OpenID 인증 체계
사용자는 OpenID 인증 체계를 사용하여 OpenID 공급자를 통해 자격 증명을 제출할 수 있습니다. OpenID 공급자는 사용자를 인증하고 정책 서버로 인증 응답을 보냅니다. 정책 서버는 이 응답을 확인하고 인증 프로세스를 완료하고 리소스에 대한 액세스 권한을 부여합니다.
casso12kr
사용자는 OpenID 인증 체계를 사용하여 OpenID 공급자를 통해 자격 증명을 제출할 수 있습니다. OpenID 공급자는 사용자를 인증하고 정책 서버로 인증 응답을 보냅니다. 정책 서버는 이 응답을 확인하고 인증 프로세스를 완료하고 리소스에 대한 액세스 권한을 부여합니다.
시나리오의 목표는 의도하는 대상자가 다음을 할 수 있게 하는 것입니다.
- OpenID 인증 프로세스가 작동하는 방식을 파악합니다.
- 인증 체계를 사용하기 위해 필요한 에이전트 측 구성 요소를 구성합니다.
- 인증 체계를 사용하기 위해 필요한 정책 서버 측 구성 요소를 구성합니다.
Single Sign-On
r12.5에서는 OpenID 버전 1.1 및 2.0과 OpenID Attribute Exchange 버전 1.0을 지원합니다.2
Single Sign-On
에서 OpenID 인증이 작동하는 방식OpenID 인증 프로세스의 흐름은 다음 단계를 따르십시오.
- 사용자가 리소스를 요청합니다.
- 에이전트가 요청을 가로채고 정책 서버에 연결하여 리소스가 보호되는지 확인합니다.
- 정책 서버에서 리소스가 OpenID 인증 체계로 보호되는지 확인하고 에이전트가 사용자를 OpenID FCC(양식 자격 증명 수집기)로 리디렉션하도록 요청합니다.
- 에이전트가 사용자를 FCC로 리디렉션합니다.
- 사용자가 다음 태스크 중 하나를 완료합니다. FCC가 사용자 지정된 방식에 따라 이 단계의 작업 흐름이 결정됩니다. 사용자는 다음을 수행할 수 있습니다.
- OpenID 공급자를 선택하고 공급자 사이트에서 OpenID 자격 증명을 제출합니다.
- OpenID 공급자를 선택하고 OpenID 사용자 이름을 제출합니다.
- OpenID를 선택하고 전체 OpenID 사용자 식별자를 제출합니다.
- FCC가 OpenID 사용자 식별자를 구성하여 정책 서버에 전달합니다.
- 정책 서버가 OpenID 인증 요청을 구성하여 인증을 위해 사용자를 OpenID 공급자로 리디렉션합니다.
- 사용자가 공급자별 자격 증명을 사용하여 OpenID 공급자에 인증됩니다.
- OpenID 공급자가 성공적인 인증 요청을 FCC로 리디렉션합니다.
- 에이전트가 인증 응답을 정책 서버에 전달합니다.
- 정책 서버가 공급자 인증 응답을 확인하고 이를 사용하여 첫 번째 필수 클레임 값을 결정합니다. 정책 서버는 정책 도메인의 모든 사용자 디렉터리를 검색하여 특성이 클레임 값과 일치하는 사용자를 찾습니다. 일치하는 경우 정책 서버가 사용자를 인증합니다.참고:인증 체계에서는 익명 모드의 인증을 지원합니다. 익명 모드에서는 정책 서버가 사용자에 매핑하기 위해 클레임 값을 사용하지않습니다. 정책 서버는 정책 도메인의 모든 사용자 디렉터리를 검색하여 인증 체계에서 정의한 익명 사용자와 일치하는 사용자를 찾습니다.
- 정책 서버가 인증된 사용자의 세션 정보를 FCC에 반환합니다.
- FCC가 세션 쿠키를 생성하여 웹 브라우저에 전달합니다. 사용자는 요청된 리소스로 리디렉션되고 정책 서버는 모든 권한 부여 결정을 유지 관리합니다.
