.. _saml-msentraid:

Microsoft Entra ID (SAML2.0) - CWP
===================================

본 가이드는 Microsoft Entra ID 와 네트워크 접근제어 시스템인 Genian NAC의 인증연동 기능을 수행하기 위한 설정 방법을 안내합니다.

개요
------

Genian NAC와 Microsoft Entra ID 솔루션의 연동을 통하여 Genian NAC 자체 사용자DB를 관리할 필요가 없이 Microsoft Entra ID를 통해 사용자 인증을 수행할 수 있습니다. 

사용자 인증을 위해 Genian NAC CWP 페이지에서 SAML2.0 프로토콜을 이용하여 Microsoft Entra ID 인증을 호출하고 Microsoft Entra ID에서 사용자 인증 여부를 확인하여 정상적인 SSO가 이루어집니다.

권장버전
----------

.. csv-table::
    :header: 제품명(구성요소),버전,비고
    :class: longtable
    :widths: 30 30 40

    Genian NAC(정책서버),V6.0 이상,2022.05 이후 Release 버전
    Microsoft Entra ID,SAML2.0,2025.10 현재 연동가능

연동 전 필요한 사항
-------------------

- Microsoft Entra ID (구 Azure AD) 테넌트
- Microsoft Entra ID 관리자 권한 (Global Administrator 또는 Application Administrator)
- Genian NAC Web 콘솔 관리자 권한
- 네트워크 연결 (Genian NAC ↔ Microsoft Entra ID 간 통신)

연동의 목적
--------------

Genian NAC와 Microsoft Entra ID 연동은 다음의 효과를 제공합니다.

    - NAC, Microsoft Entra ID 개별 인증을 위한 사용자 DB 관리가 필요하지 않습니다.
    - Microsoft Entra ID 계정을 이용하여 SSO로 NAC를 인증할 수 있습니다.

지원되는 기능
--------------------
Microsoft Entra ID SAML 연동은 다음과 같은 기능을 지원합니다:
    
- SP-initiated SSO
- IdP-initiated SSO
- JIT (Just-In-Time) Provisioning
- Single Logout (SLO)
- Signed Requests

위 기능에 대한 자세한 정보는 , https://learn.microsoft.com/ko-kr/entra/identity/enterprise-apps/add-application-portal-setup-sso 에서 확인하세요.

    
연동 설정 방법
----------------

본 가이드에서 다루는 Genian NAC와 Microsoft Entra ID 설정 방법은 연동을 위한 필수 항목만을 안내합니다. 최초 1회 설정 이후 자동으로 적용됩니다.

Step 1: Microsoft Entra ID Enterprise Application 생성
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    #. https://portal.azure.com 접속하여 Microsoft 계정으로 로그인합니다.
    
    #. **Microsoft Entra ID** 서비스로 이동합니다.
    
    #. 왼쪽 메뉴에서 **Enterprise applications** 를 클릭합니다.
    
    #. 화면 상단의 **New application** 버튼을 클릭합니다.
    
    #. **Create your own application** 버튼을 클릭합니다.
    
    #. 앱 생성 정보를 입력합니다.
    
        - **What's the name of your app?**: "Genian NAC CWP" 입력 (또는 원하는 이름)
        - **What are you looking to do with your application?**: "Integrate any other application you don't find in the gallery (Non-gallery)" 선택
        - **Create** 버튼을 클릭합니다.

Step 2: SAML Single Sign-On 기본 구성
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    #. 생성된 Enterprise Application의 **Overview** 페이지에서 **Single sign-on** 메뉴를 클릭합니다.
    
    #. **SAML** 방식을 선택합니다.
    
    #. **Basic SAML Configuration** 섹션의 **Edit** 버튼을 클릭합니다.
    
    #. 다음 정보를 입력합니다:
    
        - **Identifier (Entity ID)**: NAC 정책서버의 CWP Base URL을 입력합니다.
        
            - ex) \https://test.genians.net/cwp2/faces/saml2/saml2Metadata.xhtml
        
        - **Reply URL (Assertion Consumer Service URL)**: NAC 정책서버의 CWP Base URL에 자동으로 생성된 ACS URL을 입력합니다.
        
            - Genian NAC **Web콘솔 > 설정 > 사용자인증 > 인증연동 > SAML2 인증연동** 화면에서 **SP ACS URL** 항목의 값을 입력합니다.
            - ex) \https://test.genians.net/cwp2/faces/saml2/saml2Acs.xhtml
        
        - **Sign on URL**: NAC 정책서버의 CWP Base URL을 입력합니다. (선택사항)
        
            - ex) \https://test.genians.net/cwp2
        
    #. **Save** 버튼을 클릭합니다.

Step 3: Attributes & Claims 설정
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    #. **Attributes & Claims** 섹션의 **Edit** 버튼을 클릭합니다.
    
