(선택 사항) 싱글 로그아웃 구성
목차
sm1252sp1kkr
목차
2
SLO(싱글 로그아웃 프로토콜)를 사용하면 특정 사용자의 모든 세션이 동시에 종료되므로 보안을 유지하는 데 도움이 됩니다. 이러한 세션은 로그아웃을 시작한 브라우저 세션의 일부여야 합니다.
싱글 로그아웃이 반드시 사용자의 모든 세션을 종료하는 것은 아닙니다. 예를 들어 사용자가 브라우저 두 개를 연 경우 해당 사용자는 독립 세션 두 개를 설정할 수 있습니다. 싱글 로그아웃을 시작하는 브라우저에 대한 세션만 해당 세션에 대한 모든 페더레이션된 사이트에서 종료됩니다. 다른 브라우저의 세션은 여전히 활성 상태입니다. 사용자가 로그아웃을 시작하면 싱글 로그아웃이 트리거됩니다.
참고: 은 싱글 로그아웃 프로토콜에 대해 HTTP-리디렉션 바인딩만 지원합니다.
SLO를 구성하면 서비스 공급자가 싱글 로그아웃 프로토콜을 지원하는지 여부와 지원하는 경우 서비스 공급자가 싱글 로그아웃을 처리하는 방법이 아이덴티티 공급자에게 알려집니다.
싱글 로그아웃이 사용되도록 설정하는 경우에는 다음 작업도 수행해야 합니다.
- 정책 서버 관리 콘솔을 사용하여 아이덴티티 공급자에서 세션 저장소가 사용되도록 설정합니다.
- 서비스 공급자에서 보호된 리소스가 포함된 영역에 대해 영구 세션을 구성하십시오. 관리 UI에서 영구 세션을 구성합니다.
싱글 로그아웃을 구성하려면
- 관리 UI에 로그온합니다.
- 구성할 SAML 서비스 공급자에 대한 "SAML 프로필" 페이지로 이동합니다.
- 페이지의 "SLO" 섹션에서 "HTTP-리디렉션" 확인란을 선택합니다. 이 설정은 싱글 로그아웃이 사용되도록 설정합니다.
- 다음 필드에 주의하면서 나머지 필드에 대한 값을 입력합니다.
- 유효 기간싱글 로그아웃 요청의 유효 시간(초)을 지정합니다. 이 속성은 어설션에 대한 싱글 사인온 유효 기간과 다릅니다. 유효 기간이 만료되면 IdP가 로그아웃을 시작한 엔터티에 싱글 로그아웃 응답을 보냅니다. 유효 기간은 싱글 로그아웃 메시지 기간을 계산하기 위한 차이 시간("일반" 탭에서 설정됨)에 따라서도 달라집니다.
- "SLO 위치 URL", "SLO 응답 위치 URL" 및 "SLO 확인 URL"이러한 필드에 대한 항목은 https:// 또는 http://로 시작해야 합니다.
- (선택 사항) 하나의 브라우저 세션 중에 동일한 파트너에게 전송되는 어설션에 동일한 세션 인덱스를 사용하려면 "세션 인덱스 재사용" 필드를 선택합니다. 이 옵션을 선택하면 모든 타사 파트너와의 싱글 로그아웃이 성공하게 됩니다.
사용자 세션이 아이덴티티 공급자와 모든 서비스 공급자 사이트에서 제거된 후 페더레이션 웹 서비스가 사용자를 로그아웃 확인 페이지로 리디렉션합니다.
싱글 로그아웃 요청 유효 기간
SLO 유효 기간과 차이 시간은 정책 서버에 싱글 로그아웃 요청이 유효한 총 시간을 계산하는 방법을 지시합니다.
참고:
SLO 유효 기간은 SSO 유효 기간과는 다른 값입니다.로그아웃 요청 기간 계산과 관련된 값 두 개를 IssueInstant 값과 NotOnOrAfter 값이라고 합니다. SLO 응답에서 싱글 로그아웃 요청은 NotOnOrAfter 값에 도달할 때까지 유효합니다.
싱글 로그아웃 요청이 생성되는 경우 정책 서버의 시스템 시간이 사용됩니다. 그 결과로 얻은 시간은 요청 메시지에 설정되는 IssueInstant 값이 됩니다.
정책 서버는 로그아웃 요청이 더 이상 유효하지 않은 시기를 결정합니다. 정책 서버의 현재 시스템 시간이 사용되고 차이 시간에 SLO 유효 기간이 더해집니다. 그 결과로 얻은 시간은 NotOnOrAfter 값이 됩니다. 시간은 GMT를 기준으로 합니다.
예를 들어 아이덴티티 공급자에서 로그아웃 요청이 1:00 GMT에 생성된다고 가정합니다. 차이 시간은 30초이고 SLO 유효 기간은 60초입니다. 따라서 요청은 1:00 GMT에서 1:01:30 GMT까지 유효합니다. IssueInstant 값은 1:00 GMT이고 싱글 로그아웃 요청 메시지는 90초 뒤에 더 이상 유효하지 않습니다.
싱글 로그아웃 확인 페이지에 대한 지침
싱글 로그아웃을 지원하려면 로그아웃 확인 페이지가 사이트에 있도록 하십시오. 이 페이지를 통해 사용자는 자신이 로그아웃되었음을 알 수 있습니다.
로그아웃 확인 페이지는 다음 조건을 충족해야 합니다.
- 싱글 로그아웃이 서비스 공급자에서 시작되는 경우 로그아웃 확인 페이지는 서비스 공급자 사이트의 보호되지 않은 로컬 리소스여야 합니다.
- 싱글 로그아웃이 아이덴티티 공급자 사이트에서 시작되는 경우 로그아웃 확인 페이지는 아이덴티티 공급자 사이트의 보호되지 않은 로컬 리소스여야 합니다.
- 페이지는 페더레이션 파트너 도메인에 있는 리소스일 수 없습니다. 예를 들어 로컬 도메인이 ca.com인 경우 SLO 확인 페이지는 example.com 도메인에 있을 수 없습니다.
로그아웃 실패에 대한 피드백을 받으려면 로그아웃 확인 페이지가 다음 요구 사항도 충족해야 합니다.
- Base 64로 인코딩된 데이터를 처리하고 쿠키를 읽을 수 있어야 합니다.
- SIGNOUTFAILURE 쿠키를 찾는 코드를 포함해야 합니다. IdP와 SP의 로그아웃 페이지가 이 조건을 충족해야 합니다. 싱글 로그아웃이 실패하면 브라우저에서 쿠키가 설정됩니다. 쿠키에는 로그아웃이 실패한 페더레이션 사이트의 파트너 ID가 포함됩니다. 이러한 ID는 Base 64로 인코딩됩니다. 여러 ID가 나열되는 경우 공백 문자로 구분됩니다.이 쿠키를 찾도록 로그아웃 확인 페이지를 구성하여 사용자에게 로그아웃이 실패한 위치를 알릴 수 있습니다. 이 정보는 사용자가 여러 파트너 사이트에서 로그아웃하고 있는 네트워크에서 유용합니다.또한 SIGNOUTFAILURE 쿠키가 발견된 경우 로그아웃 확인 페이지를 통해 사용자에게 웹 브라우저를 닫아서 모든 세션 데이터를 제거하도록 알려야 합니다.