정보 카드 인증 체계

ICAS(정보 카드 인증 체계) 기능을 사용하면 여러 정보 카드 인증 체계를 생성할 수 있습니다. 각 정보 카드 인증 체계는 사용자 지정 인증 체계로 구성됩니다.
casso12kr
ICAS(정보 카드 인증 체계) 기능을 사용하면 여러 정보 카드 인증 체계를 생성할 수 있습니다. 각 정보 카드 인증 체계는 사용자 지정 인증 체계로 구성됩니다.
정보 카드는 지갑에 넣고 다니는 실제 카드와 비슷합니다. 각 정보 카드는 아이덴티티 정보 집합을 나타냅니다. 예를 들어 운전 면허증을 나타내는 정보 카드에는 사진, 생년월일, 성 및 이름, 운전 면허 번호 등의 중요한 아이덴티티 정보가 포함될 수 있습니다. 정보 카드를 사용하면 사용자가 자신의 아이덴티티 정보를 관리할 수 있습니다. 사용자는 자신의 정보 카드와 관련 아이덴티티 정보를 볼 수 있습니다. 또한 특정 정보 교환을 위해 사용 가능한 카드 중 하나를 선택하고 선택한 카드와 연결된 아이덴티티 정보의 공개 권한을 부여할 수 있습니다.
아이덴티티 선택기는 정보 카드를 노출하는 응용 프로그램입니다.
2
아이덴티티 선택기 소개
아이덴티티 선택기는 사용자가 자신의 아이덴티티 정보뿐 아니라 신뢰 당사자 및 아이덴티티 공급자와의 온라인 관계도 관리할 수 있게 해 주는 응용 프로그램입니다. RP(신뢰 당사자)는 사용자를 인증하기 위해 아이덴티티 정보를 필요로 하는 웹 사이트, 응용 프로그램 또는 서비스입니다. IdP(아이덴티티 공급자)는 아이덴티티 정보를 인증하고 사용자가 신뢰 당사자와 공유할 수 있는 보안 토큰을 생성하는 제3자입니다.
아이덴티티 선택기를 사용하면 사용자가 다수의 사용자 이름 및 암호를 관리하지 않고도 웹 기반 리소스에 액세스할 수 있습니다. 또한, 기업은 더 이상 부정확하거나 악용될 가능성이 있는 사용자 아이덴티티 정보의 데이터베이스를 유지 관리할 필요가 없습니다. 사용자 및 데이터베이스의 유지 관리가 사라지면 리스크와 법적 책임이 줄고 민첩성이 개선됩니다.
또한 사용자는 아이덴티티 선택기를 사용하여 각 신뢰 당사자에게 공개되는 아이덴티티 정보를 제어할 수 있습니다. 마지막으로, 아이덴티티 선택기는 사용자에게 일관된 사용자 인터페이스와 뛰어난 사용자 환경을 제공합니다.
Windows CardSpace
Windows CardSpace는 Microsoft가 구현한 아이덴티티 선택기입니다. CardSpace는 사용자가 신뢰 당사자 또는 아이덴티티 공급자와 상호 작용하는 데 사용할 수 있는 일관된 사용자 인터페이스를 제공합니다. 정책 서버는 ICAS(정보 카드 인증 체계)라는 사용자 지정 인증 체계를 통해 Windows CardSpace를 지원합니다.
CA Single Sign-on
ICAS(정보 카드 인증 체계)
정책 서버에서 제공되는 ICAS(정보 카드 인증 체계)는 Windows CardSpace를 지원합니다. 각 ICAS 인스턴스는 관리 UI에서 사용자 지정 인증 체계로 구성되며 다른 사용자 지정 인증 체계와 마찬가지 방식으로 구현됩니다.
ICAS 개요
ICAS를 사용한 사용자 인증은 다음과 같은 구성 요소 및 단계가 필요합니다.
  • 사용자
  • 아이덴티티 선택기
  • 웹 에이전트
  • RP(신뢰 당사자)
  • IdP(아이덴티티 공급자)
ICAS overview
  1. 사용자가 보호된 웹 사이트나 RP(신뢰 당사자)에 방문하려고 합니다.
  2. 웹 에이전트가 사용자의 요청을 가로채고 ICAS를 호출합니다.
