SAML 단일 로그인#

plans-img Enterprise 및 Professional 플랜 에서 사용 가능

deployment-img Cloudself-hosted 배포

단일 로그인(SSO)은 사용자가 자격 증명을 다시 입력하지 않고도 단일 사용자 ID와 비밀번호로 여러 애플리케이션에 로그인할 수 있는 방법입니다. SAML 표준을 통해 ID 제공자가 서비스 제공자에게 자격 증명을 전달할 수 있습니다. Mattermost는 SAML 2.0 서비스 제공자로 구성할 수 있습니다.

Mattermost는 SAML 2.0 서비스 제공자로 구성할 수 있으며, Mattermost는 공식적으로 Okta, OneLogin, Microsoft ADFS를 ID 제공자(IDP)로 지원합니다. 이러한 제공자와 함께 SAML을 구성하는 방법에 대한 자세한 내용은 아래 링크를 참조하세요.

공식적으로 지원되는 ID 제공자 외에도 사용자 정의 IdP에 대해 SAML을 구성할 수 있습니다. 예를 들어, 고객들은 miniOrange, Azure AD, DUO, PingFederate, Keycloak, SimpleSAMLphp를 사용자 정의 IdP로 성공적으로 설정했습니다. 이러한 ID 제공자에 대해 테스트하지 않기 때문에, 스테이징 환경에서 Mattermost의 새 버전을 테스트하여 ID 제공자와 함께 작동하는지 확인하는 것이 중요합니다. 추가 보안을 위해 SAML 제공자 위에 MFA를 설정할 수도 있습니다.

SAML 단일 로그인 통합은 다음과 같은 이점을 제공합니다:

  • 단일 로그인. 사용자는 SAML 자격 증명으로 Mattermost에 로그인할 수 있습니다.

  • 중앙 집중식 ID 관리. Mattermost 계정은 로그인 시 전체 이름, 이메일, 사용자 이름과 같은 사용자 속성을 SAML에서 자동으로 가져옵니다.

  • 자동 계정 프로비저닝. Mattermost 사용자 계정은 사용자가 Mattermost 서버에서 SAML 자격 증명으로 처음 로그인할 때 자동으로 생성됩니다.

  • Mattermost의 미리 정의된 역할에 그룹 동기화. LDAP 그룹 동기화를 통해 팀 및 채널 역할을 그룹에 할당합니다.

  • 관리자 관리와의 규정 준수 정렬. SAML 속성을 사용하여 시스템 콘솔에서 Mattermost에 대한 관리자 액세스를 관리합니다.

중요

  • SAML 단일 로그인 자체는 사용자 속성의 주기적 업데이트나 자동 프로비저닝 해제를 지원하지 않습니다. 그러나 AD/LDAP 동기화가 있는 SAML은 이러한 사용 사례를 지원하도록 구성할 수 있습니다.

  • 계정 생성 및 업데이트는 식별을 위해 구성된 속성의 영향을 받습니다.

    • 이메일 주소가 고유 식별자로 사용되고 변경되는 경우, Mattermost는 이를 새 사용자로 해석할 수 있습니다. ID 속성이 설정되지 않았거나 이메일 주소를 사용하도록 설정된 경우, 이메일 주소가 변경될 때 Mattermost에서 새 계정이 생성될 수 있습니다.

    • employeeID와 같이 변경되지 않는 ID 속성이 구성되면, Mattermost는 이 일관된 ID를 사용하여 사용자 계정을 인식하고 매칭할 수 있습니다. 이를 통해 이메일과 같은 다른 속성을 업데이트할 때 새 계정을 생성하지 않고도 가능합니다. 사용자 세부 정보는 변경되지 않는 ID 속성을 기반으로 업데이트되어 중복 계정 없이 연속성과 올바른 사용자 식별을 보장합니다.

  • Mattermost를 EU-Login 시스템을 사용하도록 구성하는 경우, 해당 issuerURI 필드가 Mattermost에서 “Service Provider Identifier”라고 부르는 것임을 참고하세요.

  • SAML에 대한 자세한 내용은 Varonis의 이 글 <https://www.varonis.com/blog/what-is-saml/>`_과 `DUO의 이 개념적 예시 를 참조하세요.

역할 적용을 위한 SAML 속성 사용#

로그인 시 지정된 사용자에게 역할을 할당하기 위해 속성을 사용할 수 있습니다. SAML 속성 설정에 접근하려면 시스템 콘솔 > SAML 2.0 으로 이동하세요.

