SAML 2.0 인증에 대한 사용자 레코드 찾기
목차
sm1252sp1kkr
목차
2
인증 체계를 구성할 때 인증 체계가 로컬 사용자 저장소에서 사용자를 조회하는 방법을 정의합니다. 올바른 사용자를 찾은 후 해당 사용자에 대한 세션이 시스템에서 생성됩니다. 사용자 저장소에서 사용자를 찾는 과정이 바로 명확성 프로세스입니다. 정책 서버가 사용자를 명확히 하는 방법은 인증 체계의 구성에 기초합니다.
성공적인 명확성을 위해 인증 체계는 먼저 어설션에서 LoginID를 확인합니다. LoginID는 사용자를 식별하는 용 용어입니다. 기본적으로 LoginID는 어설션의 이름 ID에서 추출됩니다. Xpath 쿼리를 사용하여 LoginID를 얻을 수도 있습니다.
인증 체계가 LoginID를 확인한 후 정책 서버는 인증 체계에 대한 검색 사양이 구성되어 있는지 확인합니다. 인증 체계에 대해 정의된 검색 사양이 없으면 LoginID가 정책 서버에 전달됩니다. 정책 서버는 LoginID와 사용자 저장소 검색 사양을 함께 사용하여 사용자를 찾습니다. 예를 들어 LoginID 값은 Username이고 LDAP 검색 사양은 uid 특성으로 설정되어 있다고 가정합니다. 이 경우 정책 서버는 uid 값(Username=uid)을 사용하여 사용자를 찾습니다.
인증 체계에 대한 검색 사양을 구성하면 LoginID가 정책 서버에 전달되지 않습니다. 대신에 검색 사양이 사용자를 찾는 데 사용됩니다.
다음 두 방법 중 하나로 사용자 명확성을 구성할 수 있습니다.
- 로컬에서 인증 체계의 일부로 구성
- 구성된 SAML 가맹을 선택하여 구성
인증 체계의 일부로 로컬 명확성 구성
로컬 명확성을 사용하도록 선택하는 경우 다음 두 가지 단계를 수행해야 합니다.
- 기본 동작을 통해 또는 Xpath 쿼리를 사용하여 LoginID를 얻습니다.
- 기본 동작을 통해 또는 사용자 조회를 정의하여 사용자 저장소에서 사용자를 찾습니다.
참고:
Xpath 및 검색 사양 사용은 선택 사항입니다.LoginID 얻기
다음 두 가지 방법으로 LoginID를 찾을 수 있습니다.
- LoginID가 어설션의 NameID에서 추출되는 기본 동작 사용. 이 옵션에는 구성이 필요하지 않습니다.
- 기본 동작 대신 Xpath 쿼리를 사용하여 LoginID 찾기
Xpath 쿼리를 사용하여 LoginID를 확인하려면
- SAML 2.0 인증 체계로 이동합니다.
- "SAML 2.0 구성"을 클릭합니다.
- "SAML 2.0 속성" 페이지에 인증 체계가 LoginID를 얻는 데 사용하는 Xpath 쿼리를 입력합니다. "확인"을 클릭하여 변경 내용을 저장합니다.sm1252sp1kkrXpath 쿼리에는 네임스페이스 접두사를 포함할 수 없습니다. 다음은 잘못된 Xpath 쿼리의 예입니다./saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()유효한 Xpath 쿼리는 다음과 같습니다.//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()
사용자를 찾도록 사용자 조회 구성
LoginID를 얻은 후에는 LoginID를 정책 서버에 전달하는 기본 동작 대신 사용자를 찾도록 사용자 조회를 구성할 수 있습니다.
검색 사양으로 사용자를 찾으려면
- SAML 2.0 인증 체계로 이동합니다.
- "SAML 2.0 구성"을 클릭합니다.
- "사용자 조회" 섹션의 적절한 네임스페이스 필드에 검색 사양을 입력합니다. 검색 사양은 인증 체계가 네임스페이스를 검색하는 데 사용하는 특성을 정의합니다. LoginID를 나타내는 항목으로 %s를 사용합니다.예를 들어 LoginID의 값이 user1이라고 가정합니다. "검색 사양" 필드에서 "Username=%s"를 지정하는 경우 결과 문자열은 Username=user1입니다. 올바른 인증 기록을 찾기 위해 이 문자열이 사용자 저장소와 비교하여 확인됩니다.
- "확인"을 클릭하여 구성 변경 내용을 저장합니다.
SAML 가맹을 사용하여 사용자 레코드 찾기(선택 사항)
서비스 공급자 그룹이 가맹을 구성할 수 있습니다. 서비스 공급자를 그룹화하면 페더레이션된 네트워크에서 가맹의 한 구성원과의 관계가 가맹의 모든 구성원과의 관계를 설정하도록 연결이 설정됩니다.
가맹의 모든 서비스 공급자는 단일 프린서펄에 대한 이름 식별자를 공유합니다. 한 아이덴티티 공급자가 사용자를 인증하고 해당 사용자에게 ID를 할당하면 가맹의 모든 구성원이 동일한 이름 ID를 사용합니다. 단일 이름 ID를 사용하면 각 서비스 공급자에 필요한 구성이 줄어듭니다. 또한 프린서펄에 대한 이름 ID를 하나만 사용하면 아이덴티티 공급자에서 저장소 공간이 절약됩니다.
사용자 명확성을 위해 선택적 Xpath 쿼리 및 검색 사양을 사용할 수 있습니다. 이러한 옵션은 인증 체계의 일부가 아닌 가맹 자체의 일부로 정의됩니다.
참고:
인증 체계 구성에 사용하기 전에 먼저 가맹을 정의하십시오.가맹을 선택하려면
- "SAML 2.0 인증 체계" 페이지로 이동합니다.
- "SAML 2.0 구성"을 클릭합니다.
- "일반" 설정으로 이동합니다.
- "사용자 명확성" 섹션의 "SAML 가맹" 드롭다운 필드에서 미리 정의된 가맹을 선택합니다. 이러한 가맹은 아이덴티티 공급자에서 구성됩니다.