어설션 검색 서비스에 대한 액세스 권한 부여(아티팩트 SSO)

목차
casso12kr
목차
2
casso12kr
HTTP-아티팩트 싱글 사인온의 경우 어설션을 얻기 위한 FWS 서비스를 보호하는 정책에 액세스할 수 있는 권한이 신뢰 당사자에게 필요합니다.
액세스 권한을 부여하려면
  • 에이전트 그룹 FederationWebServicesAgentGroup에 FWS 응용 프로그램을 보호하는 웹 에이전트를 추가하십시오.
  • 특정 서비스에 액세스하도록 허용된 사용자로 신뢰 파트너를 추가하십시오.
    지정된 정책에 사용자를 추가하는 것 외에는 다른 모든 정책 개체가 자동으로 설정됩니다.
페더레이션 에이전트 그룹에 웹 에이전트 추가
casso12kr
에이전트 그룹 FederationWebServicesAgentGroup에 FWS 응용 프로그램을 보호하는 웹 에이전트를 추가하십시오.
  • ServletExec의 경우 이 에이전트는 웹 에이전트 옵션 팩이 설치된 웹 서버에 있습니다.
  • WebLogic이나 JBOSS와 같은 응용 프로그램 서버의 경우 이 웹 에이전트는 응용 프로그램 서버 프록시가 설치된 위치에 설치됩니다. 웹 에이전트 옵션 팩은 다른 시스템에 있을 수 있습니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "에이전트", "에이전트"를 차례로 클릭합니다.
  3. "에이전트 만들기"를 클릭합니다.
  4. 배포에 있는 웹 에이전트의 이름을 지정합니다. 제출을 클릭합니다.
  5. "인프라", "에이전트", "에이전트 그룹"을 차례로 클릭합니다.
  6. "FederationWebServicesAgentGroup" 항목을 선택합니다.
  7. "추가/제거"를 클릭합니다. 그러면 "에이전트 그룹 구성원" 대화 상자가 열립니다.
  8. "사용 가능한 구성원" 목록에서 "선택한 구성원" 목록으로 웹 에이전트를 이동합니다.
  9. "확인"을 클릭하여 "에이전트 그룹" 대화 상자로 돌아갑니다.
  10. "제출", "닫기"를 차례로 클릭하여 기본 페이지로 돌아갑니다.
어설션을 획득하기 위한 FWS 정책에 신뢰 파트너 추가
casso12kr
싱글 사인온에 대해 HTTP-아티팩트 바인딩을 사용하고 있는 경우 파트너 관계의 신뢰 당사자에게 어설션 검색 서비스에 액세스할 수 있는 권한이 있어야 합니다.
Single Sign-On
은 정책을 사용하여 SAML 1.x 및 2.0 검색 서비스를 보호합니다.
정책 서버를 설치하면 FederationWebServicesDomain이 기본적으로 설치됩니다. 이 도메인에는
Single Sign-On
이 어설션을 검색하는 서비스에 대한 다음 정책이 포함되어 있습니다.
  • SAML 1.x
    FederationWSAssertionRetrievalServicePolicy
  • SAML 2.0
    SAML2FWSArtifactResolutionServicePolicy
참고:
WS-페더레이션은 HTTP-아티팩트 프로필을 사용하지 않습니다. 따라서 이 절차는 리소스 공급자에게 적용되지 않습니다.
이러한 정책에 모든 관련 신뢰 파트너에 대한 액세스 권한을 부여하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "도메인 정책"으로 이동합니다.
    도메인 정책 목록이 표시됩니다.
  2. SAML 프로필에 대한 정책을 선택합니다.
    • SAML 1.x
      FederationWSAssertionRetrievalServicePolicy
    • SAML 2.0
      SAML2FWSArtifactResolutionServicePolicy
    "도메인 정책" 페이지가 열립니다.
  3. "수정"을 클릭하여 정책을 변경합니다.
  4. "사용자" 탭을 선택합니다.
  5. 적절한 사용자 디렉터리에 대한 대화 상자에서 "구성원 추가"를 클릭합니다.
    • SAML 1.x
      FederationWSCustomUserStore
    • SAML 2.0
      SAML2FederationCustomUserStore
    "사용자/그룹" 페이지가 열립니다.
    이전에 구성한 가맹 도메인이 "사용자/그룹" 대화 상자에 나열됩니다. 예를 들어 가맹 도메인의 이름이 fedpartners인 경우 항목은
    affiliate:fedpartners
    입니다.
  6. 서비스에 대한 액세스 권한이 필요한 파트너가 있는 가맹 도메인 옆의 확인란을 선택합니다. "확인"을 클릭합니다.
    "사용자 디렉터리" 목록으로 돌아갑니다.
  7. 제출을 클릭합니다.
    정책 목록으로 돌아갑니다.
어설션 검색 서비스의 기본 보호 확인
어설션 검색 서비스를 보호하도록 기본 인증을 구성하는 경우 보호를 확인하십시오.
다음 단계를 수행하십시오.
  1. 웹 브라우저를 엽니다.
    페더레이션 웹 서비스 응용 프로그램이 설치된 서버에 대한 정규화된 호스트 이름 및 포트 번호를 입력하여 페더레이션 웹 서비스에 액세스합니다. 예를 들면 다음과 같습니다.
    SAML 1.x: http://idp-fws.ca.com:81/affwebservices/assertionretriever
    SAML 2.0: http://idp-fws.ca.com:81/affwebservices/saml2artifactresolution
    서비스가 보호된 경우
    Single Sign-On
    이 자격 증명에 대한 챌린지를 표시합니다. 권한 있는 가맹만 페더레이션 웹 서비스에 액세스하도록 허용됩니다.
  2. 정책 서버에서 구성된 신뢰 당사자에 대해 유효한 이름 및 암호를 입력합니다. 이름 및 암호는 인증 챌린지에 대한 자격 증명입니다.
인증 챌린지는 서비스가 보호됨을 나타냅니다.
Single Sign-On
이 챌린지를 표시하지 않으면 정책이 잘못 구성된 것입니다.