SAML 동기화 AD/LDAP 구성

SAML 로그인을 구성하는 것 외에도 SAML 계정 동기화를 AD/LDAP과 선택적으로 구성할 수 있습니다. 구성된 경우:

  • Mattermost는 관련 계정 정보를 얻기 위해 AD/LDAP을 쿼리하고 속성 변경(이름, 성, 닉네임)에 따라 SAML 계정을 업데이트합니다.

  • AD/LDAP에서 비활성화된 계정은 Mattermost에서 비활성화되며, 속성 동기화 이후 활성 세션이 취소됩니다.

AD/LDAP과 SAML 동기화를 구성하려면:

  1. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동하여 AD/LDAP과 SAML 계정 동기화 활성화true 로 설정합니다.

  2. 시스템 콘솔 > 인증 > AD/LDAP 으로 이동하여 AD/LDAP 동기화 활성화true 로 설정합니다.

  3. 동기화할 때 게스트 사용자를 무시하려면, 시스템 콘솔 > 인증 > SAML 2.0 으로 이동하여 AD/LDAP 동기화 시 게스트 사용자 무시true 로 설정하세요.

  4. AD/LDAP 서버와 Mattermost를 연결하려면 구성 설정 설명서 를 기반으로 AD/LDAP 설정의 나머지 부분을 설정합니다.

  • AD/LDAP 로그인을 활성화하고 싶지 않다면, 시스템 콘솔 > 인증 > AD/LDAP 으로 이동하여 AD/LDAP으로 로그인 활성화false 로 설정합니다.

  1. Mattermost가 SAML 사용자 계정을 AD/LDAP와 얼마나 자주 동기화하는지 지정하려면, 시스템 콘솔 > 인증 > AD/LDAP 으로 이동하여 동기화 간격 을 분 단위로 설정합니다. 기본 설정은 60분입니다. 계정 비활성화 후 즉시 동기화하려면 AD/LDAP 즉시 동기화 를 선택하세요.

  2. Mattermost가 AD/LDAP 서버와 성공적으로 연결되는지 확인하려면, 시스템 콘솔 > 인증 > AD/LDAP 으로 이동하여 AD/LDAP 테스트 를 선택하세요.

AD/LDAP과의 동기화가 활성화되면 사용자 속성이 이메일 주소를 기반으로 AD/LDAP과 동기화됩니다. 특정 이메일 주소를 가진 사용자가 AD/LDAP 계정을 보유하지 않은 경우, 그들은 다음 AD/LDAP 동기화에서 Mattermost에서 비활성화됩니다.

계정을 재활성화하려면:

  1. 사용자를 AD/LDAP 서버에 추가하세요.

  2. 시스템 콘솔 > 환경 > 웹 서버 로 이동하여 모든 캐시 비우기 를 선택하여 Mattermost의 모든 캐시를 비웁니다.

  3. 시스템 콘솔 > 인증 > AD/LDAP 으로 이동하여 AD/LDAP 즉시 동기화 를 선택하여 AD/LDAP 동기화를 실행하세요.

  4. 다시 시스템 콘솔 > 환경 > 웹 서버 로 이동하여 모든 캐시 비우기 를 선택하여 계정을 Mattermost에서 다시 활성화합니다.

Note

사용자가 AD/LDAP에서 비활성화되면, 다음 동기화에서 Mattermost에서도 비활성화됩니다. 사용자 목록에서 “비활성화”로 표시되며, 모든 세션이 만료되어 Mattermost에 다시 로그인할 수 없습니다.

사용자가 SAML에서 비활성화되면, 해당 사용자의 세션은 AD/LDAP에서 비활성화될 때까지 만료되지 않습니다. 그러나 Mattermost에 다시 로그인할 수 없습니다.

Note

SAML과 AD/LDAP의 동기화는 AD/LDAP에서 이름 및 성과 같은 사용자 속성을 가져오는 데 사용됩니다. 인증을 제어하는 것이 아니라, 즉 사용자 필터는 Mattermost에 로그인할 수 있는 사용자를 제어하는 데 사용할 수 없습니다. 이는 SAML 서비스 제공업체의 그룹 권한으로 제어되어야 합니다.

상세한 내용은 AD/LDAP과 SAML 동기화에 대한 기술적 설명 를 참조하세요.

AD/LDAP 데이터로 SAML 데이터 덮어씌우기

또는 SAML 바인드 데이터를 AD/LDAP 정보로 덮어씌울 수 있습니다. SAML ID 속성으로 사용자를 바인딩하는 방법에 대한 자세한 내용은 이 문서 를 참조하세요.

이 과정은 SAML 이메일 주소를 AD/LDAP 이메일 주소 데이터로 덮어씌우거나, 구성된 경우 SAML ID Attribute를 AD/LDAP ID Attribute로 덮어씌우게 됩니다. 이 설정을 사용하여 새로운 사용자가 이메일 주소가 변경되었을 때 생성되지 않도록 하는 것을 권장합니다.

기존 사용자 계정이 이 과정에서 비활성화되지 않도록 하려면 Mattermost 내에서 SAML ID와 LDAP ID가 일치함을 확인하려면 두 시스템에서 데이터를 내보내고 ID 데이터를 비교하세요. AD/LDAP 및 SAML의 ID 속성을 동일한 데이터를 보유하도록 Mattermost 내에서 매핑하면 ID도 일치하게 됩니다.

  1. 시스템 콘솔 > 인증 > SAML 2.0 > ID 속성 으로 이동하여 SAML의 ID 속성 을 설정하세요.

  2. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동하여 SAML 바인드 데이터를 AD/LDAP 정보로 덮어씌우기true 로 설정하세요.

  3. 시스템 콘솔 > 인증 > SAML 2.0 > AD/LDAP 동기화 활성화true 로 설정합니다.

  4. 시스템 콘솔 > 인증 > AD/LDAP 으로 이동하여 AD/LDAP 동기화 즉시 실행 을 선택하여 AD/LDAP 동기화를 실행하세요.