웹 에이전트 Single Sign-On 설정 구성
CA Single Sign-On에서는 단일 쿠키 도메인 및 다중 쿠키 도메인에 대해 Single Sign-On 기능을 제공합니다. 다중 쿠키 도메인 간의 Single Sign-On 기능을 제공하려면 한 웹 에이전트를 쿠키 공급자로 사용하도록 구성하십시오. 쿠키 공급자는 배포별로 하나씩만 있을 수 있습니다. 이 섹션에서는 웹 에이전트를 쿠키 공급자로 구성하여 Single Sign-On을 구현하는 방법에 대해 설명합니다.
sm1252sp1kkr
CA Single Sign-On에서는 단일 쿠키 도메인 및 다중 쿠키 도메인에 대해 Single Sign-On 기능을 제공합니다. 다중 쿠키 도메인 간의 Single Sign-On 기능을 제공하려면 한 웹 에이전트를
쿠키 공급자
로 사용하도록 구성하십시오. 쿠키 공급자는 배포별로 하나씩만 있을 수 있습니다. 이 섹션에서는 웹 에이전트를 쿠키 공급자로 구성하여 Single Sign-On을 구현하는 방법에 대해 설명합니다.이 항목에서는 Single Sign-On의 다음 웹 에이전트 설정을 설명합니다.
Single Sign-On 환경을 설정하려면 다음 단계를 수행하십시오.
- Single Sign-On 환경에 포함할 쿠키 도메인을 결정합니다.
- 1 단계의 Single Sign-On 환경 내에서 쿠키 공급자 도메인으로 사용할 쿠키 도메인을 선택합니다.
- 중앙 구성을 사용하는 에이전트의 경우 관리 UI를 사용하여 에이전트 구성 개체를 엽니다. 로컬 구성을 사용하는 에이전트의 경우에는 각 웹 서버에서 웹 에이전트 구성 파일을 엽니다.
- 쿠키 공급자 에이전트에 대해 다음 단계를 수행하여 구성 매개 변수를 수정합니다.
- 보안 향상을 위해 쿠키 공급자 기능을 제한합니다.
- 쿠키 공급자 재생 공격을 방지합니다.
- RequireCookies 매개 변수의 값이 yes인지 확인합니다.
- (선택 사항) 구성된 세션 시간이 만료될 때까지 쿠키를 유효하게 유지하려면 영구 쿠키를 사용합니다. 영구 쿠키가 없으면 브라우저 쿠키는 일시적입니다. 임시 쿠키는하나의브라우저 세션에만 유효합니다.
- CookieDomain 매개 변수에 지정된 값이 에이전트가 설치된 시스템의 로컬 쿠키 도메인인지 확인합니다.
- IP 주소의 유효성을 검사하려면 다음 매개 변수 중 하나를 설정합니다.
- 영구 쿠키를 사용하는 경우 PersistentIPCheck 매개 변수를 설정합니다.
- 임시 쿠키를 사용하는 경우 TransientIPCheck 매개 변수를 설정합니다.
- (선택 사항) 다음과 같은 Single Sign-On 매개 변수 설정을 수정합니다.
- 세션 업데이트 간격 수정
- 여러 도메인에 보안 쿠키 설정
- 보호되지 않은 리소스에 대해 쿠키 공급자 무시
- POST 요청에 대해 쿠키 공급자 무시
- Single Sign-On에 보안 URL 구성
- SSO 환경에서 쿠키 공급자가 아닌 다른 모든 에이전트에 대해 다음 단계를 수행하여 구성 매개 변수를 설정합니다.
- CookieProvider 매개 변수의 값을 쿠키 공급자 도메인의 이름으로 설정합니다. 쿠키 공급자 에이전트를 호스트하는 웹 서버의 정규화된 도메인 이름을 사용하십시오.다음과 같은 구문을 사용하십시오.http://server.example.com:port/siteminderagent/SmMakeCookie.ccc참고이 예제에서 알 수 있듯이 쿠키 공급자 이름의 확장명은 .ccc여야 합니다.
