Access SAML SSO 가이드

1 SAML 싱글 사인온
2 시작하기 전에
3 SAML Single Sign-On 설정

SAML 싱글 사인온

SAML(Security Assertion Markup Language)은 ID 제공자와 서비스 제공자와 같은 당사자 간에 인증 및 인증 데이터를 교환하기 위한 개방형 표준입니다.

사용자가 Atlassian 클라우드 제품에 로그인할 때 회사의 ID 제공자를 통해 인증하도록 하려면 SSO(Single Sign-On)용 SAML을 설정할 수 있습니다. SSO를 통해 사용자는 하나의 로그인 자격 증명 집합을 인증하고 세션 중에 여러 제품에 액세스할 수 있습니다.

SSO를 사용하면 다음과 같은 몇 가지 이점이 있습니다.

자체 가입이 설정된 경우 사용자가 SSO로 처음 로그인할 때 해당 사용자에 대한 Atlassian 계정을 자동으로 생성합니다.
사용자가 Atlassian 제품에 로그인할 때 적용되는 보안 정책을 ID 공급자에서 설정할 수 있습니다.

시작하기 전에

SSO(Single Sign-On)용 SAML을 사용하려면 다음을 조건을 충족해야합니다.

Atlassian Access 가입
도메인 확인

확인 사항:

Atlassian 제품과 ID 제공자 모두 HTTPS 프로토콜을 사용하여 서로 통신해야 하며 구성된 제품 기본 URL은 HTTPS 프로토콜입니다.
SAML 인증 요청은 제한된 시간 동안만 유효하므로 ID 제공자 서버의 시간이 NTP를 사용하여 동기화되는지 확인하십시오. SaaS ID 제공자를 사용하는 경우 시간이 이미 동기화되어 있어야 합니다.
SAML Single Sign-On을 구성하기 전에 SAML이 잘못 구성된 경우에도 조직에 액세스하는 데 사용할 수 있는 Atlassian 계정을 생성합니다.
- 확인된 도메인의 이메일 주소를 사용하면 안됩니다. 만약 도메인의 이메일 주소를 사용한다면 로그인할 때 계정이 Single Sign-On으로 리디렉션 되지 않습니다.
- 사이트 관리자 및 조직 관리자 권한이 모두 부여되어야 합니다.
- 이 계정을 임시 계정으로 간주합니다. SAML Single Sign-On이 사용자의 예상대로 작동하는 것으로 만족하면 계정에서 관리자 액세스를 제거할 수 있습니다.

SAML Single Sign-On 설정

이 섹션에서는 SAML Single Sign-On을 설정하는 방법에 대해 설명합니다.

SAML Single Sign-On을 구성하는 데 걸리는 시간 동안 사용자는 Atlassian 클라우드 제품에 로그인할 수 없습니다. SAML로 전환하기 위한 요일 및 시간을 예약하고 사용자에게 미리 알리는 것을 고려하십시오.

ID 제공자가 존재하는 경우

ID 제공자가 여기에 나열되어 있으면 ID 제공자 지침에 따라 SAML Single Sign-On을 설정합니다.

ID 제공자	설정 지시사항

ID 제공자	설정 지시사항
Active Directory Federation Services (AD FS)	Atlassian용 AD FS를 사용한 SAML Single Sign-On
Microsoft Azure AD	Azure AD를 사용한 SAML Single Sign-On for Atlassian
Auth0	Atlassian에 대한 ID 제공자로 Auth0 구성 SAML2 웹 앱 사용
Google Cloud	Atlassian용 Google Cloud를 사용한 SAML Single Sign-On
Idaptive (이전 Centrify)	Atlassian용 Idaptive(Centrify)를 사용한 SAML Single Sign-On
Okta	Atlassian Cloud용 Okta를 사용한 SAML Single Sign-On
OneLogin	Atlassian용 OneLogin을 사용한 SAML Single Sign-On OneLogin 앱에 대해 알아보기 해당 페이지를 보려면 OneLogin에 로그인해야 합니다.
Ping Identity	PingOne 및 Atlassian을 사용한 SAML Single Sign-On PingFederate 및 Atlassian을 사용한 SAML Single Sign-On

다른 ID 제공자에 대한 SAML Single Sign-On 설정

ID 제공자가 목록에 없는 경우에도 다음 단계를 수행하여 SAML Single Sign-On을 설정할 수 있습니다.