  3. ICAS가 RP 정책 요구 사항을 웹 에이전트로 보냅니다.
  4. 웹 에이전트가 사용자 컴퓨터에서 아이덴티티 선택기를 시작하도록 브라우저에 지시하고 RP의 정책 요구 사항을 보냅니다.
  5. 아이덴티티 선택기가 정책 요구 사항을 읽고 사용자를 위해 요구 사항을 충족하는 정보 카드를 강조 표시합니다. 사용자는 강조 표시된 카드 중 하나를 선택합니다. 아이덴티티 선택기는 사용자의 자격 증명을 수집한 후 인증을 위해 IdP(아이덴티티 공급자)로 보냅니다. 또한 아이덴티티 선택기는 RP 정책 요구 사항을 IdP로 보내고 토큰을 요청합니다.
    참고:
    사용자는 RP에 필요하지 않은 선택적 클레임이 포함된 카드를 선택할 수 있습니다.
  6. IdP가 사용자를 인증하고 정책 요구 사항을 처리합니다. IdP는 필요한 클레임이 포함된 토큰을 생성한 후 다시 아이덴티티 선택기로 보냅니다.
  7. 아이덴티티 선택기가 클레임을 표시하면 사용자는 해당 클레임을 RP에 공개하는 것을 승인합니다.
  8. ICAS가 토큰의 암호를 해독하고 토큰의 신뢰성 및 무결성을 확인한 다음 사용자의 클레임을 사용자 데이터베이스에 있는 사용자 아이덴티티에 연결합니다. 그러면 정책 서버는 표준 정책 기반 권한 부여를 수행하고 권한이 부여된 경우 사용자에게 액세스 권한을 부여합니다.
  9. 사용자가 웹 사이트에 액세스합니다.
ICAS 용어
다음 용어는 ICAS를 이해하는 데 유용합니다.
  • 아이덴티티 메타 시스템
    사용자, 신뢰 당사자 및 아이덴티티 공급자가 아이덴티티 정보를 공유하는 방식을 지정하는 아키텍처입니다.
  • 사용자
    공유되는 아이덴티티 정보의 소유자입니다. 이 사용자를 주체라고도 합니다.
  • RP(신뢰 당사자)
    아이덴티티 정보를 요청하고 소비하는 웹 사이트입니다.
  • IdP(아이덴티티 공급자)
    아이덴티티 정보를 인증하고, 공유 토큰을 생성하여 이 정보를 신뢰 당사자와 공유하는 제3자입니다. 아이덴티티 공급자의 예로는 신용 카드 회사, 은행, 정부 기관, 고용주 및 보험 회사가 있습니다.
  • STS(보안 토큰 서비스)
    아이덴티티 공급자가 보안 토큰을 생성하는 데 사용하는 기술입니다. 보안 토큰 서비스는 다음 작업을 수행합니다.
    • 사용자를 인증합니다.
    • 다음과 같은 보안 토큰을 생성합니다.
      • 신뢰 당사자의 요구 사항과 사용자의 제한 사항에 따라 각기 다른 아이덴티티 정보 하위 집합을 포함하는 보안 토큰
      • 다양한 유형의 보안 토큰
        참고:
        SAML 1.0 및 1.1 사양이 지원됩니다.
      • 보안을 위해 암호화되고 신뢰성 및 무결성을 위해 서명된 보안 토큰
  • 보안 토큰
    암호화 방식으로 서명되고 암호화된 클레임 집합입니다.
  • 클레임
    사실에 대한 어설션입니다. 각 토큰에는 사용자의 아이덴티티에 대한 클레임이 하나 이상 포함됩니다. 클레임의 예로는 이름, 성, 전자 메일 주소, 생년월일 등이 있습니다. 사용자 또는 타사 아이덴티티 공급자가 클레임을 생성할 수 있습니다.
  • 정보 카드
    아이덴티티 정보 집합입니다. 정보 카드는 지갑에 넣고 다니는 실제 카드와 비교할 수 있습니다. 예를 들어 운전 면허증에 해당하는 정보 카드에는 사진, 생년월일, 성 및 이름, 운전 면허 번호, 시/도, 신장, 성별 등의 중요한 아이덴티티 정보가 포함될 수 있습니다.
  • 개인 카드
    사용자가 자신에 대해 어설션하지만 제3자가 확인하지는 않는 클레임이 포함된 정보 카드입니다. 개인 카드에는 카드가 생성될 때 함께 생성된 PPID(Private Personal Identifier)가 포함되어 있습니다. 개인 카드는 전자 메일 주소와 같이 중요도가 낮은 아이덴티티 정보에 적합합니다.
