페푸리의 Office Server 이야기

이번에는 미리 구성해 놓은 ADFS 를 이용하여 Salesforce Single sign on(SSO) 설정을 진행하겠습니다.

Salesforce의 기술자료는 Windows Server 2008R2 를 기준으로 나와 있지만, 그 이후의 버전으로도 설정할 수 있습니다.

Configure SSO to Salesforce Using Microsoft AD FS as the Identity Provider

https://help.salesforce.com/articleView?id=identity_provider_examples_3p_adfs.htm

우선 Salesforce 홈페이지에서 무료평가판을 신청해서 진행하였습니다.

https://www.salesforce.com/kr

[단계1] 도메인등록

관리자 계정으로 로그인 한 뒤, 상단의 설정을 클릭합니다.

도메인 관리 - 내 도메인으로 이동한 뒤, 사용할 도메인 이름을 설정합니다. (ex: contoso) O365의 테넌트 이름과 비슷한 개념입니다.

[단계2] SAML 2.0 설정

보안 관리 - 단일 등록 설정 메뉴로 이동합니다

 편집을 클릭합니다.

SAML 활성화됨 을 체크한 뒤, 저장합니다.

새로 만들기를 클릭합니다.

이름을 입력합니다.

발급자 항목은 ADFS Console 상에서 Federation Metadata URL 로 이동한 뒤, entityID 에서 확인할 수 있습니다.

Ex)https://sts.contoso.kr/FederationMetadata/2007-06/FederationMetadata.xml

일반적으로는 http://sts.contoso.kr/adfs/services/trust 와 같은 형태입니다.

해당 값을 입력합니다.

엔티티 ID는 Sales force 의 도메인이름 URL을 입력합니다.

https://contoso.my.salesforce.com

ID 공급자 인증서의 경우 ADFS Console 에서 Certificates - Token-signing 인증서를 속성 확인

Details Tab - Copy to File 을 클릭하여,  인증서를 내보내기 합니다.

해당 인증서를 업로드 합니다.

SAML ID 유형은 연합 ID 포함으로 선택, 바인딩 부분은 HTTP 리디렉션으로 지정합니다.

SAML ID 유형은 연합 ID 포함으로 선택, 바인딩 부분은 HTTP 리디렉션으로 지정합니다.

공급자 로그인 URL 식별을 ADFS Login URL을 입력한 뒤, 저장합니다.

https://sts.contoso.kr/adfs/ls

전체 설정을 확인합니다. 그리고 메타데이터를 다운로드하여 ADFS 머신에 복사합니다.

[단계3] Add Relying Party Trust

ADFS Console 에서 Add Relying Party Trust 를 클릭합니다.

Start

다운로드한 메타데이터 파일을 지정합니다. - Next

Display name 입력 후 Next

Next

Next

Close

Edit Claim Issuance Policy

Add Rule

Next

아래와 같이 항목 지정

OK

[단계4] Federation ID 설정

각 사용자 정보에서 연합 ID 정보에 AD 계정을 입력합니다.

도메인 관리 - 내 도메인 - 인증 구성 - 편집

인증 서비스를 ADFS 로 변경합니다.

로그인 페이지에서 사용자 정의 도메인을 클릭합니다.

지정한 도메인을 입력합니다.

ADFS 페이지로 이동되는 것을 확인할 수 있습니다. 로그인을 진행합니다.

로그인 성공

ADFS의 직접 로그인 페이지에서도 접근할 수 있습니다.

https://sts.contoso.kr/adfs/ls/IdpInitiatedSignon.aspx