IIS 웹 서버 설정
목차
casso12kr
목차
다음 설정을 사용하면 IIS용 에이전트를 관리할 수 있습니다.
NTC로 리디렉션하지 않고 사용자 자격 증명을 가져오도록 IIS용 에이전트 구성
기본적으로
Single Sign-On
에이전트는 Windows 인증 체계로 보호되는 리소스에 대한 요청을 NTC(NTLM credential collector)로 리디렉션하여 Windows 자격 증명을 가져옵니다.NTC로 리디렉션하지 않고 HTTP 요청에서 인라인으로 사용자 자격 증명을 가져오도록 IIS용
Single Sign-On
에이전트를 구성할 수 있습니다.다음 그림에서는 자격 증명을 수집하는 두 방법의 차이점을 보여 줍니다.

NTC로 리디렉션하지 않고 HTTP 요청에서 사용자 자격 증명을 가져오도록 에이전트를 구성하려면 다음과 같이 InlineCredentials 구성 매개 변수를 설정합니다.
InlineCredentials
IIS용 에이전트에서 사용자 자격 증명을 처리하는 방식을 지정합니다. 이 매개 변수의 값이 yes인 경우 IIS용 에이전트는 HTTP 요청에서 직접 자격 증명을 읽습니다. 이 매개 변수의 값이 no인 경우 에이전트는 NTC 자격 증명 수집기로 리디렉션합니다.
기본값:
No참고:
운영 환경의 Single Sign-On
에이전트가 NTC 리디렉션을 사용하도록 구성된 경우에는 NT 챌린지/응답 인증을 구성하십시오.IIS 서버 로그에 사용자 이름 및 트랜잭션 ID 기록
웹 에이전트는 사용자 권한 부여 요청이 성공할 때마다 고유한 트랜잭션 ID를 생성합니다. 에이전트는 이 ID를 HTTP 헤더에 추가합니다. 또한 다음 로그에도 ID가 기록됩니다.
- 감사 로그
- 웹 서버 로그(서버가 쿼리 문자열을 기록하도록 구성된 경우)
- 정책 서버 로그
트랜잭션 ID를 사용하면 지정된 응용 프로그램에 대한 사용자 활동을 추적할 수 있습니다.
참고:
자세한 내용은 정책 서버 설명서를 참조하십시오.트랜잭션 ID는 로그에서 기존 쿼리 문자열의 끝에 추가되는 모의 쿼리 매개 변수로 나타납니다. 다음 예제에서는 STATE=MA로 끝나는 쿼리 문자열에 추가된 트랜잭션 ID(굵게 표시됨)를 보여 줍니다.
172.24.12.1, user1, 2/11/00, 15:30:10, W3SVC, MYSERVER, 192.168.100.100, 26844, 47, 101, 400, 123, GET, /realm/index.html, STATE=MA&SMTRANSACTIONID=0c01a8c0-01f0-38a47152-01ad-02714ae1
URL에 쿼리 매개 변수가 없는 경우 에이전트는 웹 서버 로그 항목의 끝에 트랜잭션 ID를 추가합니다. 예를 들면 다음과 같습니다.
172.24.12.1, user1, 2/11/00, 15:30:10, W3SVC, MYSERVER, 192.168.100.100, 26844, 47, 101, 400, 123, GET, /realma/index.html, SMTRANSACTIONID=0c01a8c0-01f0-38a47152-01ad-02714ae1.
참고:
웹 에이전트는 사용자가 리소스에 액세스할 때 사용자 이름 및 액세스 정보를 네이티브 웹 서버 로그 파일에 기록합니다.IIS 서버의 리소스를 보호하는 에이전트는 기본적으로 트랜잭션 ID 및 인증된 사용자 이름을 IIS 서버 로그에 기록하지
않습니다
Single Sign-On
. 이러한 에이전트는 ISAPI 확장(클래식 파이프라인 모드)으로 작동할 수 있으므로 서버에서 이미 트랜잭션을 로그에 기록했습니다. 다음 매개 변수를 사용하여 에이전트가 이 정보를 추가하도록 지정할 수 있습니다.AppendIISServerLog
인증된 사용자 이름 및
Single Sign-On
트랜잭션 ID를 IIS 서버 로그의 cs-uri-query 필드에 추가하도록 에이전트에 지시합니다. 쿼리 문자열을 포함하는 URL의 경우 IIS 서버 로그의 cs-uri-query 필드에서 쿼리 문자열, Single Sign-On
트랜잭션 ID 및 사용자 이름을 쉼표로 구분해야 합니다.기본값:
NoSetRemoteUser
레거시 응용 프로그램에 필요한 경우
REMOTE_USER
HTTP 헤더 변수의 값을 지정합니다.기본값:
No트랜잭션 ID 및 사용자 이름을 IIS 서버 로그에 기록하려면
- AppendIISServerLog 매개 변수의 값을 yes로 설정합니다.
