싱글 사인온을 사용하면 팀이 기존 아이덴티티 제공자를 통해 CloudThinker에 인증할 수 있습니다 — 별도의 비밀번호 없이, 자동 사용자 프로비저닝, 그리고 누군가 퇴사할 때 중앙 집중식 프로비저닝 해제가 가능합니다.
SSO는 Scale, Scale +, Enterprise 플랜에서 사용할 수 있습니다. 시작하려면 조직 설정 → 보안 → SSO로 이동하여 연결 추가를 클릭하세요.
설정 마법사의 작동 방식
SSO 마법사는 세 단계로 구성됩니다: 프로토콜 → SP 메타데이터 → IdP 구성.
- 프로토콜 — SAML 2.0 또는 OIDC 선택
- SP 메타데이터 — SAML 앱 생성 시 CloudThinker의 값을 IdP에 복사
- IdP 구성 — IdP의 값을 CloudThinker에 다시 붙여넣기
아래 탭을 사용하여 아이덴티티 제공자에 맞는 정확한 단계를 따르세요.
SAML 설정
Google Workspace
Azure AD / Entra ID
AWS IAM Identity Center
Okta
OneLogin
Generic SAML
Google Workspace — SAML 설정
앱 이름 지정
CloudThinker와 같은 이름을 지정하고 계속을 클릭합니다.
IdP 메타데이터 다운로드
Google IdP 정보 화면에서 IdP 메타데이터 XML을 다운로드하거나 다음을 기록합니다:
- SSO URL (싱글 사인온 URL)
- 엔터티 ID (
https://accounts.google.com/o/saml2?idpid=...)
- 인증서 (X.509 인증서 다운로드)
계속을 클릭합니다. CloudThinker SP 세부 정보 입력
CloudThinker → 설정 → 보안 → SSO → SP 메타데이터의 값을 복사합니다:| Google 필드 | CloudThinker 값 |
|---|
| ACS URL | CloudThinker의 ACS URL 붙여넣기 |
| 엔터티 ID | CloudThinker의 SP 엔터티 ID 붙여넣기 |
| Name ID 형식 | EMAIL |
| Name ID | 기본 정보 > 기본 이메일 |
계속을 클릭합니다. 속성 매핑 구성
다음 속성 매핑을 추가합니다:| Google 디렉터리 속성 | 앱 속성 |
|---|
| 기본 이메일 | email |
| 이름 | firstName |
| 성 | lastName |
완료를 클릭합니다. 앱 활성화
앱 설정에서 액세스를 모두에게 켜기로 설정합니다 (또는 특정 조직 단위를 대상으로 지정).
CloudThinker에서 설정 완료
CloudThinker SSO 마법사로 돌아가서 다음을 붙여넣습니다:
- Google의 엔터티 ID
- Google의 SSO URL
- 인증서 (X.509 인증서 내용 붙여넣기)
연결 생성을 클릭한 다음 테스트를 클릭하여 확인합니다. CloudThinker의 가져오기 필드에 Google IdP 메타데이터 URL을 붙여넣으면 엔터티 ID, SSO URL, 인증서를 한 번에 자동으로 채울 수 있습니다.
Microsoft Azure AD (Entra ID) — SAML 설정
엔터프라이즈 애플리케이션 생성
Azure Portal에서 Microsoft Entra ID → 엔터프라이즈 애플리케이션 → 새 애플리케이션 → 나만의 애플리케이션 만들기로 이동합니다.이름을 CloudThinker로 지정하고, 갤러리에 없는 다른 애플리케이션 통합을 선택한 후 만들기를 클릭합니다. 싱글 사인온 설정
새 애플리케이션 열기 → 싱글 사인온 → SAML.
