online에 입력합니다.

      이 정보의 가능한 소스에는 세 가지가 있습니다.

      • URL - IdP에 대한 메타데이터 정보를 반환하는 URL을 입력합니다.
      • 파일 - IdP에 대한 메타데이터 정보가 포함된 파일을 업로드합니다.
      • 여기에 지정된 매개변수 - 다음 매개변수를 제공하여 IdP에 대한 메타데이터 정보를 직접 입력합니다.
        • 로그인 URL(리디렉션) - 구성원의 로그인을 허용하기 위해 ArcGIS Online에서 사용할 IdP URL(HTTP 리디렉션 바인딩 지원)을 입력합니다.
        • 로그인 URL(POST) - 구성원의 로그인을 허용하기 위해 ArcGIS Online에서 사용할 IdP URL(HTTP POST 바인딩 지원)을 입력합니다.
        • 인증서 - IdP의 인증서(BASE 64 형식으로 인코딩됨)를 제공합니다. 이 인증서를 통해 ArcGIS Online은 IdP로부터 전송된 SAML 응답의 디지털 서명을 확인할 수 있습니다.

      비고:

      제공해야 하는 메타데이터 정보의 원본은 IdP의 관리자에게 문의하세요.

  9. 아이덴티티 공급자의 페더레이션을 선택한 경우에는 다음을 수행합니다.
    1. 페더레이션 이름을 입력합니다.
    2. SAML 로그인을 가진 구성원이 ArcGIS Online 기관에 가입하는 방법(자동 또는 초대를 통해)을 선택합니다. 자동 옵션을 사용하면 구성원이 SAML 로그인으로 로그인하여 기관에 가입할 수 있습니다. 초대 옵션을 사용하면 관리자가 ArcGIS Online을 통해 기관 가입 방법이 포함된 이메일 초대를 생성해야 합니다. 자동 옵션을 선택하는 경우에도 기관에 가입하도록 구성원을 초대하거나 SAML ID를 사용하여 구성원을 직접 추가할 수 있습니다.
    3. 페더레이션에서 호스팅하는 중앙 집중식 IdP 검색 서비스에 대한 URL을 입력합니다(예시: https://wayf.samplefederation.com/WAYF).
    4. 페더레이션에 참여하는 모든 IdP 및 SP의 메타데이터 집계인 페더레이션 메타데이터에 대한 URL을 입력합니다.
    5. 기관에서 페더레이션 메타데이터의 유효성을 확인할 수 있도록 Base64 형식으로 인코딩된 인증서를 복사한 후 붙여넣습니다.
  10. 해당되는 경우 고급 설정 표시를 클릭하여 다음과 같은 고급 설정을 구성할 수 있습니다.
    • 암호화된 어설션 허용 - 암호화된 SAML 어설션 응답이 ArcGIS Online에서 지원됨을 SAML IdP에 나타내려는 경우 이 옵션을 활성화합니다. 이 옵션을 활성화하면 IdP가 SAML 응답의 어설션 섹션을 암호화합니다. SAML과 주고받는 모든 ArcGIS Online 트래픽이 HTTPS 사용을 통해 이미 암호화되어 있더라도 이 옵션을 통해 또 다른 암호화 레이어가 추가됩니다.
      비고:

      일부 IdP는 기본 설정에 따라 어설션을 암호화하지 않습니다. IdP 관리자에게 암호화된 어설션이 활성화되어 있는지 확인하는 것을 권장합니다.

