SecurID 인증 체계

RSA Ace/SecureID 인증 체계는 사용자 이름, PIN 및 토큰 코드가 포함된 ACE 자격 증명을 사용하여 로그인하는 사용자를 인증합니다. ACE 사용자 이름 및 암호는 ACE/서버 사용자 저장소에 있으며, ACE/서버 관리자는 이 자격 증명을 변경할 수 있습니다. SecureID 토큰은 단일 사용 TOKENCODE를 생성합니다.
casso12kr
RSA Ace/SecureID 인증 체계는 사용자 이름, PIN 및 토큰 코드가 포함된 ACE 자격 증명을 사용하여 로그인하는 사용자를 인증합니다. ACE 사용자 이름 및 암호는 ACE/서버 사용자 저장소에 있으며, ACE/서버 관리자는 이 자격 증명을 변경할 수 있습니다. SecureID 토큰은 단일 사용 TOKENCODE를 생성합니다.
2
다음과 같은 SecurID 인증 체계를 사용할 수 있습니다.
  • SecurID 인증
    이 체계는 RSA SecureID 하드웨어 토큰을 통해 로그인하는 사용자를 인증합니다. 이 체계는 사용자 이름과 암호를 받아들입니다. 암호는 사용자의 토큰 PIN과 그 다음에 나오는 동적 코드로 구성됩니다.
    참고:
    Ace 서버의 사용자 userid에 매핑하려면 LDAP 디렉터리 특성 'uid'를 사용하십시오. 그러지 않으면 SecurId 템플릿 인증 체계가 사용자를 인증하지 못합니다. uid 이외의 LDAP 디렉터리 특성을 Ace 서버의 userid에 매핑할 때는 SecurID HTML 양식 템플릿을 사용하십시오.
  • HTML 양식 지원을 사용한 SecurID 인증
    이 체계는 HTML 양식 지원을 포함합니다. 사용자가 PIN 또는 토큰 정보를 잘못 입력하여 비활성화된 경우 해당 사용자는 HTML 양식을 사용하여 자신을 식별하고 계정을 다시 활성화할 수 있습니다.
RSA ACE/SecurID 체계는 자신의 ACE PIN을 변경하도록 허용되지 않는 사용자 또는
NextTokenCode
모드에 있지 않은 사용자를 인증합니다. 하지만 자신의 PIN을 변경하는 사용자 및
NextTokenCode
모드에 있는 사용자는 HTML 양식을 사용한 RSA ACE/SecurID 체계를 통해 인증됩니다. 두 체계 모두 ACE/서버 - Ace/에이전트 모델을 기반으로 하며 RSA/SecurID(토큰) 및 RSA/ACE(서버 소프트웨어) 제품이 필요합니다.
RSA ACE/서버는 RSA SecurID 토큰과 함께 작동하여 유효한 RSA Ace/에이전트를 통해 사용자 아이덴티티를 인증합니다. 또한 RSA는 웹 에이전트와 사용자 지정 에이전트를 지원합니다. SecurID 인증 체계는 사용자 지정 ACE/에이전트의 역할을 하며 ACE/SDK 및 라이브러리를 사용합니다.
그러나 ACE/서버는 고유한 정책으로 사용자 자격 증명을 처리하고 이 정보를 ACE 사용자 저장소에 저장합니다. 정책에는 각 사용자에 대한 몇 가지 요구 사항과 제한 사항이 포함되며, ACE 관리자가 이를 언제든지 변경할 수 있습니다. 관리자는 사용자를 PIN 또는 토큰 코드를 통해 인증하도록 구성합니다. 사용자가 PIN을 통해 인증되도록 구성된 경우에는 시스템에 토큰 코드가 필요하지 않습니다. 사용자가 토큰 코드를 통해 인증되도록 구성된 경우에는 토큰 코드와 PIN이 필요합니다. 또한 사용자가 인증을 시도할 때 새 PIN을 설정해야 할 수도 있습니다. 이 "새 PIN 모드"에서는 이전 PIN과 새 PIN이 필요합니다.