OpenID 인증 체계를 구성합니다.
이 섹션에서는 정책 서버 관리자가 OpenID 인증 체계를 구성하는 방법을 설명합니다. 다음 다이어그램에서는 필요한 태스크에 대해 설명합니다.

웹 에이전트 OpenID 플러그인이 사용되도록 설정
OpenID 플러그인은 웹 에이전트 구성 파일(WebAgent.conf) 내에서 참조됩니다. 플러그인은 에이전트가 OpenID 공급자와 통신하고 OpenID 공급자 인증 응답을 정책 서버에 전달할 수 있도록 하는 데 필요합니다.
에이전트 소유자에 연결하고 소유자에게 필요한 플러그인이 사용되도록 지시하십시오.
다음 단계를 수행하십시오.
- 웹 에이전트 호스트 시스템에 로그인합니다.
- 웹 에이전트 구성 파일을 엽니다.참고:파일의 기본 위치는 웹 서버 유형에 따라 다릅니다.
- IISagent_home\bin\IIS
- agent_home에이전트 설치 경로를 지정합니다.
- Oracle iPlanet(iPlanet/SunOne)web_server_home/https-hostname/config
- web_server_home웹 서버 설치 경로를 지정합니다.
- Apache, IBM HTTP 서버 및 Oracle HTTP 서버web_server_home/conf
- web_server_home웹 서버 설치 경로를 지정합니다.
- (Windows) DominoC:\lotus\domino
- (UNIX) Domino$HOME/notesdata
- OpenID 플러그인을 로드하는 행의 주석 처리를 제거합니다.예:#LoadPlugin="C:\Program Files\CA\webagent\bin\OpenIDPlugin.dll"
- 파일을 저장합니다.
- 웹 서버를 다시 시작합니다.
OpenID 양식 자격 증명 수집기 사용자 지정
샘플 OpenID FCC가 웹 에이전트 설치에 포함되어 있습니다. FCC는 사용자가 다음을 통해 인증할 수 있도록 하는 데 필요합니다.
- OpenID 공급자 사용자 이름 입력
- 전체 OpenID 식별자 입력
기본적으로 FCC는 여러 OpenID 공급자를 표시합니다. 에이전트 소유자에 연결하고 소유자에게 FCC를 수정하여 보호되는 응용 프로그램이 지원하는 공급자만 표시하도록 지시하십시오.
다음 단계를 수행하십시오.
- 웹 에이전트 호스트 시스템에 로그인합니다.
- 다음 위치로 이동합니다.agent_home\samples\forms
- agent_home웹 에이전트 설치 경로를 지정합니다.
- 텍스트 편집기에서 다음 파일을 엽니다.openid.fcc
- FCC를 검토합니다. 필요한 OpenID 공급자를 사용할 수 있는지 또는 프로필을 추가해야 하는지 확인합니다. 기본 공급자는 다음 섹션에 있습니다.var providers_large var providers_small
- 필요하지 않은 공급자를 주석 처리하여 해당 공급자를 FCC에서 제거합니다. 공급자 이름에서 주석을 시작하고 프로필 끝에서 주석을 종료합니다.예:/*google : { name : 'Google', url : 'https://www.google.com/accounts/o8/id' },*/
- 공급자를 추가해야 하는 경우 크거나 작은 공급자 섹션에서 사용자 지정 공급자 ID를 찾습니다.예:}/*, myprovider : { name : 'MyProvider', label : 'Enter your provider username', url : 'http://ca.com/{username}/', image : 'images/image.png' }*/참고:개별 공급자 섹션은 FCC가 표시하는 공급자 아이콘의 크기에 해당됩니다.
- 큰 섹션에서 아이콘의 지원되는 크기는 100 x 60 픽셀입니다. FCC는 큰 아이콘을 최대 5개까지 표시할 수 있습니다.
- 작은 섹션에서 아이콘의 지원되는 크기는 24 x 24 픽셀입니다. FCC는 작은 아이콘을 최대 11개까지 표시할 수 있습니다.