- SetRemoteUser 매개 변수의 값을 yes로 설정합니다.사용자 이름과 트랜잭션 ID가 IIS 서버 로그에 나타납니다.
IIS 인증을 위해 NetBIOS 이름 또는 UPN 사용
IIS 네트워크에서는 요청된 리소스의 위치에 대해 NetBIOS 이름과 도메인 이름이 다를 수 있습니다. 사용자가 보호된 리소스에 액세스를 시도하는 경우 도메인 컨트롤러가 여러 개 있으면 사용자 인증이 실패하고 웹 서버 로그에 "IIS 로그온 실패"라고 표시됩니다. 다음 매개 변수를 사용하여 IIS 웹 서버에 UPN 이름을 전달할지 아니면 NetBIOS 이름을 전달할지를 제어할 수 있습니다.
UseNetBIOSforIISAuth
IIS 6.0 웹 에이전트가 IIS 사용자 인증을 위해 UPN(사용자 프린서펄 이름) 또는 NetBIOS 이름을 IIS 6.0 웹 서버에 보낼지 여부를 지정합니다.
참고:
이 매개 변수는 Active Directory 사용자 저장소가 정책 서버와 연결된 경우에만 유효합니다.이 매개 변수를 설정하면
Single Sign-On
인증 동안 정책 서버가 Active Directory에서 UserDN, UPN 및 NetBIOS 이름을 추출하여 이 데이터를 다시 IIS 6.0 웹 에이전트로 보냅니다.관리 UI에서 사용자 디렉터리에 대해 "인증된 사용자의 보안 컨텍스트에서 실행" 옵션을 선택했는지 여부와 UseNetBIOSforIIAuth 매개 변수를 설정하는 방식에 따라 사용자의 로그온 자격 증명이 다음과 같이 전송됩니다.
- UseNetBIOSforIISAuth 매개 변수를 no로 설정하면 IIS 6.0 웹 에이전트가 UPN 이름을 보냅니다.
- UseNetBIOSforIISAuth 매개 변수를 yes로 설정하면 웹 에이전트가 NetBIOS 이름을 보냅니다.
IIS 웹 서버는 웹 에이전트에서 받은 자격 증명으로 사용자를 인증합니다.
기본값:
No웹 에이전트에서 IIS 인증에 NetBIOS 이름을 사용하게 하려면 UseNetBIOSAuth 매개 변수를 yes로 설정합니다.
NT 챌린지/응답 인증을 지원하도록 IIS용 에이전트 구성
운영 환경의
Single Sign-On
에이전트가 NTC 리디렉션을 사용하도록 구성된 경우에는 NT 챌린지/응답 인증을 구성하십시오.NT 챌린지/응답 인증을 사용하면 IIS 웹 서버는 사용자가 리소스에 대한 액세스를 요청할 때 해당 사용자의 Internet Explorer 브라우저를 요청합니다.
참고:
NT 챌린지/응답 인증은 Internet Explorer 브라우저에서만 동작합니다.다음 방법 중 하나를 사용하여 NT 챌린지/응답 인증을 구현할 수 있습니다.
- 사용자가 보호된 리소스에 액세스할 때 해당 사용자에게 인증을 요청합니다. Single Sign-On 환경의 사용자는 리소스를 처음 요청할 때만 인증 질문을 받습니다.
