어설션 당사자 구성 요소 설정

목차
sm1252sp1kkr
목차
2
다음 그림에서는 SAML 1.x 생산자, SAML 2.0 아이덴티티 공급자 또는 WS-페더레이션 계정 파트너 설정을 보여 줍니다.
Set up components at the asserting party
sm1252sp1kkr
참고: 가 페더레이션 웹 서비스 응용 프로그램 기능을 제공하기 위해 웹 에이전트 및 웹 에이전트 옵션 팩을 대체할 수 있습니다.
다음 단계를 수행하십시오.
어설션 당사자 정책 서버 설치
어설션 당사자 측에서의 설정은 다음과 같습니다.
  1. 정책 서버를 설치합니다.
  2. 아티팩트 Single Sign-On에 대해서만 세션 저장소와 해당 데이터베이스를 설정합니다.
    세션 저장소는 세션 서버가 어설션을 저장한 후에 검색되므로 아티팩트 Single Sign-On에만 필요합니다.
  3. 정책 서버에 사용할 정책 저장소를 설정합니다.
  4. 사용자 디렉터리를 설정합니다.
    이 사용자 디렉터리에는 생성하는 어설션의 대상이 되는 사용자가 포함되어 있어야 합니다.
  5. (선택 사항) 어설션 당사자와 신뢰 당사자 간의 통신을 보려면 정책 서버에 대해 오류 및 추적 로깅이 사용되도록 설정합니다.
가맹 도메인을 설정하고 해당 도메인에 사이트 추가
페더레이션 웹 서비스를 설정하기 전에 가맹 도메인을 설정하고 가맹 도메인에 어설션을 소비하는 사이트를 추가합니다. 가맹 도메인은 어설션을 생성하는 사이트에 대해 파트너를 식별합니다.
어설션 당사자 측에서 다음을 수행하십시오.
  1. 관리 UI에 액세스합니다.
  2. 가맹 도메인을 생성합니다.
  3. 어설션 당사자(생산자, IdP, AP)가 어설션을 생성하는 사용자에 대한 사용자 저장소를 추가합니다.
  4. 가맹 도메인에 각 신뢰 당사자(소비자, SP, RP)에 대한 개체를 추가합니다.
    신뢰 당사자와 도메인에 추가된 각 개체 간에 일대일 대응 관계가 있어야 합니다.
  5. 가맹 도메인에 사이트를 추가한 후 인증 URL이 보호되는지 확인합니다. 이 확인에서는 페더레이션된 리소스에 대한 요청을 처리하기 전에 사용자 세션이 어설션 당사자에 있는지 확인합니다.
    이 태스크를 수행하려면
    1. 정책 도메인을 생성합니다.
    2. 웹 에이전트로 정책 도메인을 보호합니다. 웹 에이전트 옵션 팩이 있는 서버를 보호하고 있는 웹 에이전트를 사용합니다.
    3. 이 정책 도메인에 인증 URL을 보호하는 영역, 규칙 및 정책을 추가합니다.
어설션 당사자 측에서 웹 에이전트 또는 SPS 페더레이션 게이트웨이 설치
웹 에이전트는
Single Sign-On
Federation 네트워크의 필수 구성 요소입니다. 웹 서버에 웹 에이전트를 설치하거나 포함된 웹 에이전트가 있는
CA Access Gateway
를 설치하십시오.
어설션 당사자 측에서 다음 구성 요소를 설정하십시오.
  1. 다음 구성 요소 중 하나를 설치합니다.
    • 웹 에이전트
    • CA Access Gateway
  2. 아티팩트 Single Sign-On의 경우 웹 에이전트가 설치된 웹 서버나
    CA Access Gateway
    가 있는 시스템에서 SSL이 사용되도록 설정합니다.
웹 에이전트 옵션 팩용 응용 프로그램 서버 설치(어설션 당사자)
웹 에이전트 및 웹 에이전트 옵션 팩이 있는 레거시 페더레이션을 구현하고 있는 경우 웹 에이전트 옵션 팩을 설치하십시오. 웹 또는 응용 프로그램 서버에 이 구성 요소를 설치하십시오.
어설션 당사자 측에서 다음을 수행하십시오.
  1. 웹 에이전트 옵션 팩과 함께 설치된 응용 프로그램인 페더레이션 웹 서비스를 실행하려면 다음 서버 중 하나를 설치합니다.
    • ServletExec를 실행하는 웹 서버
    • WebLogic 응용 프로그램 서버
    • WebSphere 응용 프로그램 서버
    • JBoss 응용 프로그램 서버
    • Tomcat 응용 프로그램 서버
  2. 이러한 시스템에 페더레이션 웹 서비스를 배포합니다.
  3. 아티팩트 Single Sign-On의 경우 웹 에이전트 옵션 팩이 설치된 웹 서버에서 SSL이 사용되도록 설정합니다.
어설션 당사자 웹 에이전트 옵션 팩 설치
웹 에이전트 옵션 팩은
Single Sign-On
레거시 페더레이션의 필수 구성 요소인 페더레이션 웹 서비스 응용 프로그램을 제공합니다.
