IdP(ID 제공업체)를 통해 SSO 인증 설정

첫 번째 단계에서는 IdP 측을 구성합니다. 

기본 IdP 구성 절차

다음 IdP에서 SSO 인증을 구성하는 자세한 절차를 참조하세요.

• JumpCloud
• Okta
• OneLogin
• Ping Identity

다른 IdP 플랫폼에 대한 구성 개요

다른 IdP 플랫폼의 구성 프로세스 개요:

• 앱스플라이어 앱은 SAML 2.0 프로토콜을 기반으로 IdP 플랫폼에서 생성되고 앱스플라이어 인증 인증서는 IdP 플랫폼에서 구현됩니다.
• 유저는 새로운 앱스플라이어 앱에 할당됩니다
• (2단계에서) IdP 인증서 또는 메타데이터는 앱스플라이어에서 사용할 수 있도록 검색됩니다.

콜백 URL 구성  

앱스플라이어로 들어가는 유저를 인증하는 기본 방법은 IdP에서 인증하는 것입니다. 이는 유저가 IdP 인증 플러그인이나 웹페이지에서 앱스플라이어로 연결된다는 의미입니다.

다음 링크를 사용하여 IdP에서 유저를 인증합니다. https://hq1.appsflyer.com/auth/sso-callback/

앱스플라이어 계정 ID 예시: acc-xxxxxx. 계정 ID를 얻으려면 CSM에 문의하세요.

IdP 플랫폼을 구성한 후 앱스플라이어로 돌아가서 구성을 완료합니다. 

1. 상단 막대에서 계정 메뉴(이메일 주소 드롭다운) > 보안 센터를 엽니다.
2. 향상된 로그인 보안 아래에서 로그인 방법 구성을 선택합니다.
3. SSO(Single sign-on) 섹션의 IdP SSO 인증서 업로드 근처에서 추가를 클릭합니다. 
   
4. 다음 방법 중 하나로 IdP SSO 메타데이터를 추가합니다.
   • URL 주소: 1단계의 IdP 플랫폼에서 복사한 URL을 붙여넣습니다.
     
   • 파일 업로드: 1단계의 IdP 플랫폼에서 다운로드한 파일을 업로드합니다.
     

     

5. 가져오기를 클릭한 다음 저장을 클릭합니다.
6. [선택 사항] 강제 SSO 로그인: 이 확인란을 선택하면 유저가 유저 이름과 비밀번호가 아닌 SSO를 통해 로그인하게 됩니다.
   Note:
   • 강제 SSO 로그인 유지를 선택하는 것이 보다 안전한 로그인을 적용하기 위해 권장되는 방법입니다. 이는 로그인을 시도하는 유저가 IdP에 의해 인증되며 유저 이름과 비밀번호만으로는 로그인할 수 없음을 의미합니다.
   • SSO(Single Sign-On) 토글을 켜고 저장하면 강제 SSO 로그인 옵션이 비활성화됩니다. 즉, 강제 SSO 로그인 선택 여부에 관계없이 변경할 수 없습니다. 이를 되돌리는 방법 보기
7. SSO(Single Sign-On)를 켜고 저장을 클릭합니다.

IdP와 앱스플라이어의 두 플랫폼에서 모두 SSO 구성을 완료한 후 유저가 URL 콜백 방법(IdP 또는 서비스 제공업체(앱스플라이어) 중 하나를 사용하여 앱스플라이어에 로그인할 수 있는지 확인하세요(둘 다는 아님).

IdP를 통한 인증 테스트

IdP를 통해 로그인하도록 인증을 구성한 경우, 유저가 IdP 플러그인이나 웹페이지에서 앱스플라이어에 들어갈 수 있는지 확인하세요.