사용자를 인증하기 위해 SecureID 인증 체계는 ACE 서버와 사용자 저장소의 사용자 사이에 매핑이 필요합니다. 이 매핑은 정책 저장소에서 인증 체계 개체 특성으로 표시됩니다.
HTML 양식을 사용한 RSA ACE/SecurID 체계가 개선되어 "새 PIN 모드"에 영향을 줍니다.
다음 그림에서는 RSA ACE/서버가 정책 서버와 상호 작용하는 방식을 보여 줍니다.
Interaction of RSA ACE Server with Policy Server
이 흐름은 다음과 같습니다.
  1. 사용자가 웹 페이지와 같은 리소스를 요청합니다.
  2. 웹 에이전트가 리소스 보호 여부를 확인합니다.
  3. 정책 서버가 요청된 리소스는 HTML 양식을 사용한 RSA ACE/SecurID 인증 체계로 보호됨을 나타냅니다.
  4. 웹 에이전트가 사용자에게 자격 증명을 입력하라는 메시지를 표시합니다.
  5. 사용자가 자격 증명을 입력하고 에이전트가 이를 정책 서버로 보냅니다.
  6. 정책 서버가 사용자 명확성 처리를 수행하고 사용자 이름을 RSA/ACE 사용자 이름에 매핑합니다. 정책 서버는 암호 정책을 적용하지 않습니다.
  7. 정책 서버가 ACE API 호출 시퀀스를 실행하여 인증 요청을 ACE/서버에 전달합니다. 이 서버는 또한 ACE/서버로 사용자의 자격 증명을 전달합니다.
  8. ACE/서버가 사용자에게 PIN을 변경해야 함을 알리고 제어를 다시 정책 서버에 반환합니다.
  9. 정책 서버가 제어를 웹 에이전트에 반환하고, 그러면 에이전트는 사용자를 CGI 또는 JSP로 리디렉션합니다.
  10. CGI 또는 JSP는 해당 HTML 양식을 생성합니다. 양식이 사용자에게 제공되고 사용자에게 사용자 이름, 이전 PIN, 새 PIN 및 새 PIN 확인의 입력이 요청됩니다.
  11. 웹 에이전트가 새 자격 증명 집합을 정책 서버에 보냅니다.
  12. 정책 서버가 ACE/서버에 대해 새로운 API 호출 시퀀스를 실행합니다.
  13. 새 PIN이 수락된 경우 ACE API 호출이 성공 결과를 반환합니다. 이때 사용자에게 새 PIN을 사용하여 로그인할지 묻는 메시지가 표시되고 권한 부여 프로세스가 완료됩니다.
  14. 새 PIN이 거부된 경우 10~12 단계가 반복됩니다.
이 PIN은 다음과 같은 조건에서 거부될 수 있습니다.
  • PIN이 너무 긴 경우
  • PIN이 너무 짧은 경우
  • PIN에 영문자가 포함된 경우
앞의 그림에서 인증은 HTML 양식으로 백엔드 PIN 정책 관련 메시지를 전달하는 것을 포함합니다. SecurID 인증 체계는 ACE/서버로 새 PIN을 전달하기 전에 PIN 정책의 유효성을 검사합니다. ACE SDK에는 다음과 같은 PIN 특성을 검색할 수 있는 함수 집합이 있습니다.
  • 최대 길이
  • 최소 길이
  • 영문자와 숫자, 또는 숫자만
이 정보를 기반으로 PIN의 유효성이 검사되고 적절한 오류 메시지가 생성되어 사용자에게 표시됩니다. 유효성 검사는 다음과 같은 순서대로 수행됩니다.
  • PIN이 너무 길지 않은지 확인합니다.
  • PIN이 너무 짧지 않은지 확인합니다.
  • PIN에 잘못된 문자가 없는지 확인합니다.
이러한 새 오류 메시지에서는 정책의 관련 부분만 사용자에게 제공됩니다. 다음 예에서는 이러한 새 메시지가 표시되는 방식을 보여 줍니다.
샘플 사용자인 Joe가 5~8자리의 PIN을 입력해야 하는데 새 PIN으로 "poem"을 입력한 경우 다음과 같은 오류 메시지가 표시됩니다.