- 사용자가 Internet Explorer 브라우저의 자동 로그온 기능을 구성하도록 합니다.자동 로그온 기능을 사용하면 인증 요청 없이 사용자가 리소스에 액세스할 수 있습니다. 인증 프로세스가 수행되지만 브라우저와 서버 간 NT 챌린지/응답 프로세스가 사용자에게 보이지 않습니다. 일반적으로 자동 로그온 기능은 보안 수준이 낮은 인트라넷에서 사용자가 리소스에 원활하게 액세스할 수 있도록 하기 위해 사용됩니다. 인터넷 통신에는 자동 로그온 기능을 사용하지 않는 것이 좋습니다.
Single Sign-On
에이전트는 자격 증명 수집기를 사용하여 NT 챌린지/응답 인증 체계에 대한 사용자의 Windows 자격 증명을 수집합니다. 또한 에이전트는 NTLM 자격 증명을 수집하기 위해 NTC 확장을 지원합니다.참고:
이 기본 동작을 변경하려는 경우에만 NTCEXT를 설정하십시오.Single Sign-On
이 NT 챌린지/응답 인증과 함께 작동하게 하려면 다음을 수행하십시오.- 다음 태스크를 수행하여 IIS 웹 서버에 대한 NT 챌린지/응답 인증을 설정합니다.
- 관리 UI를 사용하여 NT 챌린지/응답 인증 정책을 구성합니다.
- (선택 사항) 사용자가 Internet Explorer 브라우저의 자동 로그온 기능을 구성하도록 합니다.IIS에 대한 NT 챌린지/응답 인증이 구성됩니다.
.NTC 파일 확장명 매핑
IIS 웹 서버에서 NT 챌린지/응답 인증을 구성하려면 .NTC 파일 확장명을 ISAPIWebAgent.dll 응용 프로그램에 매핑합니다.
.NTC 파일 확장명을 매핑하려면
- 인터넷 서비스 관리자를 엽니다.
- 왼쪽 창에서 "웹 사이트"를 마우스 오른쪽 단추로 클릭하고 오른쪽 창에서 "기본 웹 사이트"를 마우스 오른쪽 단추로 클릭한 후 "속성"을 선택합니다."기본 웹 사이트 속성" 대화 상자가 나타납니다.
- "홈 디렉터리" 탭을 클릭합니다.
- "응용 프로그램 설정" 섹션에서 "구성"을 클릭합니다."응용 프로그램 구성" 대화 상자가 나타납니다.
- "추가"를 클릭합니다."응용 프로그램 확장명 매핑 추가/편집" 대화 상자가 열립니다.
- "실행 파일" 필드에서 "찾아보기"를 클릭하고web_agent_home/bin/ISAPIWebAgent.dll 파일을 찾습니다.
- "Open"(열기)을 클릭합니다.
- "확장명" 필드에 ".ntc"를 입력합니다.
- "확인"을 세 번 클릭합니다."응용 프로그램 확장명 매핑 추가/편집" 대화 상자, "응용 프로그램 구성" 대화 상자, "기본 웹 사이트 속성" 대화 상자가 차례대로 닫힙니다. .ntc 파일 확장명이 매핑됩니다.
Windows 인증 체계를 위한 가상 디렉터리 만들기 및 구성(IIS 7.5)
Single Sign-On
Windows 인증 체계를 사용하려면 IIS 7.x 웹 서버에 가상 디렉터리를 구성하십시오. 이 가상 디렉터리에는 자격 증명을 위한 Windows 챌린지 및 응답이 필요합니다.다음 단계를 수행하십시오.
- IIS(인터넷 정보 서비스) 관리자를 엽니다.
- 왼쪽 창에서 다음 항목을 확장합니다.
- 웹 서버 아이콘
- 사이트 폴더
- 기본 웹 사이트 아이콘
- siteminderagent 가상 디렉터리를 마우스 오른쪽 단추로 클릭하고 "가상 디렉터리 추가"를 선택합니다."가상 디렉터리 추가" 대화 상자가 나타납니다.
- "별칭" 필드에 다음 값을 입력합니다.ntlm
- "실제 경로" 필드 옆에 있는 "찾아보기" 단추를 클릭한 후 다음 디렉터리를 찾습니다.web_agent_home\samples가상 디렉터리가 생성됩니다.
- 다음 단계 중하나를 수행하여 가상 디렉터리를 구성합니다.
- Single Sign-OnWindows 인증 체계를 사용하여 전체 웹 사이트의 모든 리소스를 보호하려면 "기본 웹 사이트" 아이콘을 클릭합니다.
