DeviceDNA™를 사용한 고급 세션 보증 구성

목차
sm1252sp1kkr
목차
2
DeviceDNA™를 사용한 고급 세션 보증은 권한 없는 사용자가 훔친 쿠키를 사용하여 적법한 세션을 가로채는 것을 방지하는 데 도움을 줍니다. 세션 클라이언트는 제품이 사용자 시스템에서 수집하는 고유 DeviceDNA™를 사용하여 유효성이 검사됩니다. 이러한 유효성 검사를 통해 세션을 시작한 클라이언트가 액세스를 요청하는 클라이언트와 동일한지 확인됩니다. DeviceDNA™가 없는 사용자는 보호된 리소스에 대한 액세스가 거부됩니다.
다음 그림은 DeviceDNA™를 사용한 고급 세션 보증을 구성하는 방법을 설명합니다.
How to configure Session Assurance
DeviceDNA™를 사용한 고급 세션 보증 제한 사항
DeviceDNA™를 사용한 고급 세션 보증은 다음 항목을 지원하지
않습니다
.
  • Web 2.0 클라이언트
    Web 2.0 응용 프로그램은
    CA Access Gateway
    로 리디렉션할 수 없는 웹 요청을 생성하는 AJAX 등의 기술에 기반하여 구축됩니다. Web 2.0 클라이언트에는 비 브라우저 기반 클라이언트(예: 모바일 장치의 Flickr 클라이언트)가 포함되어 있습니다. 두 경우 모두 인증 흐름 응용 프로그램을 호스트하는
    CA Access Gateway
    인스턴스로 리디렉션할 수 없는 요청이 발생할 수 있습니다. 이러한 상황으로 인해 DeviceDNA™를 사용한 고급 세션 보증은 Web 2.0 클라이언트에서 지원되지 않습니다. Web 2.0 응용 프로그램의 로그인 페이지를 보호할 수 있습니다. 하지만 AJAX와 관련된 요청을 비롯한 일부 요청은 DeviceDNA™를 사용한 고급 세션 보증으로 보호할 수 없습니다.
  • 사용자 지정 에이전트
    Single Sign-On
    SDK로 생성한 에이전트는 DeviceDNA™를 사용한 고급 세션 보증을 지원하지 않습니다.
  • JavaScript 및 쿠키를 지원하지 않는 클라이언트
    CA Access Gateway
    의 DeviceDNA™ 스크립트는 웹 클라이언트와 관련된 정보를 추출하는 JavaScript입니다. 이 클라이언트 정보는 세션을 장치 또는 클라이언트와 연결합니다. JavaScript에 대한 지원 없이는 DeviceDNA™를 수집할 수 없으므로 DeviceDNA™를 사용한 고급 세션 보증이 세션을 장치 또는 클라이언트와 연결할 수 없습니다. DeviceDNA™를 사용한 고급 세션 보증은 텔넷 또는 Lynx 같은 클라이언트에서 지원되지 않습니다.
  • POST 보존
    DeviceDNA™를 사용한 고급 세션 보증은
    CA Access Gateway
    의 인증 흐름 응용 프로그램에 대한 리디렉션을 사용하여 작동합니다. 이 응용 프로그램에는 DeviceDNA™ 스크립트가 포함되어 있습니다. 인증 흐름 응용 프로그램은 현재 POST 데이터를 지원하지 않습니다. 따라서 POST 요청이 인증 흐름 응용 프로그램으로 리디렉션되지 않습니다.
  • 공유 워크스테이션
    공유 워크스테이션에서는 모든 사용자의 DeviceDNA™ 서명이 동일합니다. 예를 들어 한 사용자가 유효한 SMSESSION 쿠키를 공유 워크스테이션의 다른 사용자로부터 가로챈다고 가정합니다. 하이재커가 훔친 SMSESSION 쿠키를
    동일한
    공유 워크스테이션에서 재생하는 경우 차이점이 감지되지
    않습니다
    . DeviceDNA™를 사용한 고급 세션 보증은 하이재커가 훔친 SMSESSION 쿠키를
    다른
    장치에서 재생하려고 할 때 보호 기능을 제공합니다.
  • 인증 및 권한 부여 웹 서비스
    웹 서비스 클라이언트 응용 프로그램은 에이전트 API 호출에서 받은 리디렉션 또는 응답을 푸시하는 인증 및 권한 부여 웹 서비스를 처리합니다. 하지만 호출하는 클라이언트는 DeviceDNA™를 사용한 고급 세션 보증 흐름과 관련된 리디렉션을 처리할 수
    없습니다
    .
