Microsoft Entra ID (SAML2.0) - Web 콘솔
본 가이드는 Microsoft Entra ID 와 네트워크 접근제어 시스템인 Genian NAC의 인증연동 기능을 수행하기 위한 설정 방법을 안내합니다.
관리자 인증을 위해 Genian NAC Web 콘솔 페이지에서 SAML2.0 프로토콜을 이용하여 Microsoft Entra ID 인증을 호출하고 Microsoft Entra ID에서 사용자인증여부를 확인하여 정상적인 SSO가 이루어집니다.
권장버전
제품명(구성요소) |
버전 |
비고 |
|---|---|---|
Genian NAC(정책서버) |
V6.0 이상 |
2022.05 이후 Release 버전 |
Microsoft Entra ID |
SAML2.0 |
2025.10 현재 연동가능 |
연동 전 필요한 사항
Microsoft Entra ID (구 Azure AD) 테넌트
Microsoft Entra ID 관리자 권한 (Global Administrator 또는 Application Administrator)
Genian NAC Web 콘솔 관리자 권한
네트워크 연결 (Genian NAC ↔ Microsoft Entra ID 간 통신)
연동의 목적
Genian NAC와 Microsoft Entra ID 연동은 다음의 효과를 제공합니다.
NAC, Microsoft Entra ID 개별 인증을 위한 사용자 DB 관리가 필요하지 않습니다.
Microsoft Entra ID 계정을 이용하여 SSO로 NAC를 인증할 수 있습니다.
지원되는 기능
Microsoft Entra ID SAML 연동은 다음과 같은 기능을 지원합니다:
SP-initiated SSO
IdP-initiated SSO
JIT (Just-In-Time) Provisioning
Signed Requests
위 기능에 대한 자세한 정보는 , https://learn.microsoft.com/ko-kr/entra/identity/enterprise-apps/add-application-portal-setup-sso 에서 확인하세요.
연동 설정 방법
본 가이드에서 다루는 Genian NAC와 Microsoft Entra ID 설정 방법은 연동을 위한 필수 항목만을 안내합니다. 최초 1회 설정 이후 자동으로 적용됩니다.
Step 1: Microsoft Entra ID Enterprise Application 생성
https://portal.azure.com 접속하여 Microsoft 계정으로 로그인합니다.
Microsoft Entra ID 서비스로 이동합니다.
왼쪽 메뉴에서 Enterprise applications 를 클릭합니다.
화면 상단의 New application 버튼을 클릭합니다.
Create your own application 버튼을 클릭합니다.
앱 생성 정보를 입력합니다.
What's the name of your app?: "Genian NAC" 입력 (또는 원하는 이름)
What are you looking to do with your application?: "Integrate any other application you don't find in the gallery (Non-gallery)" 선택
Create 버튼을 클릭합니다.
Step 2: SAML Single Sign-On 기본 구성
생성된 Enterprise Application의 Overview 페이지에서 Single sign-on 메뉴를 클릭합니다.
SAML 방식을 선택합니다.
Basic SAML Configuration 섹션의 Edit 버튼을 클릭합니다.
다음 정보를 입력합니다:
Identifier (Entity ID): NAC 정책서버의 Base URL을 입력합니다.
ex) https://test.genians.net/mc2/faces/saml2/saml2Metadata.xhtml
Reply URL (Assertion Consumer Service URL): NAC 정책서버의 Base URL에 자동으로 생성된 ACS URL을 입력합니다.
Genian NAC Web콘솔 > 설정 > 환경설정 > 관리콘솔 > SAML2 인증 화면에서 SP ACS URL 항목의 값을 입력합니다.
ex) https://test.genians.net/mc2/faces/saml2/saml2Acs.xhtml
Sign on URL: NAC 정책서버의 Base URL을 입력합니다. (선택사항)
ex) https://test.genians.net/mc2
Save 버튼을 클릭합니다.
Step 3: Attributes & Claims 설정
Attributes & Claims 섹션의 Edit 버튼을 클릭합니다.
기본적으로 제공되는 Claims를 확인합니다:
Unique User Identifier (Name ID): user.userprincipalname
givenname: user.givenname
surname: user.surname
emailaddress: user.mail
name: user.userprincipalname
JIT provisioning 기능을 사용할 경우, Group Claims를 추가로 설정합니다:
Add a group claim 버튼을 클릭합니다.
Which groups associated with the user should be returned in the claim? 에서 Security groups 또는 Groups assigned to the application 를 선택합니다.
Source attribute: "Group ID" 선택
Advanced options 에서 Filter groups 선택하여 사용자가 속한 그룹(Step 8에서 설정한 그룹 이름)을 필터링 한다.
