SAML 1.x 인증 체계
목차
casso12kr
목차
2
소비자는 SAML 1.x 어설션을 사용하여 사용자를 인증하는 사이트입니다.
참고:
사이트는 SAML 생산자와 SAML 소비자일 수 있습니다.레거시 페더레이션 기능이 있는 모든
Single Sign-On
사이트에서 SAML 1.x 어설션을 소비할 수 있고 이러한 어설션을 사용하여 사용자를 인증할 수 있습니다. 어설션이 소비되는 경우 사이트에서 어설션의 정보를 사용자 디렉터리와 비교할 수 있어야 인증 프로세스가 완료됩니다.Single Sign-On
에서는 다음 SAML 1.x 인증 방법을 제공합니다.- SAML 아티팩트 프로필
- SAML POST 프로필
SAML 기반 인증 체계를 통해 소비자 사이트에서 사용자를 인증할 수 있습니다. SAML 어설션을 소비하고
Single Sign-On
세션을 설정하면 도메인 간 싱글 사인온이 사용되도록 설정됩니다. 사용자가 식별된 후 소비자 사이트에서 사용자에게 특정 리소스에 대한 권한을 부여할 수 있습니다.다음 그림에서는 소비자 사이트의 주요 인증 구성 요소를 보여 줍니다.
참고:
CA Access Gateway
가 페더레이션 웹 서비스 응용 프로그램 기능을 제공하기 위해 웹 에이전트 및 웹 에이전트 옵션 팩을 대체할 수 있습니다.SAML 1.x 인증 체계는 소비자 측 정책 서버에서 구성됩니다. SAML 자격 증명 수집기는 페더레이션 웹 서비스 응용 프로그램의 구성 요소입니다. 자격 증명 수집기는 소비자 측 웹 에이전트나
CA Access Gateway
에 설치됩니다. 자격 증명 수집기는 정책 서버의 SAML 인증 체계에서 정보를 얻은 다음 해당 정보를 사용하여 SAML 어설션에 액세스합니다.SAML 어설션은 소비자 사이트의 정책 서버에 대한 액세스 권한을 부여하는 자격 증명이 됩니다. 사용자가 인증되어 권한이 부여되고, 권한 부여가 성공한 경우 대상 리소스로 리디렉션됩니다.
SAML 1.x 아티팩트 인증 체계 개요
다음 그림에서는 SAML 1.x 아티팩트 인증 체계가 요청을 처리하는 방법을 보여 줍니다.
참고:
CA Access Gateway
또는 웹 에이전트 및 웹 에이전트 옵션 팩은 에이전트 및 SAML 자격 증명 수집기 기능을 제공합니다.달리 지정하지 않은 경우 이 프로세스의 모든 활동은 소비자 사이트에서 발생합니다.
- 사용자가 SAML 아티팩트 및 대상 URL을 사용하여 SAML 자격 증명 수집기로 리디렉션됩니다.아티팩트 및 대상 URL은 원래 생산자 사이트의 웹 에이전트에서 생성됩니다.
- SAML 자격 증명 수집기가 정책 서버를 호출하여 SAML 아티팩트 인증 체계가 요청된 리소스를 보호하는지 여부를 확인합니다.
- 정책 서버가 필요한 데이터를 SAML 아티팩트 인증 체계에 전달하면 SAML 아티팩트 인증 체계가 생산자 구성 정보를 추출합니다.
- 정책 서버가 생산자 구성 정보를 SAML 자격 증명 수집기에 반환합니다. 이 정보를 사용하여 자격 증명 수집기 서블릿이 생산자 사이트를 호출하고 SAML 어설션을 검색할 수 있습니다.
- SAML 자격 증명 수집기가 정책 서버에서 데이터를 가져와 SAML 어설션을 검색하는 데 사용합니다.
- 어설션이 반환된 후 자격 증명 수집기가 어설션을 자격 증명으로 사용하고 정책 서버에 로그인합니다.
- 정책 서버가 SAML 인증 체계에 대한 초기 사용자 명확성 호출을 합니다.
- 인증 체계 데이터와 어설션을 사용하여 인증 체계가 사용자를 찾고 해당 사용자의 고유 식별자를 자격 증명 수집기에 반환합니다.
- 정책 서버가 인증 체계에 대한 두 번째 사용자 인증 호출을 합니다.참고:Single Sign-On인증 AP는 2 단계로 구성된 인증 프로세스를 지정합니다.
- 인증 체계가 SAML 어설션의 유효성을 검사하고 수락 또는 거부 메시지를 정책 서버에 반환합니다.
- 정책 서버가 수락 또는 거부 메시지를 자격 증명 수집기에 보냅니다.
