Skip to Content
관리자 가이드SSO 연동

SSO 연동

조직의 ID 공급자(IdP)와 연동하여, SSO(Single Sign-On)를 통해 통합된 인증 방식으로 서비스에 접근할 수 있습니다.
이 가이드는 조직 관리자가 OIDC(OpenID Connect) 프로토콜을 사용하여 SSO 연동을 구성하는 방법을 설명합니다.

본 기능은 Enterprise 플랜 이상에서 제공됩니다.

절차

다음은 SSO 설정을 위한 전체 절차 요약입니다.

1단계: 조직 소유 도메인 등록

  • 목적: 조직 이메일 도메인 소유권 증명
  • 주요 작업: 도메인 추가 및 DNS TXT 레코드 검증

2단계: OIDC 연동 설정

  • 목적: IdP와 서비스 간 인증 연동 구성
  • 주요 작업: OIDC 애플리케이션 생성 및 정보 입력

3단계: SSO 로그인 활성화

  • 목적: SSO 기능 활성화 및 정책 적용
  • 주요 작업: SSO 활성화 토글 켜기 및 정책 검토

SSO 설정

SSO 설정은 크게 조직 소유 도메인 등록OIDC 연동 설정의 두 단계로 이루어집니다.
각 단계를 차례로 진행하며, 마지막으로 SSO 로그인을 활성화하는 과정을 거칩니다.

1단계: 조직 소유 도메인 등록

조직의 이메일 도메인 소유권을 증명하고 등록하는 단계입니다.
이 단계에서 등록된 도메인을 기준으로, SSO 로그인을 적용할 사용자를 식별합니다.

이 단계를 생략할 경우, 사용자는 IdP에서 직접 로그인만 수행할 수 있습니다.

  1. Organization Settings > SSO 메뉴로 이동합니다. sso-settings-page
  2. Domain Management (HRD) 섹션에서 도메인 추가 버튼을 클릭 후
    팝업에서 조직에서 사용하는 이메일 도메인(예: your-company.com)을 입력합니다. sso-hrd-01
  3. 도메인 중복 여부를 확인 후 도메인을 추가합니다. 도메인이 목록에 추가되며, 초기 상태는 Pending입니다. sso-hrd-02
  4. 추가된 도메인 항목의 “상세” 버튼을 클릭하여 DNS TXT 레코드에 등록할 검증 키 값을 확인합니다.
    (예: aip-domain-verification=...) sso-hrd-03
  5. 조직의 DNS 공급자 설정 페이지로 이동하여, 확인한 TXT 레코드 값을 추가합니다.
  6. DNS 설정이 전파된 후, 다시 SSO 설정 페이지로 돌아와 해당 도메인의 “검증” 버튼을 클릭합니다.
    검증에 성공하면 상태가 Verified로 변경됩니다.
    실패 시 Failed로 표시되며, 상세 페이지에서 오류 원인을 확인하고 DNS 설정을 수정해야 합니다. sso-hrd-04

2단계: OIDC 연동 설정

IdP(ID 공급자) 생성

먼저 사용 중인 IdP(예: Okta, Azure AD 등)에서 OIDC 클라이언트 애플리케이션을 생성해야 합니다.
다음은 애플리케이션에 설정해야 할 서비스 공급자 정보입니다.

항목설명
Grant Typeauthorization_code권한 부여 코드(Authorization Code) 방식. 서버 기반 애플리케이션에서 사용됩니다.
Scopesopenid, email, profile필수 OpenID Connect 스코프입니다.
Client Authentication Methodclient_secret_basic토큰 교환 시 클라이언트가 Basic 인증 헤더로 IdP에 인증합니다.

IdP에서 애플리케이션 생성을 완료하면 Client IDClient Secret 값을 발급받게 됩니다.
이 값은 다음 단계에서 입력해야 합니다.

서비스에 IdP 설정 정보 입력

  1. 생성한 OIDC 애플리케이션에서 발급받은 다음 정보들을 정확히 입력합니다. sso-config-01
    • Issuer URL: IdP의 고유 식별자 URL (예: https://idp.your-company.com)
    • Client ID: OIDC 애플리케이션의 클라이언트 ID
    • Client Secret: OIDC 애플리케이션의 클라이언트 시크릿

    Issuer URL 확인
    Issuer URL은 반드시 .well-known/openid-configuration 엔드포인트를 통해 OIDC 구성을 조회할 수 있어야 합니다.

  2. 모든 정보를 입력한 후 “저장” 버튼을 클릭합니다. 정상적으로 OIDC 연동 구성을 완료하면, Callback URL, Initial Login URL 값이 발급됩니다. 이 값은 다음 단계에서 IdP에 등록해야 합니다. sso-config-02

IdP에 서비스 정보 등록

생성한 OIDC 애플리케이션에, 서비스에서 발급받은 다음 정보를 등록합니다.

항목설명예시
Callback URL인증 완료 후 IdP가 리디렉션할 URLsso-idp-setting-01
Initial Login URLIdP에서 직접 SSO 로그인을 시작할 때 사용하는 URLsso-idp-setting-02

3단계: SSO 로그인 활성화

모든 설정이 완료되면, 마지막으로 SSO 로그인 기능을 활성화하여
조직 내 사용자들이 SSO를 통해 로그인할 수 있도록 적용합니다.

  1. SSO 설정 페이지 상단의 “SSO 활성화” 토글을 켜면 기능이 적용됩니다. sso-activation
  2. SSO가 성공적으로 활성화되면, Verified상태의 도메인에 해당하는 이메일 주소는
    더 이상 Google, GitHub 등의 소셜로그인을 사용할 수 없으며, 반드시 조직의 SSO를 통해서만 로그인해야 합니다.

설정 수정 제한
SSO가 활성화된 상태에서는 구성 정보를 수정할 수 없습니다.
설정을 변경하려면 먼저 SSO를 비활성화해야 합니다.

SSO를 통한 사용자 로그인

SSO가 활성화된 이후, 조직 사용자는 아래 절차에 따라 SSO를 통해 로그인할 수 있습니다.

  1. 로그인 페이지에서 “Using Single Sign-On” 버튼을 클릭합니다.
  2. SSO를 사용해 접속할 조직의 이메일 주소(검증된 도메인 사용)를 입력합니다.
  3. 조직의 IdP 로그인 페이지로 리디렉션되며, IdP 계정으로 인증을 완료합니다.
  4. 인증 성공 시 즉시 조직으로 접근됩니다.
    • 신규 사용자의 경우 기본 조직이 생성되지 않습니다.

로그인 예외 처리

  • 등록되지 않았거나 비활성화된 도메인의 이메일을 입력하면 예외 처리가 됩니다.
  • 조직 도메인이 설정되지 않은 상태에서는 조직에 속하지 않은 사용자의 소셜 로그인을 제한할 수 없습니다.
Last updated on
감사 로그