세션 특성을 어설션에 추가하는 방법
목차
sm1252sp1kkr
목차
2
정책 서버는 사용자가 인증된 후 동적 사용자 정보를 유지하기 위해 세션 저장소를 사용합니다. 예를 들면 인증 컨텍스트 정보, SAML 특성, 사용자를 인증하는 타사 IdP, OAuth 인증의 클레임과 같은 정보가 저장됩니다. 정책 서버는 이 정보를 사용하여 사용자 토큰을 생성하거나 정책을 결정할 수 있습니다.
페더레이션된 싱글 사인온의 경우 정책 서버에서 세션 저장소의 특성을 어설션에 추가하여 요청된 응용 프로그램을 사용자 지정할 수 있습니다.
세션 특성은 다음과 같은 배포의 경우에 저장됩니다.
- 위임되지 않은 인증 배포로컬 시스템 또는 외부 타사에서 사용자를 인증하지만 시스템에서는 이를 로컬 인증으로 간주합니다. 로컬 인증 배포의 경우 싱글 사인온 구성에서 인증 모드가 로컬로 설정되어야 합니다. 또한 액세스 정책으로 인증 URL을 보호해야 합니다. 세션 특성을 유지하도록 정책의 인증 체계를 구성하십시오.
- 위임된 인증 배포외부 타사에서 사용자를 인증할 수 있습니다. 타사 파트너는 세션 저장소에 저장되는 사용자 정보를 반환합니다.
사용할 수 있는 세션 특성 확인
페더레이션 관리자는 파트너 관계에 사용되는 세션 특성을 식별해야 합니다. 사용 가능한 특성을 쉽게 파악할 수 있도록 데이터베이스나 사용자 디렉터리 같은 인증 원본을 사용하십시오.
세션 특성을 어설션 구성에 추가
세션 특성을 어설션 구성에 추가합니다. 구성은 IdP-SP 파트너 관계 같은 어설션 당사자 측에서 수행됩니다.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- 파트너 관계 마법사의 "어설션 구성" 단계로 이동합니다.
- "어설션 특성" 섹션에서 "행 추가"를 클릭합니다.
- 세션 특성을 구성하려면 테이블 설정을 완료합니다. 예를 들면 다음과 같습니다.
- 어설션 특성IssuerID
- 검색 방법SSO
- 형식지정되지 않음
- Type세션 특성
- 값IssuerID
- 필요한 항목 수에 맞춰 행을 추가합니다.
- (선택 사항) 특성을 암호화하려면 "암호화"를 선택합니다.
- "다음"을 클릭하여 "SSO 및 SLO" 단계로 이동합니다.
관리 UI의 세션 특성 예
다음 그림의 마지막 두 개 항목은 세션 특성 항목의 예를 보여 줍니다. 이 화면은 SAML 2.0 파트너 관계에 해당합니다. SAML 1.1 화면은 이와 비슷하지만 "검색 방법" 및 "형식" 열이 없고, 대신 "네임스페이스" 열이 있습니다.
SSO에 대한 인증 모드 및 URL 확인
파트너 관계의 인증 모드 및 인증 URL이 올바르게 설정되어 있는지 확인하십시오.
참고:
이 절차에서는 필요한 다른 SSO 설정이 구성되어 있다고 가정합니다.다음 단계를 수행하십시오.
- 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
- "인증" 섹션에서 다음 필드의 설정을 확인합니다.
- 인증 모드로컬
- 인증 URL이 URL은 다음과 같이 redirect.jsp 파일을 가리켜야 합니다.http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserver웹 에이전트 옵션 팩 또는CA Access Gateway를 포함하는 웹 서버를 식별합니다. Redirect.jsp 파일은 어설션 당사자에 설치된 이러한 제품에 포함되어 있습니다.중요! 정책을 사용하여 이 리소스를 보호하십시오.
- "확인" 단계로 이동하고 "마침"을 클릭합니다.
세션 특성을 유지하도록 인증 체계 구성
인증 URL을 보호하는 인증 체계를 구성하고 체계에서 세션 특성을 유지하게 합니다. 이 절차는 시스템이 세션 특성을 저장하도록 하는 데 필요합니다.
다음 단계를 수행하십시오.
- "인프라", "인증", "인증 체계"를 차례로 클릭합니다.
- "인증 체계 만들기"를 클릭합니다.
- "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다. "확인"을 클릭합니다."인증 체계 만들기" 페이지가 표시됩니다.
- 세션 특성을 유지할 수 있는 인증 체계 템플릿을 선택합니다. 이러한 인증 체계 템플릿에는 사용자 이름 및 암호 외에도 추가 정보가 필요합니다.예를 들어 X.509 인증서 인증 체계에는 인증서에 대한 SubjectDN 및 IssuerID가 필요합니다. OAuth 인증 체계에는 이름 및 성과 같은 정보가 필요합니다. 이 정보는 세션 저장소에서 유지되었다가 어설션에 추가될 수 있습니다.사용할 수 있는 인증 체계 템플릿은 다음과 같습니다.
- OpenID
- OAuth
- 모든 X.509 인증 템플릿
- 사용자 지정 체계
- 체계와 관련된 필드 및 컨트롤을 완료합니다.필드 설명을 보려면 "도움말"을 클릭하십시오.