- Windows 인증 체계를 사용하여 전체 웹 사이트를 보호하지않으려면Single Sign-On4 단계에서 생성한 ntlm 가상 디렉터리를 클릭합니다.
- "인증" 아이콘을 두 번 클릭합니다."인증" 대화 상자가 나타납니다.
- 다음 단계를 수행하십시오.
- "익명 인증"을 마우스 오른쪽 단추로 클릭하고 "사용 안 함"을 선택합니다.
- "Windows 인증"을 마우스 오른쪽 단추로 클릭하고 "사용"을 선택합니다.Windows 인증 체계를 위한 가상 디렉터리가 구성됩니다.
참고이러한 변경 내용을 적용하려면 웹 서버를 재부팅하십시오.
챌린지/응답 인증을 위해 Windows 인증 체계 구성
NT 챌린지/응답 인증을 구현하려면 Windows 인증 체계를 구성하는 정책 관리자에게 다음 값을 제공해야 합니다.
- 서버 이름다음과 같은 IIS 웹 서버의 정규화된 도메인 이름입니다.server1.myorg.com
- 대상/siteminderagent/ntlm/smntlm.ntc참고:디렉터리는 설치 환경에서 이미 구성된 가상 디렉터리와 일치해야 합니다. 대상 파일인 smntlm.ntc는 없어도 되며 .ntc로 끝나는 모든 이름이나 기본값 대신 사용하는 사용자 지정 MIME 유형일 수 있습니다.
- 라이브러리smauthntlm
NTC(NTLM Credential Collector) 지정
NTC(NTLM credential collector)는 웹 에이전트 내의 응용 프로그램입니다. NTC는 Windows 인증 체계로 보호하는 리소스에 대한 NT 자격 증명을 수집합니다. 이 체계는 IIS 웹 서버에서 Internet Explorer 브라우저로 액세스하는 리소스에 적용됩니다.
각 자격 증명 수집기에는 MIME 유형이 연결됩니다. IIS의 경우 다음 매개 변수에 NTC MIME 유형이 정의됩니다.
NTCExt
NTC(NTLM credential collector)와 연결되는 MIME 유형을 지정합니다. 이 수집기는 Windows 인증 체계에서 보호하는 리소스에 대한 NT 자격 증명을 수집합니다. 이 인증 체계는 Internet Explorer 브라우저 사용자만 액세스하는 IIS 웹 서버의 리소스에 적용됩니다.
이 매개 변수에 여러 개의 확장명을 사용할 수 있습니다. 에이전트 구성 개체를 사용하는 경우 다중값 옵션을 선택하십시오. 로컬 구성 파일을 사용하는 경우 각 확장명을 쉼표로 구분하십시오.
기본값:
.ntcNTCExt 매개 변수에 지정되는 기본 확장명이 환경에 이미 사용되는 경우 다른 MIME 유형을 지정할 수 있습니다.
자격 증명 수집기를 트리거하는 확장명을 변경하려면 NTCExt 매개 변수에 다른 파일 확장명을 추가합니다.
Internet Explorer의 자동 로그온 구성
Internet Explorer 브라우저 사용자가 자동 로그온 브라우저 보안 설정을 구성하면 에이전트에서 자격 증명을 요청하지
않고
사용자를 인증할 수 있습니다.다음 단계를 수행하십시오.
- Internet Explorer 브라우저를 시작합니다.
- "인터넷 옵션" 대화 상자를 엽니다. 사용 중인 브라우저 버전에서 이 대화 상자를 여는 방법을 보려면 Internet Explorer 온라인 도움말을 참조하십시오.
- "보안" 탭을 클릭합니다.
- 올바른 보안 영역을 클릭합니다.
- "사용자 지정 수준"을 클릭합니다.
- 아래로 스크롤하여 "사용자 인증" 섹션을 찾습니다. "로그온" 옵션에서 "현재 사용자 이름 및 암호를 사용하여 자동으로 로그온" 옵션을 클릭합니다.
- 변경 내용을 적용합니다."보안 설정" 대화 상자와 "인터넷 옵션" 대화 상자를 닫습니다. 설정이 저장되고 자동 로그인이 구성됩니다.
