Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SSO 구성

기여자 netapp-lhalbert
PDF

SSO 구성 마법사를 따라 샌드박스 모드로 들어가서 모든 StorageGRID 사용자에 대해 SSO(단일 로그인)를 활성화하기 전에 SSO를 구성하고 테스트할 수 있습니다. SSO가 활성화된 후 구성을 변경하거나 다시 테스트해야 할 때 샌드박스 모드로 돌아갈 수 있습니다.

시작하기 전에

  • 을 사용하여 그리드 관리자에 로그인되어 있습니다."지원되는 웹 브라우저"

  • "루트 액세스 권한"있습니다.

  • StorageGRID 시스템에 대해 ID 페더레이션을 구성했습니다.

  • ID 페더레이션 *LDAP 서비스 유형*의 경우, 사용하려는 SSO ID 공급자에 따라 Active Directory 또는 Entra ID를 선택했습니다.

    구성된 LDAP 서비스 유형입니다 SSO ID 공급자에 대한 옵션

    AD FS(Active Directory Federation Service)

    • Active Directory를 클릭합니다

    • 엔트라 ID

    • PingFederate(PingFederate)

    엔트라 ID

    엔트라 ID
이 작업에 대해

SSO가 활성화되어 있고 사용자가 관리자 노드에 로그인을 시도하면 StorageGRID는 인증 요청을 SSO ID 공급자에 보냅니다. 또한 SSO ID 공급자는 인증 요청이 성공했는지 여부를 나타내는 인증 응답을 StorageGRID로 다시 보냅니다. 성공적인 요청의 경우:

  • Active Directory 또는 PingFederate의 응답에는 사용자의 UUID(Universally Unique Identifier)가 포함됩니다.

  • Entra ID의 응답에는 UPN(사용자 주체 이름)이 포함되어 있습니다.

StorageGRID (서비스 공급자)와 SSO ID 공급자가 사용자 인증 요청에 대해 안전하게 통신할 수 있도록 하려면 다음 작업을 완료해야 합니다.

  1. StorageGRID 에서 설정을 구성합니다.

  2. SSO ID 공급자의 소프트웨어를 사용하여 각 관리 노드에 대한 신뢰 당사자 신뢰(AD FS), 엔터프라이즈 애플리케이션(Entra ID) 또는 서비스 공급자(PingFederate)를 만듭니다.

  3. SSO를 활성화하려면 StorageGRID 로 돌아가세요.

샌드박스 모드를 사용하면 이러한 왕복 구성을 쉽게 수행하고 SSO를 활성화하기 전에 모든 설정을 테스트할 수 있습니다. 샌드박스 모드를 사용하는 경우 사용자는 SSO를 사용하여 로그인할 수 없습니다.

마법사에 액세스합니다

단계

  1. 구성 > 액세스 제어 > *단일 로그인*을 선택합니다. Single Sign-On 페이지가 나타납니다.

    참고 SSO 설정 구성 버튼이 비활성화된 경우 ID 공급자를 페더레이션 ID 소스로 구성했는지 확인하세요. "SSO(Single Sign-On)에 대한 요구 사항 및 고려 사항" .

  2. *SSO 설정 구성*을 선택합니다. ID 공급자 세부 정보 제공 페이지가 나타납니다.

ID 공급자 세부 정보 제공

단계

  1. 드롭다운 목록에서 * SSO 유형 * 을 선택합니다.

  2. SSO 유형으로 Active Directory를 선택한 경우 ID 공급자에 대한 *페더레이션 서비스 이름*을 Active Directory 페더레이션 서비스(AD FS)에 표시된 대로 정확하게 입력합니다.

    참고 페더레이션 서비스 이름을 찾으려면 Windows Server Manager로 이동합니다. Tools * > * AD FS Management * 를 선택합니다. 작업 메뉴에서 * 페더레이션 서비스 속성 편집 * 을 선택합니다. 두 번째 필드에 페더레이션 서비스 이름이 표시됩니다.

  3. ID 공급자가 StorageGRID 요청에 대한 응답으로 SSO 구성 정보를 보낼 때 연결을 보호하는 데 사용할 TLS 인증서를 지정합니다.

    • * 운영 체제 CA 인증서 사용 *: 운영 체제에 설치된 기본 CA 인증서를 사용하여 연결을 보호합니다.