사용자 이름 속성#

(선택 사항) 사용자 검색 시 사용할 SAML assertion 필터를 입력하세요.

  1. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동하세요(5.12 이전 버전에서는 시스템 콘솔 > SAML).

  2. 사용자 이름 속성 필드를 완성하세요.

  3. 저장 을 선택하세요.

사용자가 Mattermost URL에 접근할 때, 조직 로그인에 사용하는 것과 동일한 사용자 이름과 비밀번호로 로그인합니다.

게스트 속성#

활성화되면 Mattermost의 guest 속성은 SAML assertion이 게스트이고 Mattermost 서버에 참여하도록 초대된 외부 사용자를 식별합니다. 이러한 사용자는 기본 멤버 사용자 역할 대신 첫 로그인 시 즉시 게스트 역할이 적용됩니다. 이를 통해 시스템 콘솔에서 수동으로 역할을 할당할 필요가 없어집니다.

Mattermost 게스트 사용자의 게스트 역할이 SAML 시스템에서 제거되면, 동기화 프로세스는 자동으로 해당 사용자를 멤버 사용자 역할로 승격시키지 않습니다. 이는 시스템 콘솔 > 사용자 관리 를 통해 수동으로 수행됩니다. 멤버 사용자에게 guest 속성이 추가되면, 동기화 프로세스는 자동으로 해당 멤버 사용자를 게스트 역할로 강등시킵니다.

  1. 시스템 콘솔 > SAML 2.0 을 통해 게스트 액세스를 활성화하세요.

  2. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동하세요.

  3. 게스트 속성 필드를 완성하세요.

  4. 저장 을 선택하세요.

게스트가 처음 로그인할 때는 채널에 추가될 때까지 기본 랜딩 페이지가 표시됩니다.

이 기능에 대한 자세한 내용은 게스트 계정 문서 를 참조하세요.

관리자 속성#

(선택 사항) 시스템 관리자를 지정하기 위한 SAML Assertion의 속성입니다. 쿼리로 선택된 사용자는 시스템 관리자로 Mattermost 서버에 접근할 수 있습니다. 기본적으로 시스템 관리자는 Mattermost 시스템 콘솔에 완전한 접근 권한을 가집니다.

이 속성으로 식별된 기존 멤버는 다음 로그인 시 멤버에서 시스템 관리자로 승격됩니다. 다음 로그인은 시스템 콘솔 > 세션 길이 에 설정된 세션 길이를 기반으로 합니다. 접근이 즉시 제한되도록 하기 위해 시스템 콘솔 > 사용자 관리 에서 사용자를 수동으로 멤버로 강등하는 것이 좋습니다.

  1. 시스템 콘솔 > 인증 > SAML 2.0 으로 이동하세요.

  2. 관리자 속성 활성화true 로 설정하세요.

  3. 관리자 속성 필드를 완성하세요.

  4. 저장 을 선택하세요.

참고

admin 속성이 false 로 설정되면 멤버의 시스템 관리자 역할이 유지됩니다. 그러나 속성이 제거되거나 변경되면, 해당 속성을 통해 승격된 시스템 관리자는 멤버로 강등되고 시스템 콘솔에 대한 접근 권한을 유지하지 못합니다. 이 속성이 사용되지 않을 때는 시스템 콘솔 > 사용자 관리 에서 시스템 관리자를 수동으로 승격/강등할 수 있습니다.

구성 지원#

Mattermost 기술 구성 질문에 답변하고 Mattermost SAML 구성 설정과 관련된 문제 해결을 지원하기 위해 IdP 제공업체와 협력하여 사용자 정의 IdP를 구성할 때 지원을 제공할 수 있습니다. 그러나 Mattermost와의 연결이 작동한다는 것을 보장할 수는 없습니다.

SAML에 대한 기술 문서는 SAML 단일 로그인: 기술 문서 을 참조하세요.

사용자 정의 IdP에 대한 사용자 파일을 얻는 과정을 지원하기 위해 이 문서 를 참조하세요.

Mattermost와의 연결이 작동한다는 것을 보장할 수 없을 수 있지만, 가능한 한 기능 개선을 고려할 것입니다. 지원 받기에 대한 자세한 정보는 여기 에서 확인할 수 있으며, 특정 제공업체에 대한 공식 지원 요청은 기능 아이디어 포털 에서 제출할 수 있습니다.