SSO(Single Sign On) 설정에서는 Media Connect Center와 고객사가 동일한 아이디로 접근할 수 있도록 통합 로그인 연동을 설정할 수 있습니다. SSO 설정 시 고객사 기업 정보 시스템 로그인 상태가 Media Connect Center에서도 동일하게 유지됩니다. SSO 연동이 완료되면 기존에 사용하던 고객사 기업 정보 시스템의 로그인 계정 정보로 Media Connect Center 로그인할 수 있게 됩니다.
Media Connect Center는 SP(Service Provider) 방식의 SSO를 지원합니다. 제공 중인 SSO 방식은 다음과 같습니다.
OAuth
OAuth 2.0 기반으로 SSO를 설정할 수 있습니다.
동작 순서
OAuth 2.0 기반의 SSO 동작 순서는 다음과 같습니다.
- Media Connect Center 사용
- 사용자가 Media Connect Center 서비스를 사용하기 위해 웹 브라우저에서 URL로 접속
- Authorization Code 발급 요청
- Media Connect Center 로그인되어 있지 않은 경우 고객사 인증 시스템으로 Authorization Code 발급 요청
- 고객사 로그인이 되어 있지 않은 경우 로그인 페이지 실행
- 고객사 요구사항에 맞게 직접 제작한 로그인 페이지를 사용자에게 제공
- 계정 정보 입력
- 고객사 로그인 정책에 따라 사용자가 로그인 아이디와 비밀번호 입력
- 고객사 인증 처리 후 Authorization Code 발급
- 사용자가 입력한 계정 정보로 고객사 시스템 인증 처리 후 Authorization Code 발급
- 고객사 시스템에 이미 로그인되어 있는 경우 3.~4. 단계 생략 후 바로 Authorization Code 발급
- Authorization Code는 Access Token 반환 시 사용하고 소멸되는 일회성 코드
- Authorization Code 반환(redirect)
- 최초 Authorization Code 발급 요청 시 받은 Request 중 Media Connect Center 인증 시스템의 redirect_uri로 Authorization Code redirect
- Authorization Code로 Access Token 요청
- Authorization Code를 파라미터로 고객사 인증 시스템에 Access Token 요청
- Access Token 반환
- 고객사 인증 시스템에서 Authorization Code 검증 후 Access Token 발급하여 반환
- Access Token으로 사용자 정보 요청
- Access Token을 파라미터로 고객사 인증 시스템에 사용자 정보 요청
- 사용자 정보 반환
- 고객사 인증 시스템에서 Access Token 검증 후 사용자의 로그인 메일 주소 정보 반환
- Media Connect Center 인증 토큰 발급
- Media Connect Center 인증 시스템에서 사용자 정보 기반으로 Media Connect Center용 인증 토큰 발급
설정 방법
OAuth 2.0 기반의 SSO 설정 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의** Platform** 메뉴에서 VPC와 Classic 가운데 클릭하여 선택해 주십시오.
- Services > Media > Media Connect Center 메뉴를 차례대로 클릭해 주십시오.
- Developers 메뉴를 클릭해 주십시오.
- 설정에서 SSO 설정 메뉴를 클릭해 주십시오.
- 설정 선택을 On으로 변경하기 위해 클릭해 주십시오.
- SSO 방식에서 OAuth를 클릭하여 선택해 주십시오.
- 설정을 위해 정보를 입력해 주십시오.
- Redirect URL: 정보 확인 후 사용 시 [복사] 버튼 클릭
- 필수 입력값
- Web Login URL: 사용자가 Media Connect Center 웹에 로그인하기 위하여 계정 정보를 입력하는 페이지. 고객사 로그인 처리 후 Authorization Code 발급하여 redirect_uri로 반환. 자세한 설정 방법은 Web Login URL(OAuth)과 Authorization Code 발급 참고
- Access Token Return API: 자세한 설정 방법은 Access Token 발급 API 참고
- User Info Return API: 자세한 설정 방법은 사용자 정보 반환 API 참고
- 선택 입력값
- Application Login URL, Client ID, Client Secret, Scope, Logout URL, Logout Domain
- [적용] 버튼을 클릭해 주십시오.
