(선택 사항) 어설션에 대한 특성 구성

목차
sm1252sp1kkr
목차
2
특성은 서비스 공급자 리소스에 대한 액세스를 요청하는 사용자에 대한 추가 정보를 제공할 수 있습니다. 특성 명령문은 아이덴티티 공급자에서 SAML 어설션에 있는 서비스 공급자로 사용자 특성, DN 특성 또는 정적 데이터를 전달합니다. 모든 구성된 특성은 <AttributeStatement> 요소 하나의 어설션에 포함되거나 어설션의 <EncryptedAttribute> 요소에 포함됩니다.
참고:
어설션에는 특성 명령문이 필요하지 않습니다.
서블릿, 웹 응용 프로그램 또는 기타 사용자 지정 응용 프로그램에서는 특성을 사용하여 사용자 지정된 콘텐츠를 표시하거나 다른 사용자 지정 기능이 사용되도록 설정합니다. 웹 응용 프로그램에서 사용되는 경우 특성은 사용자가 서비스 공급자에서 수행하는 작업을 제한할 수 있습니다. 예를 들어 최대 금액(달러)으로 설정된 "Authorized Amount"(권한 부여된 금액)라는 특성 변수를 보낼 수 있습니다. 이 금액은 사용자가 서비스 공급자에서 소비할 수 있는 한도입니다.
참고: 이 어설션 쿼리/요청 프로필의 일부로 SAML 2.0 특성 기관 역할을 하는 경우 특성은 권한 부여 프로세스의 일부입니다. 특성 기관을 사용하여 사용자에게 권한 부여 항목에서는 이러한 구현에 대해 설명합니다.
특성은 이름/값 쌍의 형식을 사용합니다. 서비스 공급자가 어설션을 받으면 응용 프로그램에 특성 값을 제공합니다.
특성을 HTTP 헤더나 HTTP 쿠키로 제공할 수 있습니다.
sm1252sp1kkr
HTTP 헤더와 HTTP 쿠키에는 어설션 특성이 초과할 수 없는 크기 제한이 있습니다. 크기 제한은 다음과 같습니다.
  • HTTP 헤더의 경우 은 헤더에 대한 웹 서버 크기 제한까지 헤더에 있는 특성을 보낼 수 있습니다. 헤더당 허용되는 어설션 특성은 하나뿐입니다. 헤더 크기 제한을 확인하려면 해당 웹 서버 설명서를 참조하십시오.
  • HTTP 쿠키의 경우 은 쿠키에 대한 크기 제한까지 쿠키를 보낼 수 있습니다. 각 어설션 특성은 자체 쿠키로 전송됩니다. 쿠키 크기 제한은 브라우저별로 다르고, 해당 제한은 각 특성에만 적용되는 것이 아니라 응용 프로그램에 전달되고 있는 모든 특성에 적용됩니다. 쿠키 크기 제한을 확인하려면 해당 웹 브라우저 설명서를 참조하십시오.
SSO 어설션에 대한 특성 지정
특성은 서비스 공급자 리소스에 대한 액세스를 요청하는 사용자에 대한 정보를 제공할 수 있습니다. 특성 명령문은 아이덴티티 공급자에서 SAML 어설션에 있는 서비스 공급자로 사용자 특성, DN 특성 또는 정적 데이터를 전달합니다.
특성을 구성하려면
  1. 편집하고 있는 엔터티에 대한 "특성" 설정으로 이동합니다.
  2. "추가"를 클릭합니다.
    "특성 추가" 페이지가 열립니다.
  3. "특성 유형" 드롭다운 목록에서 이름 형식 유형을 선택합니다. 이 항목은 어설션 특성 명령문에 있는 <Attribute> 요소의 <NameFormat> 특성과 일치해야 합니다. 유형은 서비스 공급자가 이름을 해석할 수 있도록 특성 이름을 분류합니다.
    옵션은 다음과 같습니다.
    • 지정되지 않음
      구현에 이름 해석을 맡기는 방법을 결정합니다.
    • 기본
      이름 형식이 허용 가능한 값을 사용해야 함을 나타냅니다. 허용 가능한 값은 기본 유형 xs:Name에 속한 값에서 가져옵니다.
