싱글 사인온(SAML & OIDC) 구성하기
CalendarBridge를 통해 조직 관리자는 싱글 사인온을 활성화하여 사용자가 다른 모든 곳에서 이미 사용하는 것과 동일한 ID 공급자로 CalendarBridge에 로그인하도록 할 수 있습니다. 이 안내서는 지원되는 두 프로토콜, ID 공급자에 제공할 정확한 서비스 공급자 값, 속성 매핑, 테스트, 문제 해결을 다룹니다.
한눈에 보는 싱글 사인온
싱글 사인온(SSO)을 통해 팀은 별도의 CalendarBridge 비밀번호 대신 조직의 ID 공급자(IdP)를 통해 CalendarBridge에 인증할 수 있습니다. SSO가 적용되면 확인된 도메인의 모든 사용자가 로그인을 위해 IdP로 리디렉션되며, 액세스를 중앙에서 부여하거나 취소할 수 있습니다.
- 지원되는 프로토콜: SAML 2.0(SP 시작형) 및 OpenID Connect(OIDC) / OAuth 2.0 인증 코드 흐름.
- CalendarBridge 에디션: SSO와 SCIM은 CalendarBridge 그룹(조직) 요금제에서 이용할 수 있습니다. 조직 관리자가 조직 관리 포털에서 구성합니다. 아래 그룹 계정 라이선스 유형 및 라이선싱을 참고하세요.
- 아키텍처: CalendarBridge는 멀티테넌트 SaaS 애플리케이션입니다. SSO는 확인된 도메인별로 구성되므로, 각 고객이 자신의 ID 공급자 연결을 소유하고 제어합니다. CalendarBridge는 사용자가 자신의 도메인에 대해 제공하는 IdP 메타데이터/인증서만 가져오고 신뢰합니다.
지원되는 ID 공급자
CalendarBridge는 표준을 준수하는 모든 SAML 2.0 또는 OIDC ID 공급자와 함께 작동합니다. 조직 관리 포털에는 다음 항목에 대한 내장 단계별 설정 안내가 포함되어 있습니다:
| ID 공급자 | SAML 2.0 | OpenID Connect | 공급자 문서 |
|---|---|---|---|
| Microsoft Entra ID(Azure AD) | 예 | 예 | Entra ID에서 SSO 구성 |
| Okta | 예 | 예 | Okta에서 SAML/OIDC 앱 만들기 |
| Google Workspace | 예 | — | 사용자 지정 SAML 앱 설정 |
| JumpCloud | 예 | — | 사용자 지정 SAML 앱으로 SSO |
| 기타 모든 SAML 2.0 / OIDC IdP | 예 | 예 | 이 문서의 일반 값을 사용하세요. |
라이선싱
SSO 및 SCIM 프로비저닝은 CalendarBridge 그룹(조직) 구독에 포함되어 있습니다. SSO를 활성화하는 데 CalendarBridge의 별도 추가 요금은 없습니다. 일부 ID 공급자는 프로비저닝/SCIM 기능을 특정 에디션으로 제한한다는 점에 유의하세요 — 예를 들어 Google Workspace 자동 프로비저닝에는 Enterprise Standard, Enterprise Plus 또는 Education Plus가 필요합니다. Microsoft Entra ID 자동 사용자 프로비저닝에는 테넌트에 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다.
SSO를 구성할 수 있는 사람(역할 기반 액세스)
CalendarBridge 조직 관리자만 SSO 및 SCIM 설정을 보거나 변경할 수 있습니다. 일반 구성원은 이러한 제어를 절대 볼 수 없습니다. SSO를 관리하려면 다음을 충족해야 합니다:
- 그룹 계정의 관리자여야 합니다(그룹 관리자 포털 개요 참조), 그리고
- 계정에 하나 이상의 확인된 도메인이 있어야 합니다. SSO는 확인된 도메인에 연결됩니다 — 승인된 도메인 연결하기를 참고하세요.
싱글 사인온 탭 열기
-
조직 관리 포털 열기
CalendarBridge 대시보드에서 조직 관리를 클릭하거나 calendarbridge.com/dashboard/organization으로 바로 이동하세요.
-
싱글 사인온 탭 선택
싱글 사인온 탭을 선택하세요. 아직 SSO를 구성하지 않았다면 SSO 구성 버튼이 표시됩니다.
-
SSO 구성 클릭
프로토콜(SAML 또는 OIDC)을 선택하고, 이 구성이 적용될 확인된 도메인을 지정한 다음, ID 공급자를 선택하면 공급자별 인라인 설정 안내가 나타납니다.
SAML 2.0 구성하기
SAML 설정은 양방향 교환입니다: CalendarBridge의 서비스 공급자(SP) 값을 IdP에 제공하고, 그 대가로 IdP의 메타데이터를 CalendarBridge에 제공합니다.
