IDP 검색 프로필(SAML 2.0)
목차
sm1252sp1kkr
목차
IPD(아이덴티티 공급자 검색) 프로필이 제공하는 공통 검색 서비스를 사용하면 서비스 공급자가 인증을 위해 고유 IdP를 선택할 수 있습니다. 네트워크에 있는 모든 사이트가 아이덴티티 공급자 검색 서비스와 상호 작용하도록 파트너 간의 사전 비즈니스 계약이 설정되어 있습니다.
이 프로필은 어설션을 제공하는 파트너가 둘 이상 있는 페더레이션된 네트워크에 유용합니다. 서비스 공급자는 자신이 특정 사용자에 대한 인증 요청을 보내는 아이덴티티 공급자를 결정할 수 있습니다.
IdP 검색 프로필은 두 페더레이션된 파트너에 공통적인 쿠키 도메인을 사용하여 구현됩니다. 약정된 도메인의 쿠키에는 사용자가 방문한 IdP 목록이 포함되어 있습니다.
아이덴티티 공급자의 IDP 검색 구성
"SSO 및 SLO" 대화 상자의 "IDP 검색 섹션"에서 IDP 검색 프로필을 구성하십시오.
참고
"도움말"을 클릭하면 필드, 컨트롤 및 해당되는 각 요구 사항에 대한 설명을 볼 수 있습니다.다음 단계를 수행하십시오.
- IDP 검색 사용을 선택합니다.
- 서비스 URL필드의 값을 다음 형식에서 "아이덴티티 공급자 검색 프로필" 서블릿으로 설정합니다.https://host:port/affwebservices/public/saml2ipd
- host"일반 도메인" 필드에 지정하는 일반 도메인을 나타냅니다.
- portSingle Sign-On을 설치할 때 지정한 Apache HTTP 포트를 지정합니다.
- 일반 도메인필드에 쿠키 도메인을 지정합니다.
- (선택 사항) 브라우저에 영구 쿠키를 유지하려면영구 쿠키 사용을 선택합니다.
IPD는 IdP에서 활성화됩니다.
서비스 공급자의 IDP 검색 구성
IDP 검색 프로필의 경우 SP(서비스 공급자)는 인증 요청을 보낼 IdP(아이덴티티 공급자)를 확인해야 합니다. SP가 인증하려는 사용자는 이전에 아이덴티티 공급자를 방문하여 인증을 받은 상태여야 합니다.
일반 도메인 쿠키를 검색하려면 SP가 사용자를 자체의 IdP 검색 서비스로 리디렉션해야 합니다. 쿠키에는 사용자가 이미 방문한 아이덴티티 공급자의 목록이 포함됩니다. 쿠키는 이 목록에서 올바른 IdP를 선택한 다음 이 IdP에 AuthnRequest를 전송합니다.
IDP 검색 프로세스는 다음과 같습니다.
- 브라우저가 SP의 사이트 선택 페이지를 요청합니다.이 사이트 선택 페이지는 IDP 검색 서비스 URL을 인식하고 있습니다.
- 사이트 선택 페이지는 사용자를 IDP 검색 서비스 URL로 리디렉션하고 일반 도메인 쿠키를 가져오고자 한다고 표시합니다.
- IDP 검색 서비스는 일반 도메인 쿠키를 가져오고, 해당 도메인에서 쿠키를 읽고, 사용자를 다시 사이트 선택 페이지로 리디렉션합니다. 검색 서비스는 일반 도메인 쿠키를 쿼리 매개 변수로 제공합니다.
- SP는 사이트 선택 페이지에 사용자가 이전에 인증한 IdP URL을 입력합니다.
- 사용자가 IdP를 선택하여 사용자 인증을 수행합니다.
SP에서 IdP 검색을 구성하려면
- SP의 IdP 검색 서비스에서 일반 도메인 쿠키를 요청하는 사이트 선택 페이지를 생성합니다.Single Sign-On은 SP가 IdP 검색을 구현하는 데 사용할 수 있는 IdPDiscovery.jsp라는 샘플 사이트 선택 페이지와 함께 제공됩니다. 이 페이지는 다음 디렉터리에서 찾을 수 있습니다.web_agent_home/affwebservices/public첫 번째 링크는 브라우저를 한 도메인에서 일반 도메인의 IdPDiscovery 서비스로 리디렉션하고 _saml_idp라는 일반 도메인 쿠키를 검색합니다. SP의 IdP 검색 서비스는 요청을 수신하면 일반 도메인 쿠키를 가져와서 이를 쿼리 매개 변수로 추가합니다. 그런 다음 IDP 검색 서비스가 사용자를 일반 도메인의 IdPDiscovery.jsp 사이트 선택 페이지로 다시 리디렉션합니다. 기본적으로 IdPDiscovery.jsp 페이지에는 공용 쿠키에서 추출하는 IdP에 대한 ID 목록만 표시됩니다. 이 목록은 정적이고, 연결된 IdP와의 통신을 시작하는 목록과 연결된 HTML 링크가 없습니다.
- SP 사이트에 대한 샘플 페이지에서 다음 링크를 편집합니다. 링크의 첫 번째 부분에서는 saml2idp 쿠키가 있는 일반 도메인을 지정합니다. 링크의 두 번째 부분에서는 IdPDiscovery.jsp가 있는 일반 도메인을 지정합니다.예:<a href="http://myspsystem.commondomain.com/affwebservices/public /saml2ipd/?IPDTarget=/http://myspsystem.spdomain.com/affwebservices /public/IdpDiscovery.jsp&SAMLRequest=getIPDCookie"> Retrieve idp discovery cookie from IPD Service</a>사용자가 대상 사이트 선택 페이지가 있는 일반 도메인으로 다시 리디렉션되면 이제 해당 사용자가 공용 쿠키를 갖게 됩니다.
- (선택 사항) 각 IdP에 대해 HTML 링크를 표시하도록 IdPDiscovery.jsp 사이트 선택 페이지를 편집합니다. 각 링크는 Single Sign-On을 시작하도록 IdP에 대한 AuthNRequest를 트리거합니다. 기본적으로 IdPDiscovery.jsp 페이지에는 공용 쿠키에서 추출하는 IdP에 대한 ID 목록만 표시됩니다.
- 편집된 사이트 선택 페이지를 사용하여 IdP 검색을 테스트합니다.
IdP 검색이 제대로 작동하는 경우 사이트 선택 페이지에는 선택할 IdP 목록이 표시됩니다.