  • Single Sign-On
    Federation
    다음 구성은 DeviceDNA™를 사용한 고급 세션 보증을 지원하지
    않습니다
    .
    • SAML 2.0 파트너 관계의 SP 측
    • 파트너 관계의 IdP 측에서 SAML 2.0 HTTP-POST 바인딩
  • 에이전트 구성 매개 변수
    다음 에이전트 구성 매개 변수는 DeviceDNA™를 사용한 고급 세션 보증을 지원하지
    않습니다
    .
    • SecureURL
    • TargetAsRelativeURI
참고
: DeviceDNA™를 사용한 고급 세션 보증을 사용하는 경우 이러한 매개 변수를 설정하지 마십시오. 이러한 매개 변수에 일반적으로 포함되는 대상 URL은 DeviceDNA™를 사용한 고급 세션 보증에서 사용하는 토큰 요청에 이미 포함되어 있습니다.
  • 응답 특성
    다음 응답 특성은 DeviceDNA™를 사용한 고급 세션 보증을 지원하지 않습니다.
    • OnAuthAccept
참고:
세션 보증 기능은 SMSESSION 하이재킹을 방지하고 가장 인증 체계는 SMSESSION 바꾸기를 허용합니다. 두 기능을 동시에 모두 사용할 경우 세션 보증 기능이 SMSESSION의 변경 사항을 사용할 수 없습니다. 세션 보증과 가장 인증 체계는 서로 상반된 기능이므로 둘 중 하나만 사용해야 합니다.
DeviceDNA™를 사용한 고급 세션 보증을 위한
CA Access Gateway
환경 구성
DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면 CA Access Gateway를 작동해야 합니다.
CA Access Gateway 및 정책 서버를 별도 컴퓨터에 설치하십시오.
  1. 다음 태스크 중
    하나
    를 수행합니다.
    • CA Access Gateway가
      없는
      경우 r12.52 이상 버전을 설치합니다.
    • CA Access Gateway가 있는 경우 버전 r12.52 이상으로 업그레이드합니다. 
      참고: CA Access Gateway의 설치 및 업그레이드에 대한 자세한 내용은 온라인에서 설치 비디오를 참조하십시오. 
  2. SSL 연결을 사용하도록 CA Access Gateway를 구성합니다.
  3. CA Access Gateway와 정책 서버 사이에서 포트 번호 7680을 여십시오.
  4. CA Access Gateway 설치 또는 업그레이드에서 고급 인증 서버 암호화 키를 기록합니다.  현재 환경의 정책 서버에서 나중에 이 키가 필요합니다.
  5. 다중 쿠키 도메인을 사용하는 Single Sign-On 환경의 경우 쿠키 공급자 도메인의 FQDN(정규화된 도메인 이름)이 필요합니다. 구성 마법사를 실행할 때 이 FQDN을 ServerName 설정에 사용합니다. 예를 들어 쿠키 도메인이 sso.example.com일 경우 CA Access Gateway 구성 마법사에서 ServerName의 값을 sso.example.com으로 설정합니다.
  6. SPSDefaultSettings ACO 템플릿을 사용하여 .sac 확장명을 무시합니다. SACExt 및 ignoreExt ACO 매개 변수가 이 템플릿에 추가되었습니다.
  7. 다음 단계에 따라 JVM을 JSafeJCE 보안 공급자와 함께 구성하여 암호화를 사용하도록 설정합니다.
    1. CA SiteMinder® SPS 컴퓨터에 로그온합니다.
    2. Oracle 웹 사이트에서 사용하는 Java 버전에 대한 "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files" 패키지를 다운로드하십시오.
    3. 다음 위치로 이동합니다.
      • Windows
        JVM_HOME
        \lib\security
      • UNIX
        JVM_HOME
        /lib/security
      • JVM_HOME
        JRE(Java Runtime Environment)가 JDK에서 설치된 위치를 정의합니다.
    4. "JCE Unlimited Strength Jurisdiction Policy Files" 패키지의 파일을 사용하여 다음 파일을 패치하십시오.
      • local_policy.jar
      • US_export_policy.jar
        JVM이 구성되었습니다.
DeviceDNA™를 사용한 고급 세션 보증을 위한
Single Sign-On
환경 구성
DeviceDNA™를 사용한 고급 세션 보증을 사용하려면 CA Single Sign-On 환경에서 일부 구성 요소 및 설정이 필요합니다.
다음 단계를 수행하십시오.
