SP 파트너 구성

목차
casso12kr
목차
2
다음 구성 프로세스는 SP(이 예에서는 SP1)의 관리자 관점에서 작성된 것입니다. 따라서 SP1은 로컬 SP입니다.
다음은 SP 파트너를 설정하는 프로세스입니다.
  1. 관리 UI에 로그인합니다.
  2. 사용자 디렉터리 연결을 설정합니다.
  3. IdP 및 SP 엔터티를 식별합니다.
  4. SAML2 SP->IdP 파트너 관계를 생성합니다.
  5. 파트너 관계 마법사를 따라 최소한의 필수 설정을 구성합니다.
SP에서 사용자 디렉터리 연결 설정
SP 사용자 디렉터리는 서비스 공급자가 인증에 사용하는 사용자 레코드로 구성됩니다. 다음 단계에서는 관리 UI에서 사용자 디렉터리를 구성하는 방법을 지정합니다. 이름이 SP LDAP인 디렉터리에 사용자 user1 및 user2가 포함되어 있습니다.
사용자 디렉터리를 구성하려면
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리", "사용자 디렉터리"를 차례로 선택합니다.
  3. "사용자 디렉터리 만들기"를 클릭합니다.
    "사용자 디렉터리" 대화 상자가 열립니다.
  4. 다음 필드를 완료합니다.
    • 이름
      SP LDAP
  5. "디렉터리 설정" 섹션의 다음 필드에 데이터를 입력합니다.
    • 네임스페이스
      LDAP
    • 연결
      www.sp.demo:32941
  6. "LDAP 검색" 섹션의 다음 필드에 데이터를 입력합니다.
    • 루트
      dc=sp,dc=demo
      다른 값의 경우 기본값을 적용합니다.
  7. "LDAP 사용자 DN 조회" 섹션의 다음 필드에 데이터를 입력합니다.
    • 시작
      uid=
    • ,ou=People,dc=sp,dc=demo
  8. "콘텐츠 보기"를 클릭하여 디렉터리 콘텐츠를 볼 수 있는지 확인합니다.
  9. 제출을 클릭합니다.
파트너 관계 엔터티 식별
사용자 디렉터리 연결을 설정한 후에는 파트너 관계의 로컬 및 원격 측을 식별하십시오. 관리 UI에서는 각 파트너를 엔터티라고 합니다.
다음 절차에서는 로컬 및 원격 엔터티에 제공할 값을 보여 줍니다. 일반적으로 각 측에서 로컬 엔터티를 생성하고, 로컬 엔터티를 메타데이터 파일로 내보낸 다음 파일을 교환합니다. 그러면 각 측에서 원격 엔터티를 정의할 수 있습니다.
로컬 SP를 생성하려면
  1. "페더레이션", "파트너 관계 페더레이션", "엔터티"를 선택합니다.
  2. "엔터티 만들기"를 클릭합니다.
  3. 엔터티 마법사의 첫 번째 단계에서 다음 사항을 선택하고 "다음"을 클릭합니다.
    • 엔터티 위치
      로컬
    • 새 엔터티 유형
      SAML2 SP
  4. 두 번째 단계에서 필드에 다음과 같이 데이터를 입력하고 "다음"을 클릭합니다.
    • 엔터티 ID
      sp1
      이 값으로 파트너는 엔터티를 식별합니다.
    • 엔터티 이름
      sp1
      이 값은 데이터베이스에서 내부적으로 엔터티 개체를 식별합니다. 파트너는 이 값을 인식하지 않습니다.
    • 기준 URL
      http://sp1.demo.com:9091
    참고:
    엔터티 ID와 이름은 아이덴티티 공급자에서 원격 SP 엔터티에 대해 지정한 것과 동일해야 합니다.
  5. 설정을 검토하고 "마침"을 클릭합니다.
"엔터티" 창으로 돌아옵니다. 이제 원격 파트너를 구성합니다.
원격 IdP를 생성하려면
  1. "엔터티" 창에서 시작합니다.
  2. "엔터티 만들기"를 클릭합니다.
  3. 엔터티 마법사의 첫 번째 단계에서 다음 사항을 선택하고 "다음"을 클릭합니다.
    • 엔터티 위치
      원격
    • 새 엔터티 유형
      SAML2 IDP
  4. 마법사의 두 번째 단계에서 필드에 다음과 같이 데이터를 입력합니다.
    • 엔터티 ID
      idp1
      이 값으로 파트너는 엔터티를 식별합니다.
    • 엔터티 이름
      idp1
      이 값은 데이터베이스에서 내부적으로 엔터티 개체를 식별합니다. 파트너는 이 값을 인식하지 않습니다.
    참고:
    엔터티 ID와 이름은 아이덴티티 공급자 측과 동일해야 합니다.
    SSO 서비스 URL 그룹 섹션
    • 바인딩
      HTTP-리디렉션
    • URL
      http://idp1.example.com:9090/affwebservices/public/saml2sso
  5. 설정을 검토하고 "마침"을 클릭합니다.
로컬 엔터티 및 원격 엔터티가 구성된 후에는 파트너 관계를 생성할 수 있습니다.
SP-IdP 파트너 관계 생성
파트너 관계 엔터티를 생성한 후에는 파트너 관계 마법사에 따라 SP-> IdP 파트너 관계를 구성하십시오.
다음 단계를 수행하십시오.
  1. "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 선택합니다.
  2. "파트너 관계 만들기"를 클릭합니다.
  3. "SAML2 SP->IdP"를 선택합니다.
    파트너 관계 마법사의 첫 번째 단계가 나타납니다.
  4. 필드에 다음 값을 입력합니다.
    • 파트너 관계 이름
      DemoPartnership
    • 로컬 SP ID
      sp1
    • 원격 IDP ID
      idp1
    • 차이 시간(초)
      기본값을 적용합니다.
  5. SP LDAP 디렉터리를 "사용 가능한 디렉터리"에서 "선택한 디렉터리"로 이동합니다.
  6. "다음"을 클릭하여 "사용자 ID" 단계로 이동합니다.
사용자 ID 특성 지정
어설션에서 사용자를 식별하는 특성을 지정하십시오.
Single Sign-On
에서는 아이덴티티 특성 값을 사용하여 SP의 사용자 디렉터리에서 사용자 레코드를 찾습니다.
사용자 ID 특성을 지정하려면
  1. "사용자 ID" 단계로 이동합니다.
  2. "어설션에서 아이덴티티 특성 선택" 섹션에서 기본값인 "이름 ID 사용"을 적용합니다.
  3. "사용자 디렉터리에 대한 맵 아이덴티티 특성" 섹션에서 다음 항목을 지정합니다.
    • LDAP 검색 사양
    uid=%s
    이 항목은
    Single Sign-On
    에 변수(%s)를 어설션의 이름 ID 특성 값으로 바꾸도록 지시합니다. 그러면
    Single Sign-On
    은 값을 샘플 사용자 데이터베이스의 "이름" 열과 비교합니다. 일치하는 항목이 발견되면 사용자의 명확성이 확인되어 대상 리소스에 대한 액세스가 허용됩니다.
  4. "페더레이션된 사용자" 섹션에서 기본값을 적용합니다. 사용자 디렉터리의 모든 사용자는 페더레이션된 사용자로 간주됩니다.
  5. "다음"을 클릭하여 싱글 사인온을 구성합니다.
SP에서 싱글 사인온 구성
파트너 간에 싱글 사인온을 설정하려면 SSO 설정을 구성하십시오.
다음 단계를 수행하십시오.
  1. SSO 및 SLO 단계에서 시작합니다.
  2. SSO 프로필에 대해 "HTTP-POST"를 선택합니다.
  3. "원격 SSO 서비스 URL" 섹션에서 다음 값을 지정합니다.
    • 바인딩
      HTTP-리디렉션
    • URL
      http://idp1.example.com:9090/affwebservices/public/saml2sso
  4. "서명 및 암호화" 단계에 도달할 때까지 "다음"을 클릭합니다.
    "AuthnContext 구성" 단계는 건너뜁니다.
서명 처리 사용 안 함
casso12kr
 
