SAML 단일 로그인

Enterprise, Professional 플랜에서 사용 가능

Cloud 와 self-hosted 배포판

레거시 Mattermost Enterprise Edition E20에서 사용 가능

단일 로그인(SSO)은 사용자가 자격 증명을 다시 입력하지 않고 단일 사용자 ID 및 암호로 여러 응용 프로그램에 로그인하는 방법입니다. SAML 표준을 사용하면 ID 공급자가 자격 증명을 서비스 제공자로 전달할 수 있습니다. Mattermost는 SAML 2.0 서비스 제공자로 구성할 수 있습니다.

Mattermost는 SAML 2.0 서비스 제공자로 구성할 수 있습니다. SAML 단일 로그인 통합은 다음과 같은 이점을 제공합니다.

• 단일 로그인. 사용자는 SAML 자격 증명으로 Mattermost에 로그인할 수 있습니다.

• 중앙 집중식 ID 관리. Mattermost 계정은 SAML에 로그인할 때 사용자 속성(이름, 이메일, 사용자 이름 등)을 자동으로 가져옵니다.

• 자동 계정 프로비저닝. 사용자가 처음으로 SAML 자격 증명으로 Mattermost 서버에 로그인할 때 Mattermost 사용자 계정이 자동으로 생성됩니다.

• 사전 정의된 역할에 대한 그룹 동기화. LDAP 그룹 동기화를 통해 팀 및 채널 역할을 그룹에 할당합니다.

• 관리자 관리와의 규정 준수 조정. SAML 속성을 사용하여 시스템 콘솔에서 Mattermost의 관리자 액세스를 관리합니다.

SAML 단일 로그인 자체는 사용자 속성의 주기적인 업데이트나 자동 탈퇴를 지원하지 않습니다. 그러나 SAML과 AD/LDAP 동기화를 구성하여 이러한 경우를 지원할 수 있습니다.

SAML에 대한 자세한 내용은 Varonis의 이 기사 및 DUO의 이 개념적 예제 를 참조하세요.

Mattermost는 공식적으로 Okta, OneLogin 및 Microsoft ADFS를 ID 공급자(IDP)로 지원합니다. 자세한 내용은 아래 링크를 참조하세요.

• Okta SAML Configuration
• Microsoft ADFS SAML Configuration for Windows Server 2012
• Microsoft ADFS SAML Configuration for Windows Server 2016
• Keycloak SAML Configuration

공식으로 지원되는 ID 공급자 이외에도 사용자 정의 IDP에 대해 SAML을 구성할 수 있습니다. 예를 들어, 고객은 miniOrange, Azure AD, DUO, PingFederate, Keycloak 및 SimpleSAMLphp를 사용자 정의 IDP로 성공적으로 설정했습니다. 이러한 ID 공급자에 대해 테스트를 수행하여 Mattermost의 새 버전이 해당 ID 공급자와 작동하는지 확인하는 것이 중요합니다. 또한 SAML 공급자에 추가적인 보안을 위해 MFA를 설정할 수도 있습니다.

Note

Mattermost를 EU-Login 시스템을 사용하도록 구성하는 경우, “issuerURI” 필드는 Mattermost에서 “서비스 제공자 식별자”라고 부릅니다.

역할 적용을 위한 SAML 속성 사용

로그인할 때 특정 사용자에게 역할을 지정하기 위해 속성을 사용할 수 있습니다. SAML 속성 설정에 액세스하려면 시스템 콘솔 > SAML 2.0 로 이동하세요.

사용자 이름 속성

(선택 사항) 사용자를 검색할 때 사용할 SAML 어설션 필터를 입력합니다.

1. 시스템 콘솔 > 인증 > SAML 2.0  (또는 5.12 버전 이전의 경우  System Console > SAML )로 이동합니다.

2. 사용자 이름 속성 필드를 완료합니다.

3. 저장 을 선택합니다.

