SAML 싱글 사인온

개요

SAML 싱글 사인온은 사용자가 기존 ID 제공자를 통해 Argus에 인증하도록 합니다. SP-initiated와 IdP-initiated 흐름 모두, SHA-256 서명, 이메일 도메인별 라우팅을 지원해 하나의 Argus 테넌트에 여러 IdP를 공존시킬 수 있습니다.

사전 요구사항

• Argus Enterprise 플랜
• IdP 관리자 접근 (Okta, Azure AD, Google Workspace, OneLogin, Ping, JumpCloud, 또는 SAML 2.0 호환 IdP)
• IdP 메타데이터 XML, 또는 Entity ID + SSO URL + 서명 인증서

단계별 설정

Step 1: Argus에서 Add SAML Provider 열기

• Argus > Enterprise > SSO > Add SAML Provider
• 고유한 Provider ID 입력 (예: 'company-okta', 'partner-google')
• Argus가 SP 값 생성: ACS URL (https://argus.cremit.io/api/auth/sso/saml2/callback/{provider-id}), Entity ID (https://argus.cremit.io)

Step 2: IdP에서 SAML 앱 생성

Step 1의 SP 값을 IdP 구성에 입력합니다.

• ACS URL / Reply URL: Argus가 생성한 값 붙여넣기
• Entity ID / SP Entity ID: https://argus.cremit.io
• NameID format: emailAddress
• Signature algorithm: SHA-256
• 선택적 attribute mapping: firstName, lastName, displayName (email은 NameID에서 가져옴)

Step 3: IdP 메타데이터를 Argus에 반환

• IdP에서 메타데이터 XML 다운로드, 또는 IdP Entity ID, SSO URL, x509 서명 인증서 복사
• Argus로 돌아가 메타데이터 XML 붙여넣기 또는 IdP 필드를 개별 입력
• 이 공급자로 라우팅할 Email Domain 설정 (예: `company.com`)

Step 4: 테스트 후 활성화

• Test Login 클릭, Argus가 새 탭에서 SP-initiated SAML 흐름 실행
• 테스트 결과에 표시된 이슈 해결
• 테스트 성공 시 공급자 저장 후 Active로 전환

설정 확인

통합이 올바르게 구성되었는지 확인하는 방법:

• Test Login이 Argus 세션으로 완료됨
• 예상 이메일 도메인이 로그인 페이지에서 올바른 공급자로 라우팅됨
• SHA-256 서명과 유효한 NotBefore/NotOnOrAfter 시간으로 SAML 어설션 수락됨
• 감사 로그에 예상 Subject로 SAML-Signed 로그인 이벤트 표시됨

문제 해결

문제: Argus 콜백에서 'Invalid signature' 오류.

• 해결: Argus의 x509 인증서가 IdP가 서명하는 것과 일치하지 않습니다. IdP의 현재 서명 인증서를 재업로드하세요. 특히 IdP 인증서 로테이션 후에 확인하세요.

문제: Test Login이 'Clock drift too large.'로 실패합니다.

• 해결: Argus는 SAML 어설션에서 최대 2분의 시계 오차를 허용합니다. IdP 서버 시간을 동기화(NTP)하거나, IdP 측에서 SessionNotOnOrAfter 수명을 단축하세요.

핵심 이점

• SAML 2.0 호환 IdP 모두와 작동, 벤더 종속 없음
• 도메인별 라우팅으로 하나의 Argus 테넌트에 여러 IdP 공존 가능
• SP-initiated와 IdP-initiated 흐름 모두 지원
• Test Login으로 사용자가 보기 전에 설정 실수를 잡음