- 다음 문자를 제거하여 새 공급자를 추가합니다./* */
- 레이블 및 이름 값을 업데이트합니다. 레이블 값은 사용자가 공급자 아이콘을 클릭할 때 표시되는 텍스트를 결정합니다.예:myprovider : { name : 'Foward Inc', label : 'Enter your Forward Inc user name', url : 'http://ca.com/{username}/', image : 'images/image.png' }참고:Forward, Inc.는 설명용으로만 사용되는 가상의 회사 이름으로, 실제 회사를 가리키지 않습니다.
- URL 값을 업데이트합니다. URL 값은 OpenID 사용자 식별자를 나타냅니다. 정책 서버가 사용자 식별자를 OpenID 공급자에 전달합니다.예:myprovider : { name : 'Foward Inc', label : 'Enter your Forward Inc user name', url : 'http://{username}.forwardinc.com/' image : 'images/image.png' }
- 이미지 값을 업데이트합니다. 이미지 값은 FCC가 표시할 공급자 아이콘의 위치를 나타냅니다.예:myprovider : { name : 'Foward Inc', label : 'Enter your Forward Inc user name', url : 'http://{username}.forwardinc.com/' image : 'images/forwardinc.png' }
- 기본적으로 FCC는 공급자 ID가 구성되어 FCC에서 사용되도록 설정된 순서로 공급자 아이콘을 표시합니다. 아이콘 순서를 변경하려면 공급자 ID 순서를 적절히 조정합니다.중요!기본 공급자 ID는 다음 이미지 인덱스 속성을 포함합니다.imageidx이 속성을 제거하거나 변경하지마십시오. 이 속성은 FCC가 올바른 공급자 아이콘을 표시한다는 것을 확인합니다.
- 스크립트를 저장합니다.
- 웹 서버를 다시 시작합니다.
OpenID 공급자 구성 파일 수정
제품에서는 OpenID 공급자 구성 파일을 제공합니다. 이 파일은 보호되는 응용 프로그램이 지원하는 각 공급자의 구성 정보를 참조해야 합니다. 파일에 올바른 설정이 포함되지 않으면 인증이 실패합니다.
- 기본적으로 이 파일에는 OpenID FCC에서 사용할 수 있는 모든 공급자에 대한 샘플 설정이 포함되어 있습니다. 샘플 설정을 검토하고 필요에 따라 수정하십시오.중요!이 값은 샘플용입니다. 인증 체계를 배포하기 전에 OpenID 공급자에게 모든 구성 설정을 확인하는 것이 좋습니다.
- FCC에 공급자를 추가한 경우 공급자의 구성 설정을 추가하십시오.
다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 다음 위치로 이동합니다.siteminder_home\config\properties
- siteminder_home정책 서버 설치 경로를 지정합니다.
- 다음 단계 중 하나를 수행합니다.
- 기본 공급자 구성 파일을 엽니다.Openidproviders.xml
- 기본 구성 파일을 복사하여 다른 인스턴스를 생성합니다. 구성하는 각 OpenID 인증 체계에서 자체의 공급자 구성 파일을 사용할 수 있습니다.예:인증 체계의 한 인스턴스에 대해서는 연방 ICAM(Identity, Credential, and Access Management) 준수를 사용하고 다른 인스턴스에는 ICAM 준수가 사용되지 않도록 설정할 수 있습니다.
- 파일을 검토하고 필요한 OpenID 공급자 설정을 사용할 수 있는지 또는 설정을 추가해야 하는지 확인합니다.
- 설정을 추가해야 하는 경우 다음 단계를 완료하십시오.
- 기존 OpenID 공급자 노드와 모든 자식 노드를 복사합니다. 모든 필수 및 선택적 노드가 다음 노드 내에 포함되어 있습니다.<OpenIDProvider> </OpenIDProvider>
- 새 OpenID 공급자 노드와 모든 자식 노드를 다음 루트 노드에 추가합니다.<TrustedOpenIDProviders> </TrustedOpenIDProviders>
- 인증 체계에서 지원할 각 공급자에 대한 설정을 다음 노드 설명을 사용하여 구성합니다.