    참고:
    개인 카드를 자체 발급 카드라고도 합니다.
  • 관리되는 카드
    사용자가 자신에 대해 어설션하며 제3자가 확인하는 클레임이 포함된 정보 카드입니다. 관리되는 카드에는 카드가 생성될 때 함께 생성된 PPID(Private Personal Identifier)와 아이덴티티 공급자의 STS에 대한 포인터가 포함되어 있습니다. 관리되는 카드는 신용 카드 번호와 같이 중요한 아이덴티티 정보에 적합합니다.
  • 아이덴티티 선택기
    사용자가 신뢰 당사자 및 아이덴티티 공급자와의 관계를 관리하고 자신의 아이덴티티 정보가 공유 및 사용되는 방식을 제어할 수 있게 해 주는 응용 프로그램입니다. 아이덴티티 선택기는 다음과 같은 기능을 합니다.
    • 여러 통신 프로토콜 및 보안 기술을 사용하는 당사자 간에 정보를 공유할 수 있도록 합니다.
    • 정보 카드를 사용하는 여러 아이덴티티 공급자 및 신뢰 당사자 간에 일관된 사용자 인터페이스를 제공합니다.
    • 각 아이덴티티 정보 교환에 사용할 수 있는 정보 카드를 강조 표시합니다.
    • 사용자가 아이덴티티 정보를 확인하고 이를 공유하는 데 동의할 수 있도록 합니다.
  • Windows CardSpace
    Microsoft의 Windows 운영 체제용 아이덴티티 선택기입니다.
  • ICAS(정보 카드 인증 체계)
    Microsoft의 아이덴티티 선택기인 Windows Cardspace를 지원하며
    CA Single Sign-on
    에서 사용자 지정 인증 체계로 구현됩니다.
  • PPID(Private Personal Identifier)
    정보 카드가 생성될 때 아이덴티티 선택기에 의해 생성되는 식별자입니다.
ICAS 파일
ICAS의 각 인스턴스를 구성하려면 fcc 파일과 속성 파일이 필요합니다.
  • filename.fcc
    ICAS의 각 인스턴스에 대해 사용자 지정할 수 있는 인증 설정을 지정합니다.
    • InfoCard.fcc
      웹 에이전트 키트와 함께 제공되는 샘플 fcc 파일입니다.
  • filename.properties
    ICAS 인스턴스의 동작을 지정합니다.
    • InfoCard.properties
      샘플 속성 파일입니다.
     
    참고:
    관리 UI에서 ICAS 인스턴스를 구성할 때 관리자는 속성 파일의 경로를 지정합니다.
ICAS 사전 요구 사항
ICAS를 구축하려면 먼저 다음 조건이 충족되어야 합니다.
  • 웹 브라우저 구성
    다음 웹 브라우저 중 하나를 사용하십시오.
    • Internet Explorer 7.0
    • CardSpace 플러그인이 설치된 Firefox 2.x
  • 웹 서버 구성
    웹 서버가 SSL을 통해 통신하도록 구성되어야 합니다. 이 구성은 fcc 파일을 보호합니다.
  • 웹 에이전트 구성
    웹 에이전트 키트와 함께 제공되는 InfoCard.fcc는 ICAS의 각 인스턴스에 맞게 사용자 지정되어야 합니다.
  • JRE(Java Runtime Environment) 구성
    JRE(Java Runtime Environment)는 강력한 암호화 알고리즘으로 암호화된 보안 토큰을 암호 해독하도록 구성되어야 합니다.
  • 정책 서버 구성
    정책 서버 구성에는 다음 태스크가 포함됩니다.
    • ICAS 속성 파일 구성
    • 인증서 데이터 저장소 구성
    • ICAS에 맞게 사용자 디렉터리 구성
    • ICAS의 인스턴스 생성
    • 클레임 값을 검색하는 활성 응답 구성
ICAS에 맞게 JRE(Java Runtime Environment) 구성
JCE(Java Cryptography Extension) Unlimited Strength Jurisdiction Policy Files를 설치하여 JRE(Java Runtime Environment)를 구성하십시오. 이러한 파일은 강력한 암호화 알고리즘으로 암호화된 보안 토큰의 암호를 해독하는 데 필요합니다.
중요!
