내부 사용자 Single Sign-On 설정

학습 목표

이 모듈을 완료하면 다음을 수행할 수 있습니다.

연합 ID를 만들 수 있습니다.
타사 ID 공급업체의 Single Sign-On을 설정할 수 있습니다.
SAML 요청 문제를 해결하는 도구를 숙지할 수 있습니다.

참고

한국어로 학습하시겠어요? 이 배지에서는 Trailhead 실습 과제 검증이 영어로 진행됩니다. 참조용 번역이 괄호로 제공됩니다. Trailhead Playground에서 (1) 로캘을 미국으로 바꾸고 (2) 언어를 영어로 바꾼 후 (3) 영문으로 표시된 값을 복사해 붙여 넣으세요. 여기에 나와 있는 지침을 따르세요.

원하는 언어로 Trailhead 사용하기 배지를 확인해 현지화된 Trailhead 경험을 활용하는 방법에 대해 자세히 알아보세요.

싱글사인온

내 도메인 로그인 URL을 사용하면 직원들이 안전하고 기억하기 쉬운 URL을 사용하여 Salesforce org에 편리하게 로그인할 수 있습니다.

더욱 편리하게 직원들이 전혀 로그인할 필요가 없도록 하고 싶으세요? 그렇다면 Single Sign-On(싱글사인온)을 설정하세요.

싱글사인온은 여러 가지 장점이 있습니다.

비밀번호를 관리하는 데 보내는 시간이 줄어듭니다.
직원들이 Salesforce에 수동으로 로그인하지 않아도 되면 시간이 절약됩니다. 사용자가 온라인 애플리케이션에 로그인하는 데 5-20초가 걸린다는 사실을 알고 계셨나요? 이 짧은 시간을 모두 더하면 꽤 많아집니다.
더 많은 사람들이 Salesforce를 사용합니다. 사용자는 Salesforce 레코드 및 보고서로 연결되는 링크를 보낼 수 있고, 수신자는 클릭 한 번으로 레코드와 보고서를 열 수 있습니다.
중요한 정보에 대한 액세스를 한 곳에서 관리할 수 있습니다.

이 유닛에서는 사용자가 다른 위치(온프레미스 앱 등)에서 로그인한 후 Salesforce에 로그인하지 않고 액세스하는 인바운드 싱글사인온을 설정하는 방법에 대해 설명합니다. 사용자가 Salesforce에 로그인한 후 다시 로그인하지 않고 다른 서비스에 액세스하는 아웃바운드 싱글사인온도 설정할 수 있습니다. 이 주제에 대해서는 다른 모듈에서 알아볼 것입니다.

MFA 고려하기

첫 번째 유닛에서 다룬 MFA 요구 사항을 기억하시나요? 맞습니다. 이 요구 사항은 싱글사인온 사용자에게도 적용됩니다. 직원이 온프레미스 앱이나 싱글사인온 ID 공급자를 통해 Salesforce에 액세스하는 경우에도 먼저 MFA를 완료해야 합니다.

여기에서는 싱글사인온 사용자에게 MFA를 적용하는 방법을 다루지 않아도 쉽게 적용하는 방법이 있으니 걱정하지 마세요. Salesforce에 포함된 MFA 서비스를 싱글사인온 설정에 사용하려면 Salesforce 도움말에서 Salesforce MFA를 SSO에 사용을 확인하세요. 또는 싱글사인온 공급자에서 MFA 서비스를 제공하는 경우 사용자가 Salesforce에 액세스할 때 대신 공급자에 로그인할 경우 MFA를 요구할 수 있습니다.

타사 ID 공급자를 사용하여 인바운드 싱글사인온 구성

타사 ID 공급자를 사용하여 인바운드 싱글사인온을 구성하는 작업을 시작해 보겠습니다.

Salesforce 사용자가 자신의 Jedeye 네트워크 자격 증명을 사용하여 Salesforce org에 로그인할 수 있게 싱글사인온을 설정하라고 IT 부서장인 Sean Sollo가 지시합니다. 여기서는 Jedeye Tech의 신입 사원인 Sia Thripio를 위해 싱글사인온을 설정하는 절차를 단계별로 설명합니다. Axiom Heroku 웹 앱을 ID 공급자로 사용하여 인바운드 싱글사인온을 설정할 것입니다.