IdP에 입력할 서비스 공급자 값
이는 CalendarBridge 애플리케이션을 만들 때 ID 공급자에 붙여넣는 값입니다. 계정에 대한 정확하고 복사 가능한 값은 싱글 사인온 탭의 복사 버튼과 함께 표시됩니다 — 항상 직접 입력하지 말고 포털에서 복사하세요.
| 필드(레이블은 IdP마다 다름) | 값 |
|---|---|
| Entity ID / Audience URI / SP Entity ID | urn:amazon:cognito:sp:<your-pool-id> — SSO 탭에서 정확한 값을 복사하세요. |
| ACS URL / Reply URL / Single sign-on URL | https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — SSO 탭에서 정확한 값을 복사하세요. |
| Name ID 형식 | EmailAddress(영구 이메일) |
| 바인딩 | 어설션에는 HTTP-POST, 요청에는 HTTP-Redirect. |
필수 속성 매핑
IdP에서 이러한 클레임을 매핑하세요. 앱 속성 이름을 표시된 대로 정확하게 입력하세요 — 이는 포털에도 복사 버튼과 함께 나열되어 있습니다.
| 앱 속성(정확히 입력) | 매핑 원본(IdP에서) |
|---|---|
email | 기본 이메일 / Email / user.mail |
name | 이름 / given name / user.givenname |
Microsoft Entra ID(Azure AD) — SAML
-
애플리케이션 만들기
Microsoft Entra 관리 센터에서 엔터프라이즈 애플리케이션 → 새 애플리케이션 → 직접 애플리케이션 만들기 → "갤러리에서 찾을 수 없는 다른 애플리케이션 통합."으로 이동하세요.
-
싱글 사인온 → SAML 열기
기본 SAML 구성에서 다음을 입력하세요:
- 식별자(Entity ID): CalendarBridge SSO 탭의 Entity ID.
- 회신 URL(ACS): CalendarBridge SSO 탭의 ACS URL.
-
속성 & 클레임 구성
위 속성 매핑의
email및name클레임을 추가하고, Name ID를 사용자의 이메일로 설정하세요. -
앱 페더레이션 메타데이터 URL 복사
SAML 서명 인증서에서 앱 페더레이션 메타데이터 URL을 복사하세요(
/federationmetadata/2007-06/federationmetadata.xml로 끝납니다). 정적 XML 파일을 업로드하는 대신 URL을 사용하면 CalendarBridge가 인증서 교체를 자동으로 가져올 수 있습니다. -
사용자 할당 후 CalendarBridge에서 마무리
액세스 권한이 있어야 하는 사용자 또는 그룹을 할당한 다음, CalendarBridge SSO 탭으로 돌아가 메타데이터 URL을 붙여넣고 저장하세요.
Okta, Google Workspace, JumpCloud 및 기타 — SAML
흐름은 모든 IdP에서 동일합니다: 사용자 지정 SAML 앱을 만들고, 서비스 공급자 값을 붙여넣고, 속성 매핑을 추가한 다음, IdP 메타데이터를 CalendarBridge에 제공하세요. 해당 공급자를 선택하면 포털에 Okta, Google Workspace, JumpCloud에 대한 정확한 메뉴 경로가 표시됩니다. CalendarBridge SSO 탭에서 IdP 메타데이터를 두 가지 방법으로 제공할 수 있습니다:
- 메타데이터 URL(권장) — IdP의 페더레이션 메타데이터 URL을 붙여넣으세요. CalendarBridge가 이를 다시 가져오므로 인증서 교체가 자동으로 반영됩니다.
- 메타데이터 XML — 공급자가 URL을 게시하지 않는 경우 IdP 메타데이터
.xml파일을 업로드하세요.
OpenID Connect(OIDC) 구성하기
OIDC/OAuth 2.0으로 연결하려는 IdP의 경우 CalendarBridge는 인증 코드 흐름을 사용합니다. IdP에서 웹 애플리케이션을 만들고 CalendarBridge에 세 가지 값을 제공하게 됩니다.
IdP에 입력할 리디렉션 URI
| 필드 | 값 |
|---|---|
| 리디렉션 URI / 로그인 리디렉션 URI(플랫폼: 웹) | https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — SSO 탭에서 정확한 값을 복사하세요. |
CalendarBridge에 입력할 값
| CalendarBridge 필드 | IdP에서 찾을 위치 |
|---|---|
| Discovery URL | IdP의 OpenID 구성 문서, 예: https://<your-idp>/.well-known/openid-configuration. |
| Client ID | 생성한 앱 등록에서. |
| Client Secret | 앱 등록에서 생성하는 비밀. |
요청되는 권한(범위)과 그 이유
CalendarBridge는 로그인하는 사용자를 식별하는 데 필요한 최소한의 표준 OIDC 범위만 요청합니다. SSO 연결을 통해 메일, 파일 또는 캘린더 데이터에 대한 액세스는 요청하지 않습니다.
| 범위 | 요청되는 이유(비즈니스 근거) |
|---|---|
openid | OpenID Connect 인증을 수행하고 ID 토큰을 받는 데 필요합니다. |
email | 사용자를 CalendarBridge 조직 및 확인된 도메인에 매칭하기 위한 고유 식별자로 사용됩니다. |
profile | 기본 프로필(이름)을 읽어 첫 로그인 시 사용자의 표시 이름을 채웁니다. |
Microsoft Entra ID — OIDC
-
애플리케이션 등록
Microsoft Entra 관리 센터에서 앱 등록 → 새 등록으로 이동하세요.
