SSO 설정 (SAML 2.0 / OIDC)
SAML 2.0 또는 OIDC IdP와 연동해 조직 SSO 로그인을 구성하는 방법, 연결 테스트, 활성화, 비활성화 주의사항을 안내합니다.
설정 → SSO 탭(Owner 전용)에서 조직 SSO를 구성합니다. SAML 2.0 과 OIDC 중 하나를 선택해 사용합니다(한 시점에 하나만 활성화).
🔒 화면 상단에
SSO_ENCRYPTION_KEY 환경 변수가 설정되지 않았습니다경고가 보이면, 설정을 저장해도 복호화에 실패해 로그인이 동작하지 않습니다. 서버 담당자에게 키 설정을 요청하세요.
설정 순서 (공통)
- 프로토콜 선택 — SAML 2.0 또는 OIDC
- 필드 입력 후 저장
- 연결 테스트 실행 → 통과
- SSO 활성화 토글 ON
⚠️ 활성화 토글은 ① 설정 저장 → ② 연결 테스트 → ③ 테스트 통과 를 마쳐야 켤 수 있습니다. ("연결 테스트를 통과해야 SSO를 활성화할 수 있습니다.")
SAML 2.0 설정
| 필드 | 설명 |
|---|---|
| Redirect URL (ACS URL) | Mantis가 제공(읽기 전용). IdP의 Valid redirect URIs / ACS URL 에 등록 |
| IdP Metadata URL | URL을 넣고 URL에서 가져오기 를 누르면 IdP 정보 자동 채움 |
| Entity ID (SP Entity ID) | IdP에 등록한 SAML Client ID와 동일하게 입력 |
| IdP Metadata XML | IdP 메타데이터 XML을 붙여넣으면 SSO URL·인증서 자동 추출 |
| 고급 설정 | IdP SSO URL, X.509 Certificate, SP 서명 키(AuthnRequest 서명)를 수동 입력 |
💡 IdP가 AuthnRequest 서명을 요구하면, 고급 설정에서 SP 서명 키를 자동 생성(RSA-2048) 하거나 PEM 파일을 업로드한 뒤, 생성된 SP 인증서를 IdP에 등록하세요.
OIDC 설정
| 필드 | 설명 |
|---|---|
| Redirect URL (Callback URL) | Mantis가 제공(읽기 전용). IdP의 Redirect URI 에 등록 |
| Discovery Endpoint | .well-known/openid-configuration URL을 넣고 가져오기 로 엔드포인트 자동 설정 |
| Client ID / Client Secret | IdP에서 발급받은 값 (기존 시크릿 유지하려면 비워 둠) |
| Scopes | 공백 구분. openid 필수 (기본 openid email profile) |
| 고급 설정 | Authorization/Token/Userinfo URL 수동 입력 |
연결 테스트
저장 후 연결 테스트 로 IdP 엔드포인트 접근성과 설정 유효성을 검증합니다. 통과해야 활성화할 수 있습니다.
사용자 로그인 경험
SSO가 활성화되면 로그인 화면에 SSO로 계속하기 버튼이 표시되고, 클릭하면 IdP로 이동해 인증합니다. 처음 로그인하는 사용자는 계정이 자동 생성(JIT)되며 Member 역할로 배정됩니다.
💡 SSO가 켜져 있어도 이메일/비밀번호 로그인은 계속 가능합니다(특히 Owner). SSO 설정에 문제가 생기면 Owner 계정으로 들어와 수정할 수 있습니다.
비활성화 시 주의
SSO를 끄면, SSO로만 가입해 비밀번호가 없는 사용자는 로그인할 수 없게 됩니다. 비활성화 대화상자가 영향받는 사용자 수와 목록을 보여 주므로 확인 후 진행하세요. 비활성화 후에는 멤버 관리에서 해당 사용자의 비밀번호를 설정해 줄 수 있습니다.
IdP 장애 시 — 비상 로그인
IdP에 연결할 수 없으면 로그인 화면에 비상 비밀번호 로그인 이 나타납니다. Owner는 항상, 일반 사용자는 IdP가 장애 상태일 때 사용할 수 있습니다. (로그인 인증 개요 참고)