Advanced options 에서 Customize the name of the group claim 체크
Name: NAC의 관리역할과 매핑하기 위한 IdP 속성값 e.g. _ADMINROLE_superAdmin
Save 버튼을 클릭합니다.
Note
Group Claims의 이름은 "_ADMINROLE_" prefix를 사용하여 NAC의 관리역할(superAdmin, auditor 등)과 매핑됩니다. 자세한 설정은 Step 5에서 안내합니다.
Step 4: SAML Signing Certificate 및 IdP 정보 확인
SAML Certificate 섹션에서 Certificate (Base64) 를 다운로드합니다.
다운로드한 인증서 파일을 텍스트 편집기로 열어 내용을 복사합니다.
Set up Genian NAC 섹션에서 다음 IdP 정보를 확인합니다:
Login URL (IdP SSO URL로 사용)
Microsoft Entra Identifier (IdP Entity ID로 사용)
Logout URL (IdP SLO URL로 사용, Single Logout 사용 시)
Genian NAC Web콘솔 > 설정 > 환경설정 > 관리콘솔 > SAML2 인증 > IdP 에 다음 각 항목의 값을 Microsoft Entra ID에서 복사해서 입력하십시오.
IdP SSO URL - Microsoft Entra ID의 Login URL.
IdP Entity ID - Microsoft Entra ID의 Microsoft Entra Identifier.
x509 Certificate - 다운로드한 Certificate (Base64) 파일 내용을 복사하여 입력하십시오.
Step 5: Genian NAC JIT Provisioning 설정 (선택사항)
JIT provisioning 기능을 사용할려면 NAC에서 JIT provisioning 을 'On'으로 변경하십시오.
NAC UI의 JIT provisioning > 추가정보 에서 추가 버튼을 클릭해서 사용자 계정의 이름, 이메일을 설정하십시오.
컬럼명 이름에 IdP 속성값을 {http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname} {http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname} 입력하십시오.
컬럼명 이메일에 IdP 속성값을 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 을 입력하십시오.
SAML Attributes (givenname, surname, emailaddress) 항목은 Microsoft Entra ID에 이미 사전 정의 되어 있습니다.
사전 정의된 속성 이외의 속성도 Attributes & Claims 메뉴를 이용해서 추가가 가능합니다.
Microsoft Entra ID는 Source attribute 값이 비어 있으면 해당 Claim을 생성하지 않습니다. 사용자 프로필의 Mail, First name, Last name 값이 채워져 있는지 확인하거나, 값이 존재하는 속성으로 Source attribute를 변경하십시오.
IdP 속성값은 Claims name을 지정해야 합니다. 기본값 네임스페이스 형태(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname) 입니다.
네임스페이스를 삭제하면 Name으로 설정된 값을 사용할 수 있습니다.
NAC UI의 JIT provisioning > 관리자 관리역할 에서 추가 버튼을 클릭해서 관리역할을 추가 하십시오.
IdP 속성값에 _ADMINROLE_{role id} 형식으로 입력합니다. (예: _ADMINROLE_superAdmin)
다른 관리 역할을 추가할려면 Microsoft Entra ID에서 추가 Group을 생성하고 Group Claims 설정을 통해 SAML Response에 포함시켜야 합니다.
JIT provisioning 기능을 사용하기 위해서 Group Claims를 설정해야 합니다.
Step 3에서 설명한 대로 Group Claims를 설정합니다.
관리역할 ID
IdP 속성값
superAdmin
_ADMINROLE_superAdmin
auditor
_ADMINROLE_auditor
설정 > 사용자 인증 > 관리역할에서 NAC에서 제공하는 모든 관리역할을 확인할 수 있습니다.
Step 6: Single Logout(SLO) 설정 (선택사항)
Single Logout(SLO)를 사용할려면 NAC에서 Single Logout(SLO) 설정을 'On' 하십시오.
NAC의 SP X.509 certificate 를 다운로드해서 Microsoft Entra ID에 업로드 해야 합니다. SLO 기능을 사용하기 위해서는 SP의 인증서가 필요합니다.
Microsoft Entra ID의 SAML Signing Certificate 섹션에서 Verification certificates (optional) 의 Edit 버튼을 클릭합니다.
Require verification certificates 를 체크하고 NAC의 SP X.509 certificate를 업로드합니다.
NAC의 IdP SLO URL - Microsoft Entra ID의 Logout URL 을 복사해서 입력하십시오.