- 보안 향상을 위해 쿠키 공급자 기능이 사용되지 않도록 설정합니다.
- 에이전트 구성 파일을 수정하여 매개 변수를 편집한 경우 웹 서버를 다시 시작하여 변경 내용을 적용합니다.
쿠키 공급자 기능 제한
모든 에이전트의 쿠키 공급자 기능은 기본적으로 사용되도록 설정됩니다. 도용당한
Single Sign-On
SSO 쿠키를 사용하는 권한이 없는 사용자가 쿠키 공급자를 악용하고 한 도메인의 세션 쿠키를 사용하여 다른 쿠키 도메인의 세션 쿠키를 위조할 수 있습니다. 위조된 세션 쿠키는 보호된 SSO 도메인에 무단 액세스를 허용할 수도 있습니다.다음 매개 변수를 사용하면 도용 당한 SSO 쿠키로 쿠키 공급자를 악용하고 세션 쿠키를 위조할 가능성을 없앨 수 있습니다.
LimitCookieProvider
쿠키 공급자 역할을 하는
Single Sign-On
에이전트에서 쿠키 공급자 SET 요청(.ccc 리소스)을 처리하는 방식을 지정합니다. 이 매개 변수의 값이 yes인 경우에는 쿠키 공급자 도메인에 쿠키가 없으면 SET 요청이 무시됩니다. 쿠키 공급자는 새 쿠키를 설정하지 않고 사용자를 TARGET URL로 리디렉션합니다. 이 매개 변수의 값이 no인 경우에는 SET 요청이 처리되고 TARGET URL로 리디렉션하는 동안 항상 새 쿠키가 설정됩니다.기본값
: No기본값
: (smpolicy-secure.xml을 사용하여 정책 저장소를 생성한 후) Yes쿠키 공급자로 사용되는 에이전트와 SSO 환경에서 실행되는 다른 에이전트에 대해 최적의 보안을 유지하려면 특정 구성이 필요할 수도 있습니다.
예를 들어 SSO 환경에 다음과 같은 도메인이 포함되어 있다고 가정해 봅니다.
- example.com의 쿠키 공급자 도메인
- example.org와 example.net이라는 SSO 도메인
다음 표에서는 각 도메인에 대한 에이전트 구성 설정을 설명합니다.
CCCExt = .ccc | ||
IgnoreExt = (확장명 목록..ccc가 포함되어야 함) | CCCExt = .ccc | CCCExt = .ccc |
EnableCookieProvider = yes | IgnoreExt = (확장명 목록..ccc가 포함되어야 함) | IgnoreExt = (확장명 목록..ccc가 포함되어야 함) |
LimitCookieProvider = yes | EnableCookieProvider = no | EnableCookieProvider = no |
TrackSessionDomain = yes | TrackSessionDomain = yes | TrackSessionDomain = yes |
TrackCPSessionDomain = yes |
쿠키 공급자 재생 공격 방지
다음 매개 변수를 사용하면 쿠키 공급자가 재생 공격에 노출되지 않도록 할 수 있습니다.
TrackCPSessionDomain
세션 쿠키의 쿠키 도메인이 쿠키 공급자의 쿠키 도메인과 일치하는지 확인합니다. 쿠키 도메인이 여러 개이면 재생 공격이 발생할 가능성이 있습니다.
기본값
: No(쿠키 공급자의 도메인이 확인되지 않음)쿠키 공급자 재생 공격을 방지하려면 TrackCPSessionDomain 매개 변수의 값을 yes로 설정하십시오.
에이전트는 쿠키 도메인을 비교하여 도메인이 일치하지 않으면 요청을 거부합니다.
Single Sign-On을 위한 RequireCookies 매개 변수 설정
다음 매개 변수를 사용하여
Single Sign-On
에 쿠키가 필요한지 여부를 제어할 수 있습니다.RequireCookies
Single Sign-On
에 쿠키가 필요한지 여부를 지정합니다. 다음과 같은 기능을 수행하려면 Single Sign-On
에 쿠키가 필요합니다.- Single Sign-On 환경의 보안 설정
- 세션 시간 만료 적용
- 유휴 시간 만료 적용
이 매개 변수의 값이 yes인 경우 에이전트에서 HTTP 요청을 처리하려면 다음 쿠키 중 하나가 필요합니다.