ICAS를 구현하는 방법
Single Sign-On
은 Windows CardSpace를 구현하는 ICAS(정보 카드 인증 체계)를 지원합니다. 보호된 리소스에 대한 액세스를 요청하는 사용자는 인증 카드를 선택할 수 있습니다. Single Sign-On
은 이 카드에 포함된 정보를 사용하여 사용자의 아이덴티티를 확인합니다.ICAS를 구현하려면 다음과 같은
Single Sign-On
구성 요소에서 구성 변경 작업이 필요합니다.- Single Sign-On웹 에이전트를 호스트하는 서버
- Single Sign-On정책 서버
- smkey 데이터베이스
다음 단계를 수행하십시오.
- 웹 서버에서 다음 태스크를 수행합니다.
- IIS 웹 서버에서 SSL 통신이 사용되도록 설정합니다.참고:자세한 내용은 Microsoft 설명서 또는 http://support.microsoft.com/ 웹 사이트를 참조하십시오.
- 웹 서버 인증서를 .pfx 파일로 내보냅니다.
- Single Sign-OnInfoCard.fcc 템플릿을 사용자 지정합니다.
- 정책 서버에서 다음 태스크를 수행합니다.
- 정책 서버에 JCE를 설치합니다.
- 정책 서버의 java.security 파일을 업데이트합니다.
- 정책 서버의 config.properties 파일을 업데이트합니다.
- smkey 데이터베이스가 없으면 정책 서버 구성 마법사를 사용하여 새로 생성합니다.
- 웹 서버의 .pfx 파일 인증서를 smkey 데이터베이스에 추가합니다.
- 정책 서버에서 사용자 디렉터리를 구성합니다.
- 관리 UI를 사용하여 CardSpace를 위한 사용자 지정 인증 체계를 생성합니다.
- (선택 사항) 응답에 사용할 클레임을 세션 저장소에 저장합니다.
- (선택 사항) 세션 저장소에서 클레임 값 검색을 허용하여 개인 설정을 사용할 수 있도록 지정합니다.
- (선택 사항) 저장된 클레임 값을 검색하기 위해 활성 응답을 구성합니다.
ICAS를 위해 FCC 템플릿 구성
Single Sign-On
웹 에이전트에는 Single Sign-On
에서 ICAS를 구현하는 데 사용할 수 있는 FCC(양식 자격 증명 수집기) 템플릿이 포함되어 있습니다.다음 단계를 수행하십시오.
- 텍스트 편집기에서 다음과 같은 기본 FCC 파일을 엽니다.web_agent_home\samples_default\forms\InfoCard.fcc
- 이 파일의복사본을 다음 디렉터리에 저장합니다. 복사본을 생성하면 나중에 필요할 경우를 대비해 기본 FCC 설정을 보존할 수 있습니다.web_agent_home\samples\forms\
- FCC 파일 복사본에서 다음 정보를 기록합니다.중요!정책 서버를 구성할 때 이 정보가 필요합니다.
- 웹 에이전트를 호스트하는 IIS 웹 서버의 정규화된 도메인 이름
- 2 단계에서 저장한 FCC 파일의 이름
- 2 단계에서 저장한 FCC 파일에서 requiredClaims 매개 변수 태그의 값(따옴표제외). 다음 예를 참조하십시오.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
- (선택 사항) 허용 목록 처리가 완료된 경우 LOA(보증 수준) requiredClaims 매개 변수 태그의 값. 다음 예를 참조하십시오.< param name="requiredClaims" value=" http://idmanagement.gov/icam/2009/09/imi_1.0_profile#assurancelevel1 "/>다음은 여러 LOA의 URI입니다.http://idmanagement.gov/icam/2009/09/imi_1.0_profile#assurancelevel1 http://idmanagement.gov/icam/2009/09/imi_1.0_profile#assurancelevel2 http://idmanagement.gov/icam/2009/09/imi_1.0_profile#assurancelevel3
- (선택 사항) 텍스트 편집기를 사용하여 FCC 파일 복사본을 다음과 같이 변경합니다.
