샘플 네트워크에 대한 서비스 공급자 설정

목차
sm1252sp1kkr
목차
2
다음 섹션에서는 서비스 공급자에서 레거시 페더레이션을 배포하기 위한 태스크를 자세히 설명합니다. 각 섹션의 항목은 기본 구성에 대해 제공된 샘플 데이터를 반영합니다.
참고:
이러한 절차에서는 필수 구성 요소를 이미 설치했다고 가정합니다.
SP 사용자 저장소 설정
SP에서 사용자 저장소를 구성하고 어설션이 필요한 사용자의 사용자 레코드를 추가하십시오. 그러면 인증하는 동안 어설션이 제공될 때 서비스 공급자가 사용자 저장소에서 사용자 레코드를 찾습니다.
이 배포에서는 Sun ONE LDAP 사용자 디렉터리가 사용자 저장소입니다. Sun ONE 서버 콘솔을 사용하여 디렉터리에 사용자를 추가하십시오.
사용자 저장소를 구성하려면
  1. 다음 사용자를 추가합니다.
    • user1
    • user2
  2. 다음과 같이 user1과 user2에 대한 특성을 입력합니다.
    중요!
    전자 메일 주소는 동일한 사용자의 아이덴티티 공급자 사용자 저장소에 있는 것과 동일해야 합니다.
  3. 추적 로깅이 사용되도록 설정합니다.
정책 서버가 SP LDAP 정책 저장소를 가리키도록 지정
정책 서버와 LDAP 정책 저장소 간의 연결을 설정하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 엽니다.
  2. "데이터" 탭을 선택합니다.
    다음 필드를 작성하십시오.
    • 데이터베이스
      정책 저장소
    • 저장소
      LDAP
    • LDAP IP 주소
      sp.demo:389
    • 루트 DN
      o=sp.demo
    • 관리자 사용자 이름
      cn=Directory Manager
    • 암호
      federation
    • 암호 확인
      federation
  3. "확인"을 클릭합니다.
  4. SP 사용자 저장소를 설정합니다.
SP에서 페더레이션 구성 요소에 대한 추적 로깅 사용
SP 정책 서버에서 페더레이션 구성 요소를 추적 로그 smtracedefault.log에 로깅하고 추적 메시지를 검사하도록 프로파일러를 구성합니다.
로깅이 사용되도록 설정하려면
  1. 정책 서버 관리 콘솔을 엽니다.
  2. "프로파일러" 탭을 클릭하고 추적 로그 콘텐츠를 사용자 지정합니다. 페더레이션 추적 메시지를 보려면 Fed_Server 구성 요소를 로그에 포함하십시오.
    정책 서버에서 정책 서버 관리 콘솔을 사용하여 추적 로깅을 구성할 수 있습니다.
  3. SP 웹 에이전트를 설치합니다.
웹 에이전트 옵션 팩이 있는 웹 서버 구성
웹 에이전트 옵션 팩이 FWS(페더레이션 웹 서비스) 응용 프로그램을 설치했습니다. 샘플 배포에 대해 FWS 응용 프로그램을 구성하십시오.
FWS가 제대로 작동하도록 하려면 다음을 구성하십시오.
  1. 페더레이션 웹 서비스용 JDK 설치
  2. ServletExec를 설치하고 SP의 FWS와 함께 작동하도록 구성
  3. AffWebServices.properties 파일 구성
  4. 웹 에이전트 옵션 팩 로깅이 사용되도록 설정
  5. 페더레이션 웹 서비스 테스트
페더레이션 웹 서비스용 JDK 설치
웹 에이전트 옵션 팩을 사용하려면 페더레이션 웹 서비스 응용 프로그램을 실행할 JDK가 필요합니다. 필요한 특정 버전을 확인하려면 기술 지원 사이트로 이동한 후 "Platform Support Matrix"(플랫폼 지원표)에서 해당 릴리스를 검색합니다.
