DeviceDNA™를 사용한 고급 세션 보증 구성
목차
sm1252sp1kkr
목차
2
DeviceDNA™를 사용한 고급 세션 보증은 권한 없는 사용자가 훔친 쿠키를 사용하여 적법한 세션을 가로채는 것을 방지하는 데 도움을 줍니다. 세션 클라이언트는 제품이 사용자 시스템에서 수집하는 고유 DeviceDNA™를 사용하여 유효성이 검사됩니다. 이러한 유효성 검사를 통해 세션을 시작한 클라이언트가 액세스를 요청하는 클라이언트와 동일한지 확인됩니다. DeviceDNA™가 없는 사용자는 보호된 리소스에 대한 액세스가 거부됩니다.
다음 그림은 DeviceDNA™를 사용한 고급 세션 보증을 구성하는 방법을 설명합니다.

DeviceDNA™를 사용한 고급 세션 보증 제한 사항
DeviceDNA™를 사용한 고급 세션 보증은 다음 항목을 지원하지
않습니다
.- Web 2.0 클라이언트Web 2.0 응용 프로그램은CA Access Gateway로 리디렉션할 수 없는 웹 요청을 생성하는 AJAX 등의 기술에 기반하여 구축됩니다. Web 2.0 클라이언트에는 비 브라우저 기반 클라이언트(예: 모바일 장치의 Flickr 클라이언트)가 포함되어 있습니다. 두 경우 모두 인증 흐름 응용 프로그램을 호스트하는CA Access Gateway인스턴스로 리디렉션할 수 없는 요청이 발생할 수 있습니다. 이러한 상황으로 인해 DeviceDNA™를 사용한 고급 세션 보증은 Web 2.0 클라이언트에서 지원되지 않습니다. Web 2.0 응용 프로그램의 로그인 페이지를 보호할 수 있습니다. 하지만 AJAX와 관련된 요청을 비롯한 일부 요청은 DeviceDNA™를 사용한 고급 세션 보증으로 보호할 수 없습니다.
- 사용자 지정 에이전트Single Sign-OnSDK로 생성한 에이전트는 DeviceDNA™를 사용한 고급 세션 보증을 지원하지 않습니다.
- JavaScript 및 쿠키를 지원하지 않는 클라이언트CA Access Gateway의 DeviceDNA™ 스크립트는 웹 클라이언트와 관련된 정보를 추출하는 JavaScript입니다. 이 클라이언트 정보는 세션을 장치 또는 클라이언트와 연결합니다. JavaScript에 대한 지원 없이는 DeviceDNA™를 수집할 수 없으므로 DeviceDNA™를 사용한 고급 세션 보증이 세션을 장치 또는 클라이언트와 연결할 수 없습니다. DeviceDNA™를 사용한 고급 세션 보증은 텔넷 또는 Lynx 같은 클라이언트에서 지원되지 않습니다.
- POST 보존DeviceDNA™를 사용한 고급 세션 보증은CA Access Gateway의 인증 흐름 응용 프로그램에 대한 리디렉션을 사용하여 작동합니다. 이 응용 프로그램에는 DeviceDNA™ 스크립트가 포함되어 있습니다. 인증 흐름 응용 프로그램은 현재 POST 데이터를 지원하지 않습니다. 따라서 POST 요청이 인증 흐름 응용 프로그램으로 리디렉션되지 않습니다.
- 공유 워크스테이션공유 워크스테이션에서는 모든 사용자의 DeviceDNA™ 서명이 동일합니다. 예를 들어 한 사용자가 유효한 SMSESSION 쿠키를 공유 워크스테이션의 다른 사용자로부터 가로챈다고 가정합니다. 하이재커가 훔친 SMSESSION 쿠키를동일한공유 워크스테이션에서 재생하는 경우 차이점이 감지되지않습니다. DeviceDNA™를 사용한 고급 세션 보증은 하이재커가 훔친 SMSESSION 쿠키를다른장치에서 재생하려고 할 때 보호 기능을 제공합니다.
- 인증 및 권한 부여 웹 서비스웹 서비스 클라이언트 응용 프로그램은 에이전트 API 호출에서 받은 리디렉션 또는 응답을 푸시하는 인증 및 권한 부여 웹 서비스를 처리합니다. 하지만 호출하는 클라이언트는 DeviceDNA™를 사용한 고급 세션 보증 흐름과 관련된 리디렉션을 처리할 수없습니다.