기본 SAML 구성 입력
기본 SAML 구성에서 편집을 클릭하고 CloudThinker SP 메타데이터의 값을 입력합니다:| Azure 필드 | CloudThinker 값 |
|---|
| 식별자(엔터티 ID) | SP 엔터티 ID 붙여넣기 |
| 회신 URL(ACS URL) | ACS URL 붙여넣기 |
| 로그온 URL | ACS URL과 동일 |
저장합니다. 속성 및 클레임 구성
속성 및 클레임에서 emailaddress 클레임이 user.mail에 매핑되는지 확인합니다. 선택적으로 다음을 추가합니다:
firstName → user.givenname
lastName → user.surname
페더레이션 메타데이터 다운로드
SAML 서명 인증서에서 페더레이션 메타데이터 XML을 다운로드하거나 다음을 복사합니다:
- 앱 페더레이션 메타데이터 URL (권장 — CloudThinker에 자동 가져오기 사용)
- 인증서(Base64)
- 로그인 URL (SSO URL)
- Azure AD 식별자 (엔터티 ID)
사용자 및 그룹 할당
사용자 및 그룹 → 사용자/그룹 추가로 이동하여 CloudThinker에 액세스해야 할 사용자를 할당합니다.
CloudThinker에서 설정 완료
CloudThinker IdP 구성 단계에서 가져오기 필드에 앱 페더레이션 메타데이터 URL을 붙여넣어 모든 필드를 자동으로 채우거나, 수동으로 입력합니다:
- 엔터티 ID: Azure AD 식별자
- SSO URL: 로그인 URL
- 인증서: 인증서(Base64)
연결 생성 및 테스트를 클릭합니다. AWS IAM Identity Center (AWS SSO) — SAML 설정
IAM Identity Center 열기
AWS 콘솔에서 IAM Identity Center → 애플리케이션 → 애플리케이션 추가 → 맞춤 SAML 2.0 애플리케이션 추가로 이동합니다. 애플리케이션 구성
CloudThinker와 같은 표시 이름을 지정하고 선택적으로 설명을 추가합니다.
IAM Identity Center 메타데이터 다운로드
IAM Identity Center 메타데이터 섹션에서 다음을 복사하거나 다운로드합니다:
- IAM Identity Center SAML 메타데이터 파일 (또는 메타데이터 URL)
- IAM Identity Center 발급자 URL
- IAM Identity Center 로그인 URL
- 인증서
애플리케이션 SAML 메타데이터 입력
애플리케이션 메타데이터 섹션에서 CloudThinker SP 메타데이터의 값을 붙여넣습니다:| IAM Identity Center 필드 | CloudThinker 값 |
|---|
| 애플리케이션 ACS URL | ACS URL 붙여넣기 |
| 애플리케이션 SAML 대상 | SP 엔터티 ID 붙여넣기 |
사용자 할당
할당된 사용자 및 그룹 → 사용자 및 그룹 할당으로 이동하여 CloudThinker에 액세스해야 할 사용자를 선택합니다.
속성 매핑 구성
속성 매핑에서 다음을 추가합니다:| 애플리케이션의 사용자 속성 | IAM Identity Center의 문자열 값 또는 사용자 속성 |
|---|
Subject | ${user:email} — 형식: emailAddress |
email | ${user:email} |
firstName | ${user:givenName} |
lastName | ${user:familyName} |
CloudThinker에서 설정 완료
CloudThinker로 돌아가서 가져오기를 사용하여 IAM Identity Center 메타데이터 URL을 붙여넣거나, 수동으로 입력합니다:
- 엔터티 ID: IAM Identity Center 발급자 URL
- SSO URL: IAM Identity Center 로그인 URL
- 인증서: 메타데이터 파일에서
연결 생성 및 테스트를 클릭합니다. Okta — SAML 설정
새 앱 연동 생성
Okta 관리 콘솔에서 애플리케이션 → 애플리케이션 → 앱 연동 생성 → SAML 2.0으로 이동합니다. 일반 설정
앱 이름을 CloudThinker로 지정하고 다음을 클릭합니다.