어렵게 들리기 시작하나요? 정말 어렵지 않습니다. 간단한 단계로 나눠보겠습니다.

각 사용자의 연합 ID를 만듭니다.
Salesforce에서 싱글사인온 설정을 설정합니다.
싱글사인온 공급자에서 Salesforce 설정을 설정합니다.
모두 작동하는지 확인합니다.

1단계: 연합 ID 만들기

싱글사인온을 설정할 때 고유 속성을 사용하여 각 사용자를 식별합니다. 이 속성은 Salesforce 사용자를 타사 ID 공급자와 연결하는 링크입니다. 사용자 이름, 사용자 ID 또는 연합 ID를 사용할 수 있습니다. 여기서는 연합 ID를 사용합니다.

아니요, 연합 ID가 사악한 계획이 있는 행성 간 배송 조직의 소유는 아닙니다. IT 산업에서 고유 사용자 ID를 뜻하는 용어입니다.

일반적으로 사용자 계정을 설정할 때 연합 ID를 할당합니다. 프로덕션 환경에서 싱글사인온을 설정하는 경우, Salesforce Data Loader 같은 도구를 사용해 여러 사용자의 연합 ID를 한꺼번에 할당할 수 있습니다. 지금은 Jedeye Tech의 신입 사원인 Sia Thripio의 계정을 설정해 보겠습니다.

Setup(설정)의 Quick Find(빠른 찾기) 상자에 Users(사용자)를 입력한 다음 Users(사용자)를 선택합니다.
Sia의 이름 옆에 있는 Edit(편집)을 클릭합니다.
Single Sign On Information(Single Sign-On 정보) 아래에 Federation ID(연합 ID): sia@jedeye-tech.com을 입력합니다. 팁: 연합 ID는 조직의 각 사용자마다 고유해야 합니다. 사용자 이름은 고유하기 때문에 유용합니다. 하지만 사용자가 여러 조직에 속해 있는 경우 각 조직에서 사용자의 동일한 연합 ID를 사용해야 합니다.
Save(저장)를 클릭합니다.

2단계: Salesforce에서 싱글사인온 공급자 설정

서비스 공급자는 ID 공급자에 대해 알아야 하고, 그 반대도 마찬가지입니다. 이 단계는 ID 공급자(이 사례에서는 Axiom)에 대한 정보를 제공하는 Salesforce 쪽에서 진행합니다. 다음 단계에는 Salesforce에 대한 Axiom 정보를 제공합니다.

Salesforce 쪽에서는 SAML 설정을 구성합니다. SAML은 Salesforce Identity에서 싱글사인온을 구현하는 데 사용하는 프로토콜입니다.

팁: Salesforce Dev 조직과 Axiom 앱에서 모두 작업을 수행할 것입니다. 조직과 앱 사이에서 복사하고 붙여 넣을 수 있게 조직과 앱을 모두 각자 다른 브라우저 창에서 계속 열어 두세요.

새 브라우저 창에서 https://axiomsso.herokuapp.com으로 이동합니다.
SAML Identity Provider & Tester(SAML ID 공급자 및 테스터)를 클릭합니다.
Download the Identity Provider Certificate(ID 공급자 인증서 다운로드)를 클릭합니다. 이 인증서는 나중에 Salesforce org에 업로드할 것이므로 저장 위치를 기억해 두세요.
Salesforce org에서 Setup(설정)의 Quick Find(빠른 찾기) 상자에 Single을 입력한 후 Single Sign-On Settings(Single Sign-On 설정)를 선택합니다.
Edit(편집)을 클릭합니다.
SAML Enabled(SAML 사용)를 선택합니다.
Save(저장)를 클릭합니다.
SAML Single Sign-On Settings(SAML Single Sign-On 설정)에서 다음 작업을 수행합니다.
1. New(새로 만들기)를 클릭합니다.
2. 다음 값을 입력합니다.
  - Name(이름): Axiom Test App
  - Issuer(발급자): https://axiomsso.herokuapp.com
  - Identity Provider Certificate(ID 공급자 인증서): 3단계에 다운로드했던 파일을 선택합니다.
  - Request Signature Method(요청 서명 메서드): RSA-SHA1를 선택합니다.
  - SAML Identity Type(SAML ID 유형): Assertion contains the Federation ID from the User object(어설션에 사용자 개체의 연합 ID가 포함되어 있음)를 선택합니다.
  - SAML Identity Location(SAML ID 위치): Identity is in the NameIdentifier element of the Subject statement(ID가 Subject 문의 NameIdentifier 요소에 있음)를 선택합니다.
  - Service Provider Initiated Request Binding(서비스 공급자가 시작한 요청 바인딩): HTTP Redirect(HTTP 리디렉션)를 선택합니다.
  - Entity ID(엔티티 ID): 조직의 My Domain Setup(내 도메인 설정) 페이지에 표시되는 내 도메인 URL을 입력합니다. 엔티티 ID는 ‘https’를 포함하고 Salesforce 도메인을 참조해야 합니다. 다음과 같이 표시되어야 합니다. https://mydomain-dev-ed.develop.my.salesforce.com.
Save(저장)를 클릭하고 브라우저 페이지를 열어 둡니다.

