Loading

Salesforce 모바일 응용 프로그램 SSO(Single Sign-On) 개요

게시 일자: May 28, 2021
상세 설명


Salesforce 응용 프로그램은 웹 브라우저 응용 프로그램과 다르므로 SSO(Single Sign-On)가 제대로 작동하려면 몇 가지 변경이 필요합니다.

참고: Salesforce 모바일 응용 프로그램 내에서 작동하도록 현재 SAML SSO(Single Sign-On) 통합을 설정하려면 ID 공급자와 Salesforce 조직을 모두 변경해야 할 수 있습니다. Salesforce 모바일 응용 프로그램은 서비스 공급자 시작 설정에서만 작동합니다. ID 공급자 시작 인증을 사용하는 경우 서비스 공급자 시작으로 변경해야 합니다.

솔루션

 

시작하기

먼저 이 인증 프로세스에 대해 예상되는 SAML 프로세스 플로의 자세한 예를 검토하십시오.

ADFS(Active Directory Federation Services)를 사용하여 SAML로 인증하는 조직

Premier 지원을 사용하면 가속기를 요청하여 일대일 지침을 사용할 수 있습니다.


SSO를 사용하여 Salesforce 모바일 응용 프로그램 구현

내 도메인 활성화

  1. 내 도메인 개요의 단계를 사용하여 조직 내에서 내 도메인 기능을 활성화합니다.
  2. 로그인 페이지에서 ID 공급자 추가의 단계를 사용하여 내 도메인의 인증 구성 섹션에 있는 인증 서비스에 SAML 구성을 추가합니다. (이 도메인 URL은 SP에서 시작된 SSO(Single Sign-On) 프로세스를 시작하기 위해 로그인할 경우 Salesforce 모바일 응용 프로그램에 대한 연결로 추가하는 URL입니다.)

참고: 사용자는 이 방법을 사용하여 앱에 사용자 정의 ‘내 도메인’ URL을 사용자 정의 연결로 추가할 수 있습니다(사용자가 표준 로그인 페이지에서 ‘사용자 정의 도메인 사용’ 링크를 사용하지 않도록 확인). 참고: Salesforce 모바일 앱에서 로그인 서버 전환
 

양식 기반 로그인 페이지

  • 내 도메인을 입력한 후 사용자가 네트워크 사용자 이름과 암호를 입력할 수 있는 양식이 있는 웹 페이지로 이동해야 합니다.
  • Windows 통합 인증(NTLM) 또는 기타 자격 증명 프롬프트와 같은 다른 방법은 Salesforce 모바일 응용 프로그램에서 처리되지 않으며 오류 메시지(401 챌린지 오류)가 표시되거나 흰 화면만 표시될 수 있습니다.
  • ADFS 2.0을 사용하는 조직에 대해 이러한 유형의 로그인 페이지를 설정하는 방법에 대한 다음 Microsoft 문서를 참조하십시오.


RelayState

  • SAML 서비스가 Salesforce 모바일 응용 프로그램에서 SAML 프로세스를 시작하면 ID 공급자가 인증 후 OAuth 설정을 시작하기 위해 에코백할 RelayState가 포함됩니다(예상 SAML 프로세스 플로의 5-8단계 참조).
  • 모든 롤업 패치가 서버에 설치된 후 ADFS 2.0용 RelayState에 대한 지원은 Microsoft의 지원되는 ID 공급자 시작 RelayState 문서를 참조하십시오.
 

HTTP POST 또는 HTTP 리디렉션 바인딩

  • IDP는 HTTP POST 또는 HTTP 리디렉션 바인딩을 지원해야 합니다. 조직에 ID 공급자에 대한 ADFS가 있는 경우 HTTP 리디렉션 바인딩을 사용합니다. 자세한 내용은 아래의 404 오류 섹션을 참조하십시오.
  • 참고: ADFS를 사용하는 경우 리디렉션 바인딩은 Salesforce SSO(Single Sign-On) 설정에서 구성되지만 ADFS 구성에서 POST를 유지해야 합니다. 서버에서 보내는 SAML 요청이 리디렉션을 사용 중인지 확인하려고 했으나 ADFS의 반환은 POST로 유지됩니다.
 

일반적인 문제

  • SAML 및 내 도메인을 사용하여 로그인하고 Salesforce 모바일 앱 인터페이스 내에서 전체 사이트 인터페이스를 수신합니다.
    • RelayState가 SAML 서비스에서 처음 제공된 항목과 정확하게 일치하지 않으므로 인증 프로세스가 OAuth 설정으로 연결되지 않습니다.
    • Identity Provider에서 RelayState 설정을 확인하여 RelayState를 올바르게 선택하여 SAML 서비스에 다시 제공하는지 확인하십시오.
    • Salesforce 조직 SAML 섹션의 ID 공급자 로그인 URL에 이 URL로 이동할 경우 전달할 추가 매개 변수가 포함되어 있지 않은지 확인하십시오.
    • 참고 항목: SAML 2.0 인증을 사용하는 OAuth, relayState는 80자보다 길 수 있습니다.
 
