EntraID 계정으로 로그인
사용가능 환경
- 사용자PC는 windowAD 가입됨
- 윈도우 로그인 계정은 ADConnect 를 통해 EntraID 와 동기화 됨
- 사용자PC는 회사 도메인에 등록된 디바이스여야 함
- WAM 사용을 위해 portal.azure.com 에 등록된 앱이 있어야하며, 해당 앱의 clientID 를 제공 받아야 함
- portal.azure.com 에 등록된 앱은 관리자 권한위임으로 기본 권한에 대한 위임동의가 되어야 함
EntraID 계정으로 SSO 동작
- 문서보안 로그인 후 아래의 정책 "sso:wamClientId" 에 설정된 ClientID로 사용자의 EntraID 조회
- EntraID 조회하여 해당 계정으로 Shield ID 사용자 토큰 발급
- Portal.azure.com 에서
{TenantId}와{clientID}를 확인합니다. - runMode:sso 설정 시 추가 옵션의 항목은 적용 우선 순위는 "userDomain" 옵션이 우선 적용 됩니다.
wamClientId 옵션 사용 시 "userDomain":"none" 또는 해당 항목 삭제바랍니다.
DS_MIP_INIT 항목 설정
{
"tid" : "{TenantId}",
"runMode" :"sso",
"sso": {
"wamClientId": "{clientID}"
}
}
//설정 예
{
"tid" : "e8c1b6e5-37ed-4c84-82e9-f5a02feddd85",
"runMode" :"sso",
"sso":{
"wamClientId": "e9d4988d-cf92-46f6-ab1f-d8c25d0bab95"
}
}
관련 모듈
| 파일명 | 경로 | 버전 | 비고 |
|---|---|---|---|
| SCPD_DS365.dll | C:\windows\softcamp\sdk\scsa | 6.0.5.12 | DS6 제품 모듈 |
| SCPD_DS36564.dll | C:\windows\softcamp\sdk\scsa | 6.0.5.12 | DS6 제품 모듈 |
| DS365.Core.dll | C:\windows\softcamp\Security365\DS365\x64 | 6.0.0.15 | DS6 제품 모듈 |
| DS365.Agent.exe | C:\windows\softcamp\Security365\DS365\x64 | 6.0.5.2 | DS6 제품 모듈 |
준비사항
사용자 윈도우 확인 사항
-
windowAD 등록 정보 확인
-
아래와 같이 가입된 도메인이 있어야 합니다.
-
Device 등록
-
윈도우 설정-계정 항목의 회사 또는 학교 액세스 선택
-
아래와 같이 등록이 되어 있어야 합니다.
Portal.Azure.com 설정 및 확인 사항
security365.com 설정
아래와 같이 사용자 위임 권한 사용 체크
portal.azure.com 설정
-
Azure Portal 로그인 후 LNB 메뉴에서 Microsoft Entra ID 메뉴 선택 후 관리 - 앱등록 선택
-
모든 애플리케이션 선택 후 security365auth 입력 후 이미지와 같이 등록이 되지 않을 경우 상단의 새 등록 버튼 클릭
-
이름 : security365auth
-
지원되는 유형 : 이 조직 디렉터리의 계정만 – 단일 테넌트 선택 (다중 테넌트 사용 고객사는 조직 상황에 맞게 선택필요)
-
퍼블릭 클라이언트 / 네이티브 (모바일 및 데스크톱)
-
하단의 등록 버튼 클릭
-
LNB 메뉴 – 관리 – Authentication 버튼 선택 – 리디렉션 URI 구성 탭 메뉴선택 – 모바일 및 데스크톱 애플리케이션 값에 아래 내용 추가
ms-appx-web://microsoft.aad.brokerplugin/{client_id}
-
비고
- 관리자 권한동의에 필요한 권한은 기본 권한이 입니다. (별도로 추가할 필요 없음)
- 등록된 앱의 secret 는 사용되지 않습니다.
Login Flow
흐름도는 AzureAD 로그인 연동과 동일합니다. 차이점은 WAM accessToken 요청 시 security365 의 정보가 아닌 portal.azure.com 에 등록한 clientId가 사용됩니다.