- Single Sign-OnFederation다음 구성은 DeviceDNA™를 사용한 고급 세션 보증을 지원하지않습니다.
- SAML 2.0 파트너 관계의 SP 측
- 파트너 관계의 IdP 측에서 SAML 2.0 HTTP-POST 바인딩
- 에이전트 구성 매개 변수다음 에이전트 구성 매개 변수는 DeviceDNA™를 사용한 고급 세션 보증을 지원하지않습니다.
- SecureURL
- TargetAsRelativeURI
참고
: DeviceDNA™를 사용한 고급 세션 보증을 사용하는 경우 이러한 매개 변수를 설정하지 마십시오. 이러한 매개 변수에 일반적으로 포함되는 대상 URL은 DeviceDNA™를 사용한 고급 세션 보증에서 사용하는 토큰 요청에 이미 포함되어 있습니다.- 응답 특성다음 응답 특성은 DeviceDNA™를 사용한 고급 세션 보증을 지원하지 않습니다.
- OnAuthAccept
참고:
세션 보증 기능은 SMSESSION 하이재킹을 방지하고 가장 인증 체계는 SMSESSION 바꾸기를 허용합니다. 두 기능을 동시에 모두 사용할 경우 세션 보증 기능이 SMSESSION의 변경 사항을 사용할 수 없습니다. 세션 보증과 가장 인증 체계는 서로 상반된 기능이므로 둘 중 하나만 사용해야 합니다.DeviceDNA™를 사용한 고급 세션 보증을 위한
CA Access Gateway
환경 구성DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면 CA Access Gateway를 작동해야 합니다.
CA Access Gateway 및 정책 서버를 별도 컴퓨터에 설치하십시오.
- 다음 태스크 중하나를 수행합니다.
- CA Access Gateway가없는경우 r12.52 이상 버전을 설치합니다.
- CA Access Gateway가 있는 경우 버전 r12.52 이상으로 업그레이드합니다.참고: CA Access Gateway의 설치 및 업그레이드에 대한 자세한 내용은 온라인에서 설치 비디오를 참조하십시오.
- SSL 연결을 사용하도록 CA Access Gateway를 구성합니다.
- CA Access Gateway와 정책 서버 사이에서 포트 번호 7680을 여십시오.
- CA Access Gateway 설치 또는 업그레이드에서 고급 인증 서버 암호화 키를 기록합니다. 현재 환경의 정책 서버에서 나중에 이 키가 필요합니다.
- 다중 쿠키 도메인을 사용하는 Single Sign-On 환경의 경우 쿠키 공급자 도메인의 FQDN(정규화된 도메인 이름)이 필요합니다. 구성 마법사를 실행할 때 이 FQDN을 ServerName 설정에 사용합니다. 예를 들어 쿠키 도메인이 sso.example.com일 경우 CA Access Gateway 구성 마법사에서 ServerName의 값을 sso.example.com으로 설정합니다.
- SPSDefaultSettings ACO 템플릿을 사용하여 .sac 확장명을 무시합니다. SACExt 및 ignoreExt ACO 매개 변수가 이 템플릿에 추가되었습니다.
- 다음 단계에 따라 JVM을 JSafeJCE 보안 공급자와 함께 구성하여 암호화를 사용하도록 설정합니다.
- CA SiteMinder® SPS 컴퓨터에 로그온합니다.
- Oracle 웹 사이트에서 사용하는 Java 버전에 대한 "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files" 패키지를 다운로드하십시오.
- 다음 위치로 이동합니다.
- WindowsJVM_HOME\lib\security
- UNIXJVM_HOME/lib/security
- JVM_HOMEJRE(Java Runtime Environment)가 JDK에서 설치된 위치를 정의합니다.
- "JCE Unlimited Strength Jurisdiction Policy Files" 패키지의 파일을 사용하여 다음 파일을 패치하십시오.
- local_policy.jar
- US_export_policy.jarJVM이 구성되었습니다.
DeviceDNA™를 사용한 고급 세션 보증을 위한
Single Sign-On
환경 구성DeviceDNA™를 사용한 고급 세션 보증을 사용하려면 CA Single Sign-On 환경에서 일부 구성 요소 및 설정이 필요합니다.
다음 단계를 수행하십시오.
- 정책 서버를 버전 r12.52 이상으로 설치하거나 업그레이드합니다. 별도의 컴퓨터에 정책 서버 및 CA Access Gateway를 설치하십시오.