SAML 설정 구성
CloudThinker SP 메타데이터에서 다음을 입력합니다:| Okta 필드 | CloudThinker 값 |
|---|
| 싱글 사인온 URL | ACS URL 붙여넣기 |
| 대상 URI (SP 엔터티 ID) | SP 엔터티 ID 붙여넣기 |
| Name ID 형식 | EmailAddress |
| 애플리케이션 사용자 이름 | 이메일 |
속성 구문 추가
속성 구문에서 다음을 추가합니다:| 이름 | 값 |
|---|
email | user.email |
firstName | user.firstName |
lastName | user.lastName |
IdP 메타데이터 가져오기
저장 후 앱의 로그온 탭 → SAML 서명 인증서 섹션 → 작업 → IdP 메타데이터 보기를 클릭하여 메타데이터 XML URL을 가져옵니다.또는 직접 복사합니다:
- 아이덴티티 제공자 싱글 사인온 URL
- 아이덴티티 제공자 발급자
- X.509 인증서
사람 또는 그룹 할당
할당 탭으로 이동하여 액세스 권한을 부여할 사용자 또는 그룹을 할당합니다.
CloudThinker에서 설정 완료
CloudThinker IdP 구성 단계에서 Okta 메타데이터 URL을 가져오기 필드에 붙여넣거나, 수동으로 입력합니다:
- 엔터티 ID: 아이덴티티 제공자 발급자
- SSO URL: 아이덴티티 제공자 싱글 사인온 URL
- 인증서: X.509 인증서
연결 생성 및 테스트를 클릭합니다. OneLogin — SAML 설정
새 앱 생성
OneLogin 관리 포털에서 애플리케이션 → 애플리케이션 → 앱 추가 → “SAML Custom Connector (Advanced)” 검색으로 이동하여 클릭합니다. 이름 지정 및 저장
표시 이름을 CloudThinker로 설정하고 저장을 클릭합니다.
구성 탭 설정
구성 탭으로 이동하여 CloudThinker SP 메타데이터에서 다음을 붙여넣습니다:| OneLogin 필드 | CloudThinker 값 |
|---|
| 대상(EntityID) | SP 엔터티 ID 붙여넣기 |
| ACS(소비자) URL | ACS URL 붙여넣기 |
| ACS(소비자) URL 유효성 검사기 | .* (또는 정규식으로 정확한 ACS URL) |
| 로그인 URL | ACS URL과 동일 |
저장합니다. 파라미터 매핑 추가
파라미터 탭으로 이동하여 다음을 추가합니다:| 필드 이름 | 값 |
|---|
email | 이메일 |
firstName | 이름 |
lastName | 성 |
IdP 세부 정보 가져오기
SSO 탭으로 이동하여 다음을 복사합니다:
- 발급자 URL (엔터티 ID)
- SAML 2.0 엔드포인트(HTTP)
- X.509 인증서 (세부 정보 보기 → 인증서 복사)
사용자 할당
사용자 탭으로 이동하여 액세스 권한을 부여할 사용자 또는 역할을 추가합니다.
