SAML 2.0 특성 쿼리 지원
목차
casso12kr
목차
2
Single Sign-On
IdP는 SAML 2.0 어설션 쿼리/요청 프로필을 지원하며 특성 쿼리에 응답할 수 있습니다. 또한 IdP는 어설션이나 메타데이터에 없는 특성에 대한 쿼리를 수락하여 프로필 기능을 확장합니다. IdP는 특성 쿼리를 받으면 먼저 사용자 디렉터리에서 특성을 찾습니다. 해당 특성이 없을 경우 정책 서버가 세션 저장소를 확인합니다. 세션 저장소는 외부 아이덴티티 공급자의 특성, 고급 인증 체계에서 수집된 특성 및 다른 원본의 특성을 포함할 수 있습니다.IdP에는 SP가 메타데이터에서 요청할 수 있는 모든 사용자 특성이 있습니다. SP는 다음과 같은 두 가지 방법으로 이러한 특성을 획득할 수 있습니다.
- 어설션에 전송된 특성 집합을 추출합니다.아이덴티티 공급자 어설션 구성은 포함되는 특성 집합을 결정합니다. 모든 특성의 하위 집합을 정의하는 경우 가장 필요한 특성만 포함하도록 특성의 수를 제한하여 처리 오버헤드를 줄일 수 있습니다.
- IdP 메타데이터를 가져옵니다.
메타데이터의 특성에 추가하여, SP는 어설션 또는 메타데이터에 없는 특성을 요구할 수 있습니다. 다른 특성을 가져오려면 SP에서 IdP에 특성 쿼리를 보내야 합니다.
쿼리 요청 프로필은 다음 두 개 엔터티를 갖습니다.
- SAML 특성 기관
- SAML 특성 요청자
Single Sign-On
IdP는 특성 기관으로만 기능할 수 있습니다. Single Sign-On
SP는 특성 요청자가 될 수 없습니다.Single Sign-On
이 파트너 관계의 양쪽에 모두 있는 경우 어설션 쿼리/응답 프로필을 사용할 수 없습니다.특성 쿼리 지원을 위한 파트너 관계 구성
IdP가 특성 쿼리에 응답하려면 IdP-SP 파트너 관계가 있어야 합니다. 파트너 관계를 만들거나 기존 파트너 관계를 수정할 수 있습니다.
파트너 관계를 만들기 위한 단계는 다음을 포함합니다.
- SAML 2.0 IdP 및 SP 엔터티를 만듭니다.
- 파트너 관계에 대한 사용자 디렉터리로의 연결을 구성합니다.
- SAML 2.0 IdP-SP 파트너 관계를 만듭니다.
- SAML 2.0 특성 기관을 구성합니다.
이러한 단계는 이 페이지 내에서 자세히 설명됩니다.
SAML 2.0 특성 기관 구성
IdP가 특성 기관으로 사용되도록 구성할 수 있습니다.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 선택합니다.
- 수정할 IdP-SP 파트너 관계를 선택하거나 새 파트너 관계를 생성합니다.
- 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
- 대화 상자의 "특성 서비스" 섹션에서 "사용"을 선택합니다.
- "유효 기간"에 시간(초)을 입력합니다.
- (선택 사항) 특성 쿼리에 서명이 필요한지 여부와 특성 어설션 및 응답에 대한 서명 요구 사항을 지정합니다.
- "사용자 조회" 섹션에서 적절한 사용자 디렉터리 네임스페이스에 대한 검색 사양을 입력합니다. 특성 기관은 이 검색 사양을 사용하여 사용자를 명확히 구분합니다.LDAP 사용자 디렉터리의 예는 uid=%s입니다. 하나 이상의 검색 사양이 필요합니다.
- (선택 사항) "백 채널" 섹션에서 "보호 유형"으로 "파트너 관계"를 지정합니다. 그런 다음 인증 방법을 선택합니다. 백 채널에 대한 자세한 내용을 보려면 "도움말"을 클릭하십시오.
- 파트너 관계를 저장한 후 활성화합니다.
이제 아이덴티티 공급자를 특성 기관으로 사용할 수 있습니다. 이 기관은 이제 타사 SP의 특성 쿼리에 응답합니다.