- SMCHALLENGE
- SMSESSION
이 매개 변수의 값이 no인 경우 다음과 같은 상황이 발생할 수 있습니다.
- 예기치 않게 사용자에게 자격 증명이 요청됩니다.
- 시간 만료가 엄격하게 적용되지 않습니다.
중요!
에이전트에 쿠키가 필요한 경우 사용자에게 자신의 브라우저에서 HTTP 쿠키를 수락하도록 지시하십시오. 그렇지 않으면 사용자는 보호된 모든 리소스에 대해 액세스가 거부됩니다.기본값:
Yes쿠키를 요청하려면 RequireCookies 매개 변수의 값을 yes로 설정하십시오.
Single Sign-On을 위한 영구 쿠키 사용
여러 개의 브라우저 세션에 Single Sign-On을 사용하려면 영구 쿠키를 사용합니다. 다음 단계에서는 영구 쿠키를 사용하는 한 가지 경우를 보여 줍니다.
- 사용자가Single Sign-On에 인증하지만Single Sign-On세션이 만료되기 전에 브라우저 세션을 끝냅니다.
- 사용자가 나중에 새 브라우저 세션을 시작하지만 영구 쿠키가 Single Sign-On 기능을 유지 관리합니다.
영구 쿠키는 구성된 최대 세션 만료 시간
이후
7일 동안 유효합니다. 대부분의 브라우저는 쿠키 만료 후 웹 브라우저의 쿠키 파일을 삭제합니다. 일부 브라우저의 경우 영구 쿠키를 다르게 처리할 수 있습니다.다음 단계를 수행하십시오.
- PersistentCookies 매개 변수를 yes로 설정합니다.SMSESSION은 영구 쿠키입니다.
- TransientIDCookies 매개 변수를 no로 설정합니다.SMIDENTITY은 영구 쿠키입니다.
쿠키 도메인 지정
CookieDomain 매개 변수는 에이전트를 설치한 서버의 쿠키 도메인을 정의합니다. 다음 매개 변수를 설정하여 도메인을 수정할 수 있습니다.
CookieDomain
에이전트의 쿠키 도메인을 정의합니다. 마침표가 두 개 이상 포함된 정규화된 도메인 이름을 사용해야 합니다. 예를 들어 쿠키 도메인을 .example.com으로 설정하면 다음과 같은 서버가 검색됩니다.
이 도메인의 모든 웹 서버는 브라우저와 쿠키를 교환할 수 있습니다. 같은 쿠키 도메인의 서버는 쿠키를 사용하여 사용자 자격 증명을 확인합니다.
특수 값
이 매개 변수 값을 "none"으로 설정하면 에이전트가 자신의 서버에 대한 쿠키만 생성합니다. 예를 들면 myserver.example.com입니다.
매개 변수 값이 비어 있거나 로컬 구성 파일에 ""가 포함되어 있으면 에이전트는 HTTP_HOST 헤더의 도메인 정보를 사용합니다. 그런 다음 CookieDomainScope 매개 변수의 설정을 사용하여 기본값을 지정합니다.
기본값:
비어 있음예:
.example.com
제한
: 이 값은 대/소문자를 구분합니다. 위의 예와 같이 이 값에는 마침표가 두 개 이상 포함된 정규화된 도메인 이름을 사용해야 합니다.다음 단계를 수행하십시오.
- CookieDomain 매개 변수의 값을 설정합니다.
- (선택 사항) CookieDomainScope 매개 변수의 값을 설정합니다.