Step 7: Signed Requests 설정 (선택사항)
Signed Requests를 사용할려면 Signed Requests 설정을 'On' 하십시오.
NAC의 SP X.509 certificate 를 다운로드해서 Microsoft Entra ID의 SAML Signing Certificate 섹션에 업로드 하십시오. Signed Requests 기능을 사용하기 위해서는 SP의 인증서가 필요합니다.
Microsoft Entra ID의 SAML Signing Certificate 섹션에서 Verification certificates (optional) 의 Edit 버튼을 클릭합니다.
Require verification certificates 를 체크하고 NAC의 SP X.509 certificate를 업로드합니다.
Genian NAC Web 콘솔 인증 화면에서 표시할 Microsoft Entra ID 인증버튼에 표시할 문구를 로그인 버튼 문구 에 입력합니다.
Genian NAC Web 콘솔 설정 화면 하단 수정 버튼을 클릭합니다.
Step 8: Microsoft Entra ID 인증연동에 사용할 계정 추가 및 할당
이미 사용자가 등록되어 있다면 5번으로 이동
Microsoft Entra ID 콘솔 화면 메뉴 Groups 으로 이동합니다.
화면 상단 New group 버튼을 클릭하여 그룹을 생성합니다.
JIT provisioning 기능을 위해서는 관리자 Role Group을 생성해야 합니다.
Group type: "Security" 선택
Group name: 관리 역할을 나타내는 이름 입력 (예) "NAC Super Admin Group")
Group description: 그룹 설명 입력
Members: 추가할 관리자 사용자 선택
Create 버튼 클릭
설정 > 사용자 인증 > 관리역할에서 NAC에서 제공하는 모든 관리역할을 확인할 수 있습니다.
Microsoft Entra ID 콘솔 화면 메뉴 Users 로 이동합니다.
화면 상단 New user 버튼을 클릭하여 사용자를 추가합니다.
Create new user 선택
User principal name: 사용자 계정 입력
Display name: 사용자 이름 입력
Password: 초기 암호 설정
Groups: 2번에서 생성한 Group 선택
Create 버튼 클릭
Note
Password 항목은 관리자가 패스워드를 지정하여 생성할지 사용자 최초로그인시 변경하도록 할지 선택합니다.
Microsoft Entra ID 콘솔화면 메뉴 Enterprise applications 으로 이동합니다.
위에서 등록한 "Genian NAC" Application을 클릭합니다.
왼쪽 메뉴에서 Users and groups 를 클릭합니다.
화면 상단 Add user/group 버튼을 클릭합니다.
Users 또는 Groups 를 선택하여 APP을 통하여 인증연동에 사용할 계정이나 그룹을 할당합니다.
Assign 버튼을 클릭하여 할당을 완료합니다.
인증연동 테스트 방법
Application URL 사용방법 (IdP-initiated SSO)
Enterprise Application의 Properties 메뉴에서 User access URL 를 확인합니다.
해당 링크를 통해 NAC에 로그인할 수 있습니다.
Genian NAC Web 콘솔 페이지에서 테스트하는 방법 (SP-initiated SSO)
Genian NAC Web 콘솔 페이지에 접속합니다.
SAML 로그인 버튼을 클릭합니다.
인증 화면에 위 Step 7 항목에서 설정한 인증버튼을 클릭합니다.
새로운 팝업창에 Microsoft Entra ID 인증페이지가 표시되며 사용자명, 암호를 입력하여 인증합니다.
Multi-Factor Authentication(MFA)이 설정되어 있는 경우 추가 인증을 완료합니다.
Single Logout (SLO) 테스트하는 방법
SLO 기능을 사용하도록 설정합니다.
SSO 기능을 이용해서 인증을 합니다.
Web 콘솔 상단의 로그아웃 버튼을 이용해서 로그아웃을 합니다.
다시 SAML 인증을 시도할 때 Microsoft Entra ID의 계정정보를 입력하라고 표시되면 정상적으로 SLO가 동작한 것입니다.
Note
인증연동 설정 후 정책적용시 제어정책 권한에 Microsoft Entra ID IdP 도메인을 추가해주어야 차단상태에서도 인증연동 창이 표시됩니다.
1. 권한 추가 방법 2. 정책 > 객체 > 네트워크 3. 작업선택 > 생성 4. 기본정보 입력 5. 네트워크주소 > FQDN 선택 > IdP 도메인 입력(e.g. login.microsoftonline.com) 6. 생성 클릭 7. 권한 메뉴로 이동 8. 생성한 네트워크객체를 이용하여 권한 생성 9. 단말 네트워크를 제어하는 제어정책에 생성한 권한 할당