 
이 간단한 파트너 관계에서는 서명 처리가 사용되지 않도록 지정하십시오. 하지만 프로덕션 환경에서는 아이덴티티 공급자가 어설션에 서명해야 합니다.
다음 단계를 수행하십시오.
  1. "서명 및 암호화" 단계에서 "서명 처리 사용 안 함"을 선택합니다.
  2. "다음"을 클릭하여 다음 단계로 이동합니다.
SP에서 대상 지정
casso12kr
 
 
"응용 프로그램 통합" 단계에서는 대상 리소스를 지정하고
Single Sign-On
이 사용자를 대상 리소스로 리디렉션하는 방법을 지정합니다.
다음 단계를 수행하십시오.
  1. "리디렉션 모드" 필드에서 "데이터 없음"을 선택합니다.
  2. "대상" 필드의 SP에서 대상 리소스를 지정합니다.
    이 샘플 파트너 관계에서 이 대상은 다음과 같습니다.
    http://spapp.demo.com:80/spsample/welcome.html
  3. 대화 상자의 나머지 섹션은 무시합니다.
  4. "다음"을 클릭하여 "확인" 단계로 이동합니다.
SP 파트너 설정 확인
페더레이션 파트너 관계의 로컬 SP 측에 대한 파트너 관계를 완료했습니다.
다음 단계를 수행하십시오.
  1. "확인" 대화 상자에서 SP 파트너에 대한 설정을 검토합니다.
  2. 설정을 수정하려면 해당 섹션에서 "수정"을 클릭합니다.
  3. 원하는 대로 구성되었으면 "마침"을 클릭합니다.
파트너 관계의 SP 측이 구성되었습니다.