Web Login URL(OAuth)
고객사의 로그인을 처리한 후 Authorization Code를 발급하여 redirect_uri로 반환합니다.
Request URL
작성한 Request URL을 콘솔의 Web Login URL 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능
<예시> https://고객사 도메인/고객사 로그인 페이지
HTTP Method
GET
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| response_type | String | Y | 인증 과정에 대한 구분값으로 어떠한 형태의 결과값을 받을지 명시하며 항상 'code'라는 고정된 문자열 사용 |
| client_id | String | Y | 네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client id 값 |
| redirect_uri | String | Y | 인증을 처리한 후 Authorization Code를 반환할 URL로 URL 인코딩되어 있음 |
| state | String | Y | CSRF(Cross-stie request forgery) 방지를 위해 임의로 생성된 고유값(authorization code 반환 시 URL에 포함해 파라미터로 state값 리턴) |
| loginId | String | N | 사용자가 입력했던 로그인 아이디 |
Authorization Code 발급
고객사 SSO 시스템에서 고객사 인증 및 SSO에 필요한 처리를 한 후 Authorization Code를 발급해서 Media Connec Center 인증 시스템으로 리다이렉트합니다.
Request URL
Media Connec Center 인증 시스템에서 로그인 페이지 요청 시 전달한 redirect_uri 파라미터값으로 사용자 환경 및 Media Connect Center 정책에 따라 언제든지 바뀔 수 있으므로 반드시 redirect_url로 전달받은 URL을 사용해야 함
<예시> https://Media Connect Center 인증 시스템 URL/authorizationURL
HTTP Method
GET/POST
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| code | String | Y(성공) | Authorization Code Access Token을 발급하는 데 사용되는 일회성 코드 |
| state | String | Y(성공) | CSRF 방지 위해 사용하는 client side의 인증값. URL 인코딩이 되어 있음(redirect_uri 파라미터로 넘긴 state값) |
| error | String | Y(실패) | 실패 시 반환하는 오류 코드 |
| error_description | String | Y(실패) | 실패 시 반환하는 오류 설명 |
Access Token 발급 API
고객사 SSO 시스템에서 Authorization Code를 검증한 후 Access Token을 발급하여 반환합니다.
Request URL
작성한 Request URL을 Access Token Return API 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능
<예시> https://고객사 도메인/accessToken
HTTP Method
POST
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| grant_type | String | Y | 인증 과정에 대한 구분값으로 어떠한 형태의 결과값을 받을지 명시하며 항상'authorization_code'라는 고정된 문자열 사용 |
| client_id | String | Y | 네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client id 값 |
| client_secret | String | Y | 네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client secret 값 |
| code | String | Y | Authorization Code |
| state | String | N | CSRF 방지 위해 사용하는 client side의 인증값으로 URL 인코딩되어 있음 |
Response
| 속성 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| access_token | String | Y(성공) | Access Token |
| token_type | String | Y(성공) | Access Token의 type. 'Bearer' 고정 |
| expires_in | String | Y(성공) | Access Token의 유효 기간(초). 실제 애플리케이션의 로그인 유지 시간 |
| error | String | Y(실패) | 실패 시 반환하는 오류 코드 |
| error_description | String | Y(실패) | 실패 시 반환하는 오류 설명 |
사용자 정보 반환 API
고객사 SSO 시스템에서 Access Token을 검증한 후 사용자 정보를 반환합니다.
Request URL
작성한 Request URL을 User info return API 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능
<예시> https://고객사 도메인/사용자 정보
HTTP Method
POST
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| client_id | String | Y | 네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client id 값 |
| client_secret | String | Y | 네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client secret 값 |
| access_token | String | Y | Access Token |
Response
| 속성 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| email_id | String | Y(성공) | 구성원의 업무 메일 로그인 아이디 |
| error | String | Y(실패) | 실패 시 반환하는 오류 코드 |
| error_description | String | Y(실패) | 실패 시 반환하는 오류 설명 |
SAML
SAML 2.0 기반으로 SSO를 설정할 수 있습니다.