새 정책 파일을 설치하기 전에 JRE와 함께 제공되는 기본 정책 파일을 백업하십시오.
다음 단계를 수행하십시오.
  1. http://www.oracle.com/technetwork/java/index.html에서 JCE(Java Cryptography Extension) Unlimited Strength Jurisdiction Policy Files를 다운로드합니다.
  2. 이 파일을 $NETE_JRE_ROOT\lib\security 디렉터리에 설치합니다.
  3. $NETE_JRE_ROOT\lib\security\java.security 파일에 다음 행을 추가합니다.
    textsecurity.provider.7=com.rsa.jsafe.provider.JsafeJCE
ICAS용 정책 서버 구성
ICAS용 정책 서버 구성 단계에는 다음이 포함됩니다.
  1. ICAS 속성 파일을 구성합니다.
  2. 나중에 활성 응답에서 사용할 수 있도록 요청을 저장합니다.
  3. ICAS를 위한 인증서 데이터 저장소를 구성합니다.
  4. ICAS에 맞게 사용자 디렉터리를 구성합니다.
  5. ICAS 인스턴스를 생성합니다.
  6. 요청 값을 검색하는 활성 응답을 구성합니다.
  7. ICAM 허용 목록에 대한 지원을 구성합니다.
ICAS 속성 파일을 구성합니다.
ICAS 속성 파일은 ICAS 인스턴스가 작동하는 방식을 지정합니다. 관리 UI에서 ICAS 인스턴스를 구성할 때 관리자는 관련 속성 파일의 경로를 지정합니다. 새 속성 파일을 구성하려면 텍스트 편집기에서 샘플 속성 파일을 열고 내용을 편집합니다. 항상 새 속성 파일을 저장하고 이름을 바꾸십시오.
참고:
여러 ICAS 인스턴스가 동일한 속성 파일을 사용할 수 있습니다.
예:
InfoCard.properties라는 속성 파일에는 다음과 같은 속성 및 샘플 값이 있습니다.
  • fcc
    정보 카드 fcc 파일의 위치를 지정합니다.
    예:
    fcc=https://
    web_server_home
    /siteminderagent/forms/InfoCard.fcc
    참고:
    아이덴티티 선택기를 활성화하려면 "https"를 지정하십시오.
  • vppid_attribute
    VPPID 특성 값을 지정합니다. 명령 UpdateUserStoreWithVPPID는 사용자 특성을 업데이트하기 위해 이 특성이 필요합니다.
    예:
    vppid_attribute=mail
  • vppid_claim
    사용자 명확성 처리에 필요한 클레임을 지정합니다.
    예:
    vppid_claim=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    vppid_claim=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    vppid_claim=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • alias
    신뢰 당사자의 SSL 인증서를 검색하는 데 사용되는 인증서 데이터 저장소의 키를 지정합니다.
    예:
    alias=rpssl
  • guestuser
    ICAS가
    익명
    모드로 구성된 경우 이 설정은 게스트 사용자 로그인을 지정합니다.
    예:
    guestuser=guest
  • tokenPrim
    tokenPrim 인터페이스의 공급자를 지정합니다.
    예:
    tokenPrim=com.ca.sm.authscheme.infocard.higgins.TokenAdapter
  • storeclaims_attribute
    StoreClaimsToUserStore
    명령을 실행할 때 클레임이 저장되는 사용자 특성을 지정합니다.
    예:
    storeclaims_attribute=description
  • preprocessingchain
    사용자 명확성 처리 과정에서 실행할 명령 체인을 정의합니다.
    예:
    preprocessingchain=+vppidchain
    참고:
    자세한 내용은 ICAS 명령 체인 구성을 참조하십시오.
  • postprocessingchain
    사용자 인증 시 실행할 명령 체인을 정의합니다.
    예:
    postprocessingchain=+vppidchain;com.ca.sm.icas.command.StoreClaimsToContext
    참고:
    자세한 내용은 ICAS 명령 체인 구성을 참조하십시오.
  • errorprocessingchain
    오류 처리 동안 실행할 명령 체인을 정의합니다.
    참고:
    자세한 내용은 ICAS 명령 체인 구성을 참조하십시오.
  • whiteListLocation
    (선택 사항) 연방 ICAM(Identity, Credentialing, and Access Management)에서 지정한 허용 목록을 포함하는 XML 파일의 위치를 정의합니다.
