SSO 설정
    • PDF

    SSO 설정

    • PDF

    기사 요약

    SSO(Single Sign On) 설정에서는 Media Connect Center와 고객사가 동일한 아이디로 접근할 수 있도록 통합 로그인 연동을 설정할 수 있습니다. SSO 설정 시 고객사 기업 정보 시스템 로그인 상태가 Media Connect Center에서도 동일하게 유지됩니다. SSO 연동이 완료되면 기존에 사용하던 고객사 기업 정보 시스템의 로그인 계정 정보로 Media Connect Center 로그인할 수 있게 됩니다.
    Media Connect Center는 SP(Service Provider) 방식의 SSO를 지원합니다. 제공 중인 SSO 방식은 다음과 같습니다.

    OAuth

    OAuth 2.0 기반으로 SSO를 설정할 수 있습니다.

    동작 순서

    OAuth 2.0 기반의 SSO 동작 순서는 다음과 같습니다.

    1. Media Connect Center 사용
      • 사용자가 Media Connect Center 서비스를 사용하기 위해 웹 브라우저에서 URL로 접속
    2. Authorization Code 발급 요청
      • Media Connect Center 로그인되어 있지 않은 경우 고객사 인증 시스템으로 Authorization Code 발급 요청
    3. 고객사 로그인이 되어 있지 않은 경우 로그인 페이지 실행
      • 고객사 요구사항에 맞게 직접 제작한 로그인 페이지를 사용자에게 제공
    4. 계정 정보 입력
      • 고객사 로그인 정책에 따라 사용자가 로그인 아이디와 비밀번호 입력
    5. 고객사 인증 처리 후 Authorization Code 발급
      • 사용자가 입력한 계정 정보로 고객사 시스템 인증 처리 후 Authorization Code 발급
      • 고객사 시스템에 이미 로그인되어 있는 경우 3.~4. 단계 생략 후 바로 Authorization Code 발급
      • Authorization Code는 Access Token 반환 시 사용하고 소멸되는 일회성 코드
    6. Authorization Code 반환(redirect)
      • 최초 Authorization Code 발급 요청 시 받은 Request 중 Media Connect Center 인증 시스템의 redirect_uri로 Authorization Code redirect
    7. Authorization Code로 Access Token 요청
      • Authorization Code를 파라미터로 고객사 인증 시스템에 Access Token 요청
    8. Access Token 반환
      • 고객사 인증 시스템에서 Authorization Code 검증 후 Access Token 발급하여 반환
    9. Access Token으로 사용자 정보 요청
      • Access Token을 파라미터로 고객사 인증 시스템에 사용자 정보 요청
    10. 사용자 정보 반환
      • 고객사 인증 시스템에서 Access Token 검증 후 사용자의 로그인 메일 주소 정보 반환
    11. Media Connect Center 인증 토큰 발급
      • Media Connect Center 인증 시스템에서 사용자 정보 기반으로 Media Connect Center용 인증 토큰 발급

    설정 방법

    OAuth 2.0 기반의 SSO 설정 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의** Platform** 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Media > Media Connect Center 메뉴를 차례대로 클릭해 주십시오.
    3. Developers 메뉴를 클릭해 주십시오.
    4. 설정에서 SSO 설정 메뉴를 클릭해 주십시오.
    5. 설정 선택을 On으로 변경하기 위해 클릭해 주십시오.
    6. SSO 방식에서 OAuth를 클릭하여 선택해 주십시오.
    7. 설정을 위해 정보를 입력해 주십시오.
      mediaconnectcenter-ssosettings_01_ko
      • Redirect URL: 정보 확인 후 사용 시 [복사] 버튼 클릭
      • 필수 입력값
      • 선택 입력값
        • Application Login URL, Client ID, Client Secret, Scope, Logout URL, Logout Domain
    8. [적용] 버튼을 클릭해 주십시오.

    Web Login URL(OAuth)

    고객사의 로그인을 처리한 후 Authorization Code를 발급하여 redirect_uri로 반환합니다.

