인증 컨텍스트 처리(SAML 2.0)
목차
sm1252sp1kkr
목차
2
인증 컨텍스트
는 아이덴티티 공급자에서 사용자가 인증되는 방법을 나타냅니다. 아이덴티티 공급자는 서비스 공급자의 요청에 따라 또는 아이덴티티 공급자의 구성에 기반하여 어설션에 인증 컨텍스트를 포함합니다. 서비스 공급자는 리소스에 대한 액세스를 허용하기 전에 어설션에 신뢰 수준을 설정하기 위해 인증 프로세스에 대한 정보를 요청할 수 있습니다.인증 컨텍스트 요청
Single Sign-On
서비스 공급자는 아이덴티티 공급자에 대한 인증 요청에 <RequestedAuthnContext> 요소를 포함하여 인증 컨텍스트를 요청합니다. 이 요소의 포함 여부는 SP->IdP 파트너 관계의 구성 설정에 따라 달라집니다.인증 컨텍스트 가져오기
Single Sign-On
아이덴티티 공급자는 다음 두 가지 방법 중 하나를 사용하여 사용자의 인증 컨텍스트를 가져옵니다.- IdP->SP 파트너 관계 구성에서 정적 AuthnContext URI를 지정합니다.AuthnContext 요청을 지원하지 않는Single Sign-On서비스 공급자와 통신하는 경우에는 URI를 직접 입력합니다.
- AuthnContext URI는 구성된 인증 컨텍스트 템플릿을 사용하여 동적으로 결정됩니다.정책 서버는 인증 컨텍스트 URI를Single Sign-On인증 수준에 매핑합니다. 이 인증 수준은 연결된 사용자 세션에 대한 인증 컨텍스트의 강도를 나타냅니다. 이 수준에서는 아이덴티티 공급자의 사용자 세션에서 인증 컨텍스트를 추출할 수 있습니다.아이덴티티 공급자는 요청을 수신하면 <RequestedAuthnContext> 요소의 값을 인증 컨텍스트와 비교합니다. 비교는 서비스 공급자의 요청에서 전송된 비교 값을 기반으로 합니다. 비교가 성공적인 경우 아이덴티티 공급자는 서비스 공급자에 반환하는 어설션에 인증 컨텍스트를 포함합니다. 유효성 검사가 구성된 경우 서비스 공급자는 들어오는 인증 컨텍스트를 요청한 값과 비교하여 유효성을 검사합니다.
IdP에서 시작되는 SSO에 대한 인증 컨텍스트 처리
싱글 사인온이 IdP에서 시작되는 경우 인증 컨텍스트 처리의 단계는 다음과 같습니다.
- 사용자 요청이 IdP에서 싱글 사인온을 트리거합니다.
- 사용자가 인증되고 사용자 세션이 생성됩니다. 인증 체계를 사용하여 구성된 보호 수준이 세션과 연결됩니다.
- IdP의 인증 컨텍스트 구성에 따라 다음과 같은 상황 중하나가 발생할 수 있습니다.
- 자동 검색이 수행됩니다.구성된 인증 컨텍스트 템플릿에 기반하여 AuthnContext 클래스가 세션의 보호 수준에 매핑됩니다.
- 미리 정의된 인증 클래스가 사용됩니다.지정한 하드 코딩된 URI가 어설션에 추가됩니다.
- IdP가 어설션을 생성하고 인증 컨텍스트를 여기에 추가합니다. 그런 다음 어설션이 SP에 전송됩니다.
- SP에서 어설션의 인증 컨텍스트 클래스와 SP의 구성된 인증 클래스 간에 또 다른 비교가 이루어집니다. 이 비교가 성공하면 인증 트랜잭션이 완료됩니다.
SP에서 시작되는 SSO에 대한 인증 컨텍스트 처리
싱글 사인온이 SP에서 시작되는 경우 인증 컨텍스트 처리의 단계는 다음과 같습니다.
- SP가 <RequestedAuthnContext> 요소 및 비교 연산자와 함께 인증 요청을 보냅니다. SP-> IdP 파트너 관계 구성의 설정에 따라 요소가 포함됩니다.
- IdP가 요청을 받으면 사용자를 인증하고 사용자 세션이 생성됩니다. 인증 체계의 보호 수준이 세션과 연결됩니다.
- IdP의 인증 컨텍스트 구성에 따라 다음과 같은 상황 중하나가 발생할 수 있습니다.
- 자동 검색이 수행됩니다.구성된 인증 컨텍스트 템플릿에 기반하여 AuthnContext 클래스가 세션의 보호 수준에 매핑됩니다.
- 미리 정의된 인증 클래스가 사용됩니다.지정한 하드 코딩된 URI가 어설션에 추가됩니다.
- IdP가 AuthnContext를 사용자 세션의 인증 클래스와 비교합니다. 이 비교는 요청과 함께 전송된 비교 연산자를 기반으로 합니다. 각 비교 연산자가 처리에 미치는 영향의 예를 보려면 이 절차 뒤에 나오는 표를 참조하십시오.SP가 요청에 인증 컨텍스트 URI를 여러 개 포함하는 경우 각각의 클래스가 일대일로 순차적으로 세션의 컨텍스트와 비교됩니다. 첫 번째 비교가 성공할 경우 IdP가 세션 인증 컨텍스트를 어설션에 추가합니다.
- 비교가 성공하면 SP에 전송되는 어설션에 인증 컨텍스트가 추가됩니다.비교가 실패하면 트랜잭션이 종료되고 "noauthncontext" 상태 응답이 반환됩니다.
- SP에서 어설션의 인증 컨텍스트와 SP의 구성된 인증 클래스 간에 두 번째 비교가 이루어집니다. 이 비교가 성공하면 인증 트랜잭션이 완료됩니다.
다음 표에서는 인증 컨텍스트 요청에서 전송된 비교 특성을 기반으로 인증 컨텍스트가 처리되는 방식의 예를 보여 줍니다.
SP에서 요청된 인증 컨텍스트
| 비교 특성 값
| IdP에서 구성된 인증 컨텍스트
| 상태 응답
|
암호 | exact | InternetProtocol | NoAuthnContext |
암호 | minimum | InternetProtocol | NoAuthnContext |
암호 | maximum | InternetProtocol | NoAuthnContext |
InternetProtocol | exact | InternetProtocol | Success |
InternetProtocol | minimum | InternetProtocol | Success |
InternetProtocol | maximum | InternetProtocol | Success |
InternetProtocol | maximum | 암호 | NoAuthnContext |
InternetProtocol | maximum | 암호 | Success |