Epsilon Retail Media의 SSO 통합 기능으로 SAML 2.0을 통해 소매업체의 IDP에 직접 연결할 수 있습니다. 소매업체 사용자에게 귀하의 IDP를 통해 인증된 SSO를 사용하여 로그인할 수 있는 기능을 제공할 수 있습니다.
소매업체 사용자 전용
광고주가 여러 소매업체 플랫폼에 액세스할 수 있는 멀티 테넌트 플랫폼으로 광고주가 아닌 내부 직원을 위한 SSO 적용을 원하는 소매업체에 가장 적합한 기능입니다.
이는 다른 소매업체 플랫폼에 영향을 미칠 수 있으므로 광고주 사용자 라이프사이클에 대한 위임 권한은 허용하지 않습니다.
기능 범위
Epsilon Retail Media를 사용하면 귀하의 IDP가 사용자의 네임스페이스 액세스 가능 여부를 인증할 수 있으며 이는 각 네임스페이스 단위로 구성됩니다. 플랫폼의 SSO은 승인이 아닌 인증 기능을 지원합니다. 팀 엑세스 관리 설정은 기존과 같이 플랫폼 내에서 프로그래밍 방식으로 구성됩니다.
광고주 액세스
CitrusAd는 전 세계적으로 연결된 멀티 테넌시 플랫폼이므로 광고주는 이전과 같이 로그인 모듈을 통해 직접 로그인해야 합니다. 광고주가 다른 소매업체 플랫폼에 액세스 권한이 있는 것과는 별개로 광고주를 귀하의 플랫폼에 초대해야 이에 대한 권한을 얻을 수 있습니다.
주요 정보
- 이 기능은 내부 직원에 대한 안전한 오프보딩 등 내부 사용자 라이프사이클을 관리하려는 소매업체에 가장 적합합니다.
- 팀 및 사용자 액세스는 플랫폼 내에서 프로그래밍 방식으로 관리되어야 하며 SSO 통합 기능으로 관리할 수 없습니다.
- 모든 IDP 사용자 지원 및 관리는 소매업체가 관리해야 합니다.
- 광고주 사용자 라이프사이클은 Epsilon 플랫폼 내에서 유지되어야 합니다. 오프보드 광고주 사용자에게 권한 위임은 제공되지 않습니다. 해당 광고주의 타 플랫폼 액세스에 영향을 미칠 수 있기 때문입니다.
사용자 플로우
기존 및 신규 플랫폼 사용자의 흐름은 서로 다릅니다.
기존 사용자 플로우
출시 후 SSO를 구현하는 경우 대부분의 사용자는 이미 팀에 액세스할 수 있고 Epsilon에 계정이 설정되어 있을 것입니다. 따라서 흐름이 더 단순합니다.
신규 사용자 플로우
신규 사용자의 경우 각 사용자를 관련 팀에 초대해야 합니다. 사용자는 가입 절차를 완료한 후 향후 액세스 시 귀하의 SSO IDP를 통해 인증할 수 있습니다.
필요한 경우 사용자는 귀하의 SSO IDP를 통해 직접 로그인할 수 있으며 인증이 승인되면 즉시 사용자가 생성됩니다. 사용자는 이전과 같이 프로그래밍 방식으로 관련 팀에 수동으로 초대되어야 합니다. 사전에 사용자를 초대하여 팀 액세스가 올바르게 설정되어 있는지 확인하는 것이 좋습니다.
사용자 경험
소매업체 SSO가 통합된 포털에서는 초기 로그인 화면에 비밀번호 입력란이 없습니다. 사용자가 귀하의 소매업체 도메인에서 IDP에 연결된 이메일을 입력하면 사용자는 인증을 위해 자동으로 귀하의 IDP로 리디렉션됩니다.
비밀번호 찾기 기능은 다음 단계에서 비밀번호 입력으로 위임되며 SSO 관련 비밀번호 관리는 귀하의 책임입니다.
통합 요구 사항
IDP 통합
통합 시 Epsilon는 다음을 요구합니다
귀하의 IDP의
- 엔티티 ID
- SSO URL
- IDP 서명 인증서
또한 다음이 필요합니다.
- 사용자 지정 로그인 도움말 링크: 이 링크는 모든 사용자에게 표시되며 로그인 절차를 설명하는 링크를 호스팅해야 합니다.
- 사용자 지정 메시지: 사용자 지정 링크와 관련하여 표시되는 사용자 지정 메시지
- 사용자 지정 링크 레이블: 사용자 지정 로그인 도움말 링크에 대한 레이블
- 비밀번호 재설정 웹사이트 이름: 사용자에게 표시되는 웹사이트 이름
- 만료된 비밀번호 URL: IDP가 비밀번호 만료 링크를 전달하는 위치
또한 Epsilon은 다음 정보를 구성하여 귀하에게 제공합니다.
- 엔티티 ID(대상 URI)
- 기본 URL
- ACS URL
위 정보는 Epsilon 팀에서 제공합니다.