  1. 정책 서버를 버전 r12.52 이상으로 설치하거나 업그레이드합니다. 별도의 컴퓨터에 정책 서버 및 CA Access Gateway를 설치하십시오.
  2. 정책 저장소 구성 시 구성 마법사를 사용하지 않으려고 수동으로 구성하거나, 구성 마법사에서 기본적으로 구성 가능한 옵션으로서 정책 저장소를 제공하지 않는 경우, 사용자 환경의 각 정책 서버에서 구성 마법사를 다시 실행하십시오. 다시 실행할 때에는 필수 값만 입력하고 다른 값은 비워 두십시오. 이 단계를 수행하면 정책 서버가 이 기능을 지원하도록 구성됩니다.
  3. n번째 정책 서버에 대해 구성 마법사를 실행합니다. 정책 저장소 옵션을 선택하고 구성된 정책 저장소의 정보를 입력합니다. 이 단계를 수행하면 정책 서버가 정책 저장소에 연결됩니다.
  4. 세션 저장소가
    없으면
    세션 저장소를 하나 구성합니다.
  5. 정책 서버와 CA Access Gateway 사이에서 포트 번호 7680을 엽니다.
DeviceDNA™를 사용한 고급 세션 보증 끝점 만들기
DeviceDNA™를 사용한 고급 세션 보증은 DeviceDNA™ 정보를 수집하기 위해
Single Sign-On
SPS에서 호스트되는 인증 흐름 응용 프로그램 끝점으로 사용자를 자동 리디렉션합니다. 이러한 DeviceDNA™ 정보는 사용자 세션의 유효성을 검사합니다.
성능상의 이유로 인해 조직에서 각 지역마다 하나의 끝점을 만들 것을 권장합니다. 예를 들어, 뉴욕과 시카고에 사무소가 있는 경우 각 사무소마다 하나의 끝점을 만드십시오.
정책 또는 응용 프로그램에 DeviceDNA™를 사용한 고급 세션 보증을 추가하기 전에
Single Sign-On
SPS에서 이러한 끝점을 구성하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "전역", "세션 보증 끝점"을 클릭합니다.
  2. "세션 보증 끝점 생성"을 클릭합니다.
  3. 구체적인 이름과 설명(선택 사항)을 입력합니다.
  4. 다음 필드를 작성하십시오.
    • 웹 서버 이름
      사용자를 인증하기 위해 DeviceDNA™를 수집하는
      CA Access Gateway
      서버의 이름을 지정합니다.
    • 포트
      CA Access Gateway
      가 리디렉션을 위해 수신 대기하는 포트 번호를 지정합니다. 보안 연결(SSL 사용)을 사용하도록 이 포트를 구성하십시오.
      기본값:
      443
    • 대상
      사용자가 자동으로 리디렉션되는 대상
      CA Access Gateway
      의 URL을 지정합니다. 이 서버는 사용자의 DeviceDNA™를 수집합니다. 제품은 이 DeviceDNA™를 사용하여 사용자와 관련된 세션의 유효성을 검사합니다.
    • DeviceDNA™ 새로 고침 간격
      사용자와 관련된 DeviceDNA™가 유효한 상태로 유지되는 기간(초)을 지정합니다. 올바른 DeviceDNA™가 없는 사용자는 고급 세션 보증 끝점으로 리디렉션되고, 여기서 서버가 사용자에 대한 현재 DeviceDNA™를 획득합니다.
      DeviceDNA ™ 새로 고침 간격은 DeviceDNA ™의 수집을 제어합니다. DeviceDNA™ 새로 고침 간격이 만료된 후 발생하는 모든 요청은 DeviceDNA™를 수집하기 위해 인증 흐름 응용 프로그램으로 리디렉션됩니다.
      DeviceBinder는 세션과 관련된 사용자를 식별하는 세션 속성입니다. DeviceBinder 및 클라이언트 쪽 장치 ID는 인증 프로세스 중에 연결되었습니다. 고유 DeviceHash 및 만료 시간이 이 속성을 구성합니다.
      기본값:
      300초(5분)
  5. "제출"을 클릭합니다.
영역에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 영역에 있는 리소스를 보호하려면 이 영역에 하나의 세션 보증 끝점을 추가하십시오.
참고
: DeviceDNA™를 사용한 고급 세션 보증이 작동하기 위해 세션이 영구적일 필요는 없지만 세션 저장소는 구성되어 있어야 합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "영역"을 차례로 클릭합니다.
  2. 원하는 영역의 편집 아이콘을 클릭합니다.
  3. "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 클릭합니다.