동작 순서
SAML 2.0 기반의 SSO 동작 순서는 다음과 같습니다.
- Media Connect Center 사용
- 사용자가 Media Connect Center 서비스를 사용하기 위해 웹 브라우저에서 URL로 접속
- SAML Request 생성 후 전달(redirect)
- Media Connect Center 로그인되어 있지 않은 경우 고객사 인증 시스템으로 SAML Request를 생성하여 전달
- 고객사 로그인되어 있지 않은 경우 SAML Request 검증 후 로그인 페이지 실행**
- 고객사 인증 시스템에서는 SAML Request가 올바른 요청인지 확인
- 고객사 요구사항에 맞게 직접 제작한 로그인 페이지를 사용자에게 제공
- 계정 정보 입력
- 고객사 로그인 정책에 따라 사용자가 로그인 아이디와 비밀번호 입력
- 고객사 인증 처리 후 SAML Response 생성
- 사용자가 입력한 계정 정보로 고객사 시스템 인증 처리 후 SAML Response 생성
- 고객사 시스템에 이미 로그인되어 있는 경우 3.~4. 단계 생략 후 바로 SAML Response 생성
- SAML Response는 Media Connect Center에 미리 등록한 인증서로 전자서명
- SAML Response 전달(redirect)
- SAML Response를 Media Connect Center에서 전달한 SAML Request의 ACS URL로 전달
- Media Connect Center 인증 토큰 발급
- 고객사가 미리 등록한 인증서로 SAML Response를 검증하여 인증 및 사용자 정보 확인 후 Media Connect Center용 인증 토큰 발급
설정 방법
SAML 2.0 기반의 SSO 설정 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의** Platform** 메뉴에서 VPC와 Classic 가운데 클릭하여 선택해 주십시오.
- Services > Media > Media Connect Center 메뉴를 차례대로 클릭해 주십시오.
- Developers 메뉴를 클릭해 주십시오.
- 설정에서 SSO 설정 메뉴를 클릭해 주십시오.
- 설정 선택을 On으로 변경하기 위해 클릭해 주십시오.
- SSO 방식에서 SAML을 클릭하여 선택해 주십시오.
- 설정을 위해 정보를 입력해 주십시오.
- ACS URL: 정보 확인 후 사용 시 [복사] 버튼 클릭
- Entity ID: 정보 확인 후 사용 시 [복사] 버튼 클릭
- 필수 입력값
- Web Login URL: 사용자가 Media Connect Center 웹에 로그인하기 위하여 계정 정보를 입력하는 페이지. 자세한 설정 방법은 Web Login URL(SAML)과 SAML Request 검증 참고
- 선택 입력값
- Application Login URL, Logout URL, Logout Domain
- SAML 전자 서명 시 사용할 인증서 파일 등록을 위해 파일 등록의 [파일 첨부] 버튼을 클릭해 주십시오.
- Media Connect Center는 ACS URL로 SAML Response를 받으면 등록한 인증서를 이용하여 유효성 검증
- 파일을 선택하여 등록해 주십시오.
- [적용] 버튼을 클릭해 주십시오.
Web Login URL(SAML)
SAML Request를 검증하고 고객사의 로그인을 처리한 후 SAML Response를 생성하여 ACS URL로 반환합니다.
Request URL
작성한 Request URL을 콘솔의 Web Login URL 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 80이나 443만 사용 가능
<예시> https://고객사 도메인/고객사 로그인 페이지
HTTP Method
GET
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| SAMLRequest | String | Y | SAML 2.0 Request 명세에 따른 문자열(Deflate + Base64로 인코딩한 값) |
| RelayState | String | Y | 인증 실패 시 재시도하는 URL |
SAML Request 검증
SAML Request는 Deflate + Base64로 인코딩되어 있습니다.
