(선택 사항) 어설션에 대한 특성 구성
목차
sm1252sp1kkr
목차
2
특성은 서비스 공급자 리소스에 대한 액세스를 요청하는 사용자에 대한 추가 정보를 제공할 수 있습니다. 특성 명령문은 아이덴티티 공급자에서 SAML 어설션에 있는 서비스 공급자로 사용자 특성, DN 특성 또는 정적 데이터를 전달합니다. 모든 구성된 특성은 <AttributeStatement> 요소 하나의 어설션에 포함되거나 어설션의 <EncryptedAttribute> 요소에 포함됩니다.
참고:
어설션에는 특성 명령문이 필요하지 않습니다.서블릿, 웹 응용 프로그램 또는 기타 사용자 지정 응용 프로그램에서는 특성을 사용하여 사용자 지정된 콘텐츠를 표시하거나 다른 사용자 지정 기능이 사용되도록 설정합니다. 웹 응용 프로그램에서 사용되는 경우 특성은 사용자가 서비스 공급자에서 수행하는 작업을 제한할 수 있습니다. 예를 들어 최대 금액(달러)으로 설정된 "Authorized Amount"(권한 부여된 금액)라는 특성 변수를 보낼 수 있습니다. 이 금액은 사용자가 서비스 공급자에서 소비할 수 있는 한도입니다.
참고: 이 어설션 쿼리/요청 프로필의 일부로 SAML 2.0 특성 기관 역할을 하는 경우 특성은 권한 부여 프로세스의 일부입니다. 특성 기관을 사용하여 사용자에게 권한 부여 항목에서는 이러한 구현에 대해 설명합니다.
특성은 이름/값 쌍의 형식을 사용합니다. 서비스 공급자가 어설션을 받으면 응용 프로그램에 특성 값을 제공합니다.
특성을 HTTP 헤더나 HTTP 쿠키로 제공할 수 있습니다.
sm1252sp1kkr
HTTP 헤더와 HTTP 쿠키에는 어설션 특성이 초과할 수 없는 크기 제한이 있습니다. 크기 제한은 다음과 같습니다.
- HTTP 헤더의 경우 은 헤더에 대한 웹 서버 크기 제한까지 헤더에 있는 특성을 보낼 수 있습니다. 헤더당 허용되는 어설션 특성은 하나뿐입니다. 헤더 크기 제한을 확인하려면 해당 웹 서버 설명서를 참조하십시오.
- HTTP 쿠키의 경우 은 쿠키에 대한 크기 제한까지 쿠키를 보낼 수 있습니다. 각 어설션 특성은 자체 쿠키로 전송됩니다. 쿠키 크기 제한은 브라우저별로 다르고, 해당 제한은 각 특성에만 적용되는 것이 아니라 응용 프로그램에 전달되고 있는 모든 특성에 적용됩니다. 쿠키 크기 제한을 확인하려면 해당 웹 브라우저 설명서를 참조하십시오.
SSO 어설션에 대한 특성 지정
특성은 서비스 공급자 리소스에 대한 액세스를 요청하는 사용자에 대한 정보를 제공할 수 있습니다. 특성 명령문은 아이덴티티 공급자에서 SAML 어설션에 있는 서비스 공급자로 사용자 특성, DN 특성 또는 정적 데이터를 전달합니다.
특성을 구성하려면
- 편집하고 있는 엔터티에 대한 "특성" 설정으로 이동합니다.
- "추가"를 클릭합니다."특성 추가" 페이지가 열립니다.
- "특성 유형" 드롭다운 목록에서 이름 형식 유형을 선택합니다. 이 항목은 어설션 특성 명령문에 있는 <Attribute> 요소의 <NameFormat> 특성과 일치해야 합니다. 유형은 서비스 공급자가 이름을 해석할 수 있도록 특성 이름을 분류합니다.옵션은 다음과 같습니다.
- 지정되지 않음구현에 이름 해석을 맡기는 방법을 결정합니다.
- 기본이름 형식이 허용 가능한 값을 사용해야 함을 나타냅니다. 허용 가능한 값은 기본 유형 xs:Name에 속한 값에서 가져옵니다.