- 사용자 지정 로고를 사용하려면 netegrity_logo.gif 파일을 원하는 그래픽으로 바꾸고 FCC 파일에서 다음 링크를 이에 맞게 업데이트합니다.<img alt="Logo" src="/siteminderagent/dmspages/netegrity_logo.gif">
IIS용
Single Sign-On
에이전트를 사용하는 경우 IIS 7.x 모듈 실행 순서 제어IIS 웹 서버에 IIS용
Single Sign-On
에이전트를 설치하고 구성하는 경우 IIS용 에이전트가 다른 모듈보다 먼저 실행됩니다. IIS 환경에서 다른 모듈을 먼저 실행해야 할 경우에는 Windows 레지스트리의 다음 위치에 설정된 번호를 변경하면 됩니다.32-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder Web Agent\Microsoft IIS\RequestPriority64-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder Web Agent\Microsoft IIS\RequestPriority
예를 들어 IIS 7.x 웹 서버의 다른 모듈(예: UrlScan)과 IIS용
Single Sign-On
에이전트에 지정된 실행 우선 순위가 같다고 가정해 봅니다. 이 설정을 사용하면 Single Sign-On
모듈이 실행되는 시기를 제어할 수 있습니다.다음 단계를 수행하십시오.
- IIS 웹 서버에서 Windows 레지스트리 편집기를 엽니다.
- 다음 키를 확장합니다.32-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder Web Agent\Microsoft IIS64-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder Web Agent\Microsoft IIS
- 다음 값을 찾습니다.RequestPriority
- RequestPriority 값을 다음 중 원하는 값에 해당하는 번호로 변경합니다.
- PRIORITY_ALIAS_FIRSTExecutes the CA Single Sign-On Agent for IIS before any other modules on your IIS web서버를 다시 시작합니다. 이 설정이 기본값입니다.예:0(처음)기본값:0
- PRIORITY_ALIAS_HIGH맨 처음 실행하도록 설정된 모듈과 우선 순위가 낮거나 중간 또는 마지막에 실행하도록 설정된 모듈 사이에 IIS용 CA Single Sign-On 에이전트 모듈을 실행합니다.예: 1(높음)
- PRIORITY_ALIAS_MEDIUM우선 순위가 높거나 맨 처음 실행하도록 설정된 모듈과 우선 순위가 낮거나 마지막에 실행하도록 설정된 모듈 사이에 IIS용 CA Single Sign-On 에이전트 모듈을 실행합니다.예:2(중간)
- PRIORITY_ALIAS_LOW우선 순위가 높거나 중간 또는 맨 처음 실행하도록 설정된 모듈과 마지막에 실행하도록 설정된 모듈 사이에 IIS용 CA Single Sign-On 에이전트 모듈을 실행합니다.예:3(낮음)
- PRIORITY_ALIAS_LAST다른 모듈을 모두 실행한 후에 IIS용 CA Single Sign-On 에이전트 모듈을 실행합니다.예:4(마지막)
- 변경 내용을 저장하고 레지스트리 편집기를 닫습니다.
- 설정을 테스트하고 원하는 모듈이 IIS용 에이전트 모듈보다 먼저 실행되는지 확인합니다.
IIS 프록시 사용자 계정 사용(IIS만 해당)
Single Sign-On
으로 보호되는 IIS 웹 서버의 리소스에 대한 IIS 권한이 없는 사용자가 해당 리소스에 액세스하려는 경우 웹 에이전트가 액세스를 거부할 수 있습니다. 예를 들어 UNIX 시스템의 LDAP 사용자 디렉터리에 저장된 사용자는 IIS 웹 서버를 사용하여 Windows 시스템에 액세스하지 못할 수 있습니다.IIS 웹 서버에는
Single Sign-On
에서 액세스 권한이 부여된 사용자에 대한 권한을 가진 기본 프록시 계정이 있습니다. 웹 에이전트는 사용자에게 유효한 Windows 보안 컨텍스트가 있는 경우에도 DefaultUserName 및 DefaultPassword 매개 변수 값을 자격 증명으로 사용합니다.다음 단계를 수행하십시오.
- ForceIISProxyUser 매개 변수의 값을 다음 중하나로 설정합니다.
- 사용자의 자격 증명을 기반으로 하여 IIS 서버의 응용 프로그램에 액세스하는 경우 ForceIISProxyUser 매개 변수의 값을 yes로 설정합니다.