ServletExec를 설치하고 SP의 FWS와 함께 작동하도록 구성
이 배포에서는 FWS 작동을 위해 ServletExec가 Sun ONE 6.1 웹 서버에 설치되어 있습니다.
sm1252sp1kkr
참고: 12.52는 라이선스 키 파일 ServletExec_AS_6_license_key.txt와 함께 제공됩니다. 이 라이선스 키가 없으면 CA 기술 지원 팀에 문의하십시오. 이 라이선스 파일에서 라이선스 키를 복사하여 ServletExec Administration(관리) 콘솔의 "ServletExec License"(ServletExec 라이선스) 대화 상자에 입력합니다. ServletExec 라이선스에 대한 자세한 내용은 웹 사이트에 있는 ServletExec 설명서를 참조하십시오.
ServletExec의 지원되는 버전에 대한 최신 핫픽스를 적용하십시오. 페더레이션 웹 서비스가 ServletExec와 함께 작동하려면 핫픽스가 필요합니다. 핫픽스를 얻으려면 New Atlanta Communications 웹 사이트로 이동하십시오.
ServletExec를 설정하려면
  1. ServletExec를 설치합니다.
    지침은 New Atlanta Communications 설명서를 참조하십시오.
  2. ServletExec Administration(관리) 콘솔을 엽니다.
  3. "Web Applications"(웹 응용 프로그램)에서 "manage"(관리)를 선택합니다.
    "Manage Web Applications"(웹 응용 프로그램 관리) 대화 상자가 열립니다.
  4. "Add a Web Application"(웹 응용 프로그램 추가)을 클릭합니다.
  5. 다음 정보를 입력합니다.
    • Application Name(응용 프로그램 이름)
      affwebservices
    • URL Context Path(URL 컨텍스트 경로)
      /affwebservices/
    • 위치
      C:\program files\ca\webagent\affwebservices
      사용 중인 네트워크에 있는 affwebservices의 위치가 다를 수 있습니다. 올바른 위치를 입력합니다.
  6. 제출을 클릭합니다.
  7. ServletExec 콘솔을 종료합니다.
  8. AffWebServices.properties 파일을 구성합니다.
FWS 속성 파일 구성
AffWebServices.properties 파일에는 페더레이션 웹 서비스에 대한 모든 초기화 매개 변수가 포함되어 있습니다. 이 파일에서 WebAgent.conf 파일의 위치를 지정하십시오.
다음 단계를 수행하십시오.
  1. 웹 에이전트 옵션 팩이 있는 SP 시스템에서 C:\Program Files\ca\webagent\affwebservices\WEB-INF\classes 디렉터리로 이동합니다.
  2. AgentConfigLocation 매개 변수를 WebAgent.conf 파일의 위치로 설정합니다. 이 매개 변수에 대한 값 설정은 필수 사항입니다.
    이 배포의 경우 서비스 공급자에서 FWS 응용 프로그램을 호스트하는 웹 서버는 Sun ONE 웹 서버입니다. 따라서 WebAgent.conf 파일의 경로는 다음과 같습니다.
    C:\\Sun\\WebServer6.1\\https-sp.demo\\config\\WebAgent.conf
    참고:
    페더레이션 웹 서비스는 Java 구성 요소이므로 Windows 경로에 이중 백슬래시를 포함해야 합니다. 한 줄로 이 항목을 지정하십시오.
  3. 파일을 저장한 후 닫습니다.
  4. 페더레이션 웹 서비스를 테스트합니다.
페더레이션 웹 서비스 테스트
페더레이션 웹 서비스 응용 프로그램을 설정한 후 올바로 작동하고 있는지 확인하십시오.
다음 단계를 수행하십시오.
  1. 웹 브라우저를 열고 다음 링크를 입력합니다.
    http://
    fqhn
    :
    port_number
    /affwebservices/assertionretriever
     
    • fqhn
      정규화된 호스트 이름을 정의합니다.
    • port_number
      웹 에이전트와 웹 에이전트 옵션 팩이 설치된 서버의 포트 번호를 정의합니다.
    이 배포의 경우 다음과 같이 입력합니다.
    http://www.sp.demo:81/affwebservices/assertionretriever
    페더레이션 웹 서비스가 올바로 작동하고 있으면 다음 메시지가 표시됩니다.
    Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.
    이 메시지는 페더레이션 웹 서비스가 데이터 작업을 수신 대기하고 있음을 나타냅니다. 페더레이션 웹 서비스가 올바로 작동하고 있지 않으면 어설션 검색 서비스가 실패했다는 메시지가 표시됩니다. 어설션 검색 서비스가 실패하면 페더레이션 웹 서비스 로그를 검사합니다.