1. ID 공급자에 Atlassian 제품 추가

이 단계에서는 ID 제공자에게 SAML Single Sign-On을 사용할 Atlassian 제품을 알려줍니다.

온사이트 ID 제공자를 사용하는 경우 사용자가 내부 네트워크나 VPN 연결 등에서 ID 제공자에 액세스할 수 있는 경우에만 인증할 수 있습니다.

ID 제공자가 NameId 특성을 사용하여 이메일 주소 값을 전달할 수 있는지 확인합니다. Atlassian 제품을 추가할 때 ID 제공자에 다음 SAML 특성 매핑을 추가합니다.

SAML attribute name	ID 제공자에서 매핑해야 할 대상

SAML attribute name

ID 제공자에서 매핑해야 할 대상

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

사용자의 이름

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

사용자의 성

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, OR

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

변경되지 않는 사용자의 내부 ID

이 ID는 사용자의 전자 메일 주소가 아니어야 합니다.

ID 제공자가 초기화된 SAML의 경우 기본 릴레이 상태로 조직의 URL을 입력합니다. https://를 조직 URL의 일부로 포함합니다.

2. ID 제공자에서 Atlassian 조직으로 세부 정보 복사

https://admin.atlassian.com/ 에서 보안 > SAML Single Sign-On을 선택합니다.
SAML 구성 추가 버튼을 클릭합니다.
ID 제공자 세부 정보를 다음 필드에 복사합니다.

필드	설명

필드

설명

ID 제공업체 엔터티 ID

제품이 인증 요청을 수락할 ID 제공자의 URL입니다.

ID 제공업체 SSO URL

사용자가 로그인할 때 리디렉션되는 URL을 정의합니다.

공개 x509 인증

이 값은 '-----BEGIN CERTIFICATE-----'로 시작합니다.

이 인증서에는 ID 공급자가 수신된 모든 SAML 인증 요청을 발급했는지 확인하는 데 사용할 공개 키가 포함되어 있습니다.

3. Atlassian 조직에서 ID 제공자로 세부 정보 복사

Atlassian 조직의 'SAML 싱글 사인온' 페이지에 ID 제공자 세부 정보를 추가하면 새 필드와 값이 표시됩니다. 해당 값을 ID 제공자에게 복사합니다.

인증 정책으로 SAML Single Sign-On 테스트

인증 정책을 사용하면 조직 내의 다양한 사용자 집합에 대해 여러 보안 수준을 유연하게 구성할 수 있습니다. 또한 인증 정책은 회사 전체에 배포하기 전에 사용자 하위 집합에 대해 다양한 Single Sign-On 구성을 테스트할 수 있는 기능을 제공하여 위험을 줄입니다.

다음을 수행할 수 있습니다.

SSO(Single Sign-On) 또는 2단계 인증을 소규모의 선택한 사용자 그룹에서 테스트하여 조직 전체에 배포하기 전에 올바르게 설정되었는지 확인합니다.
SSO 정책 또는 ID 제공자 통합에 로그인하고 문제를 해결할 수 있도록 관리자 계정마다 다른 정책을 설정하여 SSO 정책 문제를 해결합니다.

인증 설정을 테스트하려면 SAML Single Sign-On을 구성하고 시행해야 합니다. 다음 섹션에서는 수행 방법에 대한 지침을 제공합니다.

인증 정책에서 SAML Single Sign-On을 구성하려면:

https://admin.atlassian.com/ 에서 보안 > 인증 정책을 선택합니다.
구성할 정책에 대해 수정을 클릭합니다.
Single Sign-On 적용 체크박스를 체크하고 업데이트 버튼을 클릭합니다.