매핑 속성
Epsilon 구성의 속성은 다음과 같습니다.
- 기본 이메일
- 이름
- 성
- 이메일
이에 따라 IDP에서 매핑을 구성해야 할 수도 있습니다.
지원되지 않는 SSO 기능
사용자 프로비저닝/디프로비저닝: Epsilon 내 사용자 팀의 기술적 구성으로 인해 IDP(식별 공급자) 및 Epsilon 플랫폼 모두에서 수동적 개입 없이 팀 내에서 사용자를 쉽게 추가, 관리 및 삭제할 수 있습니다.
사용자 계정 구성 및 지원: 소매업체가 SSO로 마이그레이션하는 경우 Epsilon은 사용자 계정 관리 및 지원을 제공하지 않습니다. Epsilon은 직접 로그인 옵션과 비밀번호 재설정 링크를 삭제하며 모든 SSO 사용자는 사용자 관리 지원을 위해 소매업체로 리디렉션됩니다.
소매업체 소유 플랫폼 SSO: 광고주 계정 해결 방법
파트너 API 기능을 통합하고 광고주에게 자체 프런트엔드를 제공하는 소매업체의 경우 자체 포털 내에서 광고주 라이프사이클을 관리할 수 있는 해결 방법을 제공합니다.
이 기능의 목적은 귀하가 소유한 네임스페이스 내에서 귀하가 소유한 플랫폼이 Epsilon 플랫폼에 자동으로 인증되도록 하는 것입니다.
고급 단계 개요
이 해결 방법은 소유한 도메인에 광고주 계정을 생성할 수 있게 하여 기존 소매업체 SSO 기능을 활용하는 것입니다.
- 소매업체는 식별 공급자(IDP) 서비스 내에서 사용자 계정을 생성합니다. Epsilon OKTA JIT(Just-In-Time) 프로비저닝을 활용하면 Epsilon 플랫폼 내에서 사용자 계정이 자동으로 프로비저닝됩니다.
- 소매업체는 Epsilon 팀 관리 UI를 통해 사용자를 필요한 공급업체 또는 소매업체 팀으로 초대합니다. (이 기능이 없을 시 Epsilon에서 사용자에게 빈 UI가 표시됩니다.)
- 사용자 계정에는 소매업체가 지정한 고유한 도메인 이름이 있어야 합니다. OKTA 내에서 여러 도메인 이름을 구성할 수 있습니다.(예:[email protected], [email protected], [email protected] 등)
디프로비저닝
사용자 디프로비저닝은 다음과 같은 절차로 진행됩니다.
- 소매업체가 IDP에서 사용자 계정을 삭제합니다.
- 사용자는 소매업체 소유의 사용자 이메일로 Epsilon 플랫폼에 인증하거나 로그인할 수 없습니다.
- 사용자는 이전과 같이 일반 광고주 이메일을 사용하여 다른 소매업체 플랫폼에 인증하거나 로그인할 수 있습니다.
- 사용자 계정은 이전과 같이 Epsilon 내에 계속 존재하나 90일 이후 라이프 사이클 관리 프로세스에 따라 계정이 비활성화됩니다.
- IDP 내에서 사용자 계정이 다시 활성화되면 Epsilon 내의 해당 사용자 계정도 활성화됩니다.
- 소매업체가 사용자를 Epsilon에서 완전히 삭제하려는 경우 해당 사용자를 플랫폼 내 초대된 팀에서 수동으로 삭제해야 합니다.
제한 사항
- 이는 실제 광고주의 계정 라이프사이클을 유지하지 않으며 대신 소매업체 도메인 아래에 광고주에 대한 중복된 독립 사용자를 생성합니다. 이로 인해 광고주에게 잠재적인 혼란이 야기될 수 있습니다.
- [email protected]은 여러 소매업체의 모든 팀에 접근할 수 있는 Epsilon 플랫폼의 사용자로 남게 됩니다.
[email protected]은 귀하(소매업체)가 소유한 도메인에서 관리합니다.
- [email protected]은 여러 소매업체의 모든 팀에 접근할 수 있는 Epsilon 플랫폼의 사용자로 남게 됩니다.
- 이 해결 방법은 지원되지 않는 SSO 기능 섹션에 설명된 동일한 제한 사항을 유지하며 이 경우 소매업체는 계정 구성, 지원 및 사용자/팀 액세스를 관리해야 합니다.
- 모든 사용자 지원 및 관리는 소매업체가 관리해야 합니다.
자주 묻는 질문
- 팀에 초대하지 않은 사람이 SSO를 통해 로그인하면 어떻게 되나요?
- 생성되지 않은 사용자가 SSO를 통해 로그인하는 경우 팀에 초대되기 전까지 빈 화면이 표시됩니다.
- SSO 또는 API를 통해 팀/사용자 액세스를 관리할 수 있는 방법이 있나요?
- 아니요. 현재 지원되지 않으며 UI를 통해 프로그래밍 방식으로 처리해야 합니다.