  2. 웹 에이전트 옵션 팩 로깅이 사용되도록 설정합니다.
SP에서 웹 에이전트 옵션 팩 로깅이 사용되도록 설정
SP에서 웹 에이전트 옵션 팩이 있는 시스템에 대해 로깅이 사용되도록 설정하면 다음 로그를 볼 수 있습니다.
  • affwebserv.log
    오류 로깅 메시지를 포함합니다.
  • FWSTrace.log
오류 및 추적 로깅이 사용되도록 설정하려면
  1. LoggerConfig.properties 파일을 엽니다. 이 파일은
    web_agent_home
    /affwebservices/WEB-INF/classes 디렉터리에서 찾을 수 있습니다.
  2. LoggingOn 매개 변수를 Y로 설정합니다.
  3. affwebserv.log 파일을 가리키는 LogFileName 설정의 기본 이름과 위치를 그대로 사용합니다.
  4. TracingOn 설정을 Y로 설정합니다.
  5. FWSTrace.log 파일을 가리키는 TraceFileName 설정의 기본 이름과 위치를 그대로 사용합니다.
이제 로깅이 사용되도록 설정되었습니다.
SP 정책 서버에 대한 사용자 저장소 지정
SP 사용자 디렉터리는 서비스 공급자가 인증에 사용하는 사용자 레코드로 구성됩니다.
관리 UI에서 사용자 디렉터리를 구성하십시오. SP LDAP라는 디렉터리는 user1 및 user2 사용자가 포함된 Sun ONE LDAP 디렉터리입니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리", "사용자 디렉터리"를 차례로 클릭합니다.
  3. "사용자 디렉터리 만들기"를 클릭합니다.
  4. 다음 필드를 완료합니다.
    • 이름
      SP LDAP
  5. "디렉터리 설정" 섹션의 다음 필드에 데이터를 입력합니다.
    • 네임스페이스
      LDAP
    • 연결
      www.sp.demo:32941
  6. "LDAP 검색" 섹션의 다음 필드에 데이터를 입력합니다.
    • 루트
      dc=sp,dc=demo
      다른 값의 경우 기본값을 적용합니다.
  7. "LDAP 사용자 DN 조회" 섹션의 다음 필드에 데이터를 입력합니다.
    • 시작
      uid=
    • ,ou=People,dc=sp,dc=demo
  8. "콘텐츠 보기"를 클릭하여 디렉터리 콘텐츠를 볼 수 있는지 확인합니다.
  9. 제출을 클릭합니다.
SP에서 SAML 2.0 인증 체계 구성
서비스 공급자에서 사용자를 인증하려면 SAML 2.0 인증 체계를 구성하십시오. IdP의 어설션이 인증에 대한 자격 증명을 제공합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "인증", "인증 체계"를 차례로 클릭합니다.
  3. 다음 필드를 작성하십시오.
    체계 일반 설정 섹션:
    • 이름
      파트너 IDP.demo 인증 체계
    • 인증 체계 유형
      SAML 2.0 템플릿
    • 보호 수준
      5(기본값)
  4. "SAML 2.0 구성"을 클릭합니다.
    일반 및 사용자 명확성을 지정하는 대화 상자가 표시됩니다.
  5. "일반" 섹션에서 다음 설정을 지정합니다.
    • SP ID
      sp.demo
    • IdP ID
      idp.demo
    • SAML 버전
      2.0(기본값)
    • 차이 시간
      30(기본값)
    참고:
    "SP ID" 및 "IdP ID" 값이 IdP의 값과 일치해야 합니다.
  6. "사용자 명확성" 섹션에서 다음 설정을 구성합니다.
    • LDAP
      Username=%s
  7. "다음"을 클릭하여 싱글 사인온 설정으로 이동합니다.
SP에서 싱글 사인온에 대한 HTTP-POST 구성
인증 체계의 경우 사용할 싱글 사인온 바인딩을 지정해야 서비스 공급자가 아이덴티티 공급자와 통신하는 방법을 알게 됩니다.
다음 단계를 수행하십시오.
  1. "SSO" 설정의 다음 필드에 데이터를 입력합니다.