  4. "끝점 조회"를 클릭합니다.
  5. 원하는 끝점을 선택합니다.
  6. "확인"을 클릭합니다.
  7. "제출"을 클릭합니다.
  8. 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 영역에 대해 2 - 6 단계를 반복합니다.
참고:
12.6 버전의 정책 서버에서는 이전 세션 보증 끝점이 작동하지 않습니다. 따라서 PS를 업그레이드할 경우 세션 보증 끝점으로 사용되는 SPS를 반드시 업그레이드해야 합니다.
응용 프로그램 구성 요소에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 응용 프로그램의 구성 요소를 보호하려면 고급 세션 보증 끝점
하나
를 관련 응용 프로그램의 구성 요소에 추가하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 정책, 응용 프로그램, 응용 프로그램을 차례로 클릭합니다.
    응용 프로그램 목록이 나타납니다.
  2. 원하는 응용 프로그램의 편집 아이콘을 클릭합니다.
    "응용 프로그램 수정:" 대화 상자가 표시됩니다.
  3. 다음 단계 중
    하나
    를 수행합니다.
    • 응용 프로그램에 단 하나의 구성 요소만 있는 경우 "고급 설정"을 클릭하십시오.
    • 응용 프로그램에 여러 구성 요소가 있는 경우 원하는 구성 요소의 편집 아이콘을 클릭하십시오. "고급 설정"을 클릭하십시오.
  4. "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 선택합니다.
  5. "끝점 조회"를 클릭합니다.
    끝점의 목록이 표시됩니다.
  6. 원하는 끝점을 선택합니다.
  7. "확인"을 클릭합니다.
  8. "제출"을 클릭합니다.
    "응용 프로그램 수정" 대화 상자가 닫히고 확인 메시지가 표시됩니다.
  9. 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 응용 프로그램에 대해 2 - 7 단계를 반복합니다.
파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증 활성화
Single Sign-On
Federation을 사용하는 경우 다음 파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화할 수도 있습니다.
  • SP-IdP 파트너 관계의 IdP 측(HTTP-리디렉션 바인딩만 해당)
  • 소비자-생산자 파트너 관계의 생산자 측
  • RP-AP 파트너 관계의 AP 측
다음 단계를 수행하십시오.
  1. 관리 UI에서 "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 클릭합니다.
  2. 원하는 파트너 관계의 왼쪽에 있는 "작업" 단추를 클릭한 다음 "비활성화"를 클릭합니다.
  3. 동일한 "작업" 단추를 다시 클릭한 다음 "수정"을 선택합니다.
  4. "SSO 및 SLO" 탭을 클릭합니다.
  5. 다음 확인란을 클릭합니다.
    고급 세션 보증
    영역(정책 도메인 모델) 또는 구성 요소(응용 프로그램 모델)에 지정된 리소스를 보호합니다. 특정 페더레이션 파트너 관계의 인증 요청을 보호할 수도 있습니다. 세션 보증 끝점은 사용자로부터 DeviceDNA™를 수집하여 세션의 유효성을 검사합니다.
    : 세션 보증 끝점을 지정합니다.
  6. 끝점의 목록이 표시됩니다.
  7. 원하는 끝점의 확인란을 클릭합니다.
  8. "저장"을 클릭합니다.
  9. 원하는 다른 파트너 관계에 대해 2 - 7 단계를 반복합니다.
  10. (로컬 인증 모드만 해당) 인증 URL(redirect.jsp)과 연결되는 영역에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화합니다.
관련 로그 파일
"DeviceDNA™를 사용한 고급 세션 보증"과 관련된 트랜잭션은 다음 로그 파일에 기록됩니다.
정책 서버
  • xps-*.audit - 이 기능의 구성 설정에 대한 변경 사항
  • smaccesslog4 - 이 기능과 관련된 인증 및 권한 부여 작업
고급 인증 서버에 대한 시작 로그:
  • caauthminderstartup
  • cariskminderstartup
  • cariskmindercasemgmtserverstartup
고급 인증 서버에 대한 런타임 로그:
  • caauthminder
  • cariskminder
  • cariskmindercasemgmtserver
Single Sign-On
CA Access Gateway
(고급 인증 흐름 응용 프로그램):
  • arcotuds.log - UDS 서비스에 대한 로그 파일
  • CAWebFlowLog.txt - 인증 흐름 응용 프로그램에 대한 로그 파일
  • UIApplog.txt - UIApp(인증 흐름 응용 프로그램 실행 프로세스의 일부)에 대한 로그