    Request URL
    작성한 Request URL을 콘솔의 Web Login URL 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능

    <예시> https://고객사 도메인/고객사 로그인 페이지
    

    mediaconnectcenter-ssosettings_02_ko

    HTTP Method
    GET

    Request

    파라미터타입필수 여부설명
    response_typeStringY인증 과정에 대한 구분값으로 어떠한 형태의 결과값을 받을지 명시하며 항상 'code'라는 고정된 문자열 사용
    client_idStringY네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client id 값
    redirect_uriStringY인증을 처리한 후 Authorization Code를 반환할 URL로 URL 인코딩되어 있음
    stateStringYCSRF(Cross-stie request forgery) 방지를 위해 임의로 생성된 고유값(authorization code 반환 시 URL에 포함해 파라미터로 state값 리턴)
    loginIdStringN사용자가 입력했던 로그인 아이디

    Authorization Code 발급

    고객사 SSO 시스템에서 고객사 인증 및 SSO에 필요한 처리를 한 후 Authorization Code를 발급해서 Media Connec Center 인증 시스템으로 리다이렉트합니다.

    Request URL
    Media Connec Center 인증 시스템에서 로그인 페이지 요청 시 전달한 redirect_uri 파라미터값으로 사용자 환경 및 Media Connect Center 정책에 따라 언제든지 바뀔 수 있으므로 반드시 redirect_url로 전달받은 URL을 사용해야 함

    <예시> https://Media Connect Center 인증 시스템 URL/authorizationURL
    

    HTTP Method
    GET/POST

    Request

    파라미터타입필수 여부설명
    codeStringY(성공)Authorization Code Access Token을 발급하는 데 사용되는 일회성 코드
    stateStringY(성공)CSRF 방지 위해 사용하는 client side의 인증값. URL 인코딩이 되어 있음(redirect_uri 파라미터로 넘긴 state값)
    errorStringY(실패)실패 시 반환하는 오류 코드
    error_descriptionStringY(실패)실패 시 반환하는 오류 설명

    Access Token 발급 API

    고객사 SSO 시스템에서 Authorization Code를 검증한 후 Access Token을 발급하여 반환합니다.

    Request URL
    작성한 Request URL을 Access Token Return API 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능

    <예시> https://고객사 도메인/accessToken
    

    mediaconnectcenter-ssosettings_03_ko

    HTTP Method
    POST

    Request

    파라미터타입필수 여부설명
    grant_typeStringY인증 과정에 대한 구분값으로 어떠한 형태의 결과값을 받을지 명시하며 항상'authorization_code'라는 고정된 문자열 사용
    client_idStringY네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client id 값
    client_secretStringY네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client secret 값
    codeStringYAuthorization Code
    stateStringNCSRF 방지 위해 사용하는 client side의 인증값으로 URL 인코딩되어 있음

    Response

    속성타입필수 여부설명
    access_tokenStringY(성공)Access Token
    token_typeStringY(성공)Access Token의 type. 'Bearer' 고정
    expires_inStringY(성공)Access Token의 유효 기간(초). 실제 애플리케이션의 로그인 유지 시간
    errorStringY(실패)실패 시 반환하는 오류 코드
    error_descriptionStringY(실패)실패 시 반환하는 오류 설명

    사용자 정보 반환 API

    고객사 SSO 시스템에서 Access Token을 검증한 후 사용자 정보를 반환합니다.

    Request URL
    작성한 Request URL을 User info return API 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능

    <예시> https://고객사 도메인/사용자 정보
    

    mediaconnectcenter-ssosettings_04_ko

    HTTP Method
    POST

    Request

    파라미터타입필수 여부설명
    client_idStringY네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client id 값
    client_secretStringY네이버 클라우드 플랫폼 콘솔 Developers에서 등록한 client secret 값
    access_tokenStringYAccess Token

    Response

    속성타입필수 여부설명
    email_idStringY(성공)구성원의 업무 메일 로그인 아이디
    errorStringY(실패)실패 시 반환하는 오류 코드
    error_descriptionStringY(실패)실패 시 반환하는 오류 설명

    SAML

    SAML 2.0 기반으로 SSO를 설정할 수 있습니다.

    동작 순서

    SAML 2.0 기반의 SSO 동작 순서는 다음과 같습니다.