- OpenIDProvider RequestType="value"공급자에 대한 구성 설정의 시작을 나타냅니다.
- RequestType(선택 사항) 공급자가 지원하는 스키마 유형을 지정합니다.유효한 값:ax 또는 sreg기본값:ax
- ProviderName서비스를 호스트하는 OpenID 공급자의 URL을 지정합니다. 쉼표로 구분된 공급자 URL 목록을 값에 포함할 수 있습니다.
- Required ClaimsOpenID 공급자가 인증 요청의 일부로 반환하는 클레임을 지정합니다. 공급자가 필수 클레임 중 일부를 제공할 수 없으면 인증이 실패합니다. 이 노드에는 하나 이상의 클레임 노드가 필요합니다.
- 클레임개별 필수 클레임을 정의합니다.
- URIOpenID 공급자 클레임의 URI 형식을 지정합니다. 정책 서버는 이 값을 사용하여 인증 요청을 구성합니다.중요!첫 번째 필수 클레임 값이 사용자 디렉터리의 사용자 특성에 매핑되는지 확인하십시오. 정책 서버는 공급자 인증 응답을 기반으로 하는 첫 번째 필수 클레임의 값을 결정합니다. 그런 다음 정책 서버는 정책 도메인의 모든 사용자 디렉터리를 검색하여 클레임 값과 일치하는 사용자를 찾습니다. 정책 서버가 클레임 값을 사용자 특성에 매핑하지 못하는 경우 인증이 실패합니다.값:값은 공급자가 지원하는 스키마 유형을 따라야 합니다.
- 별칭(선택 사항) URI 노드 값에 대한 사용자에게 친숙한 이름을 정의하며 URI가 저장되거나 참조되지 않게 합니다. 시스템에서는 별칭을 사용하여 클레임을 식별합니다.값:모든 문자열예:시스템에서는 세션 저장소에 있는 사용자의 이름을 반환하는 URI를 저장하지 않고 대신 클레임 이름을 전체 이름으로 참조할 수 있습니다.참고:세션 저장소에 저장되는 별칭에는 다음 접두사가 추가됩니다.smopenidclaim
- Optional Claims(선택 사항) OpenID 공급자가 인증 요청의 일부로 반환할 선택적 클레임을 지정합니다. 공급자가 선택적 클레임을 제공하지 못해도 인증이 실패하지 않습니다. 이 노드에는 하나 이상의 클레임 노드가 필요합니다.
- Pape(선택 사항) ICAM 준수를 위해 필요한 속성을 정의합니다. ICAM 준수를 위한 인증 체계를 구성하는 경우 이 노드와 모든 자식 노드가 필요합니다.
- max_auth_age(선택 사항) OpenID 공급자 사용자 세션의 유효 시간을 지정합니다. 사용자 세션이 유효한 경우 OpenID 공급자는 공급자별 쿠키를 사용하여 보호된 리소스에 대해 사용자를 인증합니다. 세션이 만료되면 재인증하라는 메시지가 표시됩니다.측정 단위:초기본값:0기본값으로 두면 사용자는 유효한 세션에 관계없이 OpenID 공급자에 대해 인증해야 합니다.값:값은 양의 정수여야 합니다.
- 정책(선택 사항) OpenID 공급자가 따라야 하는 ICAM 정책을 쉼표로 구분된 목록으로 지정합니다. 공급자가 준수 수준을 따르지 않으면 인증이 실패합니다.
- 파일을 저장한 후 닫습니다.
에이전트 구성 개체 수정
확장 무시 ACO 매개 변수에 대한 기본 설정을 사용하면 OpenID FCC가 표시되지 않습니다. 관리 UI를 사용하여 기본 설정을 수정하십시오.
다음 단계를 수행하십시오.
- "인프라", "에이전트 구성 개체"를 차례로 클릭합니다.
- 사용자 요청을 FCC로 리디렉션할 에이전트에 대한 에이전트 구성 개체를 찾습니다.
- 편집 아이콘을 클릭하여 개체를 엽니다.