- CookieDomain에이전트의 쿠키 도메인을 정의합니다. 마침표가 두 개 이상 포함된 정규화된 도메인 이름을 사용해야 합니다. 예를 들어 쿠키 도메인을 .example.com으로 설정하면 다음과 같은 서버가 검색됩니다.이 도메인의 모든 웹 서버는 브라우저와 쿠키를 교환할 수 있습니다. 같은 쿠키 도메인의 서버는 쿠키를 사용하여 사용자 자격 증명을 확인합니다.특수 값이 매개 변수 값을 "none"으로 설정하면 에이전트가 자신의 서버에 대한 쿠키만 생성합니다. 예를 들면 myserver.example.com입니다.매개 변수 값이 비어 있거나 로컬 구성 파일에 ""가 포함되어 있으면 에이전트는 HTTP_HOST 헤더의 도메인 정보를 사용합니다. 그런 다음 CookieDomainScope 매개 변수의 설정을 사용하여 기본값을 지정합니다.기본값:비어 있음예:.example.com제한: 이 값은 대/소문자를 구분합니다. 위의 예와 같이 이 값에는 마침표가 두 개 이상 포함된 정규화된 도메인 이름을 사용해야 합니다.
- CookieDomainScope도메인 이름의 섹션(마침표로 구분되는 문자) 수를 지정합니다.이 값이 0(기본값)으로 설정되면 에이전트는 서버 전용 쿠키를 생성하지 않고 호스트별 쿠키 도메인을 선택합니다. 즉, myserver.example.com이라는 쿠키 도메인 대신 example.com 도메인이 사용되고 myserver.metals.example.org 대신 .metals.example.org 도메인이 사용됩니다.CookieDomainScope 매개 변수가 2로 설정되면 쿠키 도메인은 각각 .example.com과 .example.org가 됩니다.기본값:0예:쿠키 도메인이 division.example.com인 경우를 가정해 봅니다. server.division.example.com에 대해 쿠키 도메인 범위를 설정하려면 CookieDomainScope 매개 변수의 값을 3으로 설정합니다.
쿠키 도메인 매개 변수가 비어 있는 경우 도메인 이름 관리
ConformToRFC6265
ACO 매개 변수를 사용하여 CookieDomain의 값이 비었을 때 도메인 이름 앞에 점을 추가해야 하는지 여부를 지정할 수 있습니다. 쿠키 도메인에 값이 포함된 경우 이 값이 ConformToRFC6265 값을 재정의합니다.ConformToRFC6265가
YES
로 설정된 경우 도메인 이름이 선행 점 없이 표시됩니다. ConformToRFC6265가 NO
로 설정된 경우 도메인 이름이 선행 점과 함께 표시됩니다. 예
: 도메인 이름 example.com의 경우 쿠키 도메인 값은 example.com입니다. 도메인 이름 example.com의 경우 쿠키 도메인 값은 .example.com입니다. 기본값:
NoSingle Sign-On 환경을 위한 IP 주소 유효성 검사 설정
인증되지 않은 시스템에서 패킷을 모니터링하고 쿠키를 도용한 후 해당 쿠키를 사용하여 다른 시스템에 액세스할 수 있습니다. 인증되지 않은 시스템에 의해 보안이 침해되지 않게 하려면 영구 쿠키 및 임시 쿠키를 사용하여 IP 검사 기능을 설정하거나 해제할 수 있습니다.
IP 검사 기능을 사용하는 경우 에이전트는 마지막 요청의 쿠키에 저장된 IP 주소를 현재 요청에 포함된 IP 주소와 비교해야 합니다. 두 IP 주소가 일치하지 않으면 에이전트에서 요청을 거부합니다.
IP 검사를 구현하는 데 사용되는 두 매개 변수는 PersistentIPCheck와 TransientIPCheck입니다. 다음과 같이 매개 변수를 설정하십시오.
- PersistentCookies가 사용되도록 설정한 경우 PersistentIPCheck를 yes로 설정합니다.
- PersistentCookies가 사용되도록 설정하지 않은 경우 TransientIPCheck를 yes로 설정합니다.