  • 사용자가 내 도메인 URL을 입력할 경우 401 오류 메시지 또는 흰색 화면이 표시됩니다.
    • 이는 ADFS가 Windows 통합 인증(NTLM 프롬프트)을 사용하도록 구성된 경우 발생합니다. Salesforce 모바일 응용 프로그램에서는 이 방법이 지원되지 않습니다.
    • 양식 기반 로그인 페이지는 ADFS 관리자가 설정해야 합니다.
    • Microsoft는 여기에서 인트라넷 양식 기반 인증을 구성하는 해결 방법을 설명합니다.
 
  • SAML 어설션이 'InResponseTo: Invalid'로 실패합니다.
 
  • 사용자가 Salesforce 모바일 응용 프로그램에서 인증서 관련 오류를 보는 경우가 많습니다.
    • 대부분의 경우 이 문제는 Salesforce 지원 부서에서 해결할 수 없습니다. 
    • 내부 SSO 팀 또는 IT 팀은 새 인증서를 업로드하고 현재 인증서를 기본 장치에 설치하거나 로드할 필요가 없는지 확인해야 합니다.
 
  • 404 오류 ‘파일이나 디렉터리를 찾을 수 없습니다. 찾고 있는 리소스가 제거되었거나 이름이 변경되었거나 일시적으로 사용할 수 없습니다.’
    • 이 오류는 주로 URL 내에서 요청을 보낼 경우 HTTP 리디렉션 바인딩 사용과 관련이 있습니다. 이로 인해 요청이 Microsoft IIS 보안 제한인 2048에 대한 일반 제한을 초과하여 확장될 수 있으며 결과적으로 404 오류가 반환됩니다.
    • 여기에서 Microsoft의 예시를 검토하여 오류를 발생시키는 서버의 제한을 늘리면 이 문제를 해결할 수 있습니다.
    • 또는 POST에 대한 요청 바인딩을 조정하고 ID 공급자가 대신 이 바인딩을 수락하도록 구성되었는지 확인할 수 있습니다.
 
  • ‘SSL 오류가 발생하여 서버에 안전하게 연결할 수 없습니다.’
    • 사용자에게 이 문제가 발생할 경우 모범 사례는 iOS 및 앱 버전을 사용 가능한 최신 버전으로 업그레이드하는 것입니다. 참고 항목: Salesforce 앱에 대한 요구 사항
    • Salesforce는 IT/보안 팀이 TLS 1.2를 지원하도록 SSO(Single Sign-On) 서버를 업그레이드하는 것이 좋습니다.
    • ATS(App Transport Security)는 Apple의 보안 프로토콜을 준수하기 위해 iOS 9.0에서 도입되었습니다. iOS 11에서 Apple은 localhost 및 웹 콘텐츠에 대해 ATS를 비활성화하는 보다 세부적인 옵션을 추가했습니다.
    • ATS가 비활성화되면 iOS는 TLS 1.0의 레코드 계층 버전을 사용합니다(최종적으로 TLS 1.2가 처리된 경우 포함). 활성화된 경우 레코드 계층은 TLS 1.2입니다. 이 계층은 RFC 준수 서버에는 중요하지 않습니다.
    • 이 오류는 조직의 ID 공급자 웹 사이트 인증서에 유효한 인증서 또는 전체 인증서 체인이 포함되어 있지 않은 경우 발생할 수 있습니다. 현장 도구 또는 타사 SSL 검토 웹 사이트를 사용하여 인증서를 확인하고 전체 인증서 체인이 있는지 확인하는 것이 좋습니다.
    • 참고 항목: Salesforce, TLS 1.1 비활성화
 
  • OAuth 오류. 1800. 
    • 원격 액세스를 설정하는 데 문제가 있습니다. 이 오류는 ID 공급자가 SAML 요청의 RelayState 값을 잘못 인코딩하거나 잘라서 소스 값이 손실된 경우 발생합니다.
    • 이 소스 값은 연결하여 OAuth 액세스 토큰을 받을 모바일 응용 프로그램을 식별합니다. Salesforce에 대한 SAML 응답이 초기 요청에서 Salesforce에서 제공한 응답과 정확하게 일치하는지 확인합니다.
 

고급 인증

  • iOS 및 Android의 추가 인증 형식:
    • 이는 내 도메인 기능을 사용하고 “사용자 인증을 위해 기본 브라우저 사용...”을 설정하는 경우에만 사용할 수 있습니다.
    • 여기에는 iOS 장치에서 Open ID를 사용하는 Google 인증 또는 표준 앱 웹 사이트에서 작동하지 않는 Azure/Intune 조건부 액세스 정책과 같은 기능이 포함됩니다.
    • 참조: 모바일 인증 방법에 대한 내 도메인 로그인 페이지 사용자 정의
    • 참고: 이 고급 인증 기능은 모바일 응용 프로그램을 통해 커뮤니티에 로그인하는 데 사용할 수 없습니다.
  • MDM 제어 및 인증서 기반 인증을 구현하고 싶으십니까? 참조: Salesforce for Android 및 iOS MDM 및 EMM 지원


참고 항목

‘ADFS SSO SAML SP 시작 SSO 실패: 서명이 잘못됨/원격 액세스 권한 부여’ 오류
Knowledge 기사 번호

000386791

 
로드 중
Salesforce Help | Article