SSO 설정 tab 신설

SSO 설정 tab 신설 및 SAML 설정

목적

SAML(Single Sign-On Markup Language) 연동 기능을 관리센터에 추가하여 관리자가 SAML IDP 및 SP 설정을 통해 통합 인증을 설정하고 관리할 수 있도록 한다. 이를 통해 보안 강화 및 사용자 관리의 효율성을 높인다.

선행 조건

관리센터의 관리자로 로그인해 있어야 한다.
Microsoft 365 관리자 권한을 가진 계정이 필요하다.

주요 흐름

SSO 설정 탭 추가

관리자는 설정 메뉴에서 'SSO 설정' 탭을 클릭한다.
SAML SP 설정 및 SAML IDP 설정 옵션이 표시된다.

SAML SP 설정

기존 포털 기능과 동일한 설정을 진행한다.

SAML IDP 설정

SAML IDP 설정을 선택하면 페더레이션 된 앱 리스트가 표시된다.
앱 추가/삭제 기능을 제공한다.

사용자 동기화

계정 동기화 설정> Microsoft 365 동기화 설정으로 대체한다.

비밀번호 초기화

사용자 메뉴에서 사용자를 선택하면 비밀번호 초기화 버튼이 표시된다.
비밀번호 초기화 버튼을 클릭하면 초기 비밀번호로 설정된다.

필요 기능

SSO 설정 tab 신설: 설정 메뉴에 SSO 설정 탭을 신설한다.
- SAML SP 설정과 SAML IDP 설정을 진행할 수 있다.
- SAML SP 설정과 SAML IDP 설정을 중복으로 설정할 수 없게 제어한다.
  - SAML 방식을 전환하려고 하는 경우 알럿이 노출된다.
    - 문구: SAML IDP 설정으로 변경하려고 합니다. 기존 SAML SP 설정이 비활성화됩니다. 계속하시겠습니까?
SAML SP 설정
- 기존 portal 기능과 동일
SAML IDP 설정
- SAML IDP 설정을 선택한 경우 페더레이션 된 앱 리스트를 노출한다.
  - 리스트 항목: 앱 이름, 설명, 페더레이션 도메인, MFA 설정, 인증서, 메타데이터
    - 페더레이션 도메인: 선택한 페더레이션 도메인을 노출한다. 다중선택 시 ,로 구분하며 해당 영역 마우스 오버 시 툴팁으로 도메인 전체를 노출한다.
    - MFA 설정: 관리 버튼 선택 시 해당 조직에 등록된 관리자 계정인 경우 MFA 옵션을 변경할 수 있는 창을 노출한다.
      - 옵션값: acceptIfMfaDoneByFederatedIdp, rejectMfaByFederatedIdp
      - 해당 조직에 등록되지 않은 관리자 계정인 경우 테넌트에 등록되지 않았다는 팝업을 노출한다.
    - 인증서: 다운로드 버튼 선택 시 인증서를 다운로드할 수 있다.
    - 메타데이터: 확인 버튼 선택 시 메타데이터 창이 새탭으로 노출된다, 다운로드 버튼 선택 시 메타데이터를 다운로드할 수 있다.
  - 편집 가능 항목: MFA 설정
- 앱 추가, 삭제가 가능하도록 앱 추가 버튼, 앱 삭제 버튼을 노출한다.
  - 앱 삭제 버튼 클릭 시 우선 관리자 로그인을 통해 권한을 확인한다.
    - 해당 조직에 등록된 관리자 계정인 경우 앱 삭제를 진행한다.
    - 해당 조직에 등록되지 않은 관리자 계정인 경우 테넌트에 등록되지 않았다는 팝업을 노출한다. 앱은 삭제되지 않는다.
  - 앱 추가 버튼 클릭 시 추가 할 앱 종류를 선택하는 창을 노출한다. (Microsoft 365, Google Workspace, AWS) *우선 Microsoft 365만 반영
Microsoft 365 선택
- Microsoft 365 선택 시 SAML Identity Provider, SAML Service Provider 설정할 수 있는 페이지를 노출한다.
- 첫번째로 SAML Identity Provider 설정을 진행한다.
- 앱 이름, 설명을 입력할 수 있으며 SAML 인증 제공자 호스트 주소는 고정으로 노출한다.
  - 필수값: 앱 이름
- 두번째로 SAML Service Provider 설정을 진행한다.
  - 우선 관리자 로그인을 통해 권한을 확인한다.
    - 해당 조직에 등록된 관리자 계정인 경우 권한 동의 팝업을 노출한다.
      - 해당 조직에 등록되지 않은 관리자 계정인 경우 테넌트에 등록되지 않았다는 팝업을 노출한다.
    - 동의한 경우 관리자의 권한을 확인한다. 권한이 없는 경우 진행이 불가하다.
    - 관리자의 권한이 정상적으로 있는 경우 해당 계정에 등록되어있는 도메인 리스트를 노출한다.
      - 리스트 항목: 도메인명, 상태, 페더레이션 여부, 주요 도메인
        