어설션 당사자 측에서 다음을 수행하십시오.
  1. 웹 에이전트 옵션 팩을 설치합니다.
    JDK를 설치했는지 확인합니다. 웹 에이전트 옵션 팩에는 JDK가 필요합니다.
  2. 지원되는 JDK 버전을 보려면 기술 지원 사이트에 로그온하고 해당 릴리스의
    Single Sign-On
    플랫폼 지원표를 검색하십시오.
sm1252sp1kkr
참고: 가 페더레이션 웹 서비스 응용 프로그램 기능을 제공하기 위해 웹 에이전트 및 웹 에이전트 옵션 팩을 대체할 수 있습니다.
페더레이션 웹 서비스(어설션 당사자) 구성
페더레이션 웹 서비스 응용 프로그램은 웹 에이전트 옵션 팩이나
CA Access Gateway
와 함께 설치됩니다.
어설션 당사자 측에서 페더레이션 웹 서비스를 구성하려면
  1. 웹 에이전트 옵션 팩을 사용하도록 지원되는 응용 프로그램 서버 중 하나를 구성합니다. 웹 에이전트 옵션 팩 배포 지침을 참조하십시오.
    CA Access Gateway
    에는 페더레이션 웹 서비스가 이미 배포되어 있습니다.
  2. AffWebServices.properties 파일에 있는 AgentConfigLocation 매개 변수가 WebAgent.conf 파일의 전체 경로로 설정되어 있는지 확인합니다. 구문이 올바르고 경로가 파일에 한 줄로 나타나는지 확인합니다.
    AffWebServices.properties 파일에는 페더레이션 웹 서비스에 대한 초기화 매개 변수가 포함되어 있습니다. 이 파일은 다음 디렉터리 중 하나에 있습니다.
    • web_agent_home
      /affwebservices/WEB-INF/classes
    • sps_home
      /secure-proxy/Tomcat/webapps/affwebservices/WEB-INF/classes
    • web_agent_home
      웹 에이전트가 설치된 위치를 나타냅니다.
    • sps_home
      CA Access Gateway
      가 설치된 위치를 나타냅니다.
  3. 페더레이션 웹 서비스 응용 프로그램에 대해 오류 및 추적 로깅이 사용되도록 설정합니다. LoggerConfig.properties 파일에서 로깅이 사용되도록 설정합니다. 로그를 통해 어설션 당사자와 신뢰 당사자 간의 통신을 볼 수 있습니다.
    • 오류 로깅은 기본 오류 로그 파일인 affwebserv.log 파일에 기록됩니다.
    • 추적 로깅은 기본 추적 로그 파일인 FWSTrace.log 파일에 기록됩니다.
  4. 웹 브라우저를 열고 다음 링크를 입력하여 페더레이션 웹 서비스를 테스트합니다.
    http://
    fqhn
    :
    port_number
    /affwebservices/assertionretriever
    • fqhn
      정규화된 호스트 이름을 정의합니다.
    • port_number
      페더레이션 웹 서비스 응용 프로그램이 설치된 서버의 포트 번호를 정의합니다.
    예:
    http://myhost.ca.com:81/affwebservices/assertionretriever
    페더레이션 웹 서비스가 올바로 작동하면 다음과 같은 메시지가 표시됩니다.
    Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.
    이 메시지는 페더레이션 웹 서비스가 데이터 작업을 수신 대기하고 있음을 나타냅니다. 페더레이션 웹 서비스가 올바로 작동하고 있지 않으면 어설션 검색 서비스가 실패했다는 메시지가 표시됩니다. 테스트가 실패한 경우 페더레이션 웹 서비스 로그를 살펴보십시오.
페더레이션 웹 서비스에 대한 액세스 허용(어설션 당사자)
sm1252sp1kkr
정책 서버를 설치하면 이 FWS(페더레이션 웹 서비스) 응용 프로그램에 대한 정책을 생성합니다. FWS 응용 프로그램은 웹 에이전트 옵션 팩과 함께 설치됩니다. 일부 페더레이션 기능의 경우 신뢰 당사자에게 보호된 FWS 서비스에 액세스할 수 있는 권한이 있어야 합니다. 정책에 신뢰 파트너를 추가하는 태스크는 어설션 당사자 측에서만 수행됩니다.
예를 들어 싱글 사인온에 대한 HTTP-아티팩트 바인딩의 경우 이 어설션을 검색하는 서비스가 정책으로 보호됩니다. 이 특정 신뢰 파트너에 대한 어설션을 검색하려면 해당 파트너가 서비스를 보호하는 정책에 사용자로 추가되어 있어야 합니다.
페더레이션 파트너 관계에 대해 구성된 기능에 적용되는 특정 FWS 정책에 대한 액세스 권한을 부여하십시오.
SAML POST 응답 서명이 사용되도록 설정
SAML POST 응답 서명은 SAML 사양 요구 사항입니다. SAML POST 응답에 서명하려면 어설션 당사자의 인증서 데이터 저장소에 개인 키와 인증서를 추가하십시오.