Your new PIN is too short. PIN must contain at least 5 character(s).
다음 지정된 PIN이 "novel"인 경우 다음 메시지가 표시됩니다.
Your new PIN may not have alphabetic characters.
다음 지정된 PIN이 "123412341234"인 경우 다음 메시지가 표시됩니다.
Your new PIN is too long. PIN must contain 8 or fewer character(s).
SecureID 인증 체계에 의한 PIN 유효성 검사에 성공한 경우라도 ACE/서버가 새 PIN을 거부할 수 있습니다. 이 경우 사용자에게 새 자격 증명 집합을 요청하는 메시지가 표시되지만 PIN이 거부된 이유는 표시되지 않습니다. 또한 향상된 SecurID 인증 체계에서는 PIN 변경에 성공한 후 대상 웹 페이지에 대한 액세스 권한이 사용자에게 자동으로 부여됩니다.
요청 시 인증 모드에서는 첫 시도에서 다음 토큰 코드를 잘못 입력한 경우 두 번째 시도에서 다시 입력하는 다음 토큰 코드가 올바르든 잘못되었든 관계없이 다음 토큰 코드가 새로 생성됩니다. 두 번째 시도에 성공한 경우에는 새로 생성된 다음 토큰 코드를 무시하십시오. 두 번째 시도에 실패한 경우에는 인증에 두 토큰 코드 중 하나를 사용하십시오.
SecurID 인증 체계 사전 요구 사항
SecureID HTML 양식 인증 체계를 구성하기 전에 다음 사전 요구 사항을 완료하십시오.
  • Windows 정책 서버의 경우, RSA 관리자가 RSA Authentication Manager에서 ACE 구성 정보 파일(sdconf.rec, failover.dat)을 생성한 다음 windows/syswow64 디렉터리에 복사해야 합니다.
  • UNIX 정책 서버의 경우, RSA 관리자가 RSA Authentication Manager에서 ACE 구성 정보 파일(sdconf.rec, failover.dat)을 생성한 다음
    <policy server installation dir>
    /lib 디렉터리에 복사해야 합니다. 또한 정책 서버가 ACE 에이전트가 아닌 API 라이브러리를 사용할 수 있도록 VAR_ACE 및 USR_ACE 변수가
    <policy_server installation_dir>
    /lib를 가리켜야 합니다.
  • HTML 양식 인증을 구현할 쿠키 도메인의 웹 에이전트 서버에 사용자 지정된 .fcc 파일이 있어야 합니다. CA는 웹 에이전트가 설치된 Samples/Forms 하위 디렉터리에 샘플 .fcc 파일을 제공합니다.
  • 사용자 지정된 .unauth 파일이 웹 에이전트 서버에 있어야 합니다.
    참고
    .fcc 파일에 smerrorpage 지시문이 사용된 경우에는 .unauth 파일이 필요하지 않습니다.
  • 정책 서버와 사용자 디렉터리 간에 디렉터리 연결이 있어야 합니다.
  • 기본 HTML 양식 라이브러리가 설치되어 있어야 합니다. 이 라이브러리는 HTML 양식 인증 프로세스를 처리합니다.
    • SmAuthHTML.dll(Windows의 경우)
    • smauthhtml.so(Solaris의 경우)
    이러한 파일은 웹 에이전트를 구성할 때 자동으로 설치됩니다.
RSA SecureID 서버 버전 8.0 이상의 경우, RSA 관리자가 RSA Authentication Manager에서 인증 에이전트를 추가했는지 확인하십시오.
참고:
인증 에이전트를 추가하는 방법에 대한 자세한 내용은 RSA 설명서를 참조하십시오.
 
SecurID 인증 체계 구성
SecurID 인증 체계를 사용하여 ACE 자격 증명으로 로그인하는 사용자를 인증할 수 있습니다.
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
  4. "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
  5. "확인"을 클릭합니다.
  6. 이름 및 보호 수준을 입력합니다.
  7. "인증 체계 유형" 목록에서 "SecurID 템플릿"을 선택합니다.
