Microsoft Active Directory SSO ID 공급자를 사용하여 Rescale에 로그인

Microsft Azure 로고 헤더
Rescale은 최근 ScaleX Enterprise 사용자를 위한 SAML Single Sign-On 로그인 지원을 출시했습니다. 이 게시물에서는 Azure Active Directory를 ID 공급자로 사용하여 Rescale을 SAML 서비스 공급자로 설정하는 방법에 대해 설명합니다.
아래 튜토리얼을 따르기 위한 전제 조건은 ScaleX Enterprise 및 Microsoft Azure 계정이 있다는 것입니다.

SAML 배경

SAML 웹 SSO(Single Sign-On)에 사용되는 인증 프로토콜입니다. SAML 배포에는 2개의 엔터티가 포함됩니다.
ID 공급자(IdP) 사용자의 자격 증명을 관리하는 엔터티입니다. 그 역할은 비밀번호나 다른 유형의 키를 사용하여 사용자를 인증하는 것입니다.
서비스 제공업체(SP) 최종 사용자 애플리케이션을 제공하는 엔터티입니다. 사용자를 인증하기 위해 ID 공급자를 사용합니다.
위키 백과 페이지에 훨씬 더 자세한 내용이 있지만 SAML 프로토콜은 대략 다음 단계로 구성됩니다.

  1. 사용자는 서비스 공급자의 리소스에 액세스하려고 하며 공급자는 해당 사용자를 인증해야 합니다.
  2. 서비스 공급자는 사용자 식별자를 사용하여 사용자를 IdP의 SSO 끝점으로 리디렉션합니다.
  3. 사용자가 현재 IdP로 인증되지 않은 경우 IdP는 사용자를 자체 로그인 페이지로 리디렉션합니다.
  4. IdP는 인증으로 응답하고 사용자를 SP의 ACS(Assertion Consumer Service)로 다시 리디렉션합니다.
  5. SP ACS는 IdP에서 제공된 인증을 확인하고 사용자를 SP에 로그인합니다.
  6. SP는 사용자에게 액세스 권한이 부여된 경우 원래 요청한 리소스로 사용자를 리디렉션합니다.

아이덴티티 공급자가 인증 사용자의 서비스 제공업체는 여전히 자체적인 권한 부여 해당 사용자에 대한 규칙입니다. 또한 아이덴티티 공급자와 서비스 공급자는 사용자의 비밀 키 정보를 절대 교환하지 않지만 대신 서비스 공급자는 아이덴티티 공급자에게 현재 웹 클라이언트에 로그인한 사용자의 신원에 대해 물어볼 수 있습니다.
이 자습서에서 ID 공급자는 Azure Active Directory이고 서비스 공급자는 Rescale입니다.
우리가 간략하게 설명할 구성에는 3개의 상위 수준 청크가 있습니다.

  1. 새 Azure Active Directory를 테스트 IdP로 설정
  2. 새로운 IdP에 액세스하려면 Rescale을 승인된 SP로 추가하세요.
  3. 새로운 IdP를 승인하려면 ScaleX Enterprise 계정을 설정하세요.

테스트 Azure Active Directory SAML ID 공급자 만들기

완성도를 높이기 위해 Azure Active Directory 테스트를 설정하는 것부터 시작하겠습니다. 조직에 이미 AD가 설정되어 있는 경우 "SP로 Rescale 승인" 섹션으로 건너뛸 수 있습니다.
에 로그인하여 시작하십시오. Azure 관리. Active Directory 섹션으로 이동하여 왼쪽 하단에 있는 +NEW 버튼을 사용하여 새 디렉터리를 만듭니다.
Azure 선택 광고
디렉토리를 선택하고 사용자 정의 생성
Azure 선택 디렉터리
필드를 채워 새 디렉터리를 만듭니다. NAME 및 DOMAIN NAME은 동일할 수 있지만 조직의 디렉터리 전체에서 고유해야 합니다.
Azure-사용자 지정-추가
이제 새 Active Directory가 생성되었습니다. 이제 디렉터리에 사용자를 추가할 수 있습니다. 방금 생성한 디렉터리를 선택하고 상단의 USERS 탭을 선택합니다.
Azure-새-구성
Azure 사용자는 이미 이 디렉터리의 사용자 목록에 있어야 합니다. 하단의 사용자 추가를 선택하여 다른 사용자를 추가하세요.
Azure-추가-사용자
“기존 Microsoft 계정이 있는 사용자”를 선택하고 추가하려는 도메인의 사용자 이메일을 추가하세요. 다음 페이지에서 추가 프로필 정보를 입력한 후 새 사용자를 저장하세요.
Azure-추가-사용자 이름
이제 한 명 이상의 사용자가 포함된 Active Directory가 있습니다. 다음 단계는 Rescale이 사용자 인증을 쿼리할 수 있도록 AD에 지시하는 것입니다.

