SAML 프로토콜과 호환되는 인증 시스템에서 작동하도록 인증 업무 공간을 사용하여 SaltStack Config에서 SSO를 구성할 수 있습니다.

참고: 필요한 경우 한 번에 두 개 이상의 시스템을 사용하여 SaltStack Config에서 사용자를 인증할 수 있습니다. 예를 들어, SAML 기반 IdP 또는 LDAP 기반 IdP를 둘 다 사용하는 동시에 RaaS 서버에 기본적으로 일부 사용자 자격 증명을 저장할 수 있습니다. 단, SaltStack Config는 두 개를 초과하는 SAML 제공자 또는 두 개의 LDAP 제공자를 동시에 구성하도록 허용하지 않습니다.

SAML SSO 정보

SAML SSO(Single Sign-On)는 많은 조직이 SaltStack Config를 구현하는 동안 구성하는 기능입니다. SSO는 다음을 비롯한 여러 가지 이점을 제공합니다.

  • 사용자가 동일한 ID로 서비스에 로그인하는 데 소요되는 시간을 줄입니다. 사용자가 기관의 서비스 중 하나에 로그인하면 SSO를 사용하는 다른 서비스에 자동으로 인증됩니다.
  • 암호 피로가 줄어듭니다. 사용자가 여러 자격 증명이 아닌 하나의 자격 증명 집합만 기억하면 됩니다.

ADFS, OneLogin, Okta, Shibboleth, SimpleSAMLPHP, Google Suite 등을 포함한 많은 서비스가 SAML SSO 프로토콜 구현을 제공합니다.

SAML SSO가 SaltStack Config에서 작동하는 방식

SaltStack Config가 지원되는 인증 통합에서 성공적인 ID 어설션을 수신하면, 어설션된 ID의 값과 일치하는 사용자 로그인을 검색합니다. 일치하는 로그인을 찾으면 연결된 사용자 계정에 로그인합니다.

예를 들어 SaltStack Config가 사용자에 대한 ADFS 어설션을 수신하고 구성된 ID 특성 값이 "fred"이면 SSE는 사용자 이름이"fred"인 로그인을 검색합니다. 해당 항목이 검색되면 연결된 사용자가 로그인됩니다. 그렇지 않으면 로그인이 실패합니다.

SAML 인증 용어

머리글자어 정의
SAML

SAML(Security Assertion Markup Language), 발음: SAM-el

SAML은 당사자 간에 인증 및 권한 부여 데이터를 교환하기 위한 개방형 프로토콜(표준이라고도 함)입니다. 특히 ID 제공자와 서비스 제공자 간에 데이터를 교환하는 데 사용됩니다.

SAML은 브라우저 기반 SSO(Single Sign-On)입니다. 모든 통신은 사용자 에이전트(브라우저)를 통해 진행됩니다. 서비스 제공자(예: SaltStack Config)와 ID 제공자(예: Azure AD) 사이에는 통신이 없습니다. 이러한 분리를 통해 하나의(공용) 도메인에 서비스 제공자가 있고 별도의 보안 네트워크 세그먼트에 ID 제공자가 있는 보안 도메인에서 인증이 발생할 수 있습니다.

IdP

ID 제공자

IdP의 작업은 자격 증명을 기반으로 사용자를 식별하는 것입니다. ID 제공자는 SAML 규격의 ID 제공자 부분을 준수하는 서비스를 제공하는 소프트웨어입니다. IdP는 일반적으로 로그인 화면 인터페이스를 제공하며 인증이 성공한 후에는 인증된 사용자에 대한 정보를 서비스 제공자에 제공합니다.

샘플 ID 제공자:

  • ADFS
  • Azure AD
  • Google SAML
  • Shibboleth
  • Okta
  • OneLogin
  • PingFederated
  • SimpleSAMLPHP
SP

서비스 제공자 또는 신뢰 당사자

SP(서비스 제공자)는 일반적으로 정보, 도구, 보고서 등을 최종 사용자에게 제공하는 웹 사이트입니다. 서비스 제공자는 SAML 규격의 서비스 제공자 부분을 준수하는 서비스를 SaltStack Config에 제공하는 소프트웨어입니다. Microsoft 제품(예: Azure AD 및 ADFS)에서는 SP를 신뢰 당사자라고 합니다.

이 시나리오에서 SaltStack Config가 서비스 제공자입니다. SaltStack Config는 IdP의 인증 어설션을 수락하고 사용자가 로그인하도록 허용합니다.

IdP가 승인된 서비스 목록에 없으면 SP는 IdP를 통해 인증할 수 없습니다. 승인된 IdP 목록으로 SP를 구성하는 것은 구성 프로세스의 일부입니다.

SSO

Single Sign-On

Single Sign-On은 사용자가 두 번째 서비스에 로그인할 필요가 없는(인증된 사용자에 대한 정보가 해당 서비스로 전달되기 때문에) 인증 시스템입니다.

SLO

단일 로그아웃

사용자가 한 서비스에서 로그아웃하면 일부 IdP는 사용자가 인증한 다른 모든 서비스에서 사용자를 로그아웃할 수 있습니다.

SaltStack Config는 현재 SLO를 지원하지 않습니다.

RBAC

역할 기반 액세스 제어

역할 기반 액세스 제어는 역할 기반 보안이라고도 하며, 조직 내에서 개인의 역할에 따라 네트워크 액세스를 제한하는 고급 액세스 제어 수단입니다. RBAC의 역할은 직원이 네트워크에 액세스할 수 있는 수준을 나타냅니다.

직원은 자신의 업무를 효과적으로 수행하는 데 필요한 네트워크 리소스에만 액세스하거나 작업을 수행할 수 있습니다. 예를 들어 하위 수준의 직원은 자신의 책임을 완수하는 데 필요한 경우가 아니라면 중요 데이터나 네트워크 리소스에 대한 액세스 권한이 일반적으로 없습니다.

SaltStack Config는 역할 업무 공간을 사용하여 SAML 구성으로 RBAC를 지원할 수 있습니다. 단, 사용자를 로컬 사용자 데이터베이스에 추가하고 역할 업무 공간에서 관리하려면 먼저 해당 사용자가 SaltStack Config에 로그인해야 합니다. 자세한 내용은 SAML에 대한 RBAC 구성을 참조하십시오.