이 문서는 Atlassian Access에서 제공하는 SAML SSO(Single Sign-On) 기능에 대한 가이드를 제공한다.
SSO(Single Sign-On)용 SAML을 사용하려면 다음을 조건을 충족해야한다.
- 도메인 확인
- Atlassian Access 가입
개념
SAML SSO(Single Sign-On)는 사용자가 기존 ID provider를 통해 Atlassian Cloud 제품에 인증할 수 있도록 지원하는 기능이다.
기능
- 사용자가 한 번 인증하면 다음 제품에 대해 인증할 필요 없이 세션 중에 여러 제품에 액세스할 수 있다.
- 사용자가 단순히 사용자 이름 및 비밀번호가 아닌 더 안전한 인증 방법을 통해 동일한 자격 증명으로 여러 도구에 액세스하도록 돕는다.
- 관리자가 ID 관련 보안 제어를 확장성 있게 적용하여 대규모의 사용자 그룹을 훨씬 쉽게 관리할 수 있게 한다.
Access는 회사의 ID provider와 통합하여 직원이 Atlassian Cloud 제품에 쉽게 액세스할 수 있도록 단순하고 원활한 인증 프로세스를 제공한다.
확인사항
- Atlassian 제품과 ID provider는 모두 HTTPS 프로토콜을 사용하여 서로 통신해야 하며 구성된 제품 기본 URL은 HTTPS 프로토콜이어야 한다.
SAML 인증 요청은 제한된 시간 동안만 유효하므로 ID provider 서버가 NTP를 사용하여 시간이 동기화되어있는지 확인해야한다. SaaS ID provider를 사용하는 경우 시간이 이미 동기화되어있어야 한다.
- SAML이 잘못 구성된 경우에도 조직에 접근하는 데 사용할 수 있는 Atlassian 계정 생성을 추천한다.
- 확인된 도메인의 이메일 주소를 사용하면 안된다. 만약 도메인의 이메일 주소를 사용한다면 로그인할 때 계정이 SMCL SSO로 리디렉션 되지 않는다.
- 임시 계정으로 간주하고 관리자 권한을 제거할 수도 있다.
사이트 관리자 및 조직 관리자에게 접근 권한이 모두 부여되어야 한다.
SAML SSO 설정하기
SAML 싱글 사인온을 구성하는 데 걸리는 시간 동안 사용자는 Atlassian 클라우드 제품에 로그인할 수 없다. 따라서 SAML로 전환할 날짜와 시간을 정하고 사용자에게 미리 알리는 것을 고려해야한다.
다음 ID provider가 존재하는 경우
다음 ID provider가 목록에 존재하면 각 지침을 참조하여 SAML SSO 설정을 한다.
Identity provider | Set up instructions |
|---|---|
Active Directory Federation Services | |
Microsoft Azure AD | |
| Auth0 | |
Google Cloud | |
Idaptive (formerly Centrify) | |
Okta | |
OneLogin | You'll need to be logged in to OneLogin to see those pages. |
Ping Identity |
ID provider가 존재하지 않는 경우
ID provider가 목록에 존재하지 않으면 다음을 참조하여 SAML SSO 설정을 한다.
1. ID provider에 Atlassian 제품 추가
- 사내 ID provider를 사용하는 경우, 사용자는 ID provider에 대한 액세스 권한이 있는 경우에만 인증할 수 있다. (ex : 내부 네트워크 또는 VPN 연결에서)
- ID 공급자가 NameId 속성을 사용하여 이메일 주소 값을 전달할 수 있는지 확인한다.
Atlassian 제품을 추가할 때 다음 SAML 속성 매핑을 ID provider에 추가한다.
조직의 URL을 기본 relay state로 입력한다. (https://를 조직의 URL에 포함한다.)
SAML attribute name ID provider 매핑 대상 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
User's first name(이름) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname User's last name(성) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, OR
변경되지 않을 사용자의 내부 ID (사용자의 이메일 주소면 안된다.)
2. ID provider의 세부 정보를 Atlassian으로 복사
- 보안> SMAM single sign-on 메뉴 선택
- SAML 구성 추가 버튼 클릭
ID provider 세부 정보를 다음 필드에 복사한다.
필드 설명 ID 제공업체 엔터티 ID
인증 요청을 수락할 ID 제공자의 URL ID 제공업체 SSO URL
사용자가 로그인할 때 리디렉션되는 URL 공개 x509 인증 이 값은 '-----BEGIN CERTIFICATE-----'로 시작
이 인증서에는 ID 공급자가 수신된 모든 SAML 인증 요청을 발급했는지 확인하는 데 사용할 공개 키가 포함되어 있다.
구성 저장 버튼을 클릭한다.
3. Atlassian에서 ID provider로 세부 정보 복사
ID provider 세부 정보를 추가하면 새 필드와 값이 표시된다. 해당 값을 ID provider에 복사한다.
4. Atlassian SAML SSO 테스트
SAML 구성은 Atlassian에서 저장을 클릭하는 즉시 적용된다. 사용자를 로그아웃하지 않기 때문에 설정을 바꾸면서 SAML 구성을 테스트한다.
브라우저에서 새 시크릿 창을 연다.
확인된 도메인의 이메일 주소로 로그인합니다.
- 필요한 모든 접근 권한이 있는지 확인한다.
- 성공적으로 로그인할 수 없는 경우 구성을 제거하여 사용자가 Atlassian 제품에 접근할 수 있도록 한다.