    예:
    whiteListLocation=C:\\Program Files\\ca\\siteminder\\config\\WhiteList.xml
    참고:
    ICAM 허용 목록에 대한 자세한 내용은 ICAM 허용 목록에 대한 지원 구성을 참조하십시오.
ICAS 명령 체인 구성
명령 체인은 ICAS 속성 파일에서 정의합니다. 체인이란 순서대로 실행되는 명령의 집합입니다.
명명된 명령 체인은 다음과 같습니다.
  • preprocessing
  • postprocessing
  • errorprocessing
이러한 명명된 체인은 기본적으로 표시됩니다.
다음 정보를 고려하십시오.
  • ICAS 속성 파일에 특정 명명된 체인이 있는 경우 ICAS는 이러한 명명된 체인을 사용합니다.
  • 고유한 체인을 정의한 다음 ICAS 속성 파일에 넣고 명명된 체인에서 참조할 수 있습니다.
  • 사용자 지정된 체인이 이러한 명명된 명령 체인 중 어디에서도 참조되지 않는 경우 해당 체인의 실행은 무시됩니다.
요구 사항에 따라 다음 클래스 파일을 구성하십시오.
5
5
ICAS를 구성하기 위한 키 클래스 파일
ICAS를 구성하는 데 사용되는 키 클래스 파일은 다음과 같습니다.
  • com.ca.sm.icas.StoreClaimsToSessionStore
    추출된 클레임을 정책 서버의 세션 저장소에 저장합니다.
  • com.ca.sm.icas.command.ExecuteClaimChain
    클레임을 통해 명령 집합을 실행합니다. 네임스페이스의 마지막 부분을 구성하는 각 클레임 이름에 대해 ICAS는 속성 파일에서 chainID.claimID로 정의된 체인을 찾습니다. 체인 정의를 찾으면 ICAS는 이를 실행하고 특정 클레임과 함께 컨텍스트를 전달합니다.
    예:
    executeClaimCommand1=com.ca.sm.icas.command.ExecuteClaimChain의 경우 전자 메일 클레임을 다음과 같이 정의합니다.
    • executeClaimCommand1.emailaddress=com.ca.sm.icas.command.DumpClaimsCommand;
      emailaddress 클레임이 있는 토큰을 찾은 경우 DumpClaimsCommand를 처리합니다.
  • com.ca.sm.icas.command.HashVPPID
    VPPID 클레임 특성의 해시를 생성합니다.
  • com.ca.sm.icas.command.SetVPPIDAsAnonymous
    VPPID 클레임 특성 값을 익명으로 설정합니다. 이 클래스 파일은 사용자 계정에 연결되지 않은 정보 카드로 로그인하기 위해 사용됩니다(익명 액세스).
  • com.ca.sm.icas.command.SetVPPIDFromToken
    정보 카드 토큰의 VPPID 클레임 특성 값을 컨텍스트 개체로 설정합니다.
  • com.ca.sm.icas.command.StopChain
    true 값을 반환하며 현재 실행 중인 체인의 실행이 중지됩니다.
  • com.ca.sm.icas.command.StoreClaimsToContext
    정보 카드 토큰에서 클레임을 읽어 응용 프로그램 관련 컨텍스트에 저장합니다.
  • com.ca.sm.icas.command.StoreClaimsToUserStore
    정보 카드 토큰에서 읽은 클레임을 사용자 디렉터리의 ICAS 속성 파일에 있는 지정된 사용자 특성에 저장합니다.
  • com.ca.sm.icas.command.TransformScriptInClaim
    클레임에서 HTML 엔터티를 사용하여 스크립트 태그(<, >)를 이스케이프합니다. 예를 들어 <td>는 <td;&gt가 됩니다.
  • com.ca.sm.icas.command.TransformSqlInClaim
    클레임 값의 문자를 이스케이프하여 SQL 쿼리로 전달될 수 있게 합니다.
  • com.ca.sm.icas.command.TranslateErrorCode
    컨텍스트 내에서 찾은 예외 문자열을 변환합니다. 이 변환된 문자열은 FCC에서 사용할 수 있는 context.userText에 다시 저장됩니다.
  • com.ca.sm.icas.command.TranslateErrorCodeFromParms
    ICAS 속성 파일 내에서 찾은 예외 문자열을 변환합니다. 이 변환된 문자열은 FCC에서 사용할 수 있는 context.userText에 다시 저장됩니다.