- 다음 매개 변수를 찾습니다.IgnoreExt
- 편집 아이콘을 클릭하고 다음 값을 추가합니다.
- .css
- .js
참고:값을 쉼표로 구분하십시오.예:.class, .gif, .jpg, .jpeg, .png, .fcc, .scc, .sfcc, .ccc, .ntc,.css,.js - "확인"을 클릭합니다.
- 제출을 클릭합니다.에이전트 구성 개체가 제외된 리소스 확장으로 업데이트됩니다.
FCCCompatMode 매개 변수를 사용하지 않도록 설정
에이전트는 이전 버전 제품과의 호환을 위해 FCCCompatMode 구성 매개 변수를 사용합니다. 최신 버전 제품(예: r12.5)의 경우 특정 기능을 사용할 때 보안 향상을 위해 이 매개 변수를 사용하지 않도록 설정해야 합니다.
참고
이 절차에서는 정책 서버의 에이전트 구성 개체를 사용하여 중앙에서 에이전트를 구성한다고 가정합니다. 이 방법 대신 로컬 에이전트 구성 방법을 사용하는 경우에는 LocalConfig.conf 파일에서 FCCCompatMode 매개 변수를 사용하지 않도록 설정하십시오.다음 단계를 수행하십시오.
- 관리 UI에서 "인프라", "에이전트 구성 개체"를 차례로 클릭합니다.
- 원하는 에이전트 구성 개체 옆의 편집 아이콘을 클릭합니다.
- 다음 매개 변수를 찾습니다.
- FCCCompatModeFCC/NTC가 4.x 웹 에이전트가 보호하는 리소스 또는 타사 응용 프로그램에 양식을 제공하도록 설정합니다.참고:FCCCompatMode가 yes로 설정된 경우에만 사용자 지정 인증 체계에 SMUSRMSG가 지원됩니다.제한yes, no기본값:(기존 에이전트) Yes기본값:(프레임워크 에이전트) No
- 값이 no로 설정되어 있는지 확인합니다. 값이 yes로 설정되어 있으면 다음 단계를 계속합니다.
- 매개 변수 왼쪽에 있는 편집 아이콘을 클릭합니다."매개 변수 편집" 대화 상자가 나타납니다.
- "값" 필드를 강조 표시하고 "no"를 입력합니다.
- "확인"을 클릭합니다."매개 변수 편집" 대화 상자가 닫힙니다.
- 제출을 클릭합니다.FCCCompatMode 매개 변수가 사용되지 않도록 설정되고 확인 메시지가 나타납니다.
OpenID 인증 체계 구성
관리 UI를 사용하여 OpenID 인증 체계 개체를 구성합니다.
네트워크에 여러 쿠키 도메인이 포함되어 있고 각 쿠키 도메인에 인증 체계가 필요한 경우 각 쿠키 도메인에서 별도의 인증 체계 개체를 구성하십시오.
참고:
Solaris 플랫폼에서 작동하는 경우 sun.security.provider.Sun 공급자가 첫 번째 공급자로 등록되도록 jre_root
/lib/security 디렉터리에 있는 java.security 파일을 수정하십시오.다음 단계를 수행하십시오.
- "인프라", "인증", "인증 체계"를 차례로 클릭합니다.
- "인증 체계 만들기"를 클릭합니다.
- 새 개체 옵션을 선택하고 "확인"을 클릭합니다."인증 체계 만들기" 페이지가 표시됩니다.
- 이름 및 보호 수준을 입력합니다.
- "인증 체계 유형" 목록에서 OpenID 템플릿을 선택합니다.체계 관련 설정이 표시됩니다.
- 나머지 매개 변수를 구성하고 "제출"을 클릭합니다.
중요!
프록시 설정 또는 후처리 체인 설정을 변경하는 경우 정책 서버를 다시 시작하십시오.OpenID 인증 체계를 구성하는 데 필요한 태스크를 완료했습니다. 이제 인증 체계를 정책 영역 및 EPM(Enterprise Policy Management) 응용 프로그램 구성 요소에 바인딩할 수 있습니다.