    • * 사용자 지정 CA 인증서 사용 *: 사용자 지정 CA 인증서를 사용하여 연결을 보호합니다.

      이 설정을 선택한 경우 사용자 지정 인증서의 텍스트를 복사하여 * CA 인증서 * 텍스트 상자에 붙여 넣습니다.

    • * TLS * 사용 안 함: TLS 인증서를 사용하여 연결을 보호하지 마십시오.

      주의 CA 인증서를 변경하는 경우 즉시 "관리 노드에서 mgmt-API 서비스를 다시 시작합니다"그리드 관리자에서 성공적인 SSO를 테스트합니다.

  4. *계속*을 선택하세요. 신뢰 당사자 식별자 제공 페이지가 나타납니다.

신뢰하는 당사자 식별자 제공

  1. 선택한 SSO 유형에 따라 신뢰 당사자 식별자 제공 페이지에서 필드를 완성합니다.

    Active Directory를 클릭합니다

    1. StorageGRID 에 대한 *신뢰 당사자 식별자*를 지정합니다. 이 값은 AD FS에서 각 신뢰 당사자 신뢰에 사용하는 이름을 제어합니다.

      • 예를 들어 그리드에 관리자 노드가 하나만 있고 앞으로 관리자 노드를 더 추가할 계획이 없는 경우 또는 StorageGRID 를 입력합니다. SG

      • 그리드에 두 개 이상의 관리 노드가 포함된 경우 다음 문자열을 포함합니다. [HOSTNAME] 식별자에서. 예를 들어, SG-[HOSTNAME] . 이 문자열을 포함하면 노드의 호스트 이름을 기반으로 그리드의 각 관리 노드에 대한 신뢰 당사자 식별자를 보여주는 표가 생성됩니다.

        참고 StorageGRID 시스템의 각 관리 노드에 대한 신뢰할 수 있는 상대 신뢰를 만들어야 합니다. 각 관리 노드에 대한 신뢰할 수 있는 당사자 덕분에 사용자는 모든 관리 노드에 안전하게 로그인할 수 있습니다.

    2. *저장하고 샌드박스 모드로 들어가기*를 선택하세요.

    엔트라 ID

    1. 엔터프라이즈 애플리케이션 섹션에서 StorageGRID 에 대한 *엔터프라이즈 애플리케이션 이름*을 지정합니다. 이 값은 Entra ID에서 각 엔터프라이즈 애플리케이션에 사용하는 이름을 제어합니다.

      • 예를 들어 그리드에 관리자 노드가 하나만 있고 앞으로 관리자 노드를 더 추가할 계획이 없는 경우 또는 StorageGRID 를 입력합니다. SG

      • 그리드에 두 개 이상의 관리 노드가 포함된 경우 다음 문자열을 포함합니다. [HOSTNAME] 식별자에서. 예를 들어, SG-[HOSTNAME] . 이 문자열을 포함하면 노드의 호스트 이름을 기반으로 시스템의 각 관리 노드에 대한 엔터프라이즈 애플리케이션 이름을 보여주는 표가 생성됩니다.

        참고 StorageGRID 시스템의 각 관리 노드에 대해 엔터프라이즈 애플리케이션을 만들어야 합니다. 각 관리 노드에 엔터프라이즈 애플리케이션을 사용하면 사용자가 관리자 노드에 안전하게 로그인할 수 있습니다.

    2. 다음 단계를 따르세요"Entra ID에서 엔터프라이즈 애플리케이션 만들기" 표에 나열된 각 관리 노드에 대한 엔터프라이즈 애플리케이션을 생성합니다.

    3. Entra ID에서 각 엔터프라이즈 애플리케이션의 페더레이션 메타데이터 URL을 복사합니다. 그런 다음 이 URL을 StorageGRID 의 해당 페더레이션 메타데이터 URL 필드에 붙여넣습니다.

    4. 모든 관리 노드에 대한 페더레이션 메타데이터 URL을 복사하여 붙여넣은 후 *저장 및 샌드박스 모드 전환*을 선택합니다.

    PingFederate(PingFederate)

    1. 서비스 공급자(SP) 섹션에서 StorageGRID에 대한 * SP 접속 ID * 를 지정합니다. 이 값은 PingFederate의 각 SP 연결에 사용할 이름을 제어합니다.