  • com.ca.sm.icas.command.UpdateUserStoreWithVPPID
    정보 카드 토큰에서 읽은 클레임을 사용자 디렉터리의 ICAS 속성 파일에 있는 지정된 사용자 특성에 저장합니다.
요청 값을 확인하기 위한 클래스 파일
요청 값을 확인하는 데 사용되는 클래스 파일은 다음과 같습니다.
  • com.ca.sm.icas.StoreClaimsToSessionStore
    추출된 클레임을 정책 서버의 세션 저장소에 저장합니다.
  • com.ca.sm.icas.command.ErrorIfEmptyClaim
    요청이 비어 있는 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfMultiValueClaim
    지정된 요청에 여러 값이 있는 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfNotEmptyClaim
    지정된 요청이 비어 있지 않은 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfNotMultiValueClaim
    지정된 요청이 다중 값이 아닌 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfNotNullClaim
    지정된 요청이 null이 아닌 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfNotSingleValueClaim
    지정된 요청이 단일 값이 아닌 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfNullClaim
    지정된 요청이 null인 경우 예외를 생성합니다.
  • com.ca.sm.icas.command.ErrorIfSingleValueClaim
    지정된 요청이 단일 값인 경우 예외를 생성합니다.
디버그하기 위한 클래스 파일
디버깅 용도로 사용되는 클래스 파일은 다음과 같습니다.
  • com.ca.sm.icas.command.debug.DumpChainID
    체인 ID를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.DumpClaim
    콘솔에 VPPID 클레임 상세 정보(이름과 값)를 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.DumpClaims
    토큰에 있는 모든 클레임에 대한 상세 정보를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.DumpContext
    컨텍스트 개체에 대한 상세 정보를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.DumpParameters
    ICAS 속성 파일에 지정된 매개 변수에 대한 상세 정보를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.DumpSystemVars
    시스템 환경에 대한 상세 정보를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.DumpThreadStack
    실행 중인 스레드에 대한 스택 추적을 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.GenerateClaim_claims_AsHTML
    알려진 클레임을 나타내는 HTML 테이블을 포함하는 새 클레임 "_claims_"를 생성합니다.  활성 응답에서 이 클레임을 사용하여 검색된 클레임을 사용자에게 표시하는 쿠키나 헤더를 생성할 수 있습니다.
  • com.ca.sm.icas.command.debug.GenerateClaim_parameters_AsHTML
    ICAS 속성 파일에 지정된 매개 변수를 나타내는 HTML 테이블을 생성합니다. 활성 응답에서 이 HTML 테이블을 사용하여 검색된 클레임을 사용자에게 표시하는 쿠키나 헤더를 생성할 수 있습니다.
  • com.ca.sm.icas.command.debug.LogClaim
    체인 컨텍스트의 클레임 상세 정보(이름과 값)를 정책 서버 추적 로그에 기록합니다.
  • com.ca.sm.icas.command.debug.LogClaims
    토큰의 모든 클레임에 대한 상세 정보를 정책 서버 추적 로그에 기록합니다.
  • com.ca.sm.icas.command.debug.LogDecryptedClaims
    암호 해독된 XML 토큰을 정책 서버 추적 로그에 기록합니다.
  • com.ca.sm.icas.command.debug.LogEncryptedClaims
    IDP에서 가져온 암호화된 토큰을 정책 서버 추적 로그에 기록합니다.
  • com.ca.sm.icas.command.debug.START
    START 메시지를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.STOP
    STOP 메시지를 콘솔에 표시합니다.
    참고:
    출력을 보려면 정책 서버를 콘솔 모드로 시작하십시오.
  • com.ca.sm.icas.command.debug.ThrowException
    클레임 값을 메시지의 일부로 포함하는 예외 개체를 생성합니다.
나중에 활성 응답에서 사용할 수 있도록 클레임 저장
나중에 활성 응답에서 사용할 수 있도록 클레임을 저장할 수 있습니다. 나중에 사용할 수 있도록 클레임을 저장하려면 속성 파일에 다음 속성을 추가하십시오.
  • postprocessingchain
    사용자 인증 시 실행할 명령 체인을 정의합니다. 이 단계에는 클레임 변환 및 저장 명령이 포함됩니다.
    예:
    postprocessingchain=com.ca.sm.authscheme.infocard.command.StoreClaimsToContext
ICAS에 대해 인증서 데이터 저장소 구성
다음 정보를 고려하십시오.
