리소스 파트너 개체에 대한 일반 정보 구성

목차
sm1252sp1kkr
목차
2
"일반" 페이지를 선택하여 리소스 파트너를 명명하고 리소스 파트너 및 계정 파트너 ID 등의 상세 정보를 제공하십시오. 또한 서비스 공급자에 액세스하기 위한 IP 주소 및 시간 제한을 구성할 수 있습니다.
일반 설정을 구성하려면
  1. "일반" 설정으로 이동합니다.
  2. 필수 필드에 주의하면서 필드에 대한 값을 입력합니다.
    참고:
    "도움말"을 클릭하면 필드, 컨트롤 및 해당되는 각 요구 사항에 대한 설명을 볼 수 있습니다.
    "차이 시간" 필드에 대한 다음 정보에 주의합니다.
    • 차이 시간
      현재 시스템 시간에서 차감되는 시간(초)을 지정합니다. 이 계산은 계정 파트너와 동기화되지 않은 클록이 있는 리소스 파트너에 해당합니다.
      싱글 사인온의 경우 차이 시간 및 싱글 사인온 유효 기간 값에 따라 어설션 유효 기간이 결정됩니다. 어설션 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.
  3. 디버깅에만 사용할 경우 "서명 처리 사용 안 함" 확인란을 선택하여 일시적으로 모든 서명 처리(서명 및 서명 확인 모두)가 사용되지 않도록 설정할 수 있습니다.
    중요!
    서명 처리는 싱글 사인온에 대한 WS-페더레이션 피동 요청자 프로필에 필요하기 때문에 기본적으로 사용되도록 설정되어 있습니다.
Single Sign-On
세션이 없는 사용자 인증
가맹 도메인에 리소스 파트너를 추가하는 경우 설정해야 하는 매개 변수 중 하나는 인증 URL 매개 변수입니다.
인증 URL은 redirect.jsp 파일을 가리킵니다. 이 파일은 웹 에이전트 옵션 팩이나
CA Access Gateway
를 설치하는 계정 파트너 사이트에 설치됩니다.
Single Sign-On
정책으로 redirect.jsp 파일을 보호하십시오. 정책은 보호된 리소스 파트너 리소스를 요청하지만
Single Sign-On
세션이 없는 사용자에 대한 인증 챌린지를 트리거합니다.
다음 바인딩에는
Single Sign-On
세션이 필요합니다.
  • HTTP POST 바인딩을 사용하는 싱글 사인온의 경우
    사용자에게 세션이 있어야 하지만 영구 세션이 아니어도 됩니다. 어설션은 브라우저를 통해 리소스 파트너에게 직접 전달됩니다. 어설션이 세션 저장소에 저장되지 않아도 됩니다.
  • 사인아웃의 경우
    싱글 로그아웃이 사용되도록 설정하는 경우에는 영구 세션이 필요합니다. 사용자가 먼저 리소스를 요청하면 계정 파트너가 세션을 세션 저장소에 저장합니다. 세션 정보는 나중에 싱글 로그아웃이 실행될 때 필요합니다.
사용자가 인증되어 redirect.jsp 파일에 성공적으로 액세스한 후 세션이 설정됩니다. redirect.jsp 파일이 사용자를 계정 파트너 웹 에이전트나
CA Access Gateway
로 다시 리디렉션합니다. 그런 다음
Single Sign-On
이 요청을 처리합니다.
인증 URL을 보호하는 절차는 다음 배포와 관계없이 동일합니다.
  • 웹 에이전트와 동일한 시스템에 설치된 웹 에이전트 옵션 팩
  • 웹 서버 프록시에 웹 에이전트가 설치된 응용 프로그램 서버
  • 응용 프로그램 서버 에이전트와 함께 설치된 응용 프로그램 서버
  • 아이덴티티 공급자에 설치된 
    CA Access Gateway
인증 URL을 보호하도록 정책 구성
sm1252sp1kkr
인증 URL을 보호하려면
  1. 관리 UI에 로그인합니다.
  2. 어설션 당사자 웹 서버에 대해 정의하는 영역에 바인드할 웹 에이전트를 생성합니다. 웹 서버와 FWS 응용 프로그램에 대해 고유한 에이전트 이름을 할당하거나 둘 다에 대해 동일한 에이전트 이름을 사용합니다.
  3. 소비자 리소스에 액세스하려고 할 때 챌린지가 표시되는 사용자에 대한 정책 도메인을 생성합니다.
  4. 정책 도메인에 속한 리소스에 액세스할 수 있어야 하는 사용자를 선택합니다.
