주:

Oracle Cloud Infrastructure Identity and Access Management 및 PingOne 간 Single Sign-On 설정

소개

OCI 관리자는 PingOne와 Oracle Cloud Infrastructure Identity and Access Management(OCI IAM) 간에 SSO(Single Sign-On)를 설정함으로써 PingOne 자격 증명을 사용하여 OCI 콘솔에 원활하게 로그인할 수 있습니다.

PingOne는 ID 제공자(IdP) 역할을 하며, 사용자를 인증하고 보안 인증 토큰을 OCI IAM에 전달합니다. 이 토큰은 SP(서비스 제공자) 역할을 합니다. 이 통합은 관리자가 별도의 OCI 자격 증명을 관리하지 않아도 되므로 보안을 강화하고 액세스 관리를 간소화할 수 있습니다.

OCI IAM Federation with PingOne(아키텍처)

이 사용지침서에서는 SP(서비스 제공자) 역할을 하는 OCI IAM을 PingOne와 IdP 역할을 하는 통합 방법을 보여줍니다. PingOne와 OCI IAM 간의 통합을 설정하면 SSO를 통해 OCI의 서비스 및 애플리케이션에 대한 사용자 액세스를 사용으로 설정할 수 있습니다.

참고: 이 자습서는 ID 도메인이 있는 OCI IAM에만 적용됩니다.

목표

필요 조건

작업 1: OCI IAM에서 서비스 제공자 메타데이터 가져오기

생성한 SAML(보안 검증 마크업 언어) PingOne 애플리케이션으로 임포트하려면 OCI IAM ID 도메인의 SP 메타데이터가 필요합니다. OCI IAM은 사용 중인 ID 도메인의 메타데이터를 다운로드할 수 있는 직접 URL을 제공합니다.

메타데이터를 다운로드하려면 다음 단계를 수행합니다.

  1. 브라우저 탭을 열고 URL https://cloud.oracle.com을 입력합니다.

  2. 클라우드 계정 이름(테넌시 이름이라고도 함)을 입력하고 다음을 선택합니다.

  3. 사인인할 ID 도메인을 선택합니다. SSO 구성에 사용되는 ID 도메인입니다. 예: Default.

  4. 사용자 이름과 비밀번호로 사인인합니다.

  5. 탐색 메뉴를 열고 ID 및 보안을 선택합니다. ID에서 도메인을 선택합니다.

    도메인으로 이동합니다.

  6. 작업할 ID 도메인의 이름을 누릅니다. 원하는 도메인을 찾기 위해 구획을 변경해야 할 수 있습니다. 설정, 도메인 설정을 차례로 누릅니다.

    도메인 선택.

  7. 액세스 서명 인증서에서 클라이언트 액세스 구성을 선택합니다. 변경 사항 저장을 선택합니다. 그러면 클라이언트가 도메인에 사인인하지 않고 ID 도메인에 대한 서명 인증에 액세스할 수 있습니다.

    Domain Settings 페이지에서 클라이언트 액세스를 구성합니다.

  8. 이동 경로 탐색 추적에서 ID 도메인 이름을 선택하여 ID 도메인 개요로 돌아갑니다. 그런 다음 보안, ID 제공자 순으로 누릅니다. SAML 메타데이터 익스포트를 누릅니다.

    SP 메타데이터로 이동합니다.

  9. 메타데이터 파일이 선택되어 있는지 확인합니다. 자체 서명된 인증서가 있는 메타데이터에서 XML 다운로드를 누릅니다. SP 메타 데이터인 시스템에 로컬로 저장합니다.

    SP 메타데이터를 다운로드하는 중입니다.

작업 2: PingOne SAML 애플리케이션 생성

이 작업에서는 PingOne 관리 콘솔에서 PingOne에 SAML 애플리케이션을 생성합니다.

  1. 브라우저에서 URL https://console.pingone.com/index.html?env=<your_environment_ID>을 사용하여 PingOne에 사인인합니다.

  2. 애플리케이션에서 애플리케이션+를 눌러 새 애플리케이션을 추가합니다.

    PingOne 관리 콘솔 응용 프로그램입니다.

  3. 응용 프로그램 이름(예: OCI Admin Console)을 입력하고 응용 프로그램 유형SAML 응용 프로그램으로 선택하고 구성을 누릅니다.

  4. 메타데이터 임포트를 선택하고 파일 선택을 누릅니다. 작업 1.9에 저장된 SP 메타데이터 파일을 선택합니다. ACS URL엔티티 ID가 자동으로 채워지면 XML이 올바르게 구문 분석된 것입니다. Save를 누릅니다.

    애플리케이션을 추가하고 메타데이터를 업로드합니다.

작업 3: SAML 애플리케이션 구성

PingOne SAML 애플리케이션에 대한 SSO를 설정하고 IdP 메타데이터를 다운로드합니다.

이 작업에서는 이전에 저장한 SP 메타데이터 파일을 사용하고 속성 매핑도 설정합니다.