-
리디렉션 URI 추가
SSO 탭에 표시된 CalendarBridge OIDC 리디렉션 URI로 설정된 웹 플랫폼 리디렉션 URI를 추가하세요.
-
클라이언트 비밀 만들기
인증서 & 비밀 → 새 클라이언트 비밀에서 비밀을 만들고 그 값을 즉시 복사하세요.
-
디스커버리(메타데이터) URL 복사
개요 → 엔드포인트에서 OpenID Connect 메타데이터 문서 URL을 복사하세요. 디스커버리 URL, 클라이언트 ID, 클라이언트 비밀을 CalendarBridge SSO 탭에 붙여넣고 저장하세요.
도메인에 SSO 적용하기
기본적으로 SSO를 활성화하면 도메인의 사용자에게 이용 가능해집니다. 설정 양식에서 SSO 적용을 선택하면 이를 필수로 만들 수 있습니다: 그러면 해당 확인된 도메인의 모든 사용자는 IdP를 통해 로그인해야 하며, 직접 비밀번호 로그인은 비활성화됩니다.
파일럿 사용자로 테스트하기
-
구성이 활성 상태인지 확인
저장한 후 구성 카드에 상태 배지가 표시됩니다. 활성으로 표시될 때까지 기다리세요. 보류 중 배지는 CalendarBridge가 아직 IdP 메타데이터를 검증하지 않았음을 의미하고, 오류 배지는 그 이유를 인라인으로 표시합니다.
-
IdP에서 파일럿 사용자 할당
IdP에서 CalendarBridge 앱에 한두 명의 테스트 사용자를 할당하되, 지금은 적용을 끈 상태로 두세요.
-
SSO를 통해 로그인
파일럿 사용자가 조직의 이메일/도메인을 사용하여 CalendarBridge에 로그인하도록 하세요. 사용자는 IdP로 리디렉션된 다음 로그인된 상태로 CalendarBridge로 돌아와야 합니다. 이름과 이메일이 올바르게 채워졌는지 확인하세요.
-
배포
파일럿이 성공하면 나머지 사용자를 할당하고, 원한다면 SSO 적용을 켜세요.
문제 해결
구성 카드에 오류 상태가 표시되면 카드에 표시된 메시지가 구체적인 실패 원인을 설명합니다. 일반적인 경우:
| 증상 / 메시지 | 가능한 원인 & 해결 |
|---|---|
| 상태가 보류 중에 멈춤 또는 "메타데이터를 가져올 수 없음" | 메타데이터 URL에 연결할 수 없거나 XML이 아닌 값을 반환했습니다. URL이 브라우저에서 로드되는지 확인하거나 메타데이터 XML 파일 업로드로 전환하세요. |
| "잘못된 서명" / "인증서" 오류 | IdP의 서명 인증서가 교체되었고 저장된 메타데이터가 오래되었습니다. IdP 메타데이터 URL(권장)을 사용하여 다시 저장하면 교체가 자동으로 반영되며, 또는 현재 XML을 다시 업로드하세요. |
| "대상(Audience)" / "발급자(Issuer)" 불일치 | IdP의 Entity ID / Audience URI가 SSO 탭의 값과 정확히 일치하지 않습니다. 포털에서 다시 복사하세요. |
| 사용자가 로그인하지만 이름/이메일이 비어 있거나 거부됨 | email 및 name 속성 매핑이 없거나 이름이 잘못되었습니다. 필수 속성 매핑을 다시 확인하세요 — 이름은 대소문자를 구분합니다. |
| "AADSTS50105" / 사용자가 할당되지 않음(Entra ID) | 사용자가 Entra ID에서 CalendarBridge 엔터프라이즈 앱에 할당되지 않았습니다. 사용자 또는 해당 그룹을 할당하세요. |
| 리디렉션/회신 URL 불일치 | IdP의 ACS URL(SAML) 또는 리디렉션 URI(OIDC)가 SSO 탭의 값과 일치하지 않습니다. 정확한 값을 다시 복사하세요. |
도움 받기
구성 카드의 오류 메시지와 위 문제 해결 표를 확인한 후에도 막힌 경우 CalendarBridge 지원팀에 문의하세요. 조직의 도메인, 프로토콜(SAML/OIDC), ID 공급자, 카드에 표시된 정확한 상태 메시지를 포함하세요.
- CalendarBridge 지원팀에 문의하기
- SCIM 디렉터리 동기화(프로비저닝) 구성하기 — SSO가 활성화되면 사용자 생성 및 비활성화를 자동화하세요.