      • 예를 들어 그리드에 관리자 노드가 하나만 있고 앞으로 관리자 노드를 더 추가할 계획이 없는 경우 또는 StorageGRID 를 입력합니다. SG

      • 그리드에 두 개 이상의 관리 노드가 포함된 경우 다음 문자열을 포함합니다. [HOSTNAME] 식별자에서. 예를 들어, SG-[HOSTNAME] . 이 문자열을 포함하면 노드의 호스트 이름을 기반으로 시스템의 각 관리 노드에 대한 SP 연결 ID를 보여주는 표가 생성됩니다.

        참고 StorageGRID 시스템의 각 관리 노드에 대해 SP 접속을 생성해야 합니다. 각 관리 노드에 대해 SP를 연결하면 사용자가 관리자 노드에 안전하게 로그인할 수 있습니다.

    2. Federation metadata URL * 필드에서 각 관리 노드에 대한 페더레이션 메타데이터 URL을 지정합니다.

      다음 형식을 사용합니다.

      https://<Federation Service Name>:<port>/pf/federation_metadata.ping?PartnerSpId=<SP Connection ID>

    3. *저장하고 샌드박스 모드로 들어가기*를 선택하세요.

신뢰할 수 있는 파티 트러스트, 엔터프라이즈 애플리케이션 또는 SP 연결을 구성합니다

구성을 저장하고 샌드박스 모드로 들어간 후, 선택한 SSO 유형에 대한 구성을 완료하고 테스트할 수 있습니다.

StorageGRID 필요한 만큼 샌드박스 모드를 유지할 수 있습니다. 하지만 연합 사용자와 로컬 사용자만 로그인할 수 있습니다.

Active Directory를 클릭합니다
단계

  1. AD FS(Active Directory Federation Services)로 이동합니다.

  2. SSO 구성 페이지의 표에 표시된 각 신뢰 당사자 식별자를 사용하여 StorageGRID 에 대한 하나 이상의 신뢰 당사자 트러스트를 만듭니다.

    테이블에 표시된 각 관리 노드에 대해 하나의 신뢰를 만들어야 합니다.

    자세한 내용은 을 "AD FS에서 기반 당사자 트러스트를 생성합니다"참조하십시오.

엔트라 ID
단계

  1. 현재 로그인한 Admin Node의 Single Sign-On 페이지에서 SAML 메타데이터를 다운로드하고 저장할 버튼을 선택합니다.

  2. 그리드에서 다른 관리 노드에 대해 다음 단계를 반복합니다.

    1. 노드에 로그인합니다.

    2. 구성 > 액세스 제어 > *단일 로그인*을 선택합니다.

    3. 해당 노드에 대한 SAML 메타데이터를 다운로드하고 저장합니다.

  3. Azure Portal로 이동합니다.

  4. 다음 단계를 따르세요"Entra ID에서 엔터프라이즈 애플리케이션 만들기" 각 관리 노드의 SAML 메타데이터 파일을 해당 Entra ID 엔터프라이즈 애플리케이션에 업로드합니다.

PingFederate(PingFederate)
단계

  1. 현재 로그인한 Admin Node의 Single Sign-On 페이지에서 SAML 메타데이터를 다운로드하고 저장할 버튼을 선택합니다.

  2. 그리드에서 다른 관리 노드에 대해 다음 단계를 반복합니다.

    1. 노드에 로그인합니다.

    2. 구성 > 액세스 제어 > *단일 로그인*을 선택합니다.

    3. 해당 노드에 대한 SAML 메타데이터를 다운로드하고 저장합니다.

  3. PingFederate로 이동합니다.

  4. "StorageGRID에 대한 SP(서비스 공급자) 연결을 하나 이상 생성합니다" . 각 관리 노드의 SP 연결 ID(SSO 구성 페이지의 표에 표시됨)와 해당 관리 노드에 대해 다운로드한 SAML 메타데이터를 사용합니다.

    표에 표시된 각 관리 노드에 대해 하나의 SP 접속을 생성해야 합니다.

테스트 구성

StorageGRID 시스템 전체에 대해 단일 로그인 사용을 강제로 적용하기 전에 각 관리 노드에 대해 단일 로그인 및 단일 로그아웃이 올바르게 구성되었는지 확인하세요.

