Microsoft Entra ID로 Single Sign-On(SSO) 설정하는 방법

개요

이 가이드는 IT 관리자가 Microsoft Entra ID(이전 Azure AD)와 ELSA Business 간에 Single Sign-On(SSO)을 설정하는 데 도움을 줍니다. SSO가 활성화되면 학생과 교사는 기존의 엔터프라이즈 Microsoft 자격 증명을 사용하여 ELSA Business에 로그인할 수 있어 별도의 비밀번호가 필요하지 않습니다.

시작하기 전에

제공해야 할 정보

1. SSO에 사용할 이메일 도메인 (예: xyz@enterprisedomain.com)

필요한 준비물

1. 조직의 Microsoft Entra ID(Azure AD) 포털에 대한 관리자 권한
2. SSO 자격 증명(ELSA에서 제공)에는 다음이 포함됩니다:
   • SP Entity ID(서비스 제공자 엔터티 ID)
   • ACS URL(Assertion Consumer Service URL)

1단계: Microsoft Entra ID에서 ELSA 애플리케이션 생성

1. 로그인하여 Microsoft Azure Portal에 접속합니다.

2. Enterprise Applications로 이동:

   • "Microsoft Entra ID"(또는 "Azure Active Directory")를 클릭합니다.
   • 왼쪽 메뉴에서 "Enterprise applications"를 선택합니다.
   • "+ New application"을 클릭합니다.
     

3. 애플리케이션 직접 생성:

   • "Create your own application"을 클릭합니다.
   • 애플리케이션 이름을 입력합니다(예: "ELSA Business SSO")
   • "Integrate any other application you don't find in the gallery (Non-gallery)"를 선택합니다.
   • "Create"를 클릭합니다.
     

2단계: SAML 기반 Single Sign-On 구성

1. SSO 설정 접근:

   • 새로 생성한 ELSA 애플리케이션에서 왼쪽 메뉴의 "Single sign-on"을 클릭합니다.
   • Single sign-on 방식으로 "SAML"을 선택합니다.
     

2. 기본 SAML 설정 구성:

   • "Basic SAML Configuration" 섹션에서 "Edit"를 클릭합니다.
   • ELSA에서 제공한 다음 값을 입력합니다:
     • Identifier(Entity ID): ELSA의 SP Entity ID을 입력합니다.
     • Reply URL(Assertion Consumer Service URL): ELSA의 ACS URL을 입력합니다.
       
   • "Save"를 클릭합니다.

3단계: 사용자 속성 및 클레임 구성

1. 속성 및 클레임 편집:

   • "Attributes & Claims" 섹션에서 "Edit"를 클릭합니다.
     

2. 다음 매핑이 설정되어 있는지 확인:

   클레임 이름	소스 속성
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	user.givenname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.userprincipalname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	user.surname

   중요: 이 매핑을 통해 ELSA가 올바른 사용자 정보를 받을 수 있습니다. 매핑을 변경해야 할 경우, 사용자 인증에 영향을 줄 수 있으므로 반드시 먼저 ELSA 지원팀에 문의해 주시기 바랍니다.
   

4단계: SAML 메타데이터를 ELSA에 제공

SAML 구성을 완료한 후, SAML 구성에서 SAML 인증서(App Federation Metadata URL)를 복사하여 ELSA IT팀에 전달해 주세요.

5단계: 사용자 및 그룹 할당(ELSA에서 설정 완료 확인 후)

ELSA에서 SSO 구성이 완료되었음을 확인하면:

1. Users and Groups로 이동:

   • ELSA 애플리케이션에서 왼쪽 메뉴의 "Users and groups"를 클릭합니다.
     
   • "+ Add user/group"을 클릭합니다.
     
     

2. 액세스 할당:

   • "None Selected" 아래에서 "Users"(또는 "Groups")를 클릭합니다.
   • ELSA에 액세스할 사용자 또는 그룹을 선택합니다.
   • 하단의 "Select"를 클릭합니다.
   • "Assign"을 클릭합니다.
     

3. 의미:

   • 할당된 사용자/그룹만 SSO를 통해 ELSA에 로그인할 수 있습니다.
   • 할당되지 않은 사용자는 Microsoft 앱에서 ELSA를 볼 수 없습니다.
   • 언제든지 사용자를 추가하거나 제거할 수 있습니다.

SSO 연결 테스트

1. 먼저 본인을 테스트 사용자로 할당하세요.
2. 현재 ELSA Business에 로그인되어 있다면 로그아웃하세요.
3. ELSA Business 로그인 페이지로 이동하세요.
4. "Sign in with SSO"를 클릭하세요.
5. 엔터프라이즈 이메일 주소를 입력하세요.
6. Microsoft 로그인 페이지로 리디렉션되는지 확인하세요.
7. ELSA에 정상적으로 로그인되는지 확인하세요.

일반적인 문제 해결

로그인 불가 오류

가능한 원인:

• ELSA에서 아직 SSO 구성을 완료하지 않았습니다.
• 메타데이터 URL이 ELSA에 전달되지 않았습니다.
• SP Entity ID 또는 ACS URL이 잘못 입력되었습니다.

해결 방법: ELSA에 설정이 완료되었는지 확인하고, 2단계에서 입력한 값을 다시 확인하세요.

사용자가 할당되었으나 로그인할 수 없음

가능한 원인:

• Azure AD의 사용자의 이메일이 ELSA의 이메일과 일치하지 않습니다.
• 사용자 속성 매핑이 올바르게 구성되지 않았습니다.
• ELSA에서 사용자의 계정이 활성화되어 있지 않습니다.

해결 방법:

• 두 시스템에서 사용자의 이메일이 일치하는지 확인하세요.
• 3단계의 속성 매핑이 올바른지 확인하세요.
• 사용자 계정 상태 확인을 위해 ELSA 지원팀에 문의하세요.

"Attributes & Claims" 섹션에 다른 매핑이 표시됨

가능한 원인:

• Azure AD에 사용자 지정 클레임 구성이 있을 수 있습니다.

해결 방법:

• 이 부분을 수정하기 전에 ELSA 지원팀에 문의하세요.
• 필요하다면 기존 속성 설정에 맞춰 지원해 드릴 수 있습니다.

FAQ

Q: SSO와 일반 이메일/비밀번호 로그인을 동시에 사용할 수 있나요?
A: 네! SSO는 추가 로그인 옵션입니다. 필요시 사용자는 이메일/비밀번호로도 로그인할 수 있습니다.

Q: SSO 설정에 얼마나 걸리나요?
A: Azure 구성은 20~30분 소요됩니다. ELSA의 구성은 메타데이터 수신 후 영업일 기준 1~2일이 소요됩니다.

Q: 먼저 사용자에 대해 ELSA 계정을 생성해야 하나요?
A: 네, 사용자는 SSO로 로그인하기 전에 ELSA Business에 존재해야 합니다. 대량 사용자 업로드가 필요하다면 CSM에게 문의하세요.

Q: 학생과 교사 모두 SSO를 사용할 수 있나요?
A: 네, 디렉터리에 Microsoft 계정이 있다면 모든 유형의 사용자가 SSO를 사용할 수 있습니다.

Q: 사용자의 이메일이 변경되면 어떻게 되나요?
A: ELSA 지원팀에 연락하여 ELSA Business의 이메일을 새로운 Azure AD 이메일과 일치하도록 업데이트해 주세요.