Rescale을 서비스 제공업체로 승인

이제 Rescale이 로그인한 사용자 정보를 쿼리할 수 있도록 아이덴티티 공급자에게 지시해야 합니다.
상단의 애플리케이션 탭을 선택한 후 하단의 추가를 선택하세요. “내 조직에서 개발 중인 애플리케이션 추가”를 선택합니다.
Azure-새-앱
애플리케이션 이름을 원하는 대로 지정하고 “WEB APPLICATION AND/OR WEB API”로 설정하세요.
Azure 앱 이름
다음 페이지에서는 서비스 공급자 애플리케이션의 중요한 부분을 구성하기 시작합니다. SIGN-ON URL을 "https://www.rescale.com/route/saml2/"로 설정해야 합니다.회사 아이디/sso/” 및 앱 ID URI를 “https://www.rescale.com/route/saml2/회사 아이디/”. 당신의 회사 아이디 는 일반적으로 회사 이름이지만 지원팀에 문의하여 이를 확인할 수 있습니다. 이 예에서는 회사 코드 "rescale"을 사용하여 사용자를 추가합니다.
Azure 앱 속성
다음으로 몇 가지 추가 속성을 설정하고 Rescale 서비스 공급자가 사용할 IdP 엔드포인트를 가져와야 합니다. 구성 탭으로 이동하여 응답 URL까지 아래로 스크롤합니다. URL을 "https://www.rescale.com/route/saml2/"로 설정합니다.회사 아이디/acs/”를 선택한 다음 변경 사항을 저장합니다.
Azure-앱 구성-응답
다음으로, 이 IdP를 사용하기 위해 Rescale 계정을 구성하는 데 필요한 엔드포인트를 기록해 보겠습니다. 다음 엔드포인트를 복사해야 합니다.

  • SAML-P 사인온 엔드포인트
  • SAML-P 로그아웃 엔드포인트
  • 페더레이션 메타데이터 문서

다음으로 서비스 공급자를 통해 자신을 식별하는 데 사용하는 Azure 엔터티 ID와 SAML 응답에 서명하는 데 사용하는 X509 인증서를 검색해야 합니다.
브라우저에서 다른 탭을 열고 방금 복사한 FEDERATION METADATA DOCUMENT URL로 이동합니다. 문서의 "entityID" 특성과 첫 번째 "X509Certificate" 요소를 모두 복사합니다.
Azure-메타데이터-get-필드
이제 Azure 콘솔에 필요한 모든 것이 갖추어져 있습니다. 이제 서비스 공급자를 구성하기 위해 Rescale 플랫폼으로 이동할 시간입니다.