- 사용자 역할을 대신하는 특정 계정(예: 프록시)을 기반으로 하여 IIS 서버의 응용 프로그램에 액세스하는 경우 ForceIISProxyUser 매개 변수의 값을 no로 설정합니다.
기본값:No - 다음과 같은 Windows 기능 중 하나를 사용하지않는경우 3 단계를 계속합니다.
- Windows 인증 체계
- Windows 사용자 보안 컨텍스트
- DefaultUserName 매개 변수에 프록시 사용자 계정의 사용자 이름을 입력합니다. 도메인 계정을 사용하는 경우 로컬 컴퓨터가 해당 도메인의 일부가 아니면 다음과 같은 구문을 사용하십시오.DefaultUserName=Windows_domain\acct_with_admin_privilege그렇지 않은 경우에는 사용자 이름만 지정합니다.
- DefaultPassword 매개 변수에 기존 Windows 사용자 계정과 연결된 암호를 입력합니다.중요!에이전트 구성 개체에 이 매개 변수를 설정하면 값을 암호화할 수 있으므로 안전합니다. 이 매개 변수를 로컬 구성 파일에 설정하면 매개 변수 값이 암호화되지 않은 일반 텍스트로 저장됩니다.IIS 프록시 계정이 구성됩니다.
익명 사용자 액세스 사용
사용자가 프록시 사용자로 액세스하지 않게 하려면 다음 매개 변수를 설정합니다.
UseAnonAccess
프록시 사용자의 자격 증명을 사용하지 않고 웹 응용 프로그램을 익명 사용자로 실행하도록 IIS 웹 에이전트에 지시합니다.
기본값:
No 참고:
이 매개 변수는 IIS 웹 에이전트에만 적용됩니다.익명 사용자 액세스가 사용되도록 설정하려면 UseAnonAccess 매개 변수를 yes로 설정하십시오.
IIS용 에이전트에서 Windows 보안 컨텍스트 사용 안 함
Single Sign-On
정책 서버는 사용자 세션에서 Windows 보안 컨텍스트를 가져옵니다. 대부분의 경우 모든 에이전트에서 세션 정보를 사용할 수 있으므로 이 환경은 Single Sign-On에 적합합니다.다음 예제에서는 Single Sign-On에 서로 다른 설정이 필요한 경우를 보여 줍니다.
- 한Single Sign-On에이전트는 Windows 보안 컨텍스트를 사용합니다.
- 다른Single Sign-On에이전트는 Windows 보안 컨텍스트를 사용하지 않습니다.
이러한 상황을 그림으로 나타내면 다음과 같습니다.

Windows 보안 컨텍스트를 사용하는 Windows 도메인과 Windows 보안 컨텍스트를 사용하지 않는 Windows 작업 그룹 간에 SSO를 허용하려면 다음 매개 변수를 설정하십시오.
DisableWindowsSecurityContext
에이전트에서 Windows 보안 컨텍스트가 사용되지 않도록 설정합니다. 이 매개 변수의 값이 yes인 경우 에이전트는 사용자의 Windows 보안 컨텍스트를 무시합니다. 이 매개 변수의 값이 false 또는 no인 경우 에이전트는 사용자 세션에 포함된 Windows 보안 컨텍스트를 사용합니다. 이 매개 변수는 보안 컨텍스트를 사용하는 Windows 환경과 사용하지 않는 환경 간의 Single Sign-On을 허용합니다.
기본값:
False제한
: Yes, No쿠키를 포함하는 서버 응답의 캐싱 방지
IIS 웹 서버는 출력 캐싱을 사용하여 응답을 저장합니다. 에이전트에 대한 응답은 쿠키를 포함합니다. IIS 웹 서버가 출력 캐시로부터 인증 응답을 보내는 경우, 다른 사용자가 캐싱된 응답에서 인증 쿠키를 받을 수 있습니다.
예를 들어, 사용자 1이 성공적으로 인증하고 IIS 서버가 이 응답을 쿠키에 캐싱합니다. 이때 사용자 2가 사용자 1과 동일한 리소스에 액세스하는 경우 IIS 웹 서버는 사용자 1에 대한 응답을 사용자 2에게 반환할 수 있습니다.
기본적으로 쿠키를 포함하는 항목에 대한 IIS 출력 캐시는 비활성화되어 있습니다. 이전 제품 버전과의 호환성을 위해 이러한 속성을 되돌리려면 다음 매개 변수의 값을 no로 변경하십시오.