- 정책 저장소 구성 시 구성 마법사를 사용하지 않으려고 수동으로 구성하거나, 구성 마법사에서 기본적으로 구성 가능한 옵션으로서 정책 저장소를 제공하지 않는 경우, 사용자 환경의 각 정책 서버에서 구성 마법사를 다시 실행하십시오. 다시 실행할 때에는 필수 값만 입력하고 다른 값은 비워 두십시오. 이 단계를 수행하면 정책 서버가 이 기능을 지원하도록 구성됩니다.
- n번째 정책 서버에 대해 구성 마법사를 실행합니다. 정책 저장소 옵션을 선택하고 구성된 정책 저장소의 정보를 입력합니다. 이 단계를 수행하면 정책 서버가 정책 저장소에 연결됩니다.
- 세션 저장소가없으면세션 저장소를 하나 구성합니다.
- 정책 서버와 CA Access Gateway 사이에서 포트 번호 7680을 엽니다.
DeviceDNA™를 사용한 고급 세션 보증 끝점 만들기
DeviceDNA™를 사용한 고급 세션 보증은 DeviceDNA™ 정보를 수집하기 위해
Single Sign-On
SPS에서 호스트되는 인증 흐름 응용 프로그램 끝점으로 사용자를 자동 리디렉션합니다. 이러한 DeviceDNA™ 정보는 사용자 세션의 유효성을 검사합니다.성능상의 이유로 인해 조직에서 각 지역마다 하나의 끝점을 만들 것을 권장합니다. 예를 들어, 뉴욕과 시카고에 사무소가 있는 경우 각 사무소마다 하나의 끝점을 만드십시오.
정책 또는 응용 프로그램에 DeviceDNA™를 사용한 고급 세션 보증을 추가하기 전에
Single Sign-On
SPS에서 이러한 끝점을 구성하십시오.다음 단계를 수행하십시오.
- 관리 UI에서 "정책", "전역", "세션 보증 끝점"을 클릭합니다.
- "세션 보증 끝점 생성"을 클릭합니다.
- 구체적인 이름과 설명(선택 사항)을 입력합니다.
- 다음 필드를 작성하십시오.
- 웹 서버 이름사용자를 인증하기 위해 DeviceDNA™를 수집하는CA Access Gateway서버의 이름을 지정합니다.
- 포트CA Access Gateway가 리디렉션을 위해 수신 대기하는 포트 번호를 지정합니다. 보안 연결(SSL 사용)을 사용하도록 이 포트를 구성하십시오.기본값:443
- 대상사용자가 자동으로 리디렉션되는 대상CA Access Gateway의 URL을 지정합니다. 이 서버는 사용자의 DeviceDNA™를 수집합니다. 제품은 이 DeviceDNA™를 사용하여 사용자와 관련된 세션의 유효성을 검사합니다.
- DeviceDNA™ 새로 고침 간격사용자와 관련된 DeviceDNA™가 유효한 상태로 유지되는 기간(초)을 지정합니다. 올바른 DeviceDNA™가 없는 사용자는 고급 세션 보증 끝점으로 리디렉션되고, 여기서 서버가 사용자에 대한 현재 DeviceDNA™를 획득합니다.DeviceDNA ™ 새로 고침 간격은 DeviceDNA ™의 수집을 제어합니다. DeviceDNA™ 새로 고침 간격이 만료된 후 발생하는 모든 요청은 DeviceDNA™를 수집하기 위해 인증 흐름 응용 프로그램으로 리디렉션됩니다.DeviceBinder는 세션과 관련된 사용자를 식별하는 세션 속성입니다. DeviceBinder 및 클라이언트 쪽 장치 ID는 인증 프로세스 중에 연결되었습니다. 고유 DeviceHash 및 만료 시간이 이 속성을 구성합니다.기본값:300초(5분)
- "제출"을 클릭합니다.
영역에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 영역에 있는 리소스를 보호하려면 이 영역에 하나의 세션 보증 끝점을 추가하십시오.
참고
: DeviceDNA™를 사용한 고급 세션 보증이 작동하기 위해 세션이 영구적일 필요는 없지만 세션 저장소는 구성되어 있어야 합니다.다음 단계를 수행하십시오.
- 관리 UI에서 "정책", "도메인", "영역"을 차례로 클릭합니다.