- SAML 자격 증명 수집기가 세션 쿠키를 생성하여 브라우저에 배치하고 사용자를 대상 리소스로 리디렉션합니다. 로그인이 실패하면 자격 증명 수집기가 사용자를 액세스 권한 없음 URL로 리디렉션합니다.
SAML 1.x POST 프로필 인증 체계 개요
다음 그림에서는 SAML 1.x POST 프로필 인증 체계가 요청을 처리하는 방법을 보여 줍니다.
참고:
CA Access Gateway
또는 웹 에이전트 옵션 팩은 SAML 자격 증명 수집기 기능을 제공합니다.달리 지정하지 않은 경우 다음 프로세스가 소비자 사이트에서 수행됩니다.
- 브라우저가 SAML 자격 증명 수집기 URL에 HTML 양식을 포스트합니다. 이 양식에는 SAML 응답 메시지와 원래 생산자에서 생성된 대상 URL의 주소가 포함되어 있습니다.
- SAML 자격 증명 수집기가 정책 서버에 연결하여 대상 리소스 보호 여부를 확인합니다.
- 정책 서버가 SAML POST 프로필 인증 체계로 대상 URL을 보호한다고 회신합니다. 포스트된 양식에서 서명된 응답이 로그인 호출에 대해 예상된 자격 증명입니다.
- SAML 자격 증명 수집기가 디지털로 서명된 SAML 응답을 자격 증명으로 전달하면서 정책 서버에 대한 로그인 호출을 수행합니다.
- SAML POST 프로필 인증 체계가 서명과 응답 및 어설션의 기타 필드를 확인합니다.
- 검사가 성공하고 사용자가 디렉터리에서 발견되면 인증이 성공합니다. 검사가 하나라도 실패하면 인증이 실패합니다.
- SAML 자격 증명 수집기가 SMSESSION 쿠키를 생성합니다. 이 쿠키가 브라우저에 배치되고 사용자가 대상 리소스로 리디렉션됩니다. 로그인이 실패하면 자격 증명 수집기가 사용자를 구성된 액세스 권한 없음 URL로 리디렉션합니다.
SAML 1.x 인증 체계 사전 요구 사항
SAML 인증 체계 구성에 대한 사전 요구 사항은 다음과 같습니다.
- 생산자와 소비자에서Single Sign-On정책 서버를 설치합니다.
- 생산자와 소비자에서 페더레이션 웹 서비스를 설치합니다.
- SAML POST 응답에 서명하기 위한 인증서 데이터 저장소를 준비합니다.
Single Sign-On
정책 서버 설치Single Sign-On
정책 서버에는 레거시 페더레이션 기능이 포함되어 있습니다.생산자와 소비자에 페더레이션 웹 서비스 설치
FWS(페더레이션 웹 서비스)는 웹 응용 프로그램입니다. FWS는 어설션과 기타 페더레이션된 네트워크 구성 서비스를 소비하는 SAML 자격 증명 수집기 서블릿을 제공합니다.
FWS 응용 프로그램 기능을 사용하려면 웹 에이전트 및 웹 에이전트 옵션 팩을 설치하거나 생산자와 소비자 사이트에 FWS가 포함되어 있는
CA Access Gateway
를 설치하십시오.DefaultAgentName 설정에 대한 값 지정
웹 에이전트를 설치하는 경우 모든 소비자 웹 에이전트에 대해 웹 에이전트 매개 변수 DefaultAgentName의 값을 정의하십시오. 이 값은 웹 에이전트 아이덴티티를 지정합니다.
DefaultAgentName을 식별하는 지정된 에이전트를 대상 리소스를 보호하는 영역의 리소스 필터에 포함하십시오. 에이전트 구성 개체 또는 로컬 에이전트 구성 파일에서 DefaultAgentName 매개 변수를 구성하십시오. DefaultAgentName 매개 변수를 생략하거나 영역 리소스 필터의 AgentName 매개 변수에 지정된 값을 사용하면 싱글 사인온 프로필과 관계없이 SAML 1.x 인증이 실패합니다.
POST 응답에 서명하고 확인하도록 인증서 데이터 저장소 설정
SAML POST 프로필을 사용하여 어설션을 전달하려면 생산자가 어설션이 포함된 SAML 응답에 서명해야 합니다. 소비자 사이트의 어설션 소비자가 해당 서명을 확인해야 합니다.
이러한 태스크를 수행하려면 서명, 확인 또는 둘 다에 사용할 개인 키/인증서 쌍을 인증서 데이터 저장소에 추가하십시오. 인증서 데이터 저장소를 사용하면 SAML 응답에 서명하고 유효성을 검사하는 데 필요한 키와 인증서를 관리 및 검색할 수 있습니다.