    • 서명한 요청 활성화 - 이 옵션을 활성화하면 IdP로 보낸 SAML 인증 요청이 ArcGIS Online에 의해 서명됩니다. ArcGIS Online에서 보낸 초기 로그인 요청에 서명함으로써 IdP는 모든 로그인 요청이 신뢰할 수 있는 SP로부터 시작된 것임을 확인할 수 있습니다.
    • ID 공급자에 로그아웃 전파 - 해당 옵션을 활성화하면 ArcGIS Online이 로그아웃 URL을 사용하여 사용자를 IdP에서 로그아웃시킵니다. 로그아웃 URL 설정에서 사용할 URL을 입력합니다. IdP의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화 옵션도 켜야 합니다. 이 옵션이 비활성화된 경우 ArcGIS Online에서 로그아웃을 클릭하면 사용자가 ArcGIS Online에서 로그아웃되며 IdP에서는 로그아웃되지 않습니다. 사용자의 웹 브라우저 캐시가 지워지지 않은 경우 바로 SAML 로그인 옵션을 사용하여 ArcGIS Online에 다시 로그인을 시도하면 SAML IdP에 사용자 자격 증명을 제공할 필요 없이 즉시 로그인됩니다. 이는 무단 사용자나 일반 사용자가 쉽게 접근할 수 있는 컴퓨터를 사용하는 경우 악용될 수 있는 보안 취약성입니다.
    • 로그인 시 프로필 업데이트 - 이 옵션을 활성화하면 ArcGIS Online 사용자 프로필에 저장된 계정 정보(전체 이름과 이메일 주소)가 IdP에서 수신된 최신 계정 정보와 자동으로 동기화됩니다. 해당 옵션을 활성화하면 기관에서 사용자가 SAML 로그인으로 로그인한 시간 및 계정이 처음 생성된 이후 IdP 정보가 변경되었는지 여부를 확인하여 변경된 경우 사용자의 ArcGIS Online 계정 프로필을 그에 따라 업데이트할 수 있습니다.
    • SAML 기반 그룹 멤버십 활성화 - 이 옵션을 활성화하면 그룹 생성 프로세스 중에 기관 구성원이 지정된 SAML 기반 그룹을 ArcGIS Online 그룹에 연결할 수 있습니다. 이 옵션을 활성화하면 SAML 그룹에 연결할 권한이 있는 기관 구성원은 필요에 따라 외부 SAML IdP에서 관리하는 SAML 그룹에 의해 멤버십이 제어되는 ArcGIS Online 그룹을 생성할 수 있습니다. 그룹이 외부 SAML 기반 그룹에 연결되면 해당 그룹의 각 사용자 멤버십은 사용자가 로그인할 때마다 IdP에서 수신되는 SAML 어설션 응답에 정의됩니다.

      ArcGIS Online 그룹이 외부 SAML 그룹에 성공적으로 연결되었는지 확인하려면 그룹 생성자가 SAML 어설션의 속성 값에서 반환된 외부 SAML 그룹의 정확한 값을 입력해야 합니다. SAML IdP의 SAML 어설션 응답을 통해 그룹을 참조하는 데 사용되는 값을 확인합니다. 사용자의 그룹 멤버십을 정의하는 속성에 대해 지원되는 이름(대/소문자 구분 안 함)은 다음과 같습니다.

      • 그룹
      • 그룹
      • 역할
      • 역할
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      예를 들어 로그인 중인 사용자가 SAML 그룹 FullTimeEmployees 및 GIS Faculty의 구성원입니다. IdP에서 수신된 SAML 어설션에서 그룹 정보가 포함된 속성의 이름은 아래 나와 있는 대로 MemberOf입니다. 이 예시에서 SAML 그룹 GIS Faculty에 연결된 그룹을 생성하려면 그룹 생성자가 GIS Faculty를 그룹 이름으로 입력해야 합니다.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      다음은 ID 값을 사용하여 그룹을 식별하는 또 다른 예시입니다.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • 로그아웃 URL - 이전 단계에서 하나의 ID 공급자를 선택했다면 현재 로그인한 사용자를 로그아웃시키는 데 사용할 IdP URL을 입력합니다. IdP의 메타데이터 파일에 이 등록정보가 지정되어 있으면 해당 URL이 자동으로 설정됩니다.
    • 엔티티 ID - 새 엔티티 ID를 사용하여 ArcGIS Online 기관을 SAML IdP 또는 SAML 페더레이션에 고유하게 식별하려면 이 값을 업데이트합니다.
  11. 입력을 완료한 후 저장을 클릭합니다.
  12. 구성 프로세스를 완료하려면 ArcGIS Online SP 메타데이터를 페더레이션의 검색 서비스(해당되는 경우) 및 IdP에 등록하여 신뢰 관계를 형성합니다.
    이 메타데이터를 얻는 방법에는 두 가지가 있습니다.
    • 서비스 공급자 메타데이터 다운로드를 클릭하여 기관의 메타데이터 파일을 다운로드합니다.
    • 메타데이터 파일의 URL을 열고 컴퓨터에 .xml 파일로 저장합니다. 서비스 공급자 메타데이터 다운로드 링크 아래의 SAML 로그인 편집 창에서 URL을 확인하고 복사할 수 있습니다.

    SP 메타데이터를 인증된 공급자에 등록하는 지침과 관련한 링크는 위의 SAML IdP 섹션에서 확인할 수 있습니다. SP 메타데이터를 다운로드한 후 ID 공급자의 페더레이션을 선택한 경우에는 SP 메타데이터를 페더레이션의 집계된 메타데이터 파일에 통합하는 방법에 대한 지침을 SAML 페더레이션 관리자에게 문의하세요. IdP를 페더레이션에 등록하기 위한 관리자의 지침도 필요합니다.

SAML IdP 수정 또는 제거

SAML IdP를 설정한 경우 현재 등록된 SAML IdP 옆의 로그인 구성을 클릭하여 설정을 업데이트할 수 있습니다. SAML 로그인 편집 창에서 설정을 업데이트합니다.