CloudThinker에서 설정 완료
CloudThinker에서 다음을 입력합니다:
- 엔터티 ID: 발급자 URL
- SSO URL: SAML 2.0 엔드포인트(HTTP)
- 인증서: X.509 인증서
연결 생성 및 테스트를 클릭합니다. 일반 SAML 2.0
위에 나열되지 않은 SAML 규격을 준수하는 모든 아이덴티티 제공자에 사용하세요.1단계 — CloudThinker의 SP 메타데이터 가져오기
조직 설정 → 보안 → SSO → 연결 추가 → SAML로 이동합니다. SP 메타데이터 화면에서 다음을 복사합니다:| 필드 | 용도 |
|---|
| ACS URL | IdP의 “회신 URL” 또는 “ACS URL” 필드에 붙여넣기 |
| SP 엔터티 ID | IdP의 “대상” 또는 “엔터티 ID” 필드에 붙여넣기 |
| SP 메타데이터 URL | 일부 IdP는 이 URL을 가져와 모든 필드를 자동으로 채울 수 있습니다 |
2단계 — IdP에서 SAML 앱 생성
아이덴티티 제공자에서 새 SAML 애플리케이션을 생성하고 위의 SP 값을 입력합니다. 사용자 속성 매핑을 구성합니다:| CloudThinker 속성 | IdP 속성 |
|---|
email (NameID) | 사용자의 기본 이메일 |
firstName | 이름 |
lastName | 성 |
3단계 — CloudThinker에서 IdP 세부 정보 구성
IdP에서 SAML 앱을 생성한 후 CloudThinker로 돌아가서 IdP 구성 단계를 완료합니다:| 필드 | 위치 |
|---|
| 표시 이름 | 원하는 레이블 선택 (예: “Okta SAML”) |
| 엔터티 ID | IdP의 엔터티 식별자 (경우에 따라 “발급자”라고 함) |
| SSO URL | IdP의 싱글 사인온 엔드포인트 URL |
| 인증서 | IdP의 X.509 서명 인증서 (base64 인코딩) |
| SLO URL | (선택 사항) 싱글 로그아웃 엔드포인트 — CloudThinker에서 로그아웃할 때 IdP에서도 로그아웃하려는 경우에만 필요 |
| NameID 형식 | IdP가 다른 형식을 요구하지 않는 한 “이메일 주소”로 유지 |
IdP가 메타데이터 URL 또는 XML 파일을 제공하는 경우, 상단의 가져오기 필드를 사용하여 엔터티 ID, SSO URL, 인증서를 자동으로 채우세요 — 시간을 절약하고 복사-붙여넣기 오류를 방지합니다.
연결 생성을 클릭합니다.
OIDC 설정
Google Workspace
Azure AD / Entra ID
Okta
Generic OIDC
Google Workspace — OIDC 설정
승인된 리디렉션 URI 추가
CloudThinker OIDC SP 메타데이터의 리디렉션 URI를 추가합니다. 만들기를 클릭합니다.
사용자 인증 정보 복사
클라이언트 ID와 클라이언트 시크릿을 복사합니다.
CloudThinker에서 설정 완료
CloudThinker OIDC 구성에서:
- 검색 URL:
https://accounts.google.com/.well-known/openid-configuration
- 클라이언트 ID: Google에서 복사
- 클라이언트 시크릿: Google에서 복사
연결 생성 및 테스트를 클릭합니다. Azure AD (Entra ID) — OIDC 설정
애플리케이션 등록
Azure Portal → Microsoft Entra ID → 앱 등록 → 새 등록으로 이동합니다.이름을 CloudThinker로 지정합니다. 리디렉션 URI 아래에서 웹을 선택하고 CloudThinker OIDC SP 메타데이터의 리디렉션 URI를 붙여넣습니다. 클라이언트 시크릿 생성
인증서 및 시크릿 → 새 클라이언트 시크릿으로 이동합니다. 값을 즉시 복사합니다 — 다시 표시되지 않습니다.
CloudThinker에서 설정 완료
CloudThinker OIDC 구성에서:
- 검색 URL:
https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration
- 클라이언트 ID: 앱 등록 개요의 애플리케이션(클라이언트) ID
- 클라이언트 시크릿: 복사한 시크릿 값
연결 생성 및 테스트를 클릭합니다. Okta — OIDC 설정
OIDC 앱 생성
Okta 관리 → 애플리케이션 → 앱 연동 생성 → OIDC - OpenID Connect → 웹 애플리케이션.
리디렉션 URI 구성
로그인 리디렉션 URI 아래에서 CloudThinker OIDC SP 메타데이터의 리디렉션 URI를 붙여넣습니다. 저장을 클릭합니다.
