로그인 인증 구성

IdP로 Okta를 사용하는 SCIM 프로비저닝 통합

SCIM(System for Cross-domain Identity Management) 통합 추가:

1. Okta Admin Console에서 General 탭을 선택하고 프로비저닝 방법으로 SCIM을 설정합니다.

   

2. Provisioning 탭을 선택하고 Edit 버튼을 클릭합니다.

   

3. 설정 편집 모드에서 모든 프로비저닝 작업(Import.. 및 Push.. 옵션)을 선택하고, Authentication 모드로 HTTP Header을 선택합니다.

   

4. Company Dashboard Authentication 페이지의 Provisioning 섹션에서 Base URL 항목을 복사()하여 Okta SCIM Connector base URL 필드에 붙여넣습니다.

   Company Dashboard Authentication 페이지의 Provisioning 섹션에서 API Token 항목을 복사()하여 Okta Authorization 필드(HTTP HEADER 아래)에 붙여넣습니다.

   

5. Okta Unique identifier field for users으로 userName를 지정합니다.

   

6. Test Connector Configuration 버튼(위 참조)을 클릭하고 연결이 정상적으로 작동하는지 확인합니다. 구성 테스트가 성공하면 Test 창을 닫고 구성을 저장()합니다.

   

7. 왼쪽 탐색 트리에서 To App을 선택한 다음 Edit 옵션을 선택합니다.

   Create Users, Update User Attributes, Deactivate Users 옵션을 활성화한 다음 Save를 클릭합니다.

   

사용자, 그룹 프로비저닝 및 프로비저닝 해제:

1. Push Groups 탭을 선택한 다음 Refresh App Groups 버튼을 클릭합니다.

   

2. 기본 메뉴에서 Directory » Groups 페이지 옵션을 선택합니다.

   

   Groups에서 애플리케이션 Groups 및 Workspaces가 모두 그룹 항목으로 표시되어야 합니다.

   

3. 애플리케이션 그룹/워크스페이스와 동일한 이름의 'native' Okta 그룹을 생성합니다. 이 예에서는 가져온 Administrators 및 Workspace 그룹입니다.

   

4. 생성한 Okta 그룹을 선택한 다음 Manage Apps 버튼을 클릭합니다. Assign Applications to <group name> 창에서 해당 그룹에 SCIM 애플리케이션을 할당하고 완료되면 를 클릭합니다.

   

5. Groups 페이지로 돌아가 Push Groups 탭을 선택합니다. Push Groups 버튼 메뉴에서 Find groups by name option를 선택합니다.

   

6. 그룹 이름(여기서는 Group Administrators)을 입력한 다음, 애플리케이션 그룹과 연결하기 위해 Link Group 옵션을 선택합니다. 해당 연결 구성을 저장()합니다.

   

사용자 및 그룹 관리

이제 기존 애플리케이션 그룹에 구성원을 추가하거나 제거할 수 있어야 합니다.

1. 새 Okta 사용자를 생성합니다(Directory » People을 선택한 다음 Add Person 선택). 해당 사용자가 AltiumLive에 존재하지 않는 고유한 이메일 주소를 가지고 있는지 확인합니다.

2. 새 사용자를 SCIM 애플리케이션에 할당된 Okta 그룹에 추가합니다(Directory » Groups에서 그룹을 선택한 다음 Assign People 사용).

3. 사용자가 Company Dashboard에 표시되는지 확인합니다.

SCIM 애플리케이션을 통해 새 사용자 그룹을 만들려면 Groups 페이지에서 새 Okta 그룹을 생성하고(), Push Groups 탭 아래에서 새 그룹 이름을 찾은 후 Create Group 옵션('Link Group'이 아니라)을 선택합니다.

구성된 SCIM 애플리케이션에서는 다음 작업을 수행할 수 있어야 합니다:

• 사용자의 firstname / lastname 및 이메일 변경.

• 그룹의 멤버십 변경.

• 그룹 이름 변경.

• 그룹 생성.

• 그룹 삭제 – Push Groups에서 delete from app 옵션으로 그룹 연결 해제.

• 사용자 활성화 또는 비활성화 – 활성화된 사용자는 활성화 이메일을 받게 됩니다.

Workspace는 Okta의 사용자 그룹과 비슷해 보이지만, 멤버십 관리만 지원합니다. 새 workspace를 만들거나 기존 workspace의 이름을 변경할 수는 없습니다.