1. 앱스플라이어와 IdP에 로그인되어 있는 경우 둘 모두에서 로그아웃합니다.
2. 시크릿 모드로 웹페이지를 엽니다.
3. IdP 웹페이지로 이동합니다. IdP에 로그인되어 있지 않으므로 인증 과정을 거치게 됩니다. 해당 유저로 로그인하세요.
4. 앱스플라이어를 검색하고 선택합니다. 앱스플라이어 홈페이지로 이동됩니다. 이는 프로세스가 성공했음을 나타냅니다.

서비스 제공업체(앱스플라이어)를 통한 인증 테스트

서비스 제공업체(앱스플라이어)를 통해 로그인하도록 인증 흐름을 구성한 경우, 유저가 이메일을 사용하여 앱스플라이어에 들어갈 수 있는지 확인하세요.

1. 앱스플라이어와 IdP에 로그인되어 있는 경우 둘 모두에서 로그아웃합니다.
2. 시크릿 모드로 웹페이지를 엽니다.
3. 앱스플라이어 로그인 페이지로 이동하여 SSO로 로그인을 클릭합니다.
4. 해당 이메일을 입력하고 계속을 클릭합니다. 이제 인증을 위해 IdP로 이동됩니다.
5. IdP 인증 후에는 로그인한 유저로 앱스플라이어로 다시 리디렉션됩니다. 이는 프로세스가 성공했음을 나타냅니다.

SSO는 유저가 ID 제공업체(예: Okta, Azure AD 또는 OneLogin)를 통해 한 번 로그인하여 여러 독립 앱, 시스템 또는 플랫폼에 액세스할 수 있도록 하는 인증 방법입니다. 유저는 IdP에 앱스플라이어를 추가하여 SSO(Single Sign-On) 프로세스를 통해 IdP에서 직접 앱스플라이어에 로그인할 수 있습니다. 이를 통해 유저는 하나의 자격 증명 세트만 사용하여 보다 안전한 인증을 통해 자동으로 로그인할 수 있습니다.

앱스플라이어 플랫폼은 SAML2.0 프로토콜을 사용한 SSO 확인을 지원합니다. 앱스플라이어의 인증서를 SAML 2.0 IdP에 구현하면 IdP가 인증된 유저 데이터로 토큰을 생성합니다. 동일한 프로세스가 IdP에서 앱스플라이어로 수행됩니다. 해당 토큰은 앱스플라이어에서 구현됩니다.

앱스플라이어는 데이터를 암호화하고 SSO 요청에 서명하기 위한 암호화 인증서를 제공합니다. 사용할 인증서를 선택할 수 있습니다.

• 앱스플라이어 서명 인증서: 앱스플라이어 인증서(.crt 문서). 앱스플라이어 메타데이터 URL(아래 참조)에서 이 인증서를 얻을 수 있습니다.
• CA 서명 인증서: Amazon이 서명한 앱스플라이어 인증서. 이 인증서를 얻으려면 CSM에 문의하세요.

앱스플라이어 인증서 파일 생성

인증서 파일을 생성하려면 암호화 키가 들어 있는 파일을 생성해야 합니다. 이 작업은 다음 두 단계로 수행됩니다.

1. 필요한 데이터를 가져옵니다.
2. 텍스트 파일을 생성하고 데이터를 입력합니다.

1. 데이터 얻기

보안 센터 또는 메타데이터 URL을 통해 인증서 파일의 데이터를 가져올 수 있습니다.

앱스플라이어 보안 센터에서 다음을 수행합니다.

1. 상단 막대에서 계정 메뉴(관리자 이메일 주소 드롭다운) > 보안 센터를 엽니다.
2. 향상된 로그인 보안 아래에서 로그인 방법 구성을 선택합니다.
3. SSO(Single sign-on) 섹션의 최신 인증서 복사 근처에서 보기를 클릭합니다.
4. 암호화 키를 복사합니다.

메타데이터 URL에서 다음을 수행합니다.

1. 앱스플라이어 메타데이터 URL을 열고 use="encryption"을 찾습니다.
2.  use="encryption" 요소의 X509Certificate 요소에서 데이터를 복사합니다(아래 이미지에 강조 표시된 요소 데이터 참조).

