IdP에서 아이덴티티 공급자 검색 구성

목차
sm1252sp1kkr
목차
2
sm1252sp1kkr
IPD(아이덴티티 공급자 검색) 프로필이 제공하는 공통 검색 서비스를 사용하면 서비스 공급자가 인증을 위해 고유 IdP를 선택할 수 있습니다. 네트워크에 있는 모든 사이트가 아이덴티티 공급자 검색 서비스와 상호 작용하도록 파트너 간의 사전 비즈니스 계약이 설정되어 있습니다.
이 프로필은 어설션을 제공하는 파트너가 둘 이상 있는 페더레이션된 네트워크에 유용합니다. 서비스 공급자는 자신이 특정 사용자에 대한 인증 요청을 보내는 아이덴티티 공급자를 결정할 수 있습니다.
IdP 검색 프로필은 두 페더레이션된 파트너에 공통적인 쿠키 도메인을 사용하여 구현됩니다. 약정된 도메인의 쿠키에는 사용자가 방문한 IdP 목록이 포함되어 있습니다.
IDP 검색 프로필의 경우 SP는 자신이 인증 요청을 보내는 IdP를 확인할 수 있어야 합니다. SP가 인증하려는 사용자는 이전에 아이덴티티 공급자를 방문하여 인증을 받은 상태여야 합니다.
IdP에서 아이덴티티 공급자 검색 기능만 사용되도록 설정합니다. 다른 구성은 필요하지 않습니다. 이 기능이 사용되도록 설정하면 IDP 검색 서비스의 일반 도메인에서 쿠키가 설정됩니다. 이 프로세스는 사용자에게 투명하게 처리됩니다.
아이덴티티 공급자 검색 프로필이 사용되도록 설정(선택 사항)
페더레이션된 네트워크에는 어설션을 생성하는 아이덴티티 공급자가 둘 이상 있을 수 있습니다. 아이덴티티 공급자 검색 프로필을 사용하면 사용자가 인증에 사용할 특정 아이덴티티 공급자를 선택할 수 있습니다.
아이덴티티 공급자 검색 프로필이 사용되도록 설정하려면
  1. 관리 UI에 로그온합니다.
  2. 수정할 SP에 대한 "SAML 프로필" 페이지로 이동합니다.
  3. "IPD" 섹션에서 "사용" 확인란을 선택합니다.
  4. 필요한 필드에 데이터를 입력하고 필요한 설정을 선택합니다.
    참고:
    "서비스 URL" 필드를 다음과 같은 아이덴티티 공급자 검색 프로필 서블릿으로 설정합니다.
    https://
    host:port
    /affwebservices/public/saml2ipd
  5. "제출"을 클릭하여 변경 내용을 저장합니다.
공격으로부터 IdP 검색 대상 보안
sm1252sp1kkr
아이덴티티 공급자 검색 서비스가 일반 도메인 쿠키에 대한 요청을 받는 경우 요청에는 IPDTarget이라는 쿼리 매개 변수가 포함되어 있습니다. 이 쿼리 매개 변수는 검색 서비스가 요청을 처리한 후 리디렉션해야 하는 URL을 나열합니다.
IdP의 경우 IPDTarget은 SAML 2.0 싱글 사인온 서비스입니다. SP의 경우 대상은 일반 도메인 쿠키를 사용하려고 요청하는 응용 프로그램입니다.
보안 공격으로부터 IPDTarget 쿼리 매개 변수를 보호하는 것이 좋습니다. 권한 없는 사용자가 이 쿼리 매개 변수에 임의의 URL을 넣을 수 있습니다. 그러면 URL로 인해 악의적인 사이트로 리디렉션될 수 있습니다.
공격으로부터 쿼리 매개 변수를 보호하려면 "에이전트 구성 개체" 설정
ValidFedTargetDomain
을 구성하십시오. ValidFedTargetDomain 매개 변수는 페더레이션 환경에 대해 유효한 도메인을 모두 나열합니다.
참고
ValidFedTargetDomain 설정은 웹 에이전트가 사용하는 ValidTargetDomain 설정과 유사하지만 이 설정은 구체적으로 페더레이션에 대해 정의됩니다.
IPD 서비스가 IPDTarget 쿼리 매개 변수를 검사합니다. 그런 다음 서비스는 쿼리 매개 변수가 지정하는 URL의 도메인을 획득합니다. IPD 서비스가 이 도메인과 ValidFedTargetDomain 매개 변수에 지정된 도메인 목록을 비교합니다. URL 도메인이 ValidFedTargetDomain에 구성된 도메인 중 하나와 일치하면 IPD 서비스가 사용자를 지정된 URL로 리디렉션합니다.
일치하는 도메인이 없으면 IPD 서비스가 사용자 요청을 거부하고 브라우저를 통해 "403 사용 권한 없음" 오류가 수신됩니다. 또한 FWS 추적 로그와 affwebservices 로그에서 오류가 보고됩니다. 이러한 메시지는 IPDTarget의 도메인이 유효한 페더레이션 대상 도메인으로 정의되지 않았음을 나타냅니다.
ValidFedTargetDomain 설정을 구성하지 않으면 서비스가 유효성 검사를 수행하지 않은 상태로 사용자를 대상 URL로 리디렉션합니다.