    1. Media Connect Center 사용
      • 사용자가 Media Connect Center 서비스를 사용하기 위해 웹 브라우저에서 URL로 접속
    2. SAML Request 생성 후 전달(redirect)
      • Media Connect Center 로그인되어 있지 않은 경우 고객사 인증 시스템으로 SAML Request를 생성하여 전달
    3. 고객사 로그인되어 있지 않은 경우 SAML Request 검증 후 로그인 페이지 실행**
      • 고객사 인증 시스템에서는 SAML Request가 올바른 요청인지 확인
      • 고객사 요구사항에 맞게 직접 제작한 로그인 페이지를 사용자에게 제공
    4. 계정 정보 입력
      • 고객사 로그인 정책에 따라 사용자가 로그인 아이디와 비밀번호 입력
    5. 고객사 인증 처리 후 SAML Response 생성
      • 사용자가 입력한 계정 정보로 고객사 시스템 인증 처리 후 SAML Response 생성
      • 고객사 시스템에 이미 로그인되어 있는 경우 3.~4. 단계 생략 후 바로 SAML Response 생성
      • SAML Response는 Media Connect Center에 미리 등록한 인증서로 전자서명
    6. SAML Response 전달(redirect)
      • SAML Response를 Media Connect Center에서 전달한 SAML Request의 ACS URL로 전달
    7. Media Connect Center 인증 토큰 발급
      • 고객사가 미리 등록한 인증서로 SAML Response를 검증하여 인증 및 사용자 정보 확인 후 Media Connect Center용 인증 토큰 발급

    설정 방법

    SAML 2.0 기반의 SSO 설정 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의** Platform** 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Media > Media Connect Center 메뉴를 차례대로 클릭해 주십시오.
    3. Developers 메뉴를 클릭해 주십시오.
    4. 설정에서 SSO 설정 메뉴를 클릭해 주십시오.
    5. 설정 선택을 On으로 변경하기 위해 클릭해 주십시오.
    6. SSO 방식에서 SAML을 클릭하여 선택해 주십시오.
    7. 설정을 위해 정보를 입력해 주십시오.
      mediaconnectcenter-ssosettings_05_ko
      • ACS URL: 정보 확인 후 사용 시 [복사] 버튼 클릭
      • Entity ID: 정보 확인 후 사용 시 [복사] 버튼 클릭
      • 필수 입력값
        • Web Login URL: 사용자가 Media Connect Center 웹에 로그인하기 위하여 계정 정보를 입력하는 페이지. 자세한 설정 방법은 Web Login URL(SAML)SAML Request 검증 참고
      • 선택 입력값
        • Application Login URL, Logout URL, Logout Domain
    8. SAML 전자 서명 시 사용할 인증서 파일 등록을 위해 파일 등록[파일 첨부] 버튼을 클릭해 주십시오.
      • Media Connect Center는 ACS URL로 SAML Response를 받으면 등록한 인증서를 이용하여 유효성 검증
    9. 파일을 선택하여 등록해 주십시오.
    10. [적용] 버튼을 클릭해 주십시오.

    Web Login URL(SAML)

    SAML Request를 검증하고 고객사의 로그인을 처리한 후 SAML Response를 생성하여 ACS URL로 반환합니다.

    Request URL
    작성한 Request URL을 콘솔의 Web Login URL 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 80이나 443만 사용 가능

    <예시> https://고객사 도메인/고객사 로그인 페이지
    

    mediaconnectcenter-ssosettings_06_ko

    HTTP Method
    GET

    Request

    파라미터타입필수 여부설명
    SAMLRequestStringYSAML 2.0 Request 명세에 따른 문자열(Deflate + Base64로 인코딩한 값)
    RelayStateStringY인증 실패 시 재시도하는 URL

    SAML Request 검증

    SAML Request는 Deflate + Base64로 인코딩되어 있습니다.

    SAML Request 명세

    <?xml version="1.0" encoding="UTF-8"?>
    <saml2p:AuthnRequest
      xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
      AssertionConsumerServiceURL="{ACS URL}"
      ID="{Media Connect Center 인증 시스템에서 발행하는 ID}"
      IssueInstant="{Request 생성 일시}"
      ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
      ProviderName="ncloudmediaconnectcenter.com"
      Version="2.0">
      <saml2:Issuer
          xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
      <saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
    </saml2p:AuthnRequest>
    

    SAML Request의 각 항목은 다음과 같습니다.