  8. ACE 사용자 ID 특성을 입력합니다.
  9. 제출을 클릭합니다.
    인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.
SecurID HTML 양식 인증 체계 구성
SecurID HTML 양식 인증 체계를 사용하면 ACE 자격 증명으로 로그인하는 사용자를 사용자 지정 HTML 양식을 통해 인증할 수 있습니다.
참고:
다음 절차에서는 개체를 생성하고 있다고 가정합니다. 기존 개체의 속성을 복사하여 개체를 생성할 수도 있습니다. 자세한 내용은 "정책 서버 개체 복제"를 참조하십시오.
다음 단계를 수행하십시오.
  1. "인프라", "인증"을 차례로 클릭합니다.
  2. "인증 체계"를 클릭합니다.
  3. "인증 체계 만들기"를 클릭합니다.
  4. "인증 체계 유형의 새 개체 만들기"가 선택되어 있는지 확인합니다.
  5. "확인"을 클릭합니다.
  6. 이름 및 보호 수준을 입력합니다.
  7. "인증 체계 유형" 목록에서 "SecurID HTML 양식 템플릿"을 선택합니다.
  8. 서버, 대상 및 ACE 특성 정보를 입력합니다.
  9. 제출을 클릭합니다.
    인증 체계가 저장되고 이를 영역에 할당할 수 있습니다.
SecurID 사용자의 재활성화 및 확인을 위한 SecurID HTML 양식 지원
SecurID HTML 양식 체계를 사용하여 영역을 보호하는 경우 잘못된 로그인으로 인해 일시 중지된 사용자는 사용자 지정 가능한 여러 HTML 양식을 사용하여 자신의 계정을 활성화하려고 시도할 수 있습니다. 이러한 양식의 레이아웃과 단어를 수정할 수 있습니다. 사용자 정보를 수집하는 태그는 수정하지 마십시오.
정책 서버에서 제공되는 양식은 다음을 포함합니다.
  • PWLogin.template
    이 양식에서는 사용자가 로그인하기 위해 사용자 이름과 암호를 입력합니다.
  • PWNextToken.template
    이 템플릿은 여러 토큰 코드를 요청하여 사용자가 유효한 SecurID 토큰을 소유하고 있는지 확인합니다.
새 사용자 계정의 활성화를 위한 SecurID HML 양식 지원
정책 서버는 관리자가 새 사용자 계정을 생성할 때와 해당 사용자가 로그인할 때 다음 양식을 사용합니다. 양식을 통해 사용자는 PIN을 직접 생성하거나 정책 서버가 임의의 PIN을 생성하도록 합니다.
  • PWSystemPIN.template
    새로운 사용자의 경우나 잘못된 로그인 시도 횟수가 너무 많아 계정이 일시 중단된 사용자의 경우 이 템플릿은 새 PIN을 획득할지 묻는 메시지를 표시합니다. 이 템플릿은 원래 사용자 이름 및 암호를 받아들이지만 보호된 리소스에 대한 액세스 권한을 부여하는 대신 새 PIN을 받거나 생성할 수 있는 다른 양식으로 사용자를 리디렉션합니다.
  • PWNewPINSelect.template
    이 템플릿을 사용하면 사용자는 시스템에서 자동으로 새 PIN이 생성되도록 할지 아니면 자신이 직접 새 PIN을 입력할지를 지정할 수 있습니다.
  • PWUserPIN.template
    이 템플릿을 사용하면 사용자가 새 PIN을 입력할 수 있습니다. 사용자는 새 PIN과 함께 올바른 사용자 이름 및 암호를 제공해야 합니다. 이 템플릿에서 $USRMSG$는 PIN 번호를 생성하기 위한 명령으로 대체됩니다. 예:
    PIN은 4~8자여야 합니다.
  • PWPINAccept.template
    이 템플릿은 시스템 생성 PIN이 새로 생성되었음을 나타냅니다. 이 템플릿에서 시스템에서 생성된 PIN은 $USRMSG$ 변수를 대체합니다.
    사용자가 "계속"을 클릭하는 즉시 새 PIN을 사용하여 로그인할지 묻는 메시지가 표시됩니다.