현재 등록된 IdP를 제거하려면 IdP 옆의 로그인 구성을 클릭하고 SAML 로그인 편집 창에서 로그인 삭제를 클릭합니다. IdP를 제거하면 필요에 따라 새 IdP 또는 IdP의 페더레이션을 설정할 수 있습니다.

SAML 보안 모범 사례

SAML 로그인을 활성화하려면 ArcGIS OnlineSAML IdP의 SP로 구성할 수 있습니다. 보안을 위해 다음 모범 사례를 검토하세요.

SAML 로그인 및 로그아웃 요청에 디지털 서명 및 SAML 어설션 응답에 서명

서명은 SAML 메시지의 무결성을 보장하고 중간자(MITM) 공격에 대한 보호 장치로 사용됩니다. SAML 요청에 디지털로 서명하면 신뢰할 수 있는 SP가 전송한 요청임을 확인할 수 있어 IdP가 서비스 거부(DOS) 공격에 더 잘 대응할 수 있습니다. SAML 로그인을 구성할 때 고급 설정에서 서명된 요청 활성화 옵션을 켭니다.

비고:

  • 서명된 요청을 활성화하려면 SP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 IdP를 업데이트해야 합니다.
  • 서명된 요청을 활성화하려면 IdP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 SP(ArcGIS Online)를 업데이트해야 합니다.

SAML 어설션 응답의 전송 중 변경을 예방하려면 SAML IdP를 구성하여 SAML 응답에 서명합니다.

IdP의 HTTPS 엔드포인트 사용

내부 네트워크나 인터넷을 통해 암호화되지 않은 형식으로 전송되는 SP, IdP, 사용자 브라우저 간의 통신은 악의적인 작업자가 가로챌 수 있습니다. SAML IdP가 HTTPS를 지원하는 경우 SAML 로그인 중에 전송된 데이터의 확실한 비밀성을 위해 HTTPS 엔드포인트를 사용하는 것을 권장합니다.

SAML 어설션 응답 암호화

SAML 통신에 HTTPS를 사용하면 IdP와 SP 간에 전송된 SAML 메시지가 보호됩니다. 그러나 로그인한 사용자는 계속해서 웹 브라우저를 통해 SAML 메시지를 디코딩하고 볼 수 있습니다. 어설션 응답의 암호화를 활성화하면 사용자가 IdP와 SP 간에 통신되는 기밀 또는 민감한 정보 보기를 예방할 수 없습니다.

비고:

암호화된 어설션을 활성화하려면 SP(ArcGIS Online)에서 사용하는 암호화 인증서를 갱신하거나 교체할 때마다 IdP를 업데이트해야 합니다.

안전하게 SAML IdP의 서명 인증서 관리

SAML 어설션 응답에 디지털 서명을 하기 위해 강력한 암호화 키가 있는 인증서를 사용하도록 SAML IdP를 구성하는 것을 권장합니다. SAML IdP 인증서가 갱신된 경우 SAML 로그인이 계속 작동하도록 하려면 ArcGIS Online 기관의 SAML 구성을 즉시 새 인증서로 업데이트해야 합니다. ArcGIS Online 기관에서 예정된 유지관리를 진행 중인 경우 SAML IdP 인증서를 업데이트하는 것을 권장합니다.

비고:

SAML 요청에 서명하고 어설션 응답을 암호화하는 데 사용되는 인증서는 ArcGIS Online에 의해 관리되며 매년 갱신됩니다.

SAML IdP 관리자로부터 BASE 64 형식으로 인코딩된 새 IdP 인증서를 받은 후 다음을 수행하여 기관의 SAML 로그인 구성에 대한 인증서를 교체합니다.

  1. SAML IdP 관리자에게 최신 SAML IdP 메타데이터를 받습니다.
  2. 보안 설정을 구성할 수 있는 권한이 있는 관리자 또는 사용자 설정 역할로 로그인했는지 확인합니다.
  3. 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
  4. 페이지 옆쪽에서 보안을 클릭합니다.
  5. 로그인 섹션에서 SAML 로그인 토글 버튼 옆에 있는 로그인 구성을 클릭합니다.
  6. SAML 로그인 편집 창에서 엔터프라이즈 ID 공급자의 메타데이터 원본 아래에 있는 파일을 클릭합니다.
  7. 파일 선택을 클릭하고 SAML IdP 관리자에게 받은 새 IdP 메타데이터 파일을 찾아서 선택합니다.
  8. 저장을 클릭하여 새 인증서를 사용하도록 ArcGIS Online SAML 로그인 구성을 업데이트합니다.