대상 리소스에 대한 링크 생성(선택 사항)
다음 중 하나로 이동합니다.
생산자에서 SAML 1.x Single Sign-On 시작
SAML 1.x 생산자에서 사용자를 소비자 사이트에 연결하는 링크가 포함된 페이지를 생성하십시오. 각 링크는 사이트 간 전송 URL을 나타냅니다. 사용자가 생산자 측 웹 에이전트에 요청을 보내는 사이트 간 전송 URL을 방문해야 합니다. 그러면 사용자가 소비자 사이트로 리디렉션됩니다.
사용자가 생산자에서 선택하는 링크에는 특정 쿼리 매개 변수가 포함되어 있어야 합니다. 이러한 매개 변수는 생산자 웹 에이전트에 대한 HTTP GET 요청의 일부입니다.
SAML 아티팩트 프로필의 경우 사이트 간 전송 URL 구문은 다음과 같습니다.
http://producer_site/affwebservices/public/intersitetransfer?SMASSERTIONREF= QUERY&NAME=affiliate_name&TARGET=http://consumer_site/target_url?query_parameter_name%3Dquery_parameter_value%26query_parameter_name%3Dquery_parameter_value&SMCONSUMERURL=http://consumer_site/affwebservices/public/samlcc&AUTHREQUIREMENT=2
  • sm1252sp1kkr
    producer_site
    페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 를 호스트하는 시스템의 서버 및 포트 번호를 지정합니다.
    consumer_site
    페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 를 호스트하는 시스템의 서버 및 포트 번호를 지정합니다.
SAML POST 프로필의 경우 사이트 간 전송 URL 구문은 다음과 같습니다.
http://producer_site/affwebservices/public/intersitetransfer?SMASSERTIONREF= QUERY&NAME=affiliate_name&TARGET=http://consumer_site/target_url
  • sm1252sp1kkr
    producer_site
    페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 를 호스트하는 시스템의 서버 및 포트 번호를 지정합니다.
    consumer_site
    페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 를 호스트하는 시스템의 서버 및 포트 번호를 지정합니다.
참고:
SAML POST 프로필에서는 SMCONSUMERURL 및 AUTHREQUIREMENT 매개 변수를 사용하지 않습니다. 하지만 사이트 간 전송 URL에 이러한 매개 변수 중 하나를 포함하는 경우에는 다른 매개 변수도 포함하십시오.
아이덴티티 공급자에서 SAML 2.0 Single Sign-On 시작
사용자가 서비스 공급자로 이동하기 전에 아이덴티티 공급자를 방문하는 경우(POST 또는 아티팩트 바인딩) 아이덴티티 공급자에서 원치 않는 응답을 시작하십시오. 원치 않는 응답을 시작하기 위해 페더레이션 웹 서비스 응용 프로그램과 어설션 생성기는 쿼리 매개 변수가 있는 HTTP Get 요청을 수락합니다. 이 쿼리 매개 변수는 IdP가 응답을 생성하는 서비스 공급자 ID를 나타냅니다.
SAML 2.0 아티팩트 또는 POST 프로필의 경우 링크 구문은 다음과 같습니다.
http://
IdP_server:port
/affwebservices/public/saml2sso?SPID=
SP_ID
  • sm1252sp1kkr
    idp_server:port
    웹 에이전트 옵션 팩이나 를 호스트하는 웹 서버와 포트를 식별합니다.
  • sm1252sp1kkr
    SP_ID
    서비스 공급자 ID 값입니다. 엔터티 ID는 대/소문자를 구분합니다. "관리 UI"에 표시되는 그대로 입력하십시오.
사용되도록 설정된 바인딩에 따라 이 링크에 ProtocolBinding 쿼리 매개 변수를 추가하십시오.
참고:
쿼리 매개 변수를 HTTP-인코딩할 필요는 없습니다.
서비스 공급자에서 Single Sign-On을 시작할 수도 있습니다.
계정 파트너에서 WS-페더레이션 Single Sign-On 시작
WS-페더레이션 Single Sign-On을 시작하려면 사용자가 하드 코드된 HTML 링크가 있는 페이지를 클릭합니다. 이 HTML 링크는 사용자의 브라우저를 계정 파트너의 Single Sign-On 서비스에 연결합니다. 그런 다음 계정 파트너가 사용자를 리소스 파트너로 리디렉션합니다.
Single Sign-On을 시작하는 링크는 모든 사이트에 포함될 수 있지만 항상 먼저 사용자를 계정 파트너에 연결해야 합니다.
링크 구문은 다음과 같습니다.
https://
AP:port
/affwebservices/public/wsfedsso?wa=wsignin1.0&wtrealm=
RP_ID
  • sm1252sp1kkr
    ap_server:port
    계정 파트너에 있는 시스템의 서버 및 포트 번호를 지정합니다. 시스템은 페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 를 호스트하고 있습니다.
참고:
쿼리 매개 변수를 HTTP-인코딩할 필요는 없습니다.