리스크 기반 인증을 위해 SecurID HTML 양식 인증 지원 구성
SecurID용 RSA 리스크 기반 인증(RBA)은 사용자 이름/암호 로그인 방식을 변경하지 않고 사용자 아이덴티티에 대한 리스크 기반 확인 기능을 제공합니다.
리스크 기반 인증(RBA)을 위해 SecurID HTML 양식 인증 지원을 구성하려면 정책 관리자와 에이전트 소유자가 협력해야 합니다. 이 시나리오는 이 둘이 모두 수행해야 하는 모든 절차를 설명합니다.
How to SecurID HTML Form authentication support for Risk Based Authentication
최신 RBA 통합 스크립트 템플릿이 있는지 확인
RBA 통합 스크립트는 RSA 인증 관리자와 함께 제공되는 템플릿에 기반합니다. 하지만 RSA가 릴리스 사이에서 템플릿을 업데이트할 수 있으므로 가장 최신 템플릿을 사용해야 합니다.
다음 단계를 수행하십시오.
  1. 이 링크를 사용하여
    Single Sign-On
    https://sftp.rsa.com/human.aspx?Username=partner&password=rsasecured&arg01=859293799&arg12=downloaddirect&transaction=signon&quiet=true RBA 통합 스크립트 템플릿을 다운로드합니다.
  2. RSA 인증 관리자 서버와 함께 제공되는 통합 스크립트 템플릿을 찾습니다.
  3. 서버에 통합 템플릿이 없으면 1 단계에서 다운로드한 템플릿을 설치합니다. 그렇지 않은 경우, 템플릿의 헤더를 비교하여 더 최신 템플릿을 설치하십시오.
사용자 지정 RBA 통합 스크립트 생성
에이전트에 배포하기 위해 사용자 지정 RBA 통합 스크립트를 생성하려면 RSA 보안 콘솔을 사용하십시오.
다음 단계를 수행하십시오.
  1. RSA 보안 콘솔에 로그인한 후 하나 이상의 에이전트에 대해 RBA를 활성화합니다.
  2. 에이전트가 사용자(RSA SecurID 또는 고정 암호 코드)를 인증하는 데 사용할 기본 방법을 선택합니다.
  3. 스크립트를 생성하여 임시 디렉터리로 다운로드하려면
    CA Single Sign-on
    템플릿을 선택합니다.
배포를 위해 사용자 지정 RBA 통합 스크립트를 에이전트 소유자에게 제공
RSA 보안 콘솔에서 생성한 사용자 지정 RBA 통합 스크립트는 RBA를 지원해야 하는 각 웹 서버에 배포되어야 합니다.
사용자 지정 RBA 통합 스크립트를 각 에이전트 소유자에게 제공하고 배포 방법을 알려 주십시오.
에이전트 소유자가 각 웹 서버에서 사용자 지정 RBA 통합 스크립트 배포
RBA를 지원해야 하는 각 웹 서버에 정책 관리자가 제공한 사용자 지정
Single Sign-On
RBA 통합 스크립트를 배포하십시오.
다음 단계를 수행하십시오.
  1. 에이전트 호스트에 로그인하고 기본 RSA SecurID 로그인 템플릿(smpwservices.fcc)을 찾습니다. 이 템플릿은 에이전트 루트를 기준으로 상대 경로인 /siteminderagent/forms/ 디렉터리에 있습니다.
  2. 텍스트 편집기에서 smpwservices.fcc를 연 다음 맨 아래에 있는 </body> 태그 바로 앞에 다음 두 줄을 추가하고 파일을 저장합니다.
    <script src="am_integration.js" type="text/javascript"></script> <script>window.onload=redirectToIdP;</script>
    중요!
    편집을 시작하기 전에 smpwservice.fcc를 백업하여 필요한 경우 변경 사항을 취소하고 이전 상태로 돌아갈 수 있도록 하십시오.
  3. 사용자 지정 RBA 통합 스크립트(am_integration.js)를 /siteminderagent/forms/ 디렉터리로 복사하고 웹 서버를 다시 시작합니다.