- URI이름 형식이 URI 참조에 대한 표준을 따라야 함을 나타냅니다. URI를 해석하는 방법은 특성 값을 사용하는 응용 프로그램에 따라 달라집니다.
- "특성 설정" 섹션의 "특성 종류" 섹션에서 다음 옵션 중 하나를 선택합니다.
- 정적
- 사용자 특성
- DN 특성
- 페이지의 "특성 필드" 섹션을 구성합니다. 설정은 "특성 종류" 선택 항목에 따라 달라집니다. 옵션은 다음과 같습니다.
- 변수 이름
- 변수 값
- 특성 이름
- DN 사양
- (선택 사항) 특성이 중첩된 그룹이 있는 LDAP 사용자 디렉터리에서 검색되는 경우 정책 서버는 중첩된 그룹에서 DN 특성을 검색할 수 있습니다. 중첩된 그룹을 사용하려면 "특성 종류" 섹션에서 "중첩된 그룹 허용" 확인란을 선택합니다.
- (선택 사항) 특성 값을 암호화하려면 "암호화됨" 확인란을 선택합니다.
- "검색 방법"의 경우 기본값인 "SSO"를 적용하여 싱글 사인온 어설션에 대한 특성만 검색되는지 확인합니다.
- "확인"을 클릭하여 변경 내용을 저장합니다.
스크립트를 사용하여 새 특성 만들기
sm1252sp1kkr
"특성" 대화 상자의 "고급" 섹션에는 "스크립트" 필드가 포함되어 있습니다. 이 필드에는 "특성 설정" 섹션에 입력한 사항을 기반으로 이 생성하는 스크립트가 표시됩니다. 이 필드의 내용을 복사하여 다른 응답 특성에 대한 "스크립트" 필드에 붙여 넣을 수 있습니다.
참고:
다른 특성에 대한 "스크립트" 필드의 내용을 복사하여 붙여 넣는 경우 "특성 종류" 섹션에서 적절한 옵션을 선택하십시오.어설션 특성의 최대 길이 지정
sm1252sp1kkr
사용자 어설션 특성의 최대 길이를 구성할 수 있습니다. 어설션 특성의 최대 길이를 수정하려면 EntitlementGenerator.properties 파일에서 해당 설정을 변경하십시오.
이 파일에 있는 속성 이름은 구성하고 있는 프로토콜에 따라 다릅니다.
다음 단계를 수행하십시오.
- 정책 서버가 설치된 시스템에서policy_server_home\config\properties\EntitlementGenerator.properties로 이동합니다.
- 텍스트 편집기에서 파일을 엽니다.
- 사용자의 환경에서 사용하고 있는 프로토콜에 맞게 사용자 특성의 최대 길이를 조정합니다. 각 프로토콜에 대한 설정은 다음과 같습니다.WS-페더레이션속성 이름: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLength속성 유형: 양의 정수 값기본값: 1024설명: WS-FED 어설션 특성의 최대 특성 길이를 나타냅니다.SAML 1.x속성 이름: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLength속성 유형: 양의 정수 값기본값: 1024설명: SAML1.1 어설션 특성의 최대 특성 길이를 나타냅니다.SAML 2.0속성 이름: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLength속성 유형: 양의 정수 값기본값: 1024설명: SAML2.0 어설션 특성의 최대 특성 길이를 나타냅니다.
- 이러한 매개 변수를 변경한 후 정책 서버를 다시 시작합니다.
SSO 및 특성 쿼리 요청에 대한 특성
구성하는 특성이 싱글 사인온 요청에 대한 것인지 아니면 특성 쿼리 요청에 대한 것인지 여부를 나타내십시오. 구성하는 검색 방법에 따라 특성 기능이 결정됩니다.
동일한 특성을 두 서비스 모두에 사용하려면 동일한 특성 이름과 변수를 사용하는 특성 명령문을 두 개 생성하십시오. 하지만 한 특성은 SSO를 검색 방법으로 사용하고 다른 특성은 특성 서비스를 검색 방법으로 사용합니다.