    항목설명
    AuthnRequest AssertionConsumerServiceURLSAML Response를 전달하는 URL(ACS URL)
    AuthnRequest IDMedia Connect Center 인증 시스템에서 발행하는 ID로 SAML Response 생성 시 사용
    AuthnRequest IssueInstantSAML Request 생성 날짜
    AuthnRequest ProtocolBinding'HTTP-POST'로 보내므로 SAML Response는 반드시 POST 방식으로 전송
    AuthnRequest ProviderName서비스 제공자 이름으로 'ncloudmediaconnectcenter.com'으로 보내고 있음
    Issuer서비스 제공자 생성자 이름템에서 발행하는 ID로 SAML Response 생성 시 사용

    SAML Request 예시

    <?xml version="1.0" encoding="UTF-8"?>
    <saml2p:AuthnRequest
      xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
      AssertionConsumerServiceURL="https://회사 ID.ncloudmediaconnectcenter.com/...."
      ID="bemkplgpdoemkhjmncgmbcdibglpngclfombpmed"
      IssueInstant="2018-02-14T03:33:49.999Z"
      ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
      ProviderName="ncloudmediaconnectcenter.com"
      Version="2.0">
      <saml2:Issuer
          xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">ncloudmediaconnectcenter.com</saml2:Issuer>
      <saml2p:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
    </saml2p:AuthnRequest>
    

    LDAP

    LDAP 기반으로 SSO를 설정할 수 있습니다.

    설정 방법

    LDAP 기반의 SSO 설정 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의** Platform** 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    2. Services > Media > Media Connect Center 메뉴를 차례대로 클릭해 주십시오.
    3. Developers 메뉴를 클릭해 주십시오.
    4. 설정에서 SSO 설정 메뉴를 클릭해 주십시오.
    5. 설정 선택을 On으로 변경하기 위해 클릭해 주십시오.
    6. SSO 방식에서 LDAP를 클릭하여 선택해 주십시오.
    7. 설정을 위해 정보를 입력해 주십시오.
      mediaconnectcenter-ssosettings_07_ko
      • 필수 입력값
        • LDAP URL, URL, Domain Access User Name, Domain Access User, Password, Domain Base, User Class Name, User ID attribute
    8. 파일을 선택하여 등록해 주십시오.
    9. [적용] 버튼을 클릭해 주십시오.

    로그아웃

    로그아웃에는 Media Connect Center 로그아웃과 고객사 로그아웃이 있습니다.

    Media Connect Center 로그아웃

    고객사의 기업 정보 시스템에서 로그아웃 후 Media Connect Center에서 로그아웃하는 경우 사용합니다. 로그아웃 요청을 받으면 Media Connect Center에서는 로그인되어 있는 Media Connect Center의 계정을 로그아웃하고 전달받은 redirect_uri로 리다이렉트합니다.

    Request URL
    redirect_uri는 white_url로 관리되므로 작성한 Request URL을 콘솔의 Logout Domain 필드에 입력

    <예시> https://회사 ID.ncloudmediaconnectcenter.com/authn/logoutProcess
    
    • OAuth
      mediaconnectcenter-ssosettings_08_ko
    • SAML
      mediaconnectcenter-ssosettings_10_ko

    HTTP Method
    GET/POST

    Request

    파라미터타입필수 여부설명
    redirect_uriStringYMedia Connect Center 로그아웃 후 리다이렉트할 URL로 URL 인코딩되어 있음

    Response
    redirect_uri로 리다이렉트

    고객사 로그아웃

    Media Connect Center에서 로그아웃 후 고객사의 기업 정보 시스템에서도 로그아웃하는 경우 사용합니다.

    Request URL
    작성한 Request URL을 콘솔의 Logout URL 필드에 입력. 포트 번호는 인프라 보안 정책에 따라 443만 사용 가능

    <예시> https://고객사 도메인/로그아웃
    
    • OAuth
      mediaconnectcenter-ssosettings_09_ko
    • SAML
      mediaconnectcenter-ssosettings_11_ko

    HTTP Method
    GET

    Request

    파라미터타입필수 여부설명
    redirect_uriStringN고객사 시스템에서 로그아웃 처리 후 redirect할 URL로 URL 인코딩되어 있음

    이 문서가 도움이 되었습니까?

    What's Next
    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.