아티팩트 서비스를 보호하는 인증 체계 구성

목차
casso12kr
목차
2
 
casso12kr
HTTP-아티팩트 프로필의 경우 어설션 검색 서비스(SAML 1.x)와 아티팩트 레졸루션 서비스(SAML 2.0)는 어설션 당사자 측에서 어설션을 검색합니다. 이러한 서비스가 신뢰 당사자에게 어설션 응답을 보내는 경우 해당 어설션 응답은 보안 백 채널을 통해 전송됩니다. 권한 없는 액세스로부터 이러한 서비스와 백 채널을 통한 통신을 보호하는 것이 좋습니다.
참고:
WS-페더레이션은 HTTP-아티팩트 프로필을 지원하지 않습니다.
이러한 서비스를 보호하려면 어설션 당사자 측에서 서비스가 포함된 영역에 대한 인증 체계를 지정하십시오. 인증 체계는 신뢰 당사자의 소비 서비스가 백 채널을 통해 관련 서비스에 액세스하기 위해 제공해야 하는 자격 증명 유형을 지정합니다.
다음 인증 체계 중 하나를 선택할 수 있습니다.
기본 인증으로 어설션 검색 서비스 보호
casso12kr
HTTP-아티팩트 싱글 사인온의 경우 어설션 당사자가 보안 백 채널을 통해 어설션을 신뢰 당사자에게 보냅니다. 기본 인증의 경우 아티팩트를 확인하고 어설션을 검색하는 서비스에 액세스하기 위한 암호를 구성하십시오. 그러면 서비스가 백 채널을 통해 신뢰 당사자에게 어설션을 보냅니다.
SSL이 사용되도록 설정한 상태로 기본 인증을 사용할 수 있지만 SSL이 반드시 필요한 것은 아닙니다.
참고:
암호는 "기본 인증" 또는 "SSL을 통한 기본 인증"을 백 채널을 통한 인증 방법으로 사용하는 경우에만 관련됩니다.
SAML 1.x 어설션 검색 서비스의 경우 다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. 생산자에 대한 "일반" 설정으로 이동합니다.
  3. 다음 필드에 대한 값을 입력합니다.
    • 암호
    • 암호 확인
  4. "제출"을 클릭하여 변경 내용을 저장합니다.
SAML 2.0 아티팩트 레졸루션 서비스의 경우 다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. 아이덴티티 공급자에 대한 "특성" 설정으로 이동합니다.
  3. "백 채널" 섹션에서 다음 필드에 대한 값을 입력합니다.
    • 암호
    • 암호 확인
  4. "제출"을 클릭하여 변경 내용을 저장합니다.
SSL을 통한 기본 인증으로 어설션 검색 서비스 보호
casso12kr
SSL을 통한 기본 인증 체계로 어설션 검색 서비스(SAML 1.x)나 아티팩트 레졸루션 서비스(SAML 2.0)를 보호할 수 있습니다. 어설션 당사자 측에서는 정책 서버를 설치할 때 서비스를 보호하기 위한 기본 정책 집합이 이미 구성되어 있습니다.
필요한 구성은 각 파트너에서 SSL이 사용되도록 설정하는 것뿐입니다. 어설션 당사자 또는 신뢰 당사자 측에서 다른 구성은 필요하지 않습니다. 신뢰 당사자 측에서 인증서 데이터 저장소의 기본 루트 CA(인증 기관) 중 하나를 사용하여 SSL 연결을 설정할 수 있습니다. 기본 CA 대신 사용자 고유의 루트 CA를 사용하려면 CA 인증서를 데이터 저장소로 가져오십시오.
SSL을 통한 기본 인증 체계를 사용하는 경우 모든 끝점 URL은 SSL 통신을 사용해야 합니다. 즉, URL이
https://
로 시작해야 합니다. 끝점 URL은 서버에서 싱글 사인온, 싱글 로그아웃, 어설션 소비자 서비스, 아티팩트 레졸루션 서비스(SAML 2.0), 어설션 검색 서비스(SAML 1.x) 등의 다양한 SAML 서비스를 찾습니다.
클라이언트 인증서 인증으로 어설션 검색 서비스 보호
casso12kr
클라이언트 인증서 인증 체계로 어설션 검색 서비스(SAML 1.x)나 아티팩트 레졸루션 서비스(SAML 2.0)를 보호할 수 있습니다. 어설션 당사자가 클라이언트 인증서 인증을 요구하도록 구성된 경우 신뢰 당사자는 어설션 당사자에 역방향으로 연결하고 클라이언트 인증서를 제공하려고 합니다.
클라이언트 인증서 인증 체계를 사용하려면
  1. 어설션 당사자 측에서 관련 서비스를 보호할 정책을 생성합니다. 이 정책은 클라이언트 인증서 인증 체계를 사용합니다.
  2. 신뢰 당사자 측에서 백 채널 구성에 대해 클라이언트 인증서 인증이 사용되도록 설정합니다.