2. 인증서 텍스트 파일 만들기:

필요한 데이터를 얻은 후 아래 설명된 대로 데이터가 포함된 텍스트 파일을 만듭니다.

1. 복사한 데이터를 새 텍스트 파일에 붙여넣습니다.
2. "-----BEGIN CERTIFICATE-----"를 파일의 시작 부분에 삽입합니다.
3. "-----END CERTIFICATE-----"를 파일의 끝에 추가합니다.
4. .CRT 또는 .PEM 확장자로 텍스트 파일을 저장합니다.

• 전제 조건: 유저는 동일한 이메일을 사용하여 두 시스템(앱스플라이어 및 IdP)에 모두 설정되어야 합니다.
• 관리자만 SSO를 활성화하거나 비활성화할 수 있습니다.
• 이 기능이 SSO 전용 모드로 설정된 경우 모든 유저는 SSO만으로 로그인해야 하며, 특정 유저를 제외할 수 없습니다.
• 다른 인증 방법(예: 유저 이름 및 비밀번호)과 함께 SSO를 모두 활성화하지 않는 것이 좋습니다.

SSO 인증을 비활성화하면 유저는 앱스플라이어 유저 이름 및 비밀번호, 2FA 방법 등 다른 방법을 사용하여 로그인할 수 있습니다.

1. 상단 막대에서 계정 메뉴(관리자 이메일 주소 드롭다운) > 보안 센터를 엽니다.
2. 향상된 로그인 보안 아래에서 로그인 방법 구성을 선택합니다.
3. SSO(Single Sign-On)섹션에서 Single Sign-On 토글을 끕니다.

한 번에 하나의 보안 로그인 방법(SSO 또는 2FA)만 사용할 수 있습니다.

• SSO 활성화 시 2FA 방법을 활성화하는 방법: 먼저 SSO를 비활성화한 다음 2FA를 활성화합니다.
• 2FA 활성화 시 SSO 방법을 활성화하는 방법: 먼저 2FA를 비활성화한 다음 SSO를 활성화합니다.

모든 유저 이메일이 IdP와 앱스플라이어 플랫폼 두 시스템에 모두 설정되어 있는지 확인하세요. 그게 이유가 아니라면 CSM에 문의하여 이유와 해결 방법을 알아보세요. 그동안 CSM은 유저가 이메일과 비밀번호를 사용하여 로그인할 수 있도록 강제 SSO 로그인 옵션을 일시적으로 비활성화할 수 있습니다. 

테스트 환경은 필요하지 않습니다. IdP 또는 서비스 제공업체 측(앱스플라이어)에서 SSO 로그인을 테스트하려면 3단계의 절차를 따르세요.

앱스플라이어 SSO 인증서가 곧 만료될 때 앱스플라이어는 플랫폼을 통해 경고합니다. 새로운 앱스플라이어 인증서를 구현하려면 다음 단계를 따르세요.

1. 업데이트된 암호화 키를 사용하여 새 인증서 파일을 만듭니다.
2. IdP로 이동하여 새로운 앱스플라이어 인증서를 구현합니다.
3. 구현 후 SSO(Single sign-on) 섹션으로 돌아가 인증서 구현 확인을 클릭하고 최신 앱스플라이어 인증서를 업데이트했는지 확인합니다.

강제 SSO 로그인 옵션을 선택하고 구성을 저장하면 이 옵션이 비활성화됩니다. 되돌리고 강제 SSO 로그인을 활성화하려면 SSO 프로세스의 2단계를 처음부터 다시 구성해야 합니다.

IdP에 앱스플라이어 인증서를 구현할 것을 강력히 권장하지만 필수 사항은 아닙니다. Google Workspace 및 Microsoft Entra ID와 같은 일부 IdP에는 기본적으로 서비스 제공업체 인증서가 필요하지 않습니다.