Active Directory를 클릭합니다
단계

  1. SSO 구성 페이지에서 마법사의 테스트 구성 단계에 있는 링크를 찾으세요.

    URL은 * 페더레이션 서비스 이름 * 필드에 입력한 값에서 파생됩니다.

  2. ID 공급자의 로그인 페이지에 액세스하려면 링크를 선택하거나 URL을 복사하여 브라우저에 붙여 넣으십시오.

  3. SSO를 사용하여 StorageGRID에 로그인할 수 있는지 확인하려면 * 다음 사이트 중 하나에 로그인 * 을 선택하고, 기본 관리자 노드에 대한 보조 당사자 식별자를 선택한 다음 * 로그인 * 을 선택합니다.

  4. 통합 사용자 이름과 암호를 입력합니다.

    • SSO 로그인 및 로그아웃 작업이 성공하면 성공 메시지가 나타납니다.

    • SSO 작업이 실패하면 오류 메시지가 나타납니다. 문제를 해결하고 브라우저의 쿠키를 삭제한 후 다시 시도하십시오.

  5. 이 단계를 반복하여 그리드의 각 관리 노드에 대한 SSO 연결을 확인합니다.

엔트라 ID
단계

  1. Azure 포털의 Single Sign-On 페이지로 이동합니다.

  2. 이 응용 프로그램 테스트 * 를 선택합니다.

  3. 통합 사용자의 자격 증명을 입력합니다.

    • SSO 로그인 및 로그아웃 작업이 성공하면 성공 메시지가 나타납니다.

    • SSO 작업이 실패하면 오류 메시지가 나타납니다. 문제를 해결하고 브라우저의 쿠키를 삭제한 후 다시 시도하십시오.

  4. 이 단계를 반복하여 그리드의 각 관리 노드에 대한 SSO 연결을 확인합니다.

PingFederate(PingFederate)
단계

  1. SSO 구성 페이지에서 샌드박스 모드 메시지의 첫 번째 링크를 선택합니다.

    링크를 한 번에 하나씩 선택하여 테스트합니다.

  2. 통합 사용자의 자격 증명을 입력합니다.

    • SSO 로그인 및 로그아웃 작업이 성공하면 성공 메시지가 나타납니다.

    • SSO 작업이 실패하면 오류 메시지가 나타납니다. 문제를 해결하고 브라우저의 쿠키를 삭제한 후 다시 시도하십시오.

  3. 다음 링크를 선택하여 그리드의 각 관리 노드에 대한 SSO 연결을 확인합니다.

    페이지 만료 메시지가 표시되면 브라우저에서 * 뒤로 * 버튼을 선택하고 자격 증명을 다시 제출하십시오.

SSO(Single Sign-On)를 활성화합니다

SSO를 사용하여 각 관리 노드에 로그인할 수 있는지 확인한 후 전체 StorageGRID 시스템에 대해 SSO를 활성화할 수 있습니다.

팁 SSO가 활성화된 경우 모든 사용자는 SSO를 사용하여 Grid Manager, Tenant Manager, Grid Management API 및 Tenant Management API에 액세스해야 합니다. 로컬 사용자는 더 이상 StorageGRID에 액세스할 수 없습니다.
단계

  1. SSO 구성 마법사의 테스트 구성 단계에서 *SSO 사용*을 선택합니다.

  2. 경고 메시지를 검토하고 *SSO 사용*을 선택하세요.

    이제 Single Sign-On이 활성화되었습니다. Single Sign-On 페이지가 나타나고 방금 구성한 SSO에 대한 세부 정보가 포함됩니다.

  3. 구성을 편집하려면 *편집*을 선택하세요.

  4. Single Sign-On을 비활성화하려면 *SSO 비활성화*를 선택하세요.

팁 Azure Portal을 사용하고 Entra ID에 액세스하는 데 사용하는 것과 동일한 컴퓨터에서 StorageGRID 에 액세스하는 경우 Azure Portal 사용자가 권한이 있는 StorageGRID 사용자( StorageGRID 로 가져온 페더레이션 그룹의 사용자)인지 확인하거나 StorageGRID 에 로그인을 시도하기 전에 Azure Portal에서 로그아웃하세요.