    #. 기본적으로 제공되는 Claims를 확인합니다:
    
        - **Unique User Identifier (Name ID)**: user.userprincipalname
        - **givenname**: user.givenname
        - **surname**: user.surname
        - **emailaddress**: user.mail
        - **name**: user.userprincipalname
        
    #. JIT provisioning 기능을 사용할 경우, 위의 기본 Claims가 SAML Response에 포함되도록 설정되어 있는지 확인합니다.
    
    .. note:: SAML Attributes (givenname, surname, emailaddress) 항목은 Microsoft Entra ID에 이미 사전 정의 되어 있습니다. 사전 정의된 속성 이외의 속성도 **Attributes & Claims** 메뉴를 이용해서 추가가 가능합니다.

Step 4: SAML Signing Certificate 및 IdP 정보 확인
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    #. **SAML Certificate** 섹션에서 **Certificate (Base64)** 를 다운로드합니다.
    
    #. 다운로드한 인증서 파일을 텍스트 편집기로 열어 내용을 복사합니다.
    
    #. **Set up Genian NAC CWP** 섹션에서 다음 IdP 정보를 확인합니다:
    
        - **Login URL** (IdP SSO URL로 사용)
        - **Microsoft Entra Identifier** (IdP Entity ID로 사용)
        - **Logout URL** (IdP SLO URL로 사용, Single Logout 사용 시)
    
    #. Genian NAC **Web콘솔 > 설정 > 사용자인증 > 인증연동 > SAML2 인증연동** 에 다음 각 항목의 값을 Microsoft Entra ID에서 복사해서 입력하십시오.
     
        - **IdP SSO URL** - Microsoft Entra ID의 **Login URL**.
        - **IdP Entity ID** - Microsoft Entra ID의 **Microsoft Entra Identifier**.
        - **x509 Certificate** - 다운로드한 **Certificate (Base64)** 파일 내용을 복사하여 입력하십시오.

    #. JIT provisioning 기능을 사용할려면 NAC에서 **JIT provisioning** 을 'On'으로 변경하십시오.

        - NAC UI의 **JIT provisioning > 추가정보** 에서 추가 버튼을 클릭해서 사용자 계정의 이름, 이메일을 설정하십시오.

            - 컬럼명 이름에 IdP 속성값을 **{http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname} {http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname}** 입력하십시오.
            - 컬럼명 이메일에 IdP 속성값을 **http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress** 을 입력하십시오.

                - Microsoft Entra ID는 Source attribute 값이 비어 있으면 해당 Claim을 생성하지 않습니다. 사용자 프로필의 **Mail**, **First name**, **Last name** 값이 채워져 있는지 확인하거나, 값이 존재하는 속성으로 Source attribute를 변경하십시오.
                - IdP 속성값은 Claims name을 지정해야 합니다. 기본값 네임스페이스 형태(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname) 입니다.
                - 네임스페이스를 삭제하면 Name으로 설정된 값을 사용할 수 있습니다.

    #. Single Logout(SLO)를 사용할려면 NAC에서 **Single Logout(SLO)** 설정을 'On' 하십시오.

        - NAC의 **SP X.509 certificate** 를 다운로드해서 Microsoft Entra ID에 업로드 해야 합니다. SLO 기능을 사용하기 위해서는 SP의 인증서가 필요합니다.
        - Microsoft Entra ID의 **SAML Signing Certificate** 섹션에서 **Verification certificates (optional)** 의 **Edit** 버튼을 클릭합니다.
        - **Require verification certificates** 를 체크하고 NAC의 SP X.509 certificate를 업로드합니다.
        - NAC의 **IdP SLO URL** - Microsoft Entra ID의 **Logout URL** 을 복사해서 입력하십시오.

    #. Signed Requests를 사용할려면 **Signed Requests** 설정을 'On' 하십시오.

        - NAC의 **SP X.509 certificate** 를 다운로드해서 Microsoft Entra ID의 **SAML Signing Certificate** 섹션에 업로드 하십시오. Signed Requests 기능을 사용하기 위해서는 SP의 인증서가 필요합니다.
        - Microsoft Entra ID의 **SAML Signing Certificate** 섹션에서 **Verification certificates (optional)** 의 **Edit** 버튼을 클릭합니다.
        - **Require verification certificates** 를 체크하고 NAC의 SP X.509 certificate를 업로드합니다.

    #. Genian NAC CWP 인증 화면에서 표시할 Microsoft Entra ID 인증버튼에 표시할 문구를 **로그인 버튼 문구** 에 입력합니다.
    #. Genian NAC Web 콘솔 설정 화면 하단 **수정** 버튼을 클릭합니다. 