Workspace 그룹에 사용자를 추가하거나 제거한 후에는 Altium 365 Workspace 인터페이스를 통해 결과를 확인할 수 있습니다.

• 새 SCIM 사용자는 SSO를 사용하여 로그인할 수 있어야 합니다.

• 새 SCIM 사용자는 Workspace에 자동으로 초대되어야 합니다.

• 이메일 초대는 사용자에게 전송되지 않습니다.

Microsoft Entra ID

SAML 애플리케이션과의 통합:

1. Microsoft Entra admin center에 로그인합니다.

2. Identity를 선택한 다음 Enterprise applications 옵션을 선택합니다.

   

3. 자체 애플리케이션을 생성합니다.

   

4. Users and groups를 선택한 다음 Add user/group를 선택합니다.

   

   

   

    

5. 를 선택하고, Single sign-on, Step 1, 그리고 Edit를 차례로 선택합니다.

   

   

    

6. Company Dashboard의 Authentication 페이지에 있는 Altium Sign-On Settings 섹션에서 Entity ID 및 Single Sign On URL 항목을 복사()합니다. 복사한 문자열을 Microsoft Entra 앱 SAML Configuration 영역의 Entity ID 및 Assertion Consumer Service URL 필드에 붙여넣습니다. 해당 필드의 Default 상자가 체크되어 있는지 확인한 다음 구성을 저장합니다.

   

7. 생성된 Federation Metadata XML을 다운로드합니다.

   

8. Federation Metadata XML을 Company Dashboard Authentication 페이지(Altium Sign-On Settings 섹션의 2. SAML Identity Provider configuration 영역)에 업로드한 다음 SAML 통합 연결을 테스트합니다.

프로비저닝:

1. Microsoft Entra 앱 관리 화면에서 왼쪽 패널의 Provisioning 를 선택한 다음 Get started 버튼을 선택합니다.

2. Provision MODE을 Automatic(으)로 설정합니다.

3. Company Dashboard Authentication 페이지의 Provisioning 섹션에서 Base URL 및 API Token 항목을 복사()하여 각각 Tenant URL 및 Secret Token 필드에 붙여넣습니다.

   

4. Microsoft Entra Provisioning Test Connection 버튼을 클릭하고, 자격 증명이 성공적으로 인증되면 구성을 Save합니다.

   

5. Mappings 섹션에는 선택 가능한 두 가지 속성 매핑 세트가 있습니다. 하나는 Group 객체용이고 다른 하나는 User 객체용입니다.

   

6. 각 매핑을 선택하여 Microsoft Entra ID에서 앱으로 동기화되는 속성을 검토합니다. Matching properties로 선택된 속성은 앱에서 업데이트 작업 시 사용자 및 그룹을 매칭하는 데 사용됩니다. 변경 사항을 반영하려면 Save를 선택합니다.

   

   필요한 경우 Groups 매핑을 비활성화하여 그룹 객체의 동기화를 끌 수 있습니다.

7. Settings 아래에서 Scope 필드는 어떤 사용자와 그룹이 동기화되는지를 정의합니다. Users and groups 페이지에서 할당된 사용자와 그룹만 동기화하려면 Sync only assigned users and groups(권장)를 선택합니다.

   

8. 구성이 완료되면 Provisioning Status를 On으로 설정합니다.

   

9. Microsoft Entra 프로비저닝 서비스를 시작하려면 Save를 선택합니다.

Identity Provider로 JumpCloud와의 통합

1. JumpCloud 인터페이스에서 탐색 트리의 SSO를 선택한 다음 SSO 페이지에서 Add New Application 버튼을 선택합니다.

   

2. 구성 창의 Search에 'saml'을 입력하여 Custom SAML App를 찾아 설치합니다.

   

3. Custom SAML App의 인스턴스 이름을 지정합니다. 이 예에서는 라벨이 'Altium'입니다.

   

4. JumpCloud 구성 인터페이스의 SSO 탭으로 전환합니다. Company Dashboard Authentication 페이지의 Altium Sign-On Settings 섹션에서 Entity ID 및 Single Sign On URL 항목을 복사()한 다음 각각 SP Entity ID 및 Default URL 필드에 붙여넣습니다.