Single Sign-On
아이덴티티 쿠키는 IP 검사의 영향을 받지 않습니다.세션 업데이트 간격 수정
SessionUpdatePeriod
매개 변수를 사용하면 새 쿠키를 설정하기 위해 웹 에이전트에서 쿠키 공급자로 요청을 리디렉션하는 간격을 지정할 수 있습니다.이 매개 변수는 웹 에이전트가 새 쿠키를 설정하기 위해 쿠키 공급자에 요청을 리디렉션하는 빈도(초)를 지정합니다. 마스터 쿠키를 새로 고치면 세션의 유휴 시간 만료로 인해 쿠키가 만료될 가능성이 줄어듭니다. 기본값은 60초입니다.
세션 업데이트 간격을 수정하려면
- 관리 UI에 로그인합니다.
- 에이전트에 대한 ACO에서 CookieProvider 매개 변수가 정의되어 있는지 확인합니다.
- SessionUpdatePeriod매개 변수의 값을 원하는 간격(초)으로 변경합니다.
- 변경 내용을 저장합니다.
이 매개 변수를 0으로 설정하면 이 설정이 비활성화됩니다. 세션 업데이트 간격이 0이면 쿠키 공급자에서 정기적인 세션 업데이트가 비활성화됩니다. 다른 이유로는 세션이 업데이트되며, 정기적인 강제 업데이트만 비활성화됩니다.
여러 도메인에 보안 쿠키 설정
UseSecureCookies 매개 변수를 설정하면 HTTPS 보안 연결이 사용되는 경우 웹 에이전트가 요청 브라우저 세션에
로컬
쿠키만 반환하도록 구성됩니다. 웹 에이전트가 쿠키 공급자로 구성된 경우에는 다른 쿠키 도메인의 리소스에 액세스하기 위해 리디렉션된 요청에 UseSecureCookies 매개 변수가 적용되지 않습니다.보안 쿠키를 사용하도록 구성된 웹 에이전트를 쿠키 공급자로 구성하여 다른 쿠키 도메인의 웹 에이전트에 쿠키를 반환할 수 있게 하려면 UseSecureCookies가 사용되도록 설정하고 다음 매개 변수도 구성해야 합니다.
UseSecureCPCookies
UseSecureCPCookies를 Yes로 설정하면 쿠키 공급자가 역시 UseSecureCookies가 설정되어 보안 쿠키를 사용하도록 구성된 다른 쿠키 도메인의 웹 에이전트로만 쿠키를 보냅니다.
이 설정과 UseSecureCookies가 둘 다 설정된 경우 다중 도메인 Single Sign-On 환경의 사용자는 SSL 웹 서버에서 다른 쿠키 도메인의 비 SSL 웹 서버로 이동할 때 다시 인증해야 합니다. 기존 HTTP 연결을 통해 보안 쿠키를 전달할 수 없습니다.
기본값:
NoSSL 연결을 통해 여러 도메인에 쿠키를 전송하려면 쿠키 공급자에서 UseSecureCookies 및 UseSecureCPCookies를 yes로 설정하십시오.
보호되지 않은 리소스에 대해 쿠키 공급자 무시
기본적으로 에이전트는 모든 요청을 쿠키 공급자에 전달합니다. 보호되지 않은 리소스가 있는 경우 다음 매개 변수를 사용하여 네트워크 트래픽을 줄일 수 있습니다.
IgnoreCPForNotprotected
보호되지 않은 리소스 요청에 대해 쿠키 공급자가 쿼리되지 않도록 합니다. 이 매개 변수가 no로 설정되면 웹 에이전트는 모든 요청을 쿠키 공급자에 전달합니다. 프레임워크가 아닌 기존 에이전트의 경우 이 매개 변수의 값이 웹 에이전트 로그 파일에 나타나도록 쿠키 공급자를 구성하십시오.
기본값:
No보호되지 않은 리소스가 요청될 경우 에이전트가 쿠키 공급자에 연결되지 않게 하려면 IgnoreCPForNotprotected 매개 변수의 값을 yes로 설정합니다.
Get 요청 이외의 요청을 쿠키 공급자에게 보내지 않음
LegacyCookieProvider
매개 변수는 다음 동작을 사용하도록 설정합니다.- 기존 에이전트가 쿠키 공급자의 역할을 할 수 있도록 합니다.
