Microsoft Entra ID에서 Single Sign-On이란?
이 문서에서는 사용자에게 제공되는 SSO(Single Sign-On) 옵션에 대한 정보를 제공합니다. 또한 Microsoft Entra ID를 사용할 때 Single Sign-On 배포 계획에 대한 소개도 간략하게 설명합니다. Single Sign-On은 사용자가 하나의 자격 증명 세트를 사용하여 여러 독립 소프트웨어 시스템에 로그인 할 수 있는 인증 방법입니다. SSO를 사용하면 사용자는 사용하는 모든 응용 프로그램에 로그인할 필요가 없습니다. SSO를 사용하면 사용자는 다른 자격 증명으로 인증할 필요 없이 원하는 모든 응용 프로그램에 액세스할 수 있습니다. 간략한 소개는 Microsoft Entra Single Sign-On을 참조하세요.
Microsoft Entra ID에는 SSO와 함께 사용할 수 있는 많은 응용 프로그램이 이미 존재합니다. 응용 프로그램의 요구 사항과 구현 방법에 따라 여러 가지 SSO 옵션이 있습니다. Microsoft Entra ID에서 응용 프로그램을 만들기 전에 SSO 배포를 계획하는 데 시간을 투자합니다. [내 앱] 포털을 사용하면 응용 프로그램을 더 쉽게 관리할 수 있습니다.
Single Sign-On 옵션
응용 프로그램의 인증이 구성된 방식에 따라 선택해야 하는 SSO가 달라집니다. 클라우드 응용 프로그램은 OpenID Connect, OAuth, SAML 등의 페더레이션 기반 옵션을 사용할 수 있습니다. 이 응용 프로그램은 비밀번호 기반 SSO, 연결 기반 SSO를 사용할 수도 있고 SSO를 사용하지 않을 수도 있습니다.
페더레이션 - 여러 ID 공급자 간에 작업하도록 SSO를 설정하는 경우 이를 페더레이션이라고 합니다. 페더레이션된 프로토콜을 기반으로 SSO를 구현하면 보안, 안정성, 최종 사용자 환경 및 구현이 개선됩니다.
페더레이션된 Single Sign-On을 통해 Microsoft Entra는 Microsoft Entra 계정을 사용하여 응용 프로그램에 대해 사용자를 인증합니다. 이 방법은 SAML 2.0, WS-Federation 또는 OpenID Connect 응용 프로그램을 지원합니다. 페더레이션된 SSO는 가장 풍부한 SSO 모드입니다. 응용 프로그램에서 지원하는 경우 비밀번호 기반 SSO 및 AD FS(Active Directory Federation Services) 대신 Microsoft Entra ID와 함께 페더레이션된 SSO를 사용합니다.
엔터프라이즈 애플리케이션을 위한 SSO 옵션이 없는 몇 가지 시나리오가 있습니다. 포털에서 앱 등록을 사용하여 응용 프로그램을 등록하면 OpenID Connect를 사용하도록 Single Sign-On 기능이 구성됩니다. 이 경우 엔터프라이즈 애플리케이션에서 Single Sign-On 옵션을 탐색해도 표시되지 않습니다. OpenID Connect는 승인 프로토콜인 OAuth 2.0을 기반으로 구축된 인증 프로토콜입니다. OpenID Connect는 프로세스의 인증 부분을 처리하기 위해 OAuth 2.0을 사용합니다. 사용자가 로그인을 시도하면 OpenID Connect는 인증 서버에서 수행한 인증을 기반으로 해당 사용자의 ID를 확인합니다. 사용자가 인증되면 OAuth 2.0을 사용하여 자격 증명을 노출하지 않고 응용 프로그램에 사용자의 리소스에 대한 액세스 권한을 부여합니다.
응용 프로그램이 다른 테넌트에 호스트되는 경우 Single Sign-On을 사용할 수 없습니다. 계정에 필요한 권한(클라우드 애플리케이션 관리자, 애플리케이션 관리자 또는 서비스 주체의 소유자)이 없는 경우 Single Sign-On을 사용할 수 없습니다. 권한 때문에 Single Sign-On을 열 수는 있지만 저장할 수 없는 경우가 발생할 수도 있습니다.
비밀번호 - 온-프레미스 응용 프로그램은 SSO에 대한 비밀번호 기반 방법을 사용할 수 있습니다. 애플리케이션 프록시에 대해 응용 프로그램을 구성하는 경우 이 옵션을 사용할 수 있습니다.
비밀번호 기반 SSO를 사용하는 경우 최종 사용자는 응용 프로그램에 처음 액세스할 때 사용자 이름 및 비밀번호를 사용하여 응용 프로그램에 로그인합니다. 처음 로그인한 후 Microsoft Entra ID는 응용 프로그램에 사용자 이름과 비밀번호를 제공합니다. 비밀번호 기반 SSO를 사용하면 웹 브라우저 확장 또는 모바일 앱을 사용하여 안전하게 응용 프로그램 비밀번호를 저장하고 재생할 수 있습니다. 이 옵션은 응용 프로그램에서 제공하는 기존 로그인 프로세스를 사용하지만, 관리자가 비밀번호를 관리할 수 있으므로 사용자는 비밀번호를 몰라도 됩니다. 자세한 내용은 응용 프로그램에 비밀번호 기반 Single Sign-On 추가를 참조하세요.