  • 신뢰 당사자는 SSL을 사용하여 fcc 파일을 보호해야 합니다.
  • 신뢰 당사자는 웹 사이트와 연결된 SSL 인증서를 pfx 파일로 내보내야 합니다.
  • 정책 저장소 관리자는 신뢰 당사자 웹 사이트에서 SSL 인증서를 가져와서 인증서 데이터 저장소를 ICAS에 대해 구성합니다.
  • 가져온 인증서는 fcc 파일에 저장되는 별칭과 연결됩니다. 인증서의 개인 키를 사용하여 암호 토큰을 암호 해독하고 디지털 서명을 확인합니다.
다음 단계를 수행하십시오.
  1. 웹 서버 인증서 마법사를 사용하여 SSL 인증서를 IIS 웹 서버에서 pfx 파일로 내보냅니다.
    참고:
    자세한 내용은 Microsoft 설명서를 참조하십시오. pfx 파일에서 SSL 인증서를 가져오기 위해 정책 서버는 SSL 인증서를 pfx 파일에 내보낼 때 제공하는 암호를 사용합니다.
  2. 관리 UI를 사용하여 SSL 인증서를 인증서 데이터 저장소로 가져옵니다.
ICAS에 맞게 사용자 디렉터리 구성
사용자를 인증하기 위해서는 ICAS에 제공된 클레임 중 하나와 사용자 데이터베이스의 사용자 특성 간에 일치 항목을 찾아야 합니다. 토큰 디스어셈블리 중에는 지정된 클레임 값이 사용자 디렉터리에서 조회 값으로 사용됩니다. 따라서 LDAP 조회 문자열이나 SQL 쿼리 체계가 지정된 클레임에 해당하는 사용자 특성을 지정하도록 사용자 디렉터리를 구성하십시오.
다음 예에서는 전자 메일 주소에 대한 LDAP 조회 문자열 및 SQL 쿼리 체계를 구성하는 방법을 보여 줍니다.
  • LDAP 예
    LDAP 사용자 DN 조회
    • 시작
      (mail=
    • )
  • SQL 예
    SQL 쿼리
    • 사용자/그룹 정보 가져오기
      SELECT EmailAddress, 'User' FROM SmUser WHERE EmailAddress = '%s' UNION SELECT Name, 'Group' FROM SmGroup WHERE Name = '%s'
    • 사용자 인증
      SELECT EmailAddress FROM SmUser WHERE EmailAddress = '%s' AND Password = '%s'
ICAS의 인스턴스 만들기
관리 UI에서 사용자 지정 인증 체계를 지정하여 ICAS의 인스턴스를 생성할 수 있습니다.
제한:
각 정책 저장소는 최대 10개의 ICAS 인스턴스를 지원할 수 있습니다.
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
  4. "Create a new object of type Authentication Scheme"(인증 체계 유형의 새 개체 만들기)를 선택하고 "확인"을 클릭합니다.
  5. 인증 체계의 이름과 설명을 입력합니다.
  6. "인증 체계 유형" 목록에서 "사용자 지정 템플릿"을 선택합니다.
    "체계 설정" 그룹 필드가 표시됩니다.
  7. "보호 수준" 필드에 값을 입력합니다.
  8. 이 인증 체계 유형에 대해 활성화된 "암호 정책"의 선택을 취소합니다.
    참고:
    ICAS는 암호 정책을 지원하지 않습니다.
  9. "체계 설정"에 다음 필드에 대한 값을 입력합니다.
    • 라이브러리
      smjavaapi
      참고:
      사용자 지정 인증 체계는 Java 인증 API를 사용합니다.
    • 암호 및 암호 확인
      이 필드는 비워 둡니다.
      참고:
      사용자 지정 인증 체계는 공유 암호를 사용하지 않습니다.
    • 매개 변수
    "매개 변수" 필드에 다음 두 개의 매개 변수를 공백으로 구분하여 입력합니다.
    • com.ca.sm.icas.SmAuthInfoCard
      SmAuthScheme 인터페이스를 구현하는 클래스의 정규화된 이름입니다.
    • policy_server_home\config\icas\InfoCard.properties
      속성 파일의 위치입니다.