- 원하는 영역의 편집 아이콘을 클릭합니다.
- "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 클릭합니다.
- "끝점 조회"를 클릭합니다.
- 원하는 끝점을 선택합니다.
- "확인"을 클릭합니다.
- "제출"을 클릭합니다.
- 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 영역에 대해 2 - 6 단계를 반복합니다.
참고:
12.6 버전의 정책 서버에서는 이전 세션 보증 끝점이 작동하지 않습니다. 따라서 PS를 업그레이드할 경우 세션 보증 끝점으로 사용되는 SPS를 반드시 업그레이드해야 합니다.응용 프로그램 구성 요소에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 응용 프로그램의 구성 요소를 보호하려면 고급 세션 보증 끝점
하나
를 관련 응용 프로그램의 구성 요소에 추가하십시오.다음 단계를 수행하십시오.
- 관리 UI에서 정책, 응용 프로그램, 응용 프로그램을 차례로 클릭합니다.응용 프로그램 목록이 나타납니다.
- 원하는 응용 프로그램의 편집 아이콘을 클릭합니다."응용 프로그램 수정:" 대화 상자가 표시됩니다.
- 다음 단계 중하나를 수행합니다.
- 응용 프로그램에 단 하나의 구성 요소만 있는 경우 "고급 설정"을 클릭하십시오.
- 응용 프로그램에 여러 구성 요소가 있는 경우 원하는 구성 요소의 편집 아이콘을 클릭하십시오. "고급 설정"을 클릭하십시오.
- "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 선택합니다.
- "끝점 조회"를 클릭합니다.끝점의 목록이 표시됩니다.
- 원하는 끝점을 선택합니다.
- "확인"을 클릭합니다.
- "제출"을 클릭합니다."응용 프로그램 수정" 대화 상자가 닫히고 확인 메시지가 표시됩니다.
- 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 응용 프로그램에 대해 2 - 7 단계를 반복합니다.
파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증 활성화
Single Sign-On
Federation을 사용하는 경우 다음 파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화할 수도 있습니다.- SP-IdP 파트너 관계의 IdP 측(HTTP-리디렉션 바인딩만 해당)
- 소비자-생산자 파트너 관계의 생산자 측
- RP-AP 파트너 관계의 AP 측
다음 단계를 수행하십시오.
- 관리 UI에서 "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 클릭합니다.
- 원하는 파트너 관계의 왼쪽에 있는 "작업" 단추를 클릭한 다음 "비활성화"를 클릭합니다.
- 동일한 "작업" 단추를 다시 클릭한 다음 "수정"을 선택합니다.
- "SSO 및 SLO" 탭을 클릭합니다.
- 다음 확인란을 클릭합니다.고급 세션 보증영역(정책 도메인 모델) 또는 구성 요소(응용 프로그램 모델)에 지정된 리소스를 보호합니다. 특정 페더레이션 파트너 관계의 인증 요청을 보호할 수도 있습니다. 세션 보증 끝점은 사용자로부터 DeviceDNA™를 수집하여 세션의 유효성을 검사합니다.값: 세션 보증 끝점을 지정합니다.
- 끝점의 목록이 표시됩니다.
- 원하는 끝점의 확인란을 클릭합니다.
- "저장"을 클릭합니다.
- 원하는 다른 파트너 관계에 대해 2 - 7 단계를 반복합니다.
- (로컬 인증 모드만 해당) 인증 URL(redirect.jsp)과 연결되는 영역에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화합니다.
관련 로그 파일
"DeviceDNA™를 사용한 고급 세션 보증"과 관련된 트랜잭션은 다음 로그 파일에 기록됩니다.
정책 서버
- xps-*.audit - 이 기능의 구성 설정에 대한 변경 사항
- smaccesslog4 - 이 기능과 관련된 인증 및 권한 부여 작업
고급 인증 서버에 대한 시작 로그:
- caauthminderstartup
- cariskminderstartup
- cariskmindercasemgmtserverstartup
고급 인증 서버에 대한 런타임 로그:
- caauthminder
- cariskminder
- cariskmindercasemgmtserver
Single Sign-On
CA Access Gateway
- arcotuds.log - UDS 서비스에 대한 로그 파일
- CAWebFlowLog.txt - 인증 흐름 응용 프로그램에 대한 로그 파일
- UIApplog.txt - UIApp(인증 흐름 응용 프로그램 실행 프로세스의 일부)에 대한 로그