  5. 다음 값으로 정책 도메인에 대한 영역을 정의합니다.
    • IIS용
      어설션 당사자 웹 서버에 대한 에이전트
    • 리소스 필터
      웹 에이전트 r6.x QMR 6, r12.0 SP2 이상 및
      CA Access Gateway
      에 다음을 입력합니다.
      /siteminderagent/redirectjsp/
      리소스 필터 /siteminderagent/redirectjsp/는 FWS 응용 프로그램이 자동으로 설정하는 별칭입니다. 별칭 참조는 다음과 같습니다.
      • 웹 에이전트(
        web_agent_home
        /affwebservices/redirectjsp)
      • CA Access Gateway
        (
        sps_home
        /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
    • 영구 세션
      SAML 아티팩트 프로필의 경우에만 영역 대화 상자의 "세션" 섹션에 있는 "영구" 확인란을 선택합니다. 영구 세션을 구성하지 않으면 사용자가 소비자 리소스에 액세스할 수 없습니다.
    나머지 설정의 경우 기본값을 적용하거나 필요에 따라 수정합니다.
  6. "확인"을 클릭하여 영역을 저장합니다.
  7. 영역에 대한 규칙을 생성합니다. "리소스" 필드에서 기본값인 별표(*)를 적용하여 영역에 대한 리소스를 모두 보호합니다.
  8. 이전 단계에서 만든 규칙이 포함된 어설션 당사자 웹 서버에 대한 정책을 생성합니다.
싱글 사인온에 대한 어설션 유효 기간
sm1252sp1kkr
싱글 사인온의 경우 차이 시간 및 유효 기간 값에 따라 이 어설션의 총 유효 기간을 계산하는 방법이 결정됩니다. 는 어설션 생성 및 소비에 이 차이 시간을 적용합니다.
참고:
이 설명에서 어설션 당사자는 SAML 1.x 생산자, SAML 2.0 아이덴티티 공급자 또는 WS-페더레이션 계정 파트너입니다. 신뢰 당사자는 SAML 1.x 소비자, SAML 2.0 서비스 공급자 또는 WS-페더레이션 리소스 파트너입니다.
어설션 문서에서 NotBefore 및 NotOnOrAfter 값은 유효 간격의 시작 및 끝을 나타냅니다.
어설션 당사자에서는 이 어설션 유효 기간을 설정합니다. 유효 간격은 어설션이 생성되는 시스템 시간입니다. 은 이 시간을 사용하여 어설션의 IssueInstant 값을 설정한 다음 IssueInstant 값에서 차이 시간 값을 뺍니다. 그 결과로 얻은 시간이 NotBefore 값입니다.
NotBefore = IssueInstant - 차이 시간
유효 간격의 끝을 결정하기 위해 은 유효 기간 값과 차이 시간을 IssueInstant 값에 더합니다. 그 결과로 얻은 시간은 NotOnOrAfter 값이 됩니다.
NotOnOrAfter = 유효 기간 + 차이 시간 + IssueInstant
시간은 GMT를 기준으로 합니다.
예를 들어 어설션 당사자 측에서 어설션이 1:00 GMT에 생성된다고 가정합니다. 차이 시간은 30초이고 유효 기간은 60초이며 어설션 유효 간격은 12:59:30 GMT에서 1:01:30 GMT 사이입니다. 이 간격은 어설션이 생성된 시간보다 30초 전에 시작되고 90초 후에 끝납니다.
신뢰 당사자에서 은 어설션 당사자에서와 동일한 계산을 수행하여 수신된 어설션이 유효한지 확인합니다.
이 파트너 관계의 양쪽 모두에 있는 경우의 어설션 유효 기간 계산
이 파트너 관계의 양쪽 모두에 있는 경우 어설션 유효 기간은 유효 기간을 차이 시간의 두 배에 더한 합계입니다. 공식은 다음과 같습니다.
어설션 유효 기간 = 2 x 차이 시간(어설션 당사자) + 유효 기간 + 2 x 차이 시간(신뢰 당사자)
공식의 초기 부분(2 x 차이 시간 + 유효 기간)은 어설션 당사자의 유효 기간 시작 및 끝을 나타냅니다. 공식의 두 번째 부분(2 x 차이 시간)은 신뢰 당사자에 있는 시스템 클록의 차이 시간을 나타냅니다. 2를 곱하는 이유는 유효 기간의 NotBefore 및 NotOnOrAfter 끝을 고려하기 때문입니다.
