Marketing Cloud SSO(Single Sign-On) 구현 개요

주요 용어:

SAML: - Security Assertion Markup Language(보안 어설션 마크업 언어)
SAML2: - Security Assertion Markup Language의 2차 버전
ID 공급자(IDP): 주체 대신 ID 정보를 만들고 유지하고 관리하며 웹 브라우저 프로필의 경우처럼 페더레이션에 속한 다른 서비스 공급자에 본인 인증을 제공하는 일종의 서비스 공급자입니다. (ADFS, Okta, Salesforce.com, Ping Federated 등)
주체: 신원을 인증할 수 있는 시스템 엔티티. (X.811 IT 보안 표준)
서비스 공급자(SP): 주체 또는 다른 시스템 엔티티에 서비스를 제공하는 시스템 엔티티의 역할입니다. (예를 들어 Salesforce Marketing Cloud는 Shobbleth를 SP로 사용함)

다음은 SAML2 IDP에 대해 SSO를 SFMC에 통합하는 작업을 완료하는 일반적인 절차입니다.

참고: 이 가이드는 교육 목적으로만 작성되었으며, 실제 구현은 IDP 구성에 따라 다를 수 있습니다. IDP별 요청에 대해서는 IDP 공급업체 또는 IT 팀과 상의하십시오.

1. SSO 활성화

a) Salesforce Marketing Cloud(MC) 계정에서 SSO를 활성화합니다. SSO가 Enterprise 계정에서 이미 활성화되었을 수 있습니다. 확인하려면 MC 인스턴스에서 주 Enterprise 계정 ID로 로그인한 다음 설정 > 관리 > 데이터 관리 > 키 관리로 이동합니다. b) SSO가 활성화되면 SSO 메타데이터 라디오 버튼이 표시됩니다. 라디오 버튼이 UI에 표시되지 않으면 SSO가 활성화되지 않았거나, 현재 위치가 비즈니스 단위임을 의미합니다. 현재 위치가 Enterprise급 비즈니스 단위이고 SSO가 활성화되지 않은 경우, 지원팀에 사례를 접수하여 계정에서 SSO를 활성화해 달라고 요청하십시오.

참고: SSO 메타데이터는 한 번에 하나씩만 활성화할 수 있습니다.

2. SAML 메타데이터 검색

SSO가 활성화된 후 SAML 메타데이터를 MC 계정에서 검색해야 합니다. 위치는 설정 > 설정 > 보안 > 보안 설정 > SSO(Single Sign-On) 설정 > SSO SAML 메타데이터(버튼)입니다. URL은 다음과 유사합니다.

https://TenantSpecificEndpoint.login.exacttarget.com/SFMCMetadata

참고: 인증서 버전을 선택하는 옵션이 있으면 가장 늦은 만료 데이터 예를 선택하십시오(2021년 1월 - mc.login.exacttarget.com(2022년 2월 5일에 만료됨))

3. IDP에 적용

이제 SFMC 메타데이터를 IDP에 적용해야 합니다.

4. 키 만들기

SFMC 메타데이터가 작용된 후 메타데이터를 IDP에서 가져와 SFDC의 키 관리 섹션에 입력합니다. 조직 안에서 설정 > 관리 > 데이터 관리 > 키 관리로 이동합니다. <NameIDFormat> 값은 필수이며, IDP 메타데이터는 SFMC 구성에 입력됩니다. <NameIDFormat>이 누락되었거나 잘못되었다는 오류가 발생하면 다음 중 하나를 메타데이터에 추가합니다. <NameIDFormat>이 잘못된 위치에 있어도 오류가 발생합니다.

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat>

<NameIdFormat>의 위치는 </KeyDescriptor> 닫는 태그와 <SingleSignOnService> 여는 태그 사이여야 합니다.

</md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:entity</md:NameIDFormat> <md:SingleSignOnService ... >

참고: MD:는 XML 네임스페이스이며, IDP 메타데이터에서 사용되지 않거나 다른 경우 적절히 제거하거나 변경해야 합니다. <NameIDFormat> 여는 태그와 닫는 태그는 닫는 <KeyDescriptor> 및 여는 <SingleSignOnService>요소에 사용되는 네임스페이스와 일치해야 합니다.

5. 키 저장

이제 저장을 누르고, 키가 수락되면 키가 성공적으로 저장되었다는 녹색 배너가 표시됩니다. 오류가 발생하고 문제를 해결할 수 없으면 지원 사례를 개설하십시오.

6. SSO 활성화 설정

녹색 배너와 키가 올바른지 확인한 후 설정 > 설정 > 보안 > 보안 설정 > 편집 > SSO(Single Sign-On) 설정 > SSO 활성화에서 해당 설정을 선택 또는 확인한 다음 저장을 선택하여 SSO를 MC 계정에 대해 활성화해야 합니다. 참고: SSO 로그인에 대해 ID 인증 요구 안 함은 선택 사항입니다. 참고: 인증서 버전이 다르거나 목록에 여러 버전이 나열될 수 있습니다.

7. 사용자 SSO 설정 구성

다음 단계에는 설정 > 사용자 > 사용자로 이동한 다음 사용자를 클릭합니다. SSO 활성화 옵션을 선택하고 IDP 측에서 구성된 페더레이션 ID를 추가합니다. 값을 알 수 없는 경우, 계속 진행하려면 IDP나 IT 팀에 확인하여 해당 정보를 수집해야 합니다.

참고: SSO 활성화 시에는 로그인하려는 최종 사용자가 사용자 암호를 재설정할 수 없거나 mc.exactarget.com URL을 통해 로그인할 수 없는 상황이 흔히 발생할 수 있습니다. SSO가 활성화되면 전송 중인 사용자 및 패스 로그가 무시됩니다. 이 기능은 최종 사용자가 설정 > 설정 > 보안 > 보안 설정 > 편집 > SSO(Single Sign-On) 설정 > Marketing Cloud SP 시작 링크에 있는 SP 시작 링크, IDP 시작 연결, 또는 대화를 시작하는 다른 방법만 사용하여 로그인할 수 있게 고안되었습니다. 모든 mc.exacttarget.com 요청이 수신되지만 사용자의 SSO 활성화됨 상자가 활성화된 경우 처리되지 않습니다. 처리 여부는 사용자마다 다릅니다.

참고 ii: SSO를 사용하는 경우 SFMC MFA는 필요하지 않지만, SSO IDP 공급자는 MFA 지원을 활성화해야 합니다. 자세한 내용은 여기에서 확인할 수 있습니다.

8. SSO 구성 테스트

새로 지정된 SSO 사용자를 시크릿 창이나 캐시를 모두 제거한 브라우저를 사용하여 테스트합니다. 오류가 표시되면 지원팀에 사례를 접수합니다. 문제없이 로그인되면 추가 SSO 사용자를 계속 구현할 수 있습니다. 모범 사례: 계정을 복구하고 SFMC에 로그인하여 구성 SSO 문제를 수정할 수 있게 SSO를 사용하지 않은 관리 사용자를 1명 이상 남겨두십시오.