CloudThinker에서 설정 완료
CloudThinker OIDC 구성에서:
- 검색 URL:
https://your-org.okta.com/.well-known/openid-configuration
- 클라이언트 ID: Okta 앱의 일반 탭에서
- 클라이언트 시크릿: Okta 앱의 일반 탭에서
연결 생성 및 테스트를 클릭합니다. 일반 OIDC
OpenID Connect 규격을 준수하는 모든 제공자에 사용하세요.CloudThinker를 OAuth 클라이언트로 등록
IdP에서 새 OAuth 2.0 / OIDC 애플리케이션을 생성합니다. CloudThinker OIDC SP 메타데이터 화면에 표시된 리디렉션 URI를 추가합니다.
CloudThinker에서 구성
CloudThinker OIDC 구성에서 다음을 입력합니다:| 필드 | 설명 |
|---|
| 검색 URL | IdP의 .well-known/openid-configuration 엔드포인트 |
| 클라이언트 ID | IdP에서 발급한 클라이언트 ID |
| 클라이언트 시크릿 | IdP에서 발급한 클라이언트 시크릿 |
연결 생성 및 테스트를 클릭합니다.
설정 후
연결 테스트
SSO를 강제 적용하기 전에 항상 테스트하세요:
- SSO 연결 설정에서 테스트를 클릭합니다
- 새 브라우저 탭이 열리고 인증을 시도합니다
- CloudThinker로 성공적으로 리디렉션되는지 확인합니다
- 사용자 속성(이름, 이메일)이 올바르게 수신되었는지 확인합니다
SSO 강제 적용 (선택 사항)
확인이 완료되면 모든 사용자가 SSO를 통해 인증하도록 요구할 수 있습니다:
- 조직 설정 → 보안 → SSO로 이동합니다
- SSO 강제 적용을 켭니다
- 다음 로그인 시 사용자가 IdP로 리디렉션됩니다 — 이메일/비밀번호 로그인이 비활성화됩니다
SSO를 강제 적용하기 전에 최소 하나의 오너 계정이 SSO로 작동하는지 확인하세요. 강제 적용 후 SSO가 중단되면, 백업 액세스 방법이 있는 오너가 이를 비활성화할 수 있습니다.
사용자 프로비저닝
CloudThinker는 IdP의 email, firstName, lastName 속성을 사용하여 첫 번째 SSO 로그인 시 사용자를 자동으로 프로비저닝합니다. 새 사용자는 기본적으로 Developer 역할이 할당됩니다 — SSO 설정에서 변경할 수 있습니다.
문제 해결
IdP에 입력한 ACS URL이 CloudThinker에 표시된 URL과 정확히 일치하는지 확인하세요 — 프로토콜(https://)과 후행 슬래시 없음을 포함하여.
속성이 매핑되지 않음 (이름이 이메일로 표시됨)
IdP가 firstName 및 lastName 속성을 전송하고 있는지 확인하세요. 위의 제공자별 속성 매핑 테이블을 참조하세요.
-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 헤더를 포함한 전체 X.509 인증서를 복사했는지 확인하세요. IdP가 인증서를 교체한 경우 CloudThinker SSO 설정에서 업데이트하세요.
SSO 강제 적용 후 사용자가 로그인할 수 없음
오너가 백업 자격 증명을 사용하여 조직 설정 → 보안 → SSO에서 SSO 강제 적용을 비활성화할 수 있습니다. IdP 앱이 영향을 받는 모든 사용자에게 할당되어 있는지 확인하세요.
IdP의 SP 엔터티 ID가 CloudThinker SP 메타데이터에 표시된 SP 엔터티 ID와 정확히 일치해야 합니다 — 대소문자를 구분합니다.
다음 단계
MFA 설정
추가 인증 레이어를 위한 TOTP 기반 MFA 추가
역할 기반 액세스 제어
팀원에 대한 세분화된 권한 구성
조직 설정
멤버, 워크스페이스, 조직 수준 구성 관리
BYOK
데이터 레지던시 및 비용 제어를 위해 자체 AWS Bedrock 자격 증명 사용