    • 리디렉션 모드
      302 쿠키 데이터(기본값)
      HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
    • SSO 서비스
      http://www.idp.demo:80/affwebservices/public/saml2sso
    • 대상자
      sp.demo
      이 값은 아이덴티티 공급자에 있는 값과 일치해야 합니다.
    • 대상
      http://www.sp.demo:81/spsample/protected/target.jsp
      http로 시작하는 대상의 경우 리소스의 전체 경로를 입력합니다. SAML 2.0 인증 체계를 사용하는 정책이 대상을 보호합니다.
  2. "바인딩" 섹션에서 "HTTP-POST"를 선택합니다.
  3. "단일 사용 정책 적용" 확인란을 선택 취소합니다.
    이 옵션이 사용되지 않도록 설정하면 샘플 네트워크가 SAML 2.0과 호환되지 않게 됩니다. 단일 사용 정책 기능이 사용되도록 설정하려면 서비스 공급자에서 세션 저장소를 설정합니다.
  4. "암호화 및 서명" 단계에 도달할 때까지 "다음"을 클릭합니다.
  5. "서명 처리 사용 안 함"을 선택합니다.
    중요!
    서명이 사용되지 않도록 설정하는
    유일한
    목적은 초기 싱글 사인온 구성을 디버깅하기 위한 것입니다. 프로덕션 환경에서 서명 처리는 필수 보안 요구 사항입니다. SP에서 서명 유효성 검사가 사용되도록 설정하고 서명의 유효성을 검사하도록 인증서 데이터 저장소를 설정하십시오.
  6. 마지막 구성 단계에 도달할 때까지 "다음"을 클릭합니다.
  7. "마침"을 클릭합니다.
    기본 인증 체계 구성이 완료되었습니다.
  8. 관리 UI를 열고 "SAML 2.0 인증을 사용하여 대상 리소스 보호"로 이동합니다.
 
SP의 대상 리소스 보호
SAML 2.0 인증 체계를 구성한 후 서비스 공급자의 대상 리소스를 보호하는 정책에서 이 체계를 사용하십시오.
다음 단계를 수행하십시오.
  1. "인프라", "에이전트", "에이전트"로 이동하고 sp-webagent라는 웹 에이전트를 생성합니다. 이 에이전트는 웹 에이전트 옵션 팩이 설치된 서버를 보호합니다.
  2. "정책", "도메인", "도메인"으로 이동합니다.
  3. 다음 값이 포함된 정책 도메인을 생성합니다.
    • 이름
      Domain for IdP.demo Visitors(IdP.demo 방문자에 대한 도메인)
    • "사용자 디렉터리" 섹션
      user1과 user2가 들어 있는 사용자 디렉터리를 추가합니다.
  4. "영역" 페이지로 이동하고 다음 값이 포함된 영구 영역을 구성합니다.
    • 이름
      SP Target Page Protection Realm(SP 대상 페이지 보호 영역)
    • IIS용
      sp-webagent
    • 리소스 필터
      /spsample/protected.jsp
      서비스 공급자 웹 서버에 있는 대상 리소스의 경로를 정의합니다.
    • 기본 리소스 보호
      보호됨
    • 인증 체계
      파트너 IdP.demo 인증 체계
  5. 영역에 다음 값이 포함된 규칙을 추가합니다.
    • 이름
      SP Target Page Protection Rule(SP 대상 페이지 보호 규칙)
    • 영역
      SP Target Page Protection Realm(SP 대상 페이지 보호 영역)
    • 리소스가
      *
    • 작업
      웹 에이전트 작업
      Get
    다른 모든 필드의 경우 기본값을 적용합니다.
  6. "정책" 페이지로 이동하고 다음 값이 포함된 정책을 생성합니다.
    "일반" 페이지
    • 이름
      SP Target Page Protection Policy(SP 대상 페이지 보호 정책)
    "사용자" 페이지
    SP LDAP 디렉터리의 경우 "구성원 추가"를 클릭합니다. 이 사용자가 대상에 액세스할 수 있도록 user1을 추가합니다.
  7. "규칙" 페이지
    "SP Target Page Protection Rule"(SP 대상 페이지 보호 규칙) 추가
  8. 제출을 클릭합니다.
    대상 리소스에 대한 보호 정책이 완료되었습니다.
  9. 관리 UI를 종료합니다.
  10. HTML 페이지를 사용하여 페더레이션 설정을 테스트합니다.