Maverics Orchestrator SAML 커넥터와 Microsoft Entra Single Sign-On 통합
Strata의 Maverics Orchestrator는 인증 및 액세스 제어를 위해 온-프레미스 애플리케이션을 Microsoft Entra ID와 통합하는 간단한 방법을 제공합니다. Maverics Orchestrator는 현재 헤더, 쿠키 및 기타 독점 인증 방법에 의존하는 앱의 인증 및 권한 부여를 현대화할 수 있습니다. Maverics Orchestrator 인스턴스는 온-프레미스 또는 클라우드에 배포할 수 있습니다.
이 하이브리드 액세스 자습서에서는 인증 및 액세스 제어에 Microsoft Entra ID를 사용하도록 기존 웹 액세스 관리 제품으로 보호되는 온-프레미스 웹 애플리케이션을 마이그레이션하는 방법을 보여줍니다. 기본 단계는 다음과 같습니다.
- Maverics Orchestrator 설정
- 애플리케이션 프록시
- Microsoft Entra ID에 엔터프라이즈 애플리케이션 등록
- Microsoft Entra ID를 통해 인증 및 애플리케이션에 대한 액세스 권한 부여
- 원활한 응용 프로그램 사용을 위한 헤더 추가
- 여러 애플리케이션 작업
필수 조건
- Microsoft Entra ID 구독입니다. 구독이 없는 경우 무료 계정을 얻을 수 있습니다.
- Maverics Identity Orchestrator 플랫폼 계정입니다. maverics.strata.io에 등록합니다.
- 헤더 기반 인증을 사용하는 애플리케이션이 하나 이상 있습니다. 이 예제에서는
https://localhost:8443
에서 연결할 수 있는 Sonar라는 애플리케이션에 대해 작업하겠습니다.
1단계: Maverics Orchestrator 설정
maverics.strata.io에서 Maverics 계정에 등록한 후 시작: 평가 환경이라는 제목의 학습 센터 자습서를 사용합니다. 이 자습서에서는 평가 환경을 만들고, 오케스트레이터를 다운로드하고, 컴퓨터에 오케스트레이터를 설치하는 단계별 프로세스를 안내합니다.
2단계: 레시피를 사용하여 Microsoft Entra ID를 앱으로 확장
다음으로, 학습 센터 자습서인 Microsoft Entra ID를 레거시 비표준 앱으로 확장을 사용합니다. 이 자습서에서는 ID 패브릭, 헤더 기반 애플리케이션 및 부분적으로 완전한 사용자 흐름을 자동으로 구성하는 .json 레시피를 제공합니다.
3단계: Microsoft Entra ID에 엔터프라이즈 애플리케이션 등록
이제 최종 사용자를 인증하는 데 사용되는 새 엔터프라이즈 애플리케이션을 Microsoft Entra ID에 만듭니다.
참고 항목
조건부 액세스와 같은 Microsoft Entra ID 기능을 활용하는 경우 온-프레미스 애플리케이션별로 엔터프라이즈 애플리케이션을 만드는 것이 중요합니다. 이렇게 하면 앱별 조건부 액세스, 앱별 위험 평가, 앱별 할당된 권한 등이 허용됩니다. 일반적으로 Microsoft Entra ID의 엔터프라이즈 애플리케이션은 Maverics의 Azure 커넥터에 매핑됩니다.
Microsoft Entra ID 테넌트에서 엔터프라이즈 애플리케이션으로 이동하여 새 애플리케이션을 클릭하고 Microsoft Entra ID 갤러리에서 Maverics Identity Orchestrator SAML 커넥터를 검색한 다음 선택합니다.
Maverics Identity Orchestrator SAML Connector 속성 창에서 사용자 할당이 필요합니까?를 아니요로 설정하여 애플리케이션이 디렉터리의 모든 사용자에게 작동하도록 설정합니다.
Maverics Identity Orchestrator SAML Connector 개요 창에서 Single Sign-On 설정을 선택하고 SAML을 선택합니다.
Maverics Identity Orchestrator SAML Connector SAML 기반 로그온 창에서 편집(연필 아이콘) 단추를 선택하여 기본 SAML 구성을 편집합니다.
https://sonar.maverics.com
의 엔터티 ID를 입력합니다. 엔터티 ID는 테넌트 내 앱에서 고유해야 하며 임의의 값일 수 있습니다. 다음 섹션에서 Azure 커넥터에 대한samlEntityID
필드를 정의할 때 이 값을 사용합니다.https://sonar.maverics.com/acs
의 회신 URL을 입력합니다. 다음 섹션에서 Azure 커넥터에 대한samlConsumerServiceURL
필드를 정의할 때 이 값을 사용합니다.https://sonar.maverics.com/
의 로그온 URL을 입력합니다. 이 필드는 Maverics에서 사용되지 않지만 사용자가 Microsoft Entra ID 내 앱 포털을 통해 애플리케이션에 액세스할 수 있도록 하려면 Microsoft Entra ID에 필요합니다.저장을 선택합니다.
SAML 서명 인증서 섹션에서, 복사 단추를 선택하여 앱 페더레이션 메타데이터 URL을 복사한 다음, 컴퓨터에 저장합니다.
4단계: Microsoft Entra ID를 통한 인증 및 애플리케이션에 대한 액세스 권한 부여
학습 센터 항목의 4단계인 Microsoft Entra ID를 레거시 비표준 앱으로 확장하여 Maverics에서 사용자 흐름을 편집합니다. 이러한 단계는 업스트림 애플리케이션에 헤더를 추가하고 사용자 흐름을 배포하는 프로세스를 안내합니다.
사용자 흐름을 배포한 후 인증이 예상대로 작동하는지 확인하려면 Maverics 프록시를 통해 애플리케이션 리소스에 요청합니다. 이제 보호된 애플리케이션이 요청에서 헤더를 받습니다.
애플리케이션에 다른 헤더가 필요한 경우 헤더 키를 자유롭게 편집할 수 있습니다. Azure ADMicrosoft Entra ID에서 SAML 흐름의 일부로 다시 들어오는 모든 클레임을 헤더에 사용할 수 있습니다. 예를 들어 secondary_email: azureSonarApp.email
의 다른 헤더를 포함할 수 있습니다. 여기서 azureSonarApp
은(는) 커넥터 이름이고 email
은(는) Microsoft Entra ID에서 반환된 클레임입니다.
고급 시나리오
ID 마이그레이션
수명이 다한 웹 액세스 관리 도구가 만족스럽지 않지만 대량 암호 재설정 없이 사용자를 마이그레이션할 수 있는 방법이 없나요? Maverics Orchestrator는 migrationgateways
를 사용하여 ID 마이그레이션을 지원합니다.
웹 서버 모듈
Maverics Orchestrator를 통해 네트워크 및 프록시 트래픽을 재작업하고 싶지 않은지요? 문제가 되지 않습니다. Maverics Orchestrator는 웹 서버 모듈과 페어링하여 프록시 없이 동일한 솔루션을 제공할 수 있습니다.
요약
이 시점에서 Maverics Orchestrator를 설치하고, Microsoft Entra ID에서 엔터프라이즈 애플리케이션을 만들고 구성했고, 인증을 요구하고 정책을 적용하면서 보호된 애플리케이션에 프록시하도록 Orchestrator를 구성했습니다. 분산 ID 관리 사용 사례에 Maverics Orchestrator를 사용하는 방법에 대해 자세히 알아보려면 Strata에 문의하세요.