    • URI
      이름 형식이 URI 참조에 대한 표준을 따라야 함을 나타냅니다. URI를 해석하는 방법은 특성 값을 사용하는 응용 프로그램에 따라 달라집니다.
  4. "특성 설정" 섹션의 "특성 종류" 섹션에서 다음 옵션 중 하나를 선택합니다.
    • 정적
    • 사용자 특성
    • DN 특성
    "특성 종류" 선택 항목에 따라 "특성 필드" 섹션에서 사용 가능한 필드가 결정됩니다.
  5. 페이지의 "특성 필드" 섹션을 구성합니다. 설정은 "특성 종류" 선택 항목에 따라 달라집니다. 옵션은 다음과 같습니다.
    • 변수 이름
    • 변수 값
    • 특성 이름
    • DN 사양
  6. (선택 사항) 특성이 중첩된 그룹이 있는 LDAP 사용자 디렉터리에서 검색되는 경우 정책 서버는 중첩된 그룹에서 DN 특성을 검색할 수 있습니다. 중첩된 그룹을 사용하려면 "특성 종류" 섹션에서 "중첩된 그룹 허용" 확인란을 선택합니다.
  7. (선택 사항) 특성 값을 암호화하려면 "암호화됨" 확인란을 선택합니다.
  8. "검색 방법"의 경우 기본값인 "SSO"를 적용하여 싱글 사인온 어설션에 대한 특성만 검색되는지 확인합니다.
  9. "확인"을 클릭하여 변경 내용을 저장합니다.
스크립트를 사용하여 새 특성 만들기
sm1252sp1kkr
"특성" 대화 상자의 "고급" 섹션에는 "스크립트" 필드가 포함되어 있습니다. 이 필드에는 "특성 설정" 섹션에 입력한 사항을 기반으로 이 생성하는 스크립트가 표시됩니다. 이 필드의 내용을 복사하여 다른 응답 특성에 대한 "스크립트" 필드에 붙여 넣을 수 있습니다.
참고:
다른 특성에 대한 "스크립트" 필드의 내용을 복사하여 붙여 넣는 경우 "특성 종류" 섹션에서 적절한 옵션을 선택하십시오.
어설션 특성의 최대 길이 지정
sm1252sp1kkr
사용자 어설션 특성의 최대 길이를 구성할 수 있습니다. 어설션 특성의 최대 길이를 수정하려면 EntitlementGenerator.properties 파일에서 해당 설정을 변경하십시오.
이 파일에 있는 속성 이름은 구성하고 있는 프로토콜에 따라 다릅니다.
다음 단계를 수행하십시오.
  1. 정책 서버가 설치된 시스템에서
    policy_server_home
    \config\properties\EntitlementGenerator.properties로 이동합니다.
  2. 텍스트 편집기에서 파일을 엽니다.
  3. 사용자의 환경에서 사용하고 있는 프로토콜에 맞게 사용자 특성의 최대 길이를 조정합니다. 각 프로토콜에 대한 설정은 다음과 같습니다.
    WS-페더레이션
    속성 이름: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLength
    속성 유형: 양의 정수 값
    기본값: 1024
    설명: WS-FED 어설션 특성의 최대 특성 길이를 나타냅니다.
    SAML 1.x
    속성 이름: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLength
    속성 유형: 양의 정수 값
    기본값: 1024
    설명: SAML1.1 어설션 특성의 최대 특성 길이를 나타냅니다.
    SAML 2.0
    속성 이름: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLength
    속성 유형: 양의 정수 값
    기본값: 1024
    설명: SAML2.0 어설션 특성의 최대 특성 길이를 나타냅니다.
  4. 이러한 매개 변수를 변경한 후 정책 서버를 다시 시작합니다.
SSO 및 특성 쿼리 요청에 대한 특성
구성하는 특성이 싱글 사인온 요청에 대한 것인지 아니면 특성 쿼리 요청에 대한 것인지 여부를 나타내십시오. 구성하는 검색 방법에 따라 특성 기능이 결정됩니다.
동일한 특성을 두 서비스 모두에 사용하려면 동일한 특성 이름과 변수를 사용하는 특성 명령문을 두 개 생성하십시오. 하지만 한 특성은 SSO를 검색 방법으로 사용하고 다른 특성은 특성 서비스를 검색 방법으로 사용합니다.