- 모든 환경에서 GET 요청 이외의 요청을 쿠키 공급자에게 보내지 않도록 합니다.
LegacyCookieProvider
매개 변수는 에이전트가 리소스 요청을 쿠키 공급자로 작동하는 기존 에이전트로 리디렉션하는지 여부를 제어합니다. 에이전트가 요청을 쿠키 공급자에 리디렉션하는지 여부는 요청 메서드와 이 매개 변수의 설정에 따라 달라집니다. 중앙 에이전트 구성을 사용하는 경우 이 매개 변수를 에이전트 구성 개체에 추가하십시오. 이 매개 변수는 로컬 구성 파일에 있습니다.LegacyCookieProvider=No
인 경우(기본값):- GET 요청과 GET을 제외한 모든 요청(POST, HEAD 등)의 경우 에이전트는 요청을 쿠키 공급자로 리디렉션합니다. 그러면 쿠키 공급자는 동일한 요청 메서드를 사용하여 요청을 에이전트로 다시 리디렉션합니다. 예를 들어 POST 요청은 쿠키 공급자가 요청을 에이전트로 다시 리디렉션할 때 POST 요청으로 유지됩니다.
LegacyCookieProvider=Yes
인 경우:- GET 요청의 경우 에이전트는 요청을 쿠키 공급자로 리디렉션합니다. 쿠키 공급자는 이 요청을 GET 요청으로서 에이전트로 다시 리디렉션합니다.
- GET을 제외한 모든 요청(POST, HEAD 등)의 경우 에이전트는 요청을 쿠키 공급자로 리디렉션하지않습니다. 요청은 GET 요청이 아닌 상태로 유지됩니다.
기본값:
NoSingle Sign-On에 SecureUrls 구성
Single Sign-On 네트워크에 SecureUrls 기능을 지원하는 웹 에이전트와 지원하지 않는 에이전트가 둘 다 있는 경우 사용자가 보호된 Single Sign-On 리소스를 요청하면 내부 서버 오류 메시지가 나타날 수 있습니다. SecureUrls 기능을 지원하는 웹 에이전트의 로그에서 다음과 같이 서버 오류가 발생한 원인을 보여 줍니다.
Error. Unable to process request, SecureUrls is disabled.
Single Sign-On 환경에 있는 모든 웹 에이전트의
SecureUrls
매개 변수는 같은 값으로 설정되어야 합니다. Single Sign-On
에서는 SecureUrls 매개 변수가 서로 다른 값으로 설정된 웹 에이전트 간의 상호 운용성을 지원하지 않습니다.쿠키 공급자 지정
SSO 환경의 다른 에이전트가 쿠키 공급자를 사용하게 하려면 다음 매개 변수를 사용하여 쿠키 공급자 에이전트의 위치를 지정합니다.
CookieProvider
쿠키 공급자 에이전트가 있는 웹 서버의 URL을 지정합니다.
쿠키 공급자는 Single Sign-On 환경의 에이전트입니다. 쿠키 공급자는 자신이 위치한 로컬 도메인의 브라우저 쿠키를 설정합니다. 이 쿠키가 설정되면 사용자는 재인증하지 않고 Single Sign-On 환경을 탐색할 수 있습니다.
다음 예제와 같이 쿠키 공급자 이름의 확장명은 .ccc여야 합니다.
- IIS, Oracle iPlanet 및 Domino 웹 서버의 경우 URL 구문은 다음과 같습니다.http://server.domain:port/siteminderagent/SmMakeCookie.ccc
- Apache 및 Apache 기반 웹 서버의 경우 URL 구문은 다음과 같습니다.http://server.domain:port/SmMakeCookie.ccc
이 매개 변수는 다음 매개 변수에도 영향을 줍니다.