ScaleX Enterprise에서 ID 공급자 인증

새 탭을 열고 회사 관리자로 https://www.rescale.com/route/jobs에 로그인하십시오. 오른쪽 상단 사용자 드롭다운 메뉴에서 회사 관리를 선택한 다음 설정 탭을 선택하고 “SSO(Single Sign-On)” 섹션까지 아래로 스크롤합니다.
재조정-sso-설정
이제 여기에서 관련 필드를 채울 수 있습니다.
서비스 공급자 saml:NameID 형식 속성: Azure의 경우 "urn:oasis:names:tc:SAML:2.0:nameid-format:percious"로 설정되어야 합니다.
ACS 응답의 ID 제공업체 이메일 필드 이름: Azure의 경우 "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"로 설정해야 합니다.
ID 공급자 EntityDescriptor 엔터티 ID: 이는 Azure 메타데이터에서 복사된 "entityID" 값으로 설정되어야 합니다.
ID 공급자 SingleSignOnService URL: 이는 Azure 끝점 목록에서 “SAML-P SIGN-ON ENDPOINT”로 설정되어야 합니다.
ID 공급자 공개 X509 인증서: 이는 Azure 메타데이터에서 복사한 X509 인증서로 채워져야 합니다. 인증서 내용 중간에 줄 바꿈이 없는지 확인해야 합니다.
처음 두 필드는 특정 AD 배포와 관계없이 동일하지만 마지막 3개 필드는 다르며 위에서 캡처한 값을 기반으로 합니다. 이 세 가지 값은 스크린샷에 표시된 것과 다릅니다.
다음 확인란을 선택하세요.

  • 최근활동
  • NameID 암호화
  • 인증 요청에 서명

초기 테스트에서는 "SSO로 인증할 수 있는 사용자 만들기"도 선택해야 합니다. 이에 대한 자세한 내용은 다음 섹션에서 확인하세요.
그런 다음 SSO 설정 업데이트. 그러면 AD IdP를 사용하여 사용자를 로그인할 수 있습니다! 테스트하려면 오른쪽 상단 사용자 드롭다운을 통해 Rescale에서 로그아웃하세요. 로 이동 SSO 로그인 페이지 크기 조정 Active Directory 공급자가 승인한 사용자 중 하나로 로그인해 보세요.

SP와 IdP가 로그인 및 초대를 시작했습니다.

ScaleX Enterprise 계정 사용자는 다음 끝점 중 하나를 통해 SSO로 로그인할 수 있습니다.
IdP가 시작한 로그인 https://www.rescale.com/route/saml2/회사 아이디/sso/
SP 시작 로그인 https://www.rescale.com/route/login/sso/
전자가 더 "직접적인" 링크입니다. IdP SSO URL로 바로 리디렉션되며 사용자가 Rescale 측에 자격 증명을 입력할 것을 요구하지 않습니다. 두 번째 페이지에서는 사용자 이메일을 가져온 다음 사용자를 올바른 ID 공급자로 라우팅하려고 시도합니다. 이 페이지는 https://www.rescale.com/route/jobs로 직접 이동하여 시작하지만 여전히 SSO로 로그인하려는 사용자를 위한 것입니다.
이전 섹션에서 언급했듯이, 귀하의 IdP에 의해 인증된 모든 사용자가 귀하의 조직에서 Rescale에 로그인하도록 허용하거나, 명시적으로 초대된 사용자만 Rescale 계정을 생성하도록 허용할 수 있습니다. 초대 전용 제한을 적용하려면 Rescale Company 관리 패널의 SSO 설정 섹션으로 돌아가서 "초대된 사용자만 생성"을 선택하고 해당 설정을 저장해야 합니다. 이제 사용자를 초대하려면 상단의 회원 탭으로 이동하여 “회원 초대”를 클릭하세요.
크기 조정 초대
그런 다음 Rescale에서 액세스를 활성화하려는 IdP 인증 사용자의 이메일 목록을 입력할 수 있습니다. 그러면 해당 사용자에게는 다음과 같은 초대 이메일이 전송됩니다. IdP가 로그인을 시작했습니다. 위에 언급했듯이.
이 시점에서 Rescale에서 Single Sign-On을 허용하도록 구성된 보안 Active Directory가 있어야 합니다. 이제 사용자 인증을 제어하여 Rescale에 대한 사용자 액세스를 관리할 수 있습니다. 리스케일 회사 관리 포털 또는 Active Directory를 통해 Rescale에 대한 사용자 인증을 제어할 수 있습니다.

저자

  • 마크 휘트니

    Mark Whitney는 Rescale의 엔지니어링 이사입니다. 그의 전문 분야에는 고성능 컴퓨팅 아키텍처, 양자 정보 연구, 클라우드 컴퓨팅이 포함됩니다. 그는 캘리포니아 대학교 버클리 캠퍼스에서 컴퓨터 과학 박사 학위를 취득했습니다.

비슷한 게시물