3단계: ID 공급자를 Salesforce에 연결

Salesforce가 ID 공급자(Axiom)에 대해 알도록 구성했으므로, 이제 서비스 공급자(Salesforce)에 대해 알도록 ID 공급자를 학습시킵니다.

다음 Axiom 양식에서 필드를 몇 개 입력하면 됩니다. 아주 쉽습니다. Salesforce 싱글사인온 설정을 제공하려고 하므로, 두 브라우저 창(Salesforce 하나와 Axiom 하나)을 모두 열어 두세요.

Axiom 웹 앱으로 돌아갑니다. 이 앱이 브라우저 창에 열려 있지 않으면 https://axiomsso.herokuapp.com으로 이동합니다.
SAML Identity Provider & Tester(SAML ID 공급자 및 테스터)를 클릭합니다.
Generate a SAML response(SAML 응답 생성)를 클릭합니다.
다음 값을 입력합니다. 나머지 필드는 그대로 놔둡니다.
- SAML Version(SAML 버전): 2.0
- Username or Federated ID(사용자 이름 또는 연합 ID): Sia의 Salesforce 사용자 페이지에서 설정한 연합 ID
- Issuer(발급자): https://axiomsso.herokuapp.com
- Recipient URL(수신자 URL): Salesforce SAML Single Sign-On Settings(SAML Single Sign-On 설정) 페이지에서 설정한 URL 보이지 않나요? 페이지 하단의 Endpoints(엔드포인트) 섹션에 Login URL(로그인 URL)이라고 표시된 부분에 있습니다.
- Entity ID(엔티티 ID): Salesforce SAML Single Sign-On Settings(SAML Single Sign-On 설정) 페이지에 있는 엔티티 ID

마치면 Axiom 설정 페이지가 다음과 같이 표시됩니다.

Axiom 설정 페이지

4단계: 모두 작동하는지 확인

자, 이제 모든 것이 다 구성되었으니 제대로 작동하는지 확인해 보겠습니다. 증거는 무엇일까요? 물론 성공적인 로그인입니다.

Axiom 설정 브라우저 창에서 Request SAML Response(SAML 응답 요청)를 클릭합니다. (하단까지 아래로 쭉 내려가면 있습니다.)
Axiom은 SAML 어설션을 XML로 생성합니다. 외딴 전초 기지의 수분 증발기와 통신하는 로봇이 사용하는 언어처럼 생겼나요? 다시 보세요. 그렇게 나빠 보이지 않는다는 것을 확인할 수 있습니다. 관심 정보를 찾기 위해 XML을 스크롤합니다.
Login(로그인)을 클릭합니다.

모든 것이 정상이면 Salesforce 홈 페이지에 Sia로 로그인됩니다. Axiom 애플리케이션에서는 연합 ID가 할당된 사용자로 Salesforce org에 로그인됩니다.

축하합니다! 다른 앱에서 Salesforce에 액세스하는 사용자를 위해 Salesforce 싱글사인온을 구성하셨습니다. 무대 맨 위에 올라 뱃지를 받으세요.