  1. 응용 프로그램 구성을 누른 다음 오른쪽 위에 있는 편집 기호를 누릅니다.

    애플리케이션 구성 편집.

  2. 제목 NameID 형식에서 선택 항목을 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress로 변경하고 저장을 누릅니다.

    NameID 형식 선택.

  3. 속성 매핑을 누른 다음 오른쪽 상단에 있는 편집 기호를 누릅니다.

  4. 속성saml_subject을 입력하고 PingOne 매핑전자메일 주소로 변경하고 저장을 누릅니다.

    속성 매핑.

  5. 개요를 누르고 맨 아래로 스크롤하여 메타데이터 다운로드를 누릅니다. 이 파일을 시스템에 로컬로 저장합니다. 이 메타데이터는 IdP 메타데이터입니다.

    IDP 메타데이터를 다운로드합니다.

  6. 앱을 켜거나 활성화합니다.

주: 기본적으로 NameID 값은 OCI IAM의 사용자 이름에 매핑됩니다.

작업 4: 인증 정책 및 유저 액세스 설정

페더레이션의 경우 그룹 또는 역할 기반 액세스 제어와 함께 MFA를 설정하는 것이 좋습니다.

  1. 정책을 누른 다음 오른쪽 위에 있는 편집 기호를 누릅니다.

  2. + 정책 추가를 누르고 구조와 관련된 정책을 지정하고 저장을 누릅니다.

    인증 정책

  3. 액세스를 누르고 오른쪽 상단에 있는 편집 기호를 누릅니다.

  4. 앱에 액세스할 수 있는 권한을 부여할 그룹을 선택합니다. 이 제한을 적용하지 않으려면 이 단계를 건너뜁니다.

    그룹 지정

작업 5: OCI IAM에 대해 PingOne를 IdP로 사용으로 설정

이 단계에서는 OCI IAM에서 작업합니다. 이 섹션에서는 이전에 저장한 IdP 메타데이터 파일을 사용하고 속성 매핑도 설정합니다.

  1. OCI 콘솔에서 작업 중인 도메인에 대해 보안, ID 제공자 순으로 선택합니다.

  2. IdP 추가를 선택한 후 SAML IdP 추가를 선택합니다.

  3. SAML IdP의 이름을 입력합니다(예: PingOne). 다음을 선택합니다.

  4. ID 제공자 메타데이터 임포트가 선택되었는지 확인합니다. 이전에 ID 제공자 메타데이터에 저장된 PingOnemetadata.xml 파일을 선택합니다. 다음을 선택합니다.

    IdP 메타데이터 임포트 중.

  5. 사용자 ID 매핑에서 다음을 설정합니다.

    • 요청된 NameID 형식에서 Email address을 선택합니다.
    • ID 제공자 사용자 속성에서 SAML assertion Name ID을 선택합니다.
    • ID 도메인 사용자 속성에서 Username을 선택합니다.

    SAML ID 제공자 속성

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 구성을 확인하고 IdP 생성을 선택합니다.

  8. 활성화 IdP에서 활성화를 누른 다음 아래쪽에서 닫기를 누릅니다.

  9. 보안에서 IdP 정책으로 이동하고 IdP 정책 생성을 누릅니다.

    IdP 정책을 생성하는 중

  10. 이름을 제공하고 정책 추가를 누릅니다. 예: PingOne IdP

  11. IdP 규칙 추가를 누르고 이름을 입력합니다. 예: Default.

  12. ID 제공자 지정에서 PingOne을 선택합니다. 또한 특정 그룹을 대상으로 지정하거나 이 IdP에 대한 사용자를 제외할 수 있습니다. IdP 규칙 추가다음을 누릅니다.

    IdP 규칙을 추가하는 중입니다.

  13. (선택사항) 특정 앱에만 적용되도록 이 정책을 제한해야 하는 경우 앱 추가 아래에 추가합니다.

  14. 닫기를 선택합니다.

작업 6: PingOne 및 OCI 간 SSO 테스트

참고: 이렇게 하려면 SSO 사용자가 적합한 전자메일 주소를 사용하는 OCI IAM 및 PingOne에 모두 있어야 합니다.

이 작업에서는 OCI IAM과 PingOne 간에 통합 인증이 작동하는지 테스트할 수 있습니다.

  1. 브라우저 탭을 열고 OCI 콘솔 URL(https://cloud.oracle.com)을 입력합니다.

  2. 클라우드 계정 이름(테넌시 이름이라고도 함)을 입력하고 다음을 누릅니다.

  3. PingOne 통합이 구성된 ID 도메인을 선택합니다.

  4. 사인인 페이지에서 PingOne로 사인인할 수 있는 옵션을 볼 수 있습니다. PingOne을 누르면 PingOne 로그인 페이지로 재지정됩니다.

    OCI IAM 사인인 페이지

  5. PingOne 인증서를 제공합니다.

인증이 성공하면 OCI 콘솔에 로그인됩니다.

확인

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.