Trimble Identity 페더레이션 FAQ

Trimble ID 페더레이션과 관련된 비용이 있나요?

Trimble Identity 페더레이션은 Trimble ID에 대한 무료 애드온 서비스입니다. Trimble ID을 사용하는 고객은 페더레이션을 요청할 수 있습니다.

페더레이션 구성 프로세스는 무엇인가요?

페더레이션 구성 프로세스는 IdP와 귀사의 사용 프로토콜(SAML이나 OIDC)에 의해 결정됩니다.

가이디드 페더레이션은 지원되는 IdP 및 프로토콜의 모든 조합에 대해 구성됩니다. 단, OIDC의 Microsoft Entra ID는 다중 테넌트(Multi-Tenant) 방식이므로 제외됩니다. 가이디드 페더레이션에는 두 가지 프로세스가 있는데 이것은 귀 조직의 프로토콜에 의해 결정됩니다.

SAML 가이디드 페더레이션:

그림 1. Trimble ID SAML 페더레이션 프로세스

OIDC 가이디드 페더레이션:

그림 2. Trimble ID OIDC 페더레이션 프로세스

이 프로세스에 걸리는 시간은 어느 정도인가요?

페더레이션 설정에 소요되는 시간은 개별 사안에 따라 다르며, 다음과 같은 여러 요인에 의해 달라집니다.
  • 조직의 준비 상태
  • 정보(설정에 필요한 메타데이터 및 기타 정보)를 Trimble 페더레이션 팀에 전달하는 귀사 팀의 반응도
  • Trimble 페더레이션 팀의 현 작업량

현재 어떤 페더레이션 IdP(Identity Provider)가 지원되나요?

Trimble ID은 OIDC(Open ID Connect)와 SAML 프로토콜을 지원합니다. 이것은 Microsoft Entra ID, Microsoft AD FS, Google, Okta와 같은 대부분의 IdP에서 지원하는 표준 프로토콜입니다.

이러한 프로토콜 간의 주된 차이점은 SAML이 XML 기반 페더레이션을 사용하는 반면, OIDC는 JSON을 사용한다는 것입니다.

또한 SAML에서는 엔터티를 사전 구성해야 하며, 이를 통해 강력한 구성이 가능합니다. 반면, OIDC는 호환되는 IdP(Identity Provider)와만 작동합니다.
주: OAuth 2.0을 지원하는 다른 IdP들도 구성할 수는 있지만 보통 귀사 팀에서 추가적인 IdP 구성이 필요합니다. 이 옵션을 선택하면 Trimble ID 페더레이션 설정에 필요한 처리 시간이 늘어나는 경우가 많습니다.

Trimble ID 페더레이션과 관련해 어떤 리소스를 사용할 수 있나요?

먼저 Trimble 도움말 센터(help.trimble.com)로 가서 Trimble ID 페더레이션에 관한 안내 정보를 찾습니다.

일단 Trimble ID 페더레이션 팀과의 관계가 수립된 후에는 그들이 제공하는 이메일 주소를 사용하여 커뮤니케이션을 합니다.

페더레이션으로써 설정된 사용자는 자신의 MFA 설정을 변경할 수 있나요?

이것은 IdP 설정에 의해 정해집니다.

페더레이션 IdP를 통해 로그인할 때 문제가 발생하면 어디에서 지원을 받아야 하나요?

로그인 문제가 있으면 귀사의 IdP 관리자에게 직접 문의하십시오.

OIDC 페더레이션을 위한 외부 페더레이션 시스템 구성 시 사용하는 회신 URL/리다이렉트 URI는 무엇인가요?

Trimble은 공통 리다이렉트 엔드포인트가 없습니다.

Trimble ID 페더레이션 팀이 귀사의 페더레이션 구성을 완료하면 저희 지원 팀에서 고유한 리다이렉트 엔드포인트를 제공합니다. 이 엔드포인트는 귀사 측에서 구성해야 합니다.

애플리케이션은 사용자가 네이티브 Trimble ID 계정으로 로그인했는지, 아니면 페더레이션 사용자로서 로그인했는지 어떻게 식별할 수 있나요?

ID 액세스와 ID 토큰 모두에 AMR 클레임이 포함되어 있으며, 이는 사용자가 페더레이션 소스를 통해 로그인했는지를 나타냅니다.

또한, ID 토큰에는 ‘federation_origin' 클레임이 포함되어 있는데 이것은 페더레이션 소스가 사용되었음을 의미합니다. 클라이언트 애플리케이션은 토큰의 이 클레임을 참조하여 로그인 소스를 확인할 수 있습니다.

페더레이션에 의해 제공되는 모든 계정을 제거할 방법이 있나요? 링크된 계정을 삭제해야 하나요?

자신의 계정에서 페더레이션을 제거하고자 하는 경우, Trimble이 어떤 접근법을 취했으면 하는지 선택하십시오.
  • 해당 페더레이션 도메인의 모든 계정을 삭제
  • 모든 계정을 네이티브 Trimble 계정으로 전환. 이 경우, 각 사용자는 정상적인 ID 로그인 흐름을 통해 비밀번호를 설정해야 합니다.

SAML 사용 시 "오류! 서명 인증서 요청이 발견되지 않아 SAML 아이덴티티 콜에 오류가 발생했습니다."라는 메시지가 나옵니다.

현재 Trimble ID SAML 구현을 위해서는 제공되는 메타데이터에 서명 인증서가 포함되어야 합니다.

서비스 제공자에는 ‘서명된 요청 활성화’라는 구성 설정이 있습니다. 이 설정을 활성화하십시오.

거기에서 다시 서비스 제공자(SP)의 메타데이터를 다운로드합니다. 새 메타데이터에는 필요한 인증서가 들어 있으므로 다시 시도할 수 있습니다.

왜 회사 관리자가 회사 내 모든 Trimble Identity 사용자의 데이터 레지던시 설정을 선택할 수 없나요? 저희는 개별 사용자가 이러한 설정을 직접 선택할 수 없도록 하고 싶습니다.

사용자의 데이터 레지던시 설정은 해당 사용자의 데이터를 통제하는 주체에 의해 결정되는데 이것은 사용자가 페더레이션되어 있는지 여부에 따라 달라집니다.
  • 페더레이션되지 않은 경우, 사용자가 데이터를 통제합니다. 이 사용자는 여러 계정 또는 회사에 소속되어 있을 수 있으며, 각 조직이 서로 다른 또는 충돌하는 데이터 저장 설정 요구 사항을 가질 수 있기 때문에 사용자는 필요에 따라 자신의 지역(region)을 설정할 수 있습니다.
  • 페더레이션된 경우, 사용자의 IdP(Identity Provider)가 데이터를 통제합니다. 페더레이션 환경에서는 회사가 사용자 계정이 연결될 지역을 결정합니다.
    주: 회사의 페더레이션은 오직 하나의 지역에만 연결될 수 있습니다.