    .. note:: Basic SAML Configuration의 Identifier와 Reply URL 필드에 올바른 값을 입력했는지 확인하세요. 잘못된 값을 사용하면 SAML을 통해 NAC로 인증할 수 없습니다.
        ex) Identifier: \https://test.genians.net/cwp2/saml2/saml2Metadata.xhtml
        ex) Reply URL: \https://test.genians.net/cwp2/saml2/saml2Acs.xhtml


Step 5: Microsoft Entra ID 인증연동에 사용할 계정 추가 및 할당
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    이미 사용자가 등록되어 있다면 5번으로 이동

    1. Microsoft Entra ID 콘솔 화면 메뉴 **Groups** 으로 이동합니다.
    2. 화면 상단 **New group** 버튼을 클릭하여 그룹을 생성합니다.

        - **Group type**: "Security" 선택
        - **Group name**: 그룹 이름 입력 (예) "NAC CWP Users")
        - **Group description**: 그룹 설명 입력
        - **Members**: 추가할 사용자 선택
        - **Create** 버튼 클릭

    3. Microsoft Entra ID 콘솔 화면 메뉴 **Users** 로 이동합니다.
    4. 화면 상단 **New user** 버튼을 클릭하여 사용자를 추가합니다.

        - **Create new user** 선택
        - **User principal name**: 사용자 계정 입력
        - **Display name**: 사용자 이름 입력
        - **Password**: 초기 암호 설정
        - **Groups**: 2번에서 생성한 Group 선택
        - **Create** 버튼 클릭
    
     .. note:: Password 항목은 관리자가 패스워드를 지정하여 생성할지 사용자 최초로그인시 변경하도록 할지 선택합니다.
    
    5. Microsoft Entra ID 콘솔화면 메뉴 **Enterprise applications** 으로 이동합니다.
    6. 위에서 등록한 "Genian NAC CWP" Application을 클릭합니다.
    7. 왼쪽 메뉴에서 **Users and groups** 를 클릭합니다.
    8. 화면 상단 **Add user/group** 버튼을 클릭합니다.
    9. **Users** 또는 **Groups** 를 선택하여 APP을 통하여 인증연동에 사용할 계정이나 그룹을 할당합니다.
    10. **Assign** 버튼을 클릭하여 할당을 완료합니다.

인증연동 테스트 방법
-----------------------

    **Application URL 사용방법 (IdP-initiated SSO)**

    #. Enterprise Application의 **Properties** 메뉴에서 **User access URL** 를 확인합니다.
    #. 해당 링크를 통해 NAC CWP에 로그인할 수 있습니다.

    **Genian NAC Web콘솔에서 테스트하는 방법 (SP-initiated SSO)**

    #. Web콘솔에 접속하여 **설정 > 사용자인증 > 인증연동 > 인증테스트** 항목에 **테스트** 버튼을 클릭합니다.
    #. 팝업창에서 인증정보 저장소를 **SAML2** 를 선택합니다. 
    #. 새로운 팝업창에 Microsoft Entra ID 인증페이지가 표시되며 사용자명, 암호를 입력하여 인증합니다.
    #. Multi-Factor Authentication(MFA)이 설정되어 있는 경우 추가 인증을 완료합니다.
    #. '인증에 성공하였습니다.' 메시지가 표시되면 정상적으로 인증연동이 되었습니다.

    **Genian NAC CWP 페이지에서 테스트하는 방법 (SP-initiated SSO)**

    #. Genian NAC 노드정책 비밀번호 정책을 할당 받은 단말(노드)를 준비합니다.
    #. Genian NAC CWP 페이지에 접속합니다.
    #. CWP 페이지에 **인증** 버튼을 클릭합니다. 
    #. 인증 화면에 위 Step 4 항목에서 설정한 인증버튼을 클릭합니다. 
    #. 새로운 팝업창에 Microsoft Entra ID 인증페이지가 표시되며 사용자명, 암호를 입력하여 인증합니다.
    #. Multi-Factor Authentication(MFA)이 설정되어 있는 경우 추가 인증을 완료합니다.

    **Single Logout (SLO) 테스트하는 방법**
    
    #. SLO 기능을 사용하도록 설정합니다.
    #. SSO 기능을 이용해서 인증을 합니다.
    #. CWP 페이지 상단의 로그아웃 버튼을 이용해서 로그아웃을 합니다.
    #. 다시 SAML 인증을 시도할 때 Microsoft Entra ID의 계정정보를 입력하라고 표시되면 정상적으로 SLO가 동작한 것입니다.
    
    .. note:: 인증연동 설정 후 정책적용시 제어정책 권한에 Microsoft Entra ID IdP 도메인을 추가해주어야 차단상태에서도 인증연동 창이 표시됩니다. 
    
    .. code:: bash

        1. 권한 추가 방법
        2. 정책 > 객체 > 네트워크
        3. 작업선택 > 생성
        4. 기본정보 입력
        5. 네트워크주소 > FQDN 선택 > IdP 도메인 입력(e.g. login.microsoftonline.com)
        6. 생성 클릭
        7. 권한 메뉴로 이동
        8. 생성한 네트워크객체를 이용하여 권한 생성
        9. 단말 네트워크를 제어하는 제어정책에 생성한 권한 할당