- 대화 상자의 "체계 설정" 섹션에서 "인증 세션 변수 유지"를 선택합니다.
- "제출"을 클릭하여 체계를 저장합니다.
인증 URL을 보호하는 정책 생성
인증 URL을 보호하는 정책에서 세션 특성을 유지하는 인증 체계를 사용하십시오. 사용자가 보호된 리소스를 요청하면 정책에 의해 사용자를 인증하는 데 필요한 작업이 트리거됩니다. 사용자가 세션 변수로 제공하는 자격 증명이 저장됩니다.
먼저 어설션 당사자와 할당 사용자에 대한 정책 도메인을 생성하십시오. 기존 어설션 당사자 도메인을 수정할 수도 있습니다.
다음 단계를 수행하십시오.
- "정책", "도메인", "도메인"을 클릭합니다."도메인" 페이지가 표시됩니다.
- 해당 어설션 당사자의 도메인을 선택하고 수정합니다.
- 사용자 디렉터리가 도메인의 일부인지 확인합니다. 그렇지 않으면 "추가/제거"를 클릭하여 사용자 디렉터리를 추가합니다."사용 가능한 구성원" 목록에서 사용자 디렉터리를 하나 이상 선택할 수 있습니다. 한 번에 여러 구성원을 선택하려면 Ctrl 키를 누른 채 추가 구성원을 클릭하십시오. 구성원 블록을 선택하려면 첫 번째 구성원을 클릭한 다음 Shift 키를 누른 채 블록의 마지막 구성원을 클릭하십시오.참고:사용자 디렉터리를 생성하여 도메인에 추가하려면 "만들기"를 클릭하십시오.
- 제출을 클릭합니다.
도메인이 구성되었습니다.
인증 URL 정책에 대한 영역 및 규칙 생성
페더레이션 도메인의 경우 영역을 생성하여 웹 에이전트와 연결하십시오.
다음 단계를 수행하십시오.
- "정책", "도메인", "영역"을 클릭합니다."영역" 페이지가 표시됩니다.
- "영역 만들기"를 클릭합니다.
- 수정할 도메인을 선택하고 "다음"을 클릭합니다.
- 영역의 이름과 설명을 입력합니다.해당 영역이 SSO 인증 URL을 위한 영역임을 나타내는 이름을 지정합니다.
- "에이전트/에이전트 그룹 조회"를 클릭하여 에이전트를 선택합니다.
- 적절한 웹 에이전트를 선택하고 "확인"을 클릭합니다.
- redirect.jsp에 대한 리소스 필터를 지정합니다. 예를 들면 다음과 같습니다./siteminder/redirectjsp/redirect.jsp
- 나머지 필드를 완료합니다.
- 기본 리소스 보호보호됨
- 인증 체계인증 URL을 보호하기 위해 구성한 인증 체계를 선택합니다. 이 체계는 세션 특성을 유지하기 위해 구성한 체계입니다.
- "규칙" 섹션에서 규칙을 생성합니다.
- 규칙의 이름을 지정합니다.
- 나머지 설정은 기본값을 사용합니다.
- 다른 구성 옵션은 건너뜁니다.
- "마침"을 클릭합니다.
영역 및 규칙 구성이 완료되었습니다.
인증 URL 정책 완성
인증 URL을 보호하는 정책을 생성하십시오 정책 구성 요소는 함께 작동하여 리소스를 보호합니다.
정책을 생성한 후에는 사용자와 규칙을 추가하십시오.
다음 단계를 수행하십시오.
- "정책", "도메인", "도메인"을 클릭합니다.
- 도메인을 검색합니다.검색 조건과 일치하는 도메인의 목록이 표시됩니다.
- 어설션 당사자의 도메인을 선택합니다.
- "수정"을 클릭합니다.
- "정책" 탭을 클릭합니다."정책" 페이지가 표시됩니다.
- "만들기"를 클릭합니다.
- 정책의 이름과 설명을 입력합니다.
- "사용자" 탭에서 개별 사용자, 사용자 그룹 또는 둘 모두를 추가합니다. 사용자는 도메인과 연결된 사용자 디렉터리의 구성원입니다.각 사용자 디렉터리 그룹 상자 내에서 "구성원 추가", "항목 추가" 및 "모두 추가"를 선택합니다. 사용하는 방법에 따라 사용자를 추가할 수 있는 대화 상자가 열립니다.참고: "구성원 추가"를 선택하는 경우 "사용자/그룹" 창이 열립니다. 개별 사용자는 자동으로 표시되지 않습니다. 한 디렉터리 내의 특정 사용자를 찾으려면 검색 유틸리티를 사용하십시오.오른쪽 화살표(>)를 클릭하여 사용자 또는 그룹을 편집하거나 빼기 기호(-)를 클릭하여 사용자 또는 그룹을 삭제할 수 있습니다.
- "규칙" 탭에서 규칙을 추가합니다.
- 인증 URL에 대해 생성한 규칙을 선택하고 "확인"을 클릭합니다.규칙에 대한 응답은 구성할 필요가 없습니다.
- "제출"을 클릭하여 구성을 완료합니다.
정책 구성이 완료되었습니다.
어설션 특성, 싱글 사인온 및 정책 구성이 함께 작동하여 세션 특성을 어설션에 사용할 수 있게 만듭니다.