서비스 공급자의 디지털 서명 옵션
목차
sm1252sp1kkr
목차
2
SAML 2.0 인증 체계 구성에는 다음 트랜잭션에 대한 디지털 서명 옵션이 포함됩니다.
- 인증 요청
- 싱글 로그아웃 요청 및 응답
- 아티팩트 확인 메시지 - 어설션을 검색하기 위한 SAML 아티팩트 확인의 경우
- 특성 쿼리 - 특성 기관(IdP)과 SAML 요청자(SP) 간에 발생하는 권한 부여의 경우
기본적으로 서명 처리는 사용되도록 설정되어 있는데, 이는 SAML 2.0 사양에 따라 서명이 필요하기 때문입니다. 초기 페더레이션 설정을 디버깅하는 경우
에만
"서명 처리 사용 안 함" 옵션을 선택하여 서비스 공급자에 대한 모든 서명 처리(서명 및 서명 확인)가 일시적으로 사용되지 않도록 설정할 수 있습니다. 디버깅이 완료된 후 서명 처리가 다시 사용되도록 설정하십시오.중요!
프로덕션 환경에서 서명 처리가 사용되지 않도록 설정하면 필수 보안 기능이 사용되지 않도록 설정됩니다.서명 옵션을 지정하려면
- SAML 2.0 인증 체계로 이동합니다.
- "SAML 2.0 구성", "암호화 및 서명"을 차례로 클릭합니다.
- "D-서명 정보" 섹션의 필드에 데이터를 입력합니다. 다음 정보에 주의하십시오.
- HTTP-POST(싱글 사인온)의 경우 포스트되는 어설션의 서명 유효성을 검사하는 인증서에 대한 정보를 입력합니다. "발급자 DN"과 "일련 번호"는 IdP가 어설션에 서명하는 데 사용한 개인 키에 해당하는 인증서를 식별합니다."발급자 DN" 필드에 입력하는 값은 인증서 데이터 저장소에 있는 인증서의 발급자 DN과 일치해야 합니다.
- HTTP-리디렉션(싱글 로그아웃)의 경우 SLO 요청의 서명 유효성을 검사하는 인증서에 대한 정보를 입력합니다.
- 대화 상자의 "서명 처리" 섹션에 있는 설정을 완료합니다.
- HTTP-아티팩트 싱글 사인온의 경우에만 백 채널 설정을 구성합니다.
- "확인"을 클릭합니다.
싱글 사인온에 대한 어설션 암호화 요구 사항 적용
암호화 기능은 인증 체계가 암호화된 어설션이나 어설션에 있는 이름 ID만 처리하도록 지정합니다.
보안을 강화하기 위해 아이덴티티 공급자가 이름 ID, 사용자 특성 또는 전체 어설션을 암호화할 수 있습니다. 암호화를 수행하면 어설션을 전송할 때 보호 수준이 강화됩니다. 아이덴티티 공급자에서 암호화가 사용되도록 설정한 경우 인증서(공개 키)가 데이터를 암호화하는 데 사용됩니다. 어설션이 서비스 공급자에 도달하면 연결된 개인 키를 사용하여 암호화된 데이터의 암호가 해독됩니다.
세션 공급자에서 암호화를 구성하는 경우 어설션에는 암호화된 이름 ID나 어설션이 포함되어야 합니다. 그렇지 않으면 서비스 공급자가 어설션을 거부합니다.
SSO에 대한 암호화 설정
어설션에 대한 암호화 요구 사항을 적용할 수 있습니다.
암호화 요구 사항을 적용하려면
- SAML 2.0 인증 체계로 이동합니다.
- "SAML 2.0 구성", "암호화 및 서명"을 차례로 클릭합니다.암호화 및 서명 설정 페이지가 표시됩니다.
- 암호화된 이름 ID를 요구하려면 "암호화된 이름 ID 필요" 확인란을 선택합니다.
- 암호화된 어설션을 요구하려면 "암호화된 어설션 필요" 확인란을 선택합니다.이름 ID와 어설션을 선택할 수 있습니다.
- (선택 사항) 아이덴티티 공급자로부터 받은 어설션에 있는 모든 암호화된 데이터의 암호를 해독하는 개인 키에 대한 별칭을 지정합니다.
- "확인"을 클릭하여 변경 내용을 저장합니다.
암호화 요구 사항이 없는 경우 서비스 공급자는 암호화되었거나 ClearText로 된 이름 ID와 어설션을 수락합니다.
사용자 지정 SAML 2.0 인증 체계 만들기(선택 사항)
기존 SAML 2.0 인증 템플릿 대신
Single Sign-On
인증 API로 작성된 사용자 지정 SAML 2.0 체계를 사용할 수 있습니다.기본 인증 체계 페이지의 "체계 설정" 섹션에는 "라이브러리" 필드가 있습니다. 이 필드에는 SAML 아티팩트 인증을 처리하는 공유 라이브러리의 이름이 있습니다. 사용자 지정 인증 체계가 없으면 이 값을 변경하지 마십시오.
HTML 양식 인증에 대한 기본 공유 라이브러리는 smauthhtml입니다.