- CCCExt
- SessionUpdatePeriod
기본값:
기본값 없음예:
(IIS, Oracle iPlanet 및 Domino 웹 서버) http://server1.example.com:80/siteminderagent/SmMakeCookie.ccc
예:
(Apache 및 Apache 기반 웹 서버) http://server1.example.com:80/SmMakeCookie.ccc
제한
: 이 매개 변수에는 정규화된 도메인 이름을 사용해야 합니다.다음 단계를 수행하십시오.
- CookieProvider 매개 변수를 쿠키 공급자로 사용되는 웹 서버의 URL로 설정합니다.
- CCCExt 매개 변수의 값이 .ccc로 설정되어 있는지 확인합니다.
- IgnoreExt 매개 변수의 값에 .ccc 확장명을 추가합니다.
- (선택 사항) 세션 업데이트 간격을 수정합니다.
- SSO 환경에서 쿠키 공급자가아닌모든 웹 에이전트에 대해 1~4 단계를 반복합니다.쿠키 공급자가 지정됩니다.
쿠키 공급자 사용 안 함
기본적으로 모든
Single Sign-On
에이전트는 쿠키 공급자로 사용될 수 있습니다. 이 설정은 SSO 환경을 더 쉽게 구성할 수 있도록 합니다. 보안 향상을 위해 다음 매개 변수를 사용하여 기본 제공되는 쿠키 공급자 기능이 사용되지 않도록 설정할 수 있습니다.EnableCookieProvider
에이전트가 쿠키 공급자(.ccc)의 요청을 처리하는 방식을 지정합니다. 이 매개 변수 값이 yes인 경우 에이전트가 요청을 처리합니다. 이 매개 변수 값이 no인 경우에는 에이전트가 쿠키 공급자의 요청을 무시합니다. 에이전트는 요청된 리소스에 대한 액세스를 거부합니다. 보안을 향상시키려면 이 매개 변수 값을 no로 설정하십시오.
기본값
: Yes기본값
: (smpolicy-secure.xml을 사용하여 정책 저장소를 생성한 후) No에이전트가 쿠키 공급자의 요청을 처리하지 않게 하려면 EnableCookieProvider 매개 변수의 값을 no로 설정합니다.
SSO 환경에 대해 쿠키 공급자를 사용하지 않는 경우 다음 표에 나오는 에이전트 구성 설정을 모든 에이전트에 사용하십시오.
모든 에이전트에 설정할 구성 매개 변수 값
|
EnableCookieProvider = no |
특정 HTTP 메서드를 사용하여 전송된 요청에 대해 인증 요청 방지
인증된 사용자가 헤더에 HTTP 메서드가 사용된 리소스에 액세스하려고 할 경우 해당 요청에는 세션 쿠키가 포함되어 있지
않으므로
Single Sign-On
기본적으로 웹 에이전트는 재인증을 요청합니다. 예를 들어 다음 리소스에 대한 요청에는 OPTIONS HTTP 메서드가 사용됩니다.- Microsoft® Word 문서
- Microsoft® Excel® 스프레드시트 문서
특정 HTTP 메서드를 사용하는 리소스에 대해 인증 요청을 방지하려면 AutoAuthorizeHttpMethod 매개 변수를 설정하십시오.
AutoAuthorizeHttpMethods
이 매개 변수를 설정하면 지정된 HTTP 메서드를 사용하는 리소스에 대한 요청이 자격 증명 요청 없이 권한 부여됩니다.
값
: 쉼표로 구분된 하나 이상의 HTTP 메서드 이름기본값
: 없음참고
: AutoAuthorizeHttpMethod 매개 변수는 이전 릴리스에서 사용할 수 있는 AutoAuthorizeOptions 매개 변수를 대체합니다. 하지만 이전 버전과의 호환성을 위해 AutoAuthorizeOptions도 여전히 지원됩니다. AutoAuthorizeOptions를 설정하면 AutoAuthorizeHttpMethod는 무시되고 OPTIONS HTTP 메서드를 사용하는 요청의 경우에만 인증 요청 없이 액세스 권한이 부여됩니다. AutoAuthorizeHttpMethod를 사용하려면 AutoAuthorizeOptions를 설정 해제하십시오.