연결 기반 - 연결된 로그온은 일정 기간 동안 응용 프로그램을 마이그레이션하면서 일관된 사용자 환경을 제공할 수 있습니다. 응용 프로그램을 Microsoft Entra ID로 마이그레이션하는 경우 링크 기반 SSO를 사용하여 마이그레이션하려는 모든 응용 프로그램에 대한 링크를 빠르게 게시할 수 있습니다. 사용자는 [내 앱] 포털 또는 Microsoft 365 포털에서 모든 링크를 찾을 수 있습니다.
사용자가 연결된 응용 프로그램을 사용하여 인증한 후에는 계정을 만들어야만 최종 사용자에게 Single Sign-On 액세스가 제공됩니다. 이 계정은 자동으로 프로비전될 수도 있고, 관리자가 수동으로 프로비전할 수도 있습니다. 연결된 애플리케이션은 Microsoft Entra ID를 통해 Single Sign-On 기능을 제공하지 않으므로 연결된 응용 프로그램에 조건부 액세스 정책이나 다단계 인증을 적용할 수 없습니다. 연결된 응용 프로그램을 구성하는 경우 응용 프로그램을 시작하기 위해 표시되는 링크만 추가하면 됩니다. 자세한 내용은 응용 프로그램에 연결된 Single Sign-On 추가를 참조하세요.
사용 안 함 - SSO를 사용하지 않도록 설정하면 응용 프로그램에서 사용할 수 없습니다. Single Sign-On이 사용하지 않도록 설정되면 사용자는 두 번 인증해야 할 수도 있습니다. 먼저 사용자는 Microsoft Entra ID로 인증한 다음 응용 프로그램에 로그인합니다.
다음과 같은 경우 SSO를 사용하지 않습니다.
이 응용 프로그램을 Microsoft Entra Single Sign-On과 통합할 준비가 되지 않았습니다.
응용 프로그램의 다른 측면을 테스트 중인 경우
온-프레미스 응용 프로그램에서 사용자 인증을 요구하지 않지만 관리자는 요구하고 싶은 경우. SSO를 사용하지 않으면 사용자는 인증해야 합니다.
SP 시작 SAML 기반 SSO에 맞게 애플리케이션을 구성하고 SSO 모드를 [사용 안 함]으로 변경하면 사용자가 [내 앱] 포털 외부의 응용 프로그램에 로그인할 수 있습니다. 사용자가 내 앱 포털 외부에서 로그인하지 못하게 하려면 사용자가 로그인하는 기능을 사용하지 않도록 설정해야 합니다.
SSO 배포 계획
웹 애플리케이션은 다양한 회사에서 호스팅되며 서비스로 제공됩니다. 몇 가지 인기 있는 웹 애플리케이션으로 Microsoft 365, GitHub 및 Salesforce가 있습니다. 그 외에도 수천 개가 있습니다. 사람들은 자신의 컴퓨터에서 웹 브라우저를 사용하여 웹 애플리케이션에 액세스합니다. Single Sign-On을 사용하면 사람들이 여러 번 로그인하지 않고도 다양한 웹 애플리케이션 간에 이동할 수 있습니다. 자세한 내용은 Single Sign-On 배포 계획을 참조하세요.
SSO를 구현하는 방법은 응용 프로그램이 호스트되는 위치에 따라 달라집니다. 응용 프로그램에 액세스하기 위해 네트워크 트래픽이 라우팅되는 방식 때문에 호스팅이 중요합니다. 사용자는 인터넷을 사용하여 온-프레미스 응용 프로그램(로컬 네트워크에 호스트되는)에 액세스할 필요가 없습니다. 응용 프로그램이 클라우드에 호스트되는 경우 사용자가 이 응용 프로그램을 사용하려면 인터넷 연결이 필요합니다. 클라우드 호스팅 애플리케이션을 SaaS(Software as a Service) 애플리케이션이라고도 합니다.
클라우드 응용 프로그램에는 페더레이션 프로토콜이 사용됩니다. 온-프레미스 응용 프로그램에 Single Sign-On을 사용할 수도 있습니다. 애플리케이션 프록시를 사용하여 온-프레미스 응용 프로그램에 대한 액세스를 구성할 수 있습니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 통해 온-프레미스 응용 프로그램에 원격 액세스를 참조하세요.
내 앱
응용 프로그램 사용자는 아마도 SSO 세부 정보에 대해 크게 신경 쓰지 않을 것입니다. 비밀번호를 자주 입력할 필요 없이 생산성을 높일 수 있는 응용 프로그램만을 사용하려고 합니다. 내 앱 포털에서 응용 프로그램을 찾고 관리할 수 있습니다. 자세한 내용은 내 앱 포털에서 앱에 로그인하여 시작을 참조하세요.