참고:
레거시 페더레이션의 경우 유효 기간은 어설션 당사자에서만 설정됩니다.
어설션 당사자
어설션 당사자 측에서의 값은 다음과 같습니다.
  • IssueInstant = 5:00PM
  • 유효 기간 = 60초
  • 차이 시간 = 60초
  • NotBefore = 4:59PM
  • NotOnOrAfter = 5:02PM
신뢰 당사자
신뢰 당사자는 어설션의 NotBefore 및 NotOnOrAfter 값을 사용하고 해당 차이 시간을 이러한 값에 적용합니다. 이 공식은 신뢰 당사자가 새 NotBefore 및 NotOnOrAfter 값을 계산하는 방법입니다.
  • 차이 시간 = 180초(3분)
  • NotBefore = 4:56PM
  • NotOnOrAfter = 5:05PM
어설션 유효 기간 창
이 예제의 값을 사용한 전체 어설션 유효 기간 창의 계산은 다음과 같습니다.
120초(2 x 60) + 60초 + 360초(2 x 180) = 540초(9분)
리소스 파트너 가용성에 대한 시간 제한 구성(선택 사항)
리소스 파트너 리소스 가용성에 대한 시간 제한을 지정할 수 있습니다. 시간 제한을 지정하면 리소스 파트너 리소스에 대한 액세스가 지정된 기간 동안에만 허용됩니다. 사용자가 지정된 기간을 벗어나 리소스에 액세스하려고 하면 계정 파트너가 SAML 어설션을 생성하지 않습니다.
참고:
시간 제한은 정책 서버가 설치된 서버의 시스템 클록을 기준으로 합니다.
시간 제한을 지정하려면
  1. "일반" 설정에서 시작합니다.
    페이지의 "제한" 섹션에 있는 "시간" 섹션에서 "설정"을 클릭합니다.
    "시간 제한" 페이지가 표시됩니다.
    일정을 완료합니다. 이 일정 표는 규칙 개체의 "시간 제한" 표와 같습니다.
  2. "확인"을 클릭합니다.
시간 제한 일정이 설정되었습니다.
리소스 파트너에 대한 IP 주소 제한 구성(선택 사항)
리소스 파트너에 액세스할 웹 서버의 IP 주소, 범위 주소 또는 서브넷 마스크를 지정할 수 있습니다. 리소스 파트너에 대해 IP 주소를 지정하면 리소스 파트너가 적절한 IP 주소의 사용자만 허용합니다.
IP 주소를 지정하려면
  1. "일반" 설정에서 시작합니다.
    페이지의 "제한" 섹션에 있는 "IP 주소" 영역에서 "추가"를 클릭합니다.
    "IP 제한" 페이지가 표시됩니다.
  2. 추가하고 있는 IP 주소 유형에 대한 옵션을 선택하고 연결된 필드에 해당 주소 유형에 대한 데이터를 입력합니다.
    참고:
    IP 주소는 모르지만 주소에 대한 도메인 이름은 알고 있는 경우 "DNS 조회" 단추를 클릭합니다. 이 단추를 클릭하면 "DNS 조회" 페이지가 열립니다. "호스트 이름" 필드에 정규화된 호스트 이름을 입력하고 "확인"을 클릭합니다.
    • 단일 호스트--브라우저를 호스트하는 단일 IP 주소를 지정합니다. 단일 IP 주소를 지정하면 사용자가 지정된 IP 주소에서만 리소스 파트너에 액세스할 수 있습니다.
    • 호스트 이름--호스트 이름을 사용하여 웹 서버를 지정합니다. 호스트 이름을 지정하면 지정된 호스트의 사용자만 리소스 파트너에 액세스할 수 있습니다.
    • 서브넷 마스크--웹 서버에 대한 서브넷 마스크를 지정합니다. 서브넷 마스크를 지정하면 지정된 서브넷 마스크의 사용자만 리소스 파트너에 액세스할 수 있습니다. 이 단추를 선택하면 "주소 및 서브넷 마스크 추가" 대화 상자가 열립니다. 왼쪽 및 오른쪽 화살표 단추를 사용하거나 슬라이더 막대를 클릭한 상태로 끌어서 놓아 서브넷 마스크를 선택합니다.
    • 범위--IP 주소 범위를 지정합니다. IP 주소 범위를 지정하면 리소스 파트너가 주소 범위에 속한 IP 주소 중 하나의 사용자만 허용합니다. 시작 및 끝 주소를 입력하여 범위를 결정합니다.
  3. "확인"을 클릭하여 구성을 저장합니다.