   

5. JumpCloud 엔드포인트 IDP URL를 입력하고 Declare Redirect Endpoint 옵션을 활성화합니다.

   

6. JumpCloud 인터페이스의 Identity Management 탭으로 전환합니다. Company Dashboard Authentication 페이지의 Provisioning 섹션에서 Base URL 및 API Token 항목을 복사()한 다음 각각 Base URL 및 Token Key 필드에 붙여넣습니다. 또한 적절한 테스트 이메일 주소도 입력합니다.

   

7. Test Connection를 수행하면 페이지 오른쪽 상단에 확인 메시지가 표시됩니다(아래 그림 참조).

   

8. Group Management 옵션을 끄고(체크 해제) 구성을 Activate합니다.

   

   참고: 페이지 상단에 'There was a problem activating Identity Management'와 같은 연결 오류나 페이지 하단에 'Test filter user: unable to get or create user from service'와 같은 오류가 표시되면, 다른 테스트 이메일 주소를 입력한 다음 Activate를 다시 선택해 보십시오.

9. JumpCloud 인터페이스의 SSO 탭으로 돌아가 Export Metadata 옵션을 사용하여 생성된 SAML metadata XML 파일을 다운로드합니다.

   

10. Company Dashboard Authentication 페이지에서 다운로드한 metadata XML 파일을 가져온 다음 Test Sign On 버튼으로 Integration test를 실행합니다. 통합 테스트가 성공하면 그 결과가 표시됩니다. 연결이 확인되면 Authentication methods 섹션에서 Altium Sign-On Settings 옵션과 SSO 옵션을 활성화할 수 있습니다.

Microsoft Administrative Domain Federated Services (AD FS)를 사용한 SSO SAML 인증

아래 설명된 단계에 따라 Altium 365 조직 로그인을 설정하여 SSO 인증에 AD FS 인스턴스를 사용하도록 구성합니다.

사전 요구 사항

• Altium 365의 조직 Company Account에 대한 관리자 액세스 권한.

• AD FS 인스턴스에 대한 관리자 액세스 권한.

AD FS 설정

1. AD FS Management 애플리케이션(일반적으로 Start → Windows Administrative Tools → AD FS Management)을 엽니다.

2. Relying Party Trusts(으)로 이동한 다음 Add Relying Party Trust... 옵션(1)을 클릭합니다.

3. 팝업 창에서 Claims aware가 선택되어 있는지 확인한 후 Start(3)을 클릭합니다.

   

4. Select Data Source 단계에서 Enter data about the relying party manually(1)을 선택한 후 Next(2)를 클릭합니다.

   

5. 신뢰에 대한 표시 이름을 입력합니다. 이 예에서는 표시 이름으로 AltiumLive를 사용합니다.

   

6. 보안 구성에 따라 선택적 토큰 암호화 인증서를 지정할 수 있습니다. 이 가이드에서는 사용하지 않습니다.

   

7. Configure URL 단계에서 Enable support for the SAML 2.0 WebSSO protocol 옵션(1)이 선택되어 있는지 확인하고, Relying party SAML 2.0 SSO service URL: 필드(2)에 https://identity.live.altium.com/AssertionConsumerService를 입력합니다. Next(3)을 클릭합니다.

   

8. Configure Identifiers 단계에서 이 신뢰에 대한 식별자를 입력 필드(1)에 입력합니다. 이 식별자는 Dashboard Authentication 페이지의 SAML Single Sign-On 영역에 있는 Entity ID 항목에서 가져와야 합니다. Add 버튼(2)을 반드시 클릭합니다.

   

   결과는 다음과 비슷하게 표시되어야 합니다. Next를 클릭합니다.

   

9. 보안 구성에 따라 다음 단계에서 선택적 액세스 제어 정책을 선택할 수 있습니다. 이 예제에서는 추가 정책을 선택하지 않고 Permit everyone 옵션으로 계속 진행합니다.

   

10. 구성을 검토한 후 Next를 선택합니다.

    

11. 모든 설정을 신뢰 설정 과정 중에 구성할 수 있는 것은 아닙니다. SHA-1를 보안 해시 알고리즘으로 사용할 수 있도록 하려면, 방금 추가한 Relying Party Trust의 이름을 마우스 오른쪽 버튼으로 클릭한 후 Properties를 선택합니다.

    

12. 속성 창에서 Advanced 탭(1)을 선택하고 보안 해시 알고리즘으로 SHA-1(2)을 설정합니다. 변경 사항을 저장하려면 OK를 클릭합니다.