    • 예:
      com.ca.sm.icas.SmAuthInfoCard
      policy_server_home
      \config\icas\InfoCard.properties
  10. (선택 사항) "체계 설정"에서 "Store Auth Scheme Context to Session Store"(인증 체계 컨텍스트를 세션 저장소에 저장) 옵션을 선택합니다. 이 옵션은 인증 컨텍스트 데이터가 유지되도록 지정합니다.
  11. 제출을 클릭합니다.
    "인증 체계 만들기" 태스크가 처리를 위해 제출됩니다.
요청 값을 검색하는 활성 응답 구성
인증이 완료된 후 클레임 값을 가져오는 활성 응답을 구성하려면 사용자 지정 클래스 com.ca.sm.icas.GetClaimValue를 사용하십시오.
참고:
요청 값을 저장하고 검색하려면 세션 저장소가 필요합니다.
다음 단계를 수행하십시오.
  1. "정책", "도메인"을 차례로 클릭합니다.
  2. "응답"을 클릭합니다.
  3. "응답 만들기"를 클릭합니다.
  4. 도메인을 선택하고 "다음"을 클릭합니다.
  5. 응답의 이름과 설명을 입력합니다.
  6. "에이전트 유형"으로 웹 에이전트를 지정합니다.
  7. "특성 목록"에서 "응답 특성 만들기"를 클릭합니다.
  8. "특성 유형"의 특성 목록에서 "WebAgent-HTTP-Header-Variable" 또는 "WebAgent-HTTP-Cookie-Variable"을 선택합니다.
  9. "특성 설정"에서 "특성 종류"로 "활성 응답"을 선택합니다.
  10. "특성" 필드에 다음 값을 입력합니다.
    • 쿠키 또는 변수 이름
      요청의 이름을 지정합니다.
      예:
      emailaddress
    • 라이브러리 이름
      라이브러리의 이름을 지정합니다.
      값:
      smjavaapi
    • 함수 이름
      함수의 이름을 지정합니다.
      값:
      JavaActiveExpression
    • 매개 변수
      정보 카드 모델에 따라 표준 요청 유형을 정의하는 claims.xsd 파일의 위치와 사용자 지정 ICAS 명령을 지정합니다.
      예:
      com.ca.sm.authscheme.infocard.GetClaimValue http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  11. "확인"을 클릭합니다.
    요청 값을 검색하는 응답이 생성됩니다.
ICAM 허용 목록에 대한 지원 구성
ICAS 구현에서는 LOA 권한 부여 및 발급자의 허용 목록을 기반으로 하는 연방 Identity, Credentialing, and Access Management Identity Metasystem Interoperability 1.0 Profile(ICAM IMI 1.0 Profile) 사양을 지원합니다.
참고:
허용 목록 및 LOA 지원에 대한 자세한 내용은
ICAM IMI 1.0 Profile Release Candidate
(ICAM IMI 1.0 Profile 릴리스 후보)를 참조하십시오.
허용 목록 처리가 사용되도록 설정하려면
Infocard.properties
파일에서 다음 매개 변수를 업데이트하십시오.
  • postprocessingchain
    사용자 인증 시 실행할 명령 체인을 정의합니다.
    예:
    postprocessingchain=com.ca.sm.icas.whiteListChecker.whiteListChecker
  • whitelistlocation
    ICAM에서 지정한 허용 목록을 포함하는 XML 파일의 위치를 정의합니다.
    예:
    whitelistlocation=C:\\Program Files\\ca\\siteminder\\config\\WhiteList.xml
ICAS 구현에서는 다음 3가지 LOA(보증 수준)를 확인할 수 있습니다.
  • LOA1
  • LOA2
  • LOA3
LOA1, LOA2 및 LOA3을 확인하려면 허용 목록 처리가 필요합니다. LOA 처리를 지원하려면 postprocessingchain 매개 변수에 다음 정보를 추가하십시오.
  • LOA1 처리의 경우
    postprocessingchain=com.ca.sm.icas.whiteListChecker.whiteListChecker; com.ca.sm.icas.whiteListChecker.ErrorIfLOA1ClaimMissing
  • LOA2 처리의 경우
    postprocessingchain=com.ca.sm.icas.whiteListChecker.whiteListChecker; com.ca.sm.icas.whiteListChecker.ErrorIfLOA2ClaimMissing
  • LOA3 처리의 경우
    postprocessingchain=com.ca.sm.icas.whiteListChecker.whiteListChecker; com.ca.sm.icas.whiteListChecker.ErrorIfLOA3ClaimMissing