ECP(향상된 클라이언트 또는 프록시) 프로필 개요(SAML 2.0)
목차
sm1252sp1kkr
목차
2
ECP(향상된 클라이언트 또는 프록시) 프로필은 싱글 사인온을 위한 응용 프로그램입니다. 향상된 클라이언트는 ECP 기능을 지원하는 브라우저 또는 일부 다른 사용자 에이전트입니다. 향상된 프록시는 무선 장치용 무선 액세스 프로토콜 프록시와 같은 HTTP 프록시입니다.
ECP 프로필은 아이덴티티 공급자와 서비스 공급자가 직접 통신할 수 없을 때 싱글 사인온을 가능하게 합니다. ECP는 서비스 공급자와 아이덴티티 공급자 사이에서 중재자 역할을 합니다.
중재자 역할을 하는 것 외에도 ECP 프로필은 다음과 같은 경우에 유용합니다.
- 이 프로필이 필요한 향상된 클라이언트 또는 프록시에 서비스를 제공할 것으로 예상되는 서비스 공급자의 경우
- 기능이 제한된 모바일 장치 앞의 WAP(무선 액세스 프로토콜) 게이트웨이와 같은 프록시 서버가 사용되고 있는 경우
ECP 응용 프로그램은 사용자가 직접 얻거나 개발해야 합니다. 은 SAML 요구 사항에 맞는 ECP 응용 프로그램에 대한 ECP 요청 및 응답만 처리합니다.
다음 그림에서는 ECP 프로필의 흐름을 보여 줍니다.

ECP 통신에서 사용자는 휴대폰 등에서 응용 프로그램에 대한 액세스를 요청합니다. 응용 프로그램은 서비스 공급자에 있으며 사용자에 대한 아이덴티티 정보는 아이덴티티 공급자에 있습니다. 서비스 공급자와 아이덴티티 공급자는 직접 통신하지 않습니다.
이 호출의 흐름은 다음과 같습니다.
- ECP 응용 프로그램이 리버스 SOAP(PAOS) 요청을 서비스 공급자에 전달합니다. 서비스 공급자는 아이덴티티 공급자에 직접 액세스할 수 없습니다.아이덴티티 공급자와 달리 ECP 엔터티에는 항상 직접 액세스할 수 있습니다.
- 서비스 공급자는 ECP 응용 프로그램에 AuthnRequest를 되보냅니다.
- ECP 응용 프로그램은 AuthnRequest를 처리 및 수정하여 아이덴티티 공급자에 보냅니다.
- 아이덴티티 공급자는 요청을 처리한 후 ECP 응용 프로그램에 SOAP 응답을 반환합니다. 이 응답에는 어설션이 포함됩니다.
- ECP 응용 프로그램은 서명된 PAOS 응답을 서비스 공급자에 되보냅니다.
싱글 사인온이 진행되고 사용자가 응용 프로그램에 대한 액세스 권한을 얻습니다.
아이덴티티 공급자에서 ECP 구성
ECP를 구성하려면 아이덴티티 공급자와 서비스 공급자에서 해당 기능을 사용하도록 설정하십시오. 다음 절차는 아이덴티티 공급자에 해당됩니다.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- 수정할 로컬 아이덴티티 공급자 파트너 관계를 선택합니다.
- 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
- "SSO" 섹션에서 "향상된 클라이언트 또는 프록시 프로필 사용" 확인란을 선택합니다.
- "확인" 단계로 이동하고 "마침"을 클릭하여 변경 내용을 저장합니다.
이제 아이덴티티 공급자가 ECP 호출을 처리할 수 있습니다.
참고:
단일 서비스 공급자 개체가 싱글 사인온 요청에 대한 아티팩트, POST, SOAP 및 PAOS 바인딩을 처리할 수 있습니다. SOAP 및 PAOS는 ECP 프로필에 대한 바인딩입니다. 아이덴티티 공급자와 서비스 공급자는 요청의 매개 변수를 기준으로 사용되는 바인딩을 확인합니다.서비스 공급자에서 ECP 구성
ECP를 구성하려면 아이덴티티 공급자와 서비스 공급자에서 해당 기능을 사용하도록 설정해야 합니다. 다음 절차는 서비스 공급자에 해당됩니다.
다음 단계를 수행하십시오.
- 서비스 공급자에서 보호된 리소스에 대한 요청을 AuthnRequest 서비스에 전달합니다. URL의 예는 다음과 같습니다.https://host:port/affwebservices/public/saml2authnrequest
- 관리 UI에 로그인합니다.
- 관련된 로컬 서비스 공급자 파트너 관계를 수정합니다.
- 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
- "SSO" 섹션에서 "향상된 클라이언트 또는 프록시 프로필 사용" 확인란을 선택합니다.
- "확인" 단계로 이동하고 "마침"을 클릭하여 변경 내용을 저장합니다.
이제 서비스 공급자가 ECP 호출을 처리할 수 있습니다.
참고:
단일 서비스 공급자 개체가 싱글 사인온 요청에 대한 아티팩트, POST, SOAP 및 PAOS 바인딩을 처리할 수 있습니다. SOAP 및 PAOS는 ECP 프로필에 대한 바인딩입니다. 아이덴티티 공급자와 서비스 공급자는 요청의 매개 변수를 기준으로 사용되는 바인딩을 확인합니다.