  3. 파트너 관계 양쪽에서 SSL이 사용되도록 설정합니다.
클라이언트 인증서 인증을 사용하는 경우에는 모든 끝점 URL이 SSL 통신을 사용해야 합니다. 따라서 URL이
https://
로 시작해야 합니다. 끝점 URL은 서버에서 싱글 사인온, 싱글 로그아웃, 어설션 소비자 서비스, 아티팩트 레졸루션 서비스(SAML 2.0), 어설션 검색 서비스(SAML 1.x) 등의 다양한 SAML 서비스를 찾습니다.
casso12kr
ServletExec를 실행 중인 다음 웹 서버에는 클라이언트 인증서 인증을 사용할 수 없습니다.
  • Single Sign-On
    생산자/아이덴티티 공급자의 IIS 웹 서버 - IIS의 제한 때문
  • Single Sign-On
    생산자/아이덴티티 공급자의 SunOne/Sun Java Server 웹 서버 - ServletExec에 설명된 제한 때문
검색 서비스를 보호하기 위한 정책 만들기
casso12kr
어설션 당사자 측에서 어설션 당사자의 어설션 검색 서비스를 보호하기 위한 정책을 생성하십시오.
다음 단계를 수행하십시오.
  1. 어설션을 요청하는 가맹 각각에 대해 별개의 항목을 사용자 디렉터리에 추가합니다. 사용자 디렉터리를 생성하거나 기존 디렉터리를 사용합니다.
    관리 UI에 있는 가맹 일반 설정의 "이름" 필드에 지정된 것과 동일한 값을 사용자 레코드에 입력합니다. 예를 들어 가맹에 대한 "이름" 필드 값이 Company A인 경우 사용자 디렉터리 항목은 다음과 같습니다.
    uid=CompanyA, ou=Development,o=CA
    정책 서버가 가맹 클라이언트 인증서의 주체 DN 값을 이 디렉터리 항목에 매핑합니다.
  2. 구성된 사용자 디렉터리를 FederationWebServicesDomain에 추가합니다.
  3. 인증서 매핑 항목을 생성합니다.
    특성 이름을 가맹에 대한 사용자 디렉터리 항목에 매핑합니다. 특성은 가맹에 대한 인증서의 주체 DN 항목을 나타냅니다. 예를 들어 특성 이름으로 CN을 선택하는 경우 이 값은 cn=CompanyA,ou=Development,o=partner라는 가맹을 나타냅니다.
    매핑 설정을 위해 "인프라", "디렉터리", "인증서 매핑"으로 이동합니다.
  4. X509 클라이언트 인증서 인증 체계를 구성합니다.
  5. FederationWebServicesDomain 아래에 다음 항목이 포함된 영역을 생성합니다.
    • 이름
      any_name
      예: cert assertion retrieval
    • 에이전트
      FederationWebServicesAgentGroup
    • 리소스 필터
      /affwebservices/certassertionretriever(SAML 1.x)
      /affwebservices/saml2certartifactresolution(SAML 2.0)
    • 인증 체계
      이전 단계에서 생성한 클라이언트 인증서 인증 체계입니다.
  6. cert assertion retrieval 영역 아래에 다음 정보가 포함된 규칙을 생성합니다.
    • 이름
      any_name
      예: cert assertion retrieval rule
    • 리소스
      *
    • 웹 에이전트 작업
      GET, POST, PUT
  7. FederationWebServicesDomain 아래에 웹 에이전트 응답 헤더를 생성합니다.
    어설션 검색 서비스가 이 HTTP 헤더를 사용하여 가맹이 어설션을 검색하는 사이트인지 확인합니다.
    다음 값이 포함된 응답을 생성합니다.
    • 이름
      any_name
    • 특성
      WebAgent-HTTP-Header-Variable
    • 특성 종류
      사용자 특성
    • 변수 이름
      consumer_name
    • 특성 이름
      가맹 이름 값이 포함된 사용자 디렉터리 특성을 입력합니다.
      예: uid=CompanyA
    다음 항목을 기반으로 웹 에이전트가 HTTP_CONSUMER_NAME이라는 응답을 반환합니다.
  8. FederationWebServicesDomain 아래에 다음 값이 포함된 정책을 생성합니다.
    • 이름
      any_name
    • 사용자
      이 절차에서 이전에 생성한 사용자 디렉터리의 사용자를 추가합니다.
    • 규칙
      rule_created_earlier_in_this_procedure
    • 응답
      response_created_earlier_in_this_procedure
아티팩트 레졸루션 서비스를 보호하기 위한 정책이 완료되었습니다.
신뢰 당사자 측에서 관리자가 관련 어설션 서비스에 연결하는 백 채널을 통해 클라이언트 인증서 인증이 사용되도록 설정해야 합니다.
SAML 1.x: 어설션 검색 서비스에 대해 클라이언트 인증서 인증이 사용되도록 설정
SAML 2.0: 아티팩트 레졸루션 서비스에 대해 클라이언트 인증서 인증이 사용되도록 설정