        상태: 도메인의 인증 상태를 뜻함 상태값: 인증, 미인증
        
        페더레이션 여부: 해당 도메인이 페더레이션이 되어있는지 여부를 뜻함
        
        주요 도메인 여부: 주요 도메인인 경우 주요 도메인 표시가 있어야함
      - 도메인은 다중 선택 및 선택 취소가 가능해야한다.
        
        이미 페더레이션 된 도메인은 선택이 불가하다.
  - MFA 옵션을 선택할 수 있어야한다.
    - 옵션값: acceptIfMfaDoneByFederatedIdp, rejectMfaByFederatedIdp
    - 각 옵션에 대한 설명이 노출된다.
      - acceptIfMfaDoneByFederatedIdp: Microsoft Entra ID는 페더레이션 ID 공급자가 수행한 MFA를 수락합니다. (SHIELD ID의 MFA 조건부정책을 설정한 경우 동작)
      - rejectMfaByFederatedIdp: Microsoft Entra ID는 항상 MFA를 수행하며 페더레이션 ID 공급자가 수행하는 MFA는 거부합니다. (Microsoft Entra ID의 MFA 조건부정책을 설정한 경우 동작)
  - 페더레이션 브랜드 이름을 작성할 수 있는 인풋창이 노출된다.
  - 소프트캠프에서 계정을 관리해야되기에 선택한 도메인과 일치하는 기존 MS 사용자, 추가되는 MS 사용자에게 비밀번호가 부여된다는 안내가 노출된다.
    - 해당 페이지에서 초기 비밀번호를 변경할 수 있다. (추후에는 초기 비밀번호 설정 or 기존 사용자 등록 시 랜덤 비밀번호 메일 전송처럼 메일로 비밀번호 전송 둘 중 택 1 할 수 있도록 변경 예정)
      - 해당 페이지에서 설정한대로 계정 설정> 사용자 초기 비밀번호 설정에 반영된다.
      - 설정한 초기 비밀번호가 있는 조직일 경우 사용자 초기 비밀번호 설정에 체크된 상태로 노출
- 필수값을 모두 입력하고 확인 버튼 클릭 시 페더레이션 진행을 확인하는 팝업이 노출된다.
  - 필수값: 도메인 선택, MFA 옵션, 페더레이션 브랜드 이름, 비밀번호 설정
  - 문구: Microsoft 365의 (선택한 도메인) 도메인에 SAML 페더레이션을 진행하시겠습니까? 진행하는 경우 설정> 사용자 인증 설정의 Security365 인증 사용은 사용함으로 변경되고, CSP 인증 사용은 사용 안함으로 변경됩니다.
  - 확인 버튼 클릭 시
    - Microsoft 365 페더레이션 진행한 조직은 Security365 인증 사용> 사용함으로 변경되고, CSP 인증 사용> 사용 안함으로 변경된다.
    - 선택한 도메인과 동일한 기존 MS 사용자, 추가되는 MS 사용자에게 설정한 초기 비밀번호가 부여된다.
사용자 동기화
- 계정 동기화 설정> Microsoft365 동기화 설정으로 대체한다.
비밀번호 초기화
- 사용자 메뉴에서 사용자 선택 시 비밀번호 초기화 버튼이 노출된다.
- 비밀번호 초기화 버튼 클릭 시 초기 비밀번호가 설정되어있는 경우 설정된 초기 비밀번호로 초기화된다.
  - 초기 비밀번호가 설정되지 않은 경우 초기 비밀번호를 설정하라는 알럿이 노출되며 초기 비밀번호 설정 페이지로 이동할 수 있는 버튼을 제공한다.
    - 설정 버튼 클릭 시 portal 계정 설정 페이지 새탭 노출

예외 케이스

SAML 방식 전환 취소 시: 사용자가 설정 전환 경고 메시지에서 '취소'를 선택하면, 현재 설정이 유지된다.
이미 페더레이션 된 도메인일 시: 선택이 불가하다.

SSO 설정 tab 신설 및 SAML 설정​

목적​

선행 조건​

주요 흐름​

필요 기능​

예외 케이스​

SSO 설정 tab 신설 및 SAML 설정

목적

선행 조건

주요 흐름

필요 기능

예외 케이스