SAML Request 명세
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="{ACS URL}"
ID="{Media Connect Center 인증 시스템에서 발행하는 ID}"
IssueInstant="{Request 생성 일시}"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
ProviderName="ncloudmediaconnectcenter.com"
Version="2.0">
<saml2:Issuer
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
<saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>
SAML Request의 각 항목은 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| AuthnRequest AssertionConsumerServiceURL | SAML Response를 전달하는 URL(ACS URL) |
| AuthnRequest ID | Media Connect Center 인증 시스템에서 발행하는 ID로 SAML Response 생성 시 사용 |
| AuthnRequest IssueInstant | SAML Request 생성 날짜 |
| AuthnRequest ProtocolBinding | 'HTTP-POST'로 보내므로 SAML Response는 반드시 POST 방식으로 전송 |
| AuthnRequest ProviderName | 서비스 제공자 이름으로 'ncloudmediaconnectcenter.com'으로 보내고 있음 |
| Issuer | 서비스 제공자 생성자 이름템에서 발행하는 ID로 SAML Response 생성 시 사용 |
SAML Request 예시
<?xml version="1.0" encoding="UTF-8"?>
<saml2p:AuthnRequest
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="https://회사 ID.ncloudmediaconnectcenter.com/...."
ID="bemkplgpdoemkhjmncgmbcdibglpngclfombpmed"
IssueInstant="2018-02-14T03:33:49.999Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
ProviderName="ncloudmediaconnectcenter.com"
Version="2.0">
<saml2:Issuer
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
<saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
</saml2p:AuthnRequest>
LDAP
LDAP 기반으로 SSO를 설정할 수 있습니다.
설정 방법
LDAP 기반의 SSO 설정 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의** Platform** 메뉴에서 VPC와 Classic 가운데 클릭하여 선택해 주십시오.
- Services > Media > Media Connect Center 메뉴를 차례대로 클릭해 주십시오.
- Developers 메뉴를 클릭해 주십시오.
- 설정에서 SSO 설정 메뉴를 클릭해 주십시오.
- 설정 선택을 On으로 변경하기 위해 클릭해 주십시오.
- SSO 방식에서 LDAP를 클릭하여 선택해 주십시오.
- 설정을 위해 정보를 입력해 주십시오.
- 필수 입력값
- LDAP URL, URL, Domain Access User Name, Domain Access User, Password, Domain Base, User Class Name, User ID attribute
- 필수 입력값
- 파일을 선택하여 등록해 주십시오.
- [적용] 버튼을 클릭해 주십시오.
로그아웃
로그아웃에는 Media Connect Center 로그아웃과 고객사 로그아웃이 있습니다.
Media Connect Center 로그아웃
고객사의 기업 정보 시스템에서 로그아웃 후 Media Connect Center에서 로그아웃하는 경우 사용합니다. 로그아웃 요청을 받으면 Media Connect Center에서는 로그인되어 있는 Media Connect Center의 계정을 로그아웃하고 전달받은 redirect_uri로 리다이렉트합니다.
Request URL
redirect_uri는 white_url로 관리되므로 작성한 Request URL을 콘솔의 Logout Domain 필드에 입력
<예시> https://회사 ID.ncloudmediaconnectcenter.com/authn/logoutProcess
- OAuth
- SAML
HTTP Method
GET/POST
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| redirect_uri | String | Y | Media Connect Center 로그아웃 후 리다이렉트할 URL로 URL 인코딩되어 있음 |
Response
redirect_uri로 리다이렉트
고객사 로그아웃
Media Connect Center에서 로그아웃 후 고객사의 기업 정보 시스템에서도 로그아웃하는 경우 사용합니다.
Request URL
작성한 Request URL을 콘솔의 Logout URL 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능
<예시> https://고객사 도메인/로그아웃
- OAuth
- SAML
HTTP Method
GET
Request
| 파라미터 | 타입 | 필수 여부 | 설명 |
|---|---|---|---|
| redirect_uri | String | N | 고객사 시스템에서 로그아웃 처리 후 redirect할 URL로 URL 인코딩되어 있음 |