사용자가 Mattermost URL에 액세스할 때, 조직 로그인에 사용하는 동일한 사용자 이름과 암호로 로그인합니다.

게스트 속성

활성화되면 Mattermost에서 “guest” 속성은 SAML 어설션이 게스트이며 Mattermost 서버에 가입하도록 초대된 외부 사용자를 식별합니다. 이러한 사용자는 기본 회원 사용자 역할 대신 첫 번째 로그인 시 즉시 게스트 역할이 적용됩니다. 이렇게 함으로써 시스템 콘솔에서 역할을 수동으로 지정할 필요가 없어집니다.

Mattermost 게스트 사용자가 SAML 시스템에서 게스트 역할이 제거되면 동기화 프로세스가 자동으로 회원 사용자 역할로 승격시키지 않습니다. 이러한 경우 수정된 사용자를 수동으로 시스템 콘솔 > 사용자 관리 에서 처리해야 합니다. 회원 사용자에게 “guest” 속성이 추가되면 동기화 프로세스가 자동으로 회원 사용자 역할을 게스트 역할로 변경합니다.

1. 시스템 콘솔 > SAML 2.0 을 통해 게스트 액세스를 활성화합니다.

2. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동합니다.

3. 게스트 속성 필드를 완료합니다.

4. 저장 을 선택합니다.

첫 번째로 게스트로 로그인한 후에 해당 사용자는 채널에 추가될 때까지 기본 착륙 페이지가 표시됩니다.

게스트 계정 문서 에서이 기능에 대한 자세한 정보를 확인하세요.

관리자 속성

(선택 사항) 시스템 관리자를 지정하는 SAML 어설션의 속성입니다. 쿼리에서 선택된 사용자는 시스템 관리자로 Mattermost 서버에 액세스할 수 있습니다. 기본적으로 시스템 관리자는 Mattermost 시스템 콘솔에 완전한 액세스 권한을 갖습니다.

이 속성으로 식별된 기존 회원은 다음 로그인 시 회원에서 시스템 관리자로 승격됩니다. 다음 로그인은 시스템 콘솔 > 세션 길이 에서 설정된 세션 길이에 따라 결정됩니다. 액세스가 즉시 제한되도록 보장하기 위해 사용자가 시스템 콘솔 > 사용자 관리 에서 수동으로 회원으로 강등시키는 것이 권장됩니다.

1. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동합니다.

2. 관리자 속성 사용 을 true 로 설정합니다.

3. 관리자 속성 필드를 완료합니다.

4. 저장 을 선택합니다.

Note

“admin” 속성이 “false”로 설정되면 회원의 시스템 관리자 역할이 유지됩니다. 그러나 해당 속성이 제거되거나 변경되면 속성을 통해 승격된 시스템 관리자는 회원으로 강등되어 시스템 콘솔에 액세스 권한을 유지하지 못합니다. 이 속성을 사용하지 않을 때는 시스템 콘솔 > 사용자 관리 에서 시스템 관리자를 수동으로 승격/강등해야 합니다.

구성 지원

Mattermost 기술적 구성 질문에 답변하거나 귀하의 IDP 공급자와 협력하여 Mattermost SAML 구성 설정과 관련된 문제를 해결하는 데 지원을 제공하는 것은 가능하지만 귀하의 연결이 Mattermost와 작동할 것을 보장할 수는 없습니다.

SAML에 대한 기술 문서를 확인하려면 SAML Single Sign-On: 기술 문서 을 참조하세요.

사용자 지정 IDP에 대한 사용자 파일을 가져오는 프로세스를 지원하려면 이 문서 를 참조하세요.

귀하의 연결이 Mattermost와 작동할 것을 보장할 수 없을 수도 있지만 가능한한 기능의 개선을 고려할 것입니다. 공식 지원을 요청하고자 한다면 여기 에서 특정 제공자의 공식 지원을 요청하고 지원을 받으려면 여기 에서 더 많은 정보를 확인하세요.