IISCacheDisable
IIS 웹 서버가 쿠키를 포함하는 응답을 출력 캐시에 저장하는지 여부를 지정합니다. IIS 웹 서버는
Single Sign-On
처리가 수행되기 전에 캐시된 응답을 전달합니다. 출력 캐시를 비활성화하면 IIS가 각 트랜잭션을 인증 및 권한 부여하도록 만듭니다. 이 매개 변수의 값을 yes로 설정하면 의도하지 않은 사용자에게 실수로 인증 또는 권한 부여 응답이 전달되는 것을 방지할 수 있습니다.기본값
: Yes (캐시 비활성화됨)IIS용 에이전트에서 쿠키를 설정해야 하는 경우 확인
IIS용
Single Sign-On
에이전트는 IIS 7.x 웹 서버가 제공하는 ARR(응용 프로그램 요청 라우팅) 기능을 지원합니다. ARR은 Microsoft IIS 웹 서버에서 작동하며 다른 웹 서버 공급업체에서 제공하는 리버스 프록시 서버 기능과 비슷합니다.모든
Single Sign-On
에이전트는 쿠키를 처리합니다. 다음과 같은 조건에서는 쿠키 처리가 수행되는 시기를 제어해야 합니다.- ARR이 사용됩니다.
- FCCCompatMode 에이전트 구성 매개 변수의 값이 yes입니다.
- Single Sign-OnSDK로 개발된 사용자 지정 에이전트를 사용하고 있습니다.
에이전트가 쿠키를 처리하는 시기를 제어하면
Single Sign-On
보호 수준이 적용되어 보안이 유지됩니다.일부
Single Sign-On
에이전트 배포 환경에서는 트랜잭션의 특정 시점에 Single Sign-On
쿠키를 처리해야 합니다. 모든 Single Sign-On
에이전트는 쿠키를 사용하고 처리합니다. 어떤 경우에는 트랜잭션에서 초기에 쿠키를 처리해야 합니다. 또는 쿠키를 나중에 처리해야 할 수도 있습니다. 적절한 시점에 쿠키를 처리하면 Single Sign-On
이 리소스를 적절하게 보호할 수 있습니다.중요!
잘못된 시간에 쿠키를 처리하면 보호 수준에 영향을 줍니다. ARR 기능이 추가 처리를 수행하려면 Single Sign-On
에이전트가 쿠키를 처리하는 상대 시간을 변경해야 합니다.다음 단계를 수행하십시오.
- 관리 UI에서 원하는 에이전트 구성 개체를 엽니다.
- 다음 매개 변수를 찾습니다.
- EarlyCookieCommit쿠키를 처리 과정의 초기 시점에 설정할지 또는 나중에 설정할지 지정합니다. 다음과 같은 조건이 있을 경우 이 매개 변수 값을 yes로 설정합니다.
- IIS 웹 서버가 ARR(응용 프로그램 요청 라우팅)을 사용합니다.
- FCCCompatMode 매개 변수의 값이 yes입니다.
- Single Sign-OnSDK로 개발된 사용자 지정 에이전트를 사용하고 있습니다.
이 값이 yes일 경우 웹 에이전트가 OnAuthenticateRequest 또는 OnPostAuthenticateRequest 알림 메서드를 사용하여 요청을 처리한 후 초기에 쿠키를 커밋합니다.빠른 쿠키 처리가 필요한 사용자 지정 응용 프로그램에 대해 초기Single Sign-On에이전트의 동작을 유지하려면 이 매개 변수 값을 yes로 설정합니다.이 값이 no일 경우 쿠키는 OnSendResponse 요청 알림 메서드에서 파이프라인이 끝날 때 나중에 응답으로 커밋됩니다.제한: IIS 7.x용 에이전트에만 적용됩니다. 이 설정은 통합 파이프라인 모드를 사용하는 웹 응용 프로그램만 지원합니다.기본값: No. 쿠키가 OnSendResponse 요청 알림 메서드에서 나중에 설정됩니다.
- 값 필드를 클릭하고 이전 매개 변수의 값을 yes로 변경합니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다.확인 메시지가 표시됩니다.