    

13. AD FS Management 창으로 돌아가 추가한 Relaying Party Trust를 선택한 다음 Edic Claim Issuance Policy... 옵션을 선택합니다.

    

14. Edit Claim Issuance Policy 창에서 Add Rule...

    

15. 마법사의 Choose Rule Type 단계에서 Send LDAP Attributes as Claims가 선택되어 있는지 확인한 다음 Next를 클릭합니다.

    

16. 제공된 Claim rule name (1)에서 Active Directory를 Attribute store (2)로 선택하고, Altium Account의 사용자 이름이 포함된 ID에서 LDAP Attribute (3)을 선택합니다. 이 속성은 Outgoing Claim Type (3)에서 Name ID에 매핑되어야 합니다. Finish (4)를 클릭합니다.

    

    Important Note: 이 예제에서는 필요한 값을 포함하도록 Surname 또는 Last name를 매핑했습니다. 실제 구성은 다를 수 있습니다.

    

17. OK를 클릭하여 클레임 발급 정책이 저장되었는지 확인합니다.

    

이로써 AD FS 설정이 완료됩니다.

Altium 365 설정

1. Company Dashboard Authentication 페이지로 이동하여 이전에 다운로드한 FederationMetadata.xml 파일을 업로드합니다(자세한 내용은 아래의 Dashboard SSO Configuration 섹션 참조). 구성이 가져와져야 하며, X509 Certificate, Identity Provider Issuer, IdP Single Sign-On URL의 값이 표시되어야 합니다. 설정을 테스트하려면 Test Sign On 버튼을 클릭합니다.

2. 로그인 화면에서 조직의 요구 사항에 따라 사용자 자격 증명을 입력한 후 Sign in를 클릭합니다.

   

3. 어설션이 Altium 365로 다시 전송됩니다. 화면에 Test SAML connection was successful! 메시지가 표시되면 구성이 올바르게 완료된 것입니다. See Response 버튼을 클릭하여 SAML 응답을 볼 수 있습니다. Back to Settings 를 클릭하여 Authentication 페이지로 돌아갑니다.

4. Authentication 페이지에서 Altium Sign-On Settings 및 SSO 옵션을 활성화합니다.

이로써 설정이 완료됩니다. 이제부터 조직의 사용자는 조직의 AD FS를 SSO IdP로 사용하여 Altium 365에 로그인할 수 있습니다.

Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center를 사용한 SSO SAML 구성

1. IAM Identity Center로 이동하여 사용자 지정 SAML 2.0 애플리케이션(Add Application)을 추가합니다.

   

   

2.  Company Dashboard Authentication 페이지의 Altium Sign-On Settings 섹션에서 Entity ID 및 Single Sign On URL 항목을 복사()하여 AWS 메타데이터 URL 설정에 붙여넣습니다. Submit로 설정을 확인합니다.

   

3. IAM Identity Center metadata 영역에서 메타데이터 파일을 다운로드합니다.

   

4. Edit attribute mappings로 이동합니다.

   

5. ${user:email} 및 Format를 unspecified로 추가합니다.

   

6. AWS에서 새 사용자를 생성합니다. 사용자 이름은 user@domain.com 형식이어야 합니다.

   생성한 사용자 또는 그룹에 애플리케이션을 할당합니다.

   

7. Company Dashboard Authentication 페이지의 Provisioning 옵션은 꺼져 있어야 합니다.

   현재 AWS는 SCIM을 통한 자동 아웃바운드 프로비저닝을 지원하지 않습니다.

8. 동일한 사용자가 Altium 측과 IAM 측 모두에 존재하는지 확인합니다. 사용자 이름은 user@domain.com 형식을 따라야 합니다.

   

9. Company Dashboard Authentication 페이지에서 이전에 다운로드한 XML 파일을 업로드합니다(자세한 내용은 아래의 Dashboard SSO Configuration 섹션 참조). 설정을 테스트하려면 Test Sign On 버튼을 클릭합니다.

10. 그러면 AWS 로그인 페이지로 리디렉션됩니다. AWS 사용자 자격 증명을 입력합니다. 다시 Dashboard로 리디렉션되며 Test SAML connection was successful! 메시지가 표시되어야 합니다.

11. 테스트가 성공하면 Altium Sign-On Settings 및 SSO 옵션을 활성화합니다.