가맹에 대한 일반 설정 완료
목차
casso12kr
목차
2
가맹에 대한 일반 설정을 구성합니다.
가맹에 대한 일반 정보를 제공하려면
- 구성 마법사의 "일반" 단계에서 시작합니다.
- "일반" 섹션의 다음 필수 필드에 데이터를 입력합니다.
- 이름
- 암호 및 암호 확인
- 인증 URL이 URL은 redirect.jsp 파일을 가리켜야 합니다. 예를 들면 다음과 같습니다.http://myserver.mysite.com/siteminderagent/redirectjsp/redirect.jspmyserver는 웹 에이전트 옵션 팩 또는CA Access Gateway를 포함하는 웹 서버를 식별합니다.인증 URL을 보호하는 정책을 생성해야 합니다.
- "활성"을 선택하여 가맹 개체를 활성화합니다.
- (선택 사항) "보안 URL 사용"을 선택합니다."보안 URL 사용" 기능은 SSO 서비스에Single Sign-On세션을 설정하기 위해 사용자를 리디렉션하기 전에 인증 URL에 추가하는 SMPORTALURL 쿼리 매개 변수를 암호화하도록 지시합니다. SMPORTALURL을 암호화하면 악의적인 사용자가 수정하지 못하게 됩니다.이 확인란을 선택하는 경우 "인증 URL" 필드를 다음 URL로 설정하십시오.http(s)://idp_server:port/affwebservices/secure/secureredirect
- (선택 사항) "제한" 및 "고급" 섹션의 필드에 데이터를 입력합니다.
- "다음"을 클릭합니다.
Single Sign-On
세션이 없는 사용자 인증(SAML 1.x)가맹 도메인에 소비자를 추가하는 경우 "인증 URL" 필드를 설정해야 합니다. 인증 URL이 redirect.jsp 파일을 가리켜야 합니다. 이 URL의 용도는 생산자에서 세션을 설정하는 것입니다.
redirect.jsp 파일은 웹 에이전트 옵션 팩이나
CA Access Gateway
를 설치하는 생산자에 설치됩니다. 보호되는 리소스를 요청하는 사용자에게 인증을 받으라는 메시지를 표시하도록 정책으로 redirect.jsp 파일을 보호하십시오. 웹 에이전트가 챌린지를 표시하는 이유는 사용자에게 세션이 없기 때문입니다.사용자가 인증되어 redirect.jsp 파일에 성공적으로 액세스한 후 세션이 설정됩니다. redirect.jsp 파일이 사용자를 생산자 웹 에이전트로 다시 리디렉션합니다. 에이전트가 요청을 처리하고 SAML 어설션을 생성할 수 있습니다.
인증 URL을 보호하는 절차는 다음 설정 모두에서 동일합니다.
- 웹 에이전트와 동일한 시스템에 설치된 웹 에이전트 옵션 팩
- 웹 서버 프록시에 웹 에이전트가 설치된 응용 프로그램 서버
- 응용 프로그램 서버 에이전트와 함께 설치된 응용 프로그램 서버
- 어설션 당사자에 설치된CA Access Gateway
인증 URL을 보호하도록 정책 구성
casso12kr
인증 URL을 보호하려면
- 관리 UI에 로그인합니다.
- 어설션 당사자 웹 서버에 대해 정의하는 영역에 바인드할 웹 에이전트를 생성합니다. 웹 서버와 FWS 응용 프로그램에 대해 고유한 에이전트 이름을 할당하거나 둘 다에 대해 동일한 에이전트 이름을 사용합니다.
- 소비자 리소스에 액세스하려고 할 때 챌린지가 표시되는 사용자에 대한 정책 도메인을 생성합니다.
- 정책 도메인에 속한 리소스에 액세스할 수 있어야 하는 사용자를 선택합니다.
- 다음 값으로 정책 도메인에 대한 영역을 정의합니다.
- 에이전트어설션 당사자 웹 서버에 대한 에이전트
- 리소스 필터웹 에이전트 r6.x QMR 6, r12.0 SP2 이상 및CA Access Gateway에 다음을 입력합니다./siteminderagent/redirectjsp/리소스 필터 /siteminderagent/redirectjsp/는 FWS 응용 프로그램이 자동으로 설정하는 별칭입니다. 별칭 참조는 다음과 같습니다.
- 웹 에이전트(web_agent_home/affwebservices/redirectjsp)
- CA Access Gateway(sps_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
- 영구 세션SAML 아티팩트 프로필의 경우에만 영역 대화 상자의 "세션" 섹션에 있는 "영구" 확인란을 선택합니다. 영구 세션을 구성하지 않으면 사용자가 소비자 리소스에 액세스할 수 없습니다.
- "확인"을 클릭하여 영역을 저장합니다.
- 영역에 대한 규칙을 생성합니다. "리소스" 필드에서 기본값인 별표(*)를 적용하여 영역에 대한 리소스를 모두 보호합니다.
- 이전 단계에서 만든 규칙이 포함된 어설션 당사자 웹 서버에 대한 정책을 생성합니다.
- 생성하는 어설션의 대상이 되는 사용자 선택 태스크를 완료합니다.
SAML 1.x 소비자에 대한 시간 제한 구성(선택 사항)
소비자 리소스를 사용할 수 있는 시기를 제한하는 시간 제한을 지정할 수 있습니다. 시간 제한을 지정하면 소비자 리소스에 대한 액세스가 지정된 기간 동안에만 허용됩니다. 사용자가 허용된 기간을 벗어나 리소스에 액세스하려고 하면 생산자가 SAML 어설션을 생성하지 않습니다.
참고:
시간 제한은 정책 서버가 설치된 서버의 시스템 클록을 기준으로 합니다.시간 제한을 지정하려면
- "일반" 설정에서 시작합니다.페이지의 "제한" 섹션에 있는 "시간"에서 "설정"을 클릭합니다."시간 제한" 페이지가 표시됩니다.
- 일정을 완료합니다. 이 일정 표는 규칙 개체의 "시간 제한" 표와 같습니다.
- "확인"을 클릭합니다.
시간 제한 일정이 설정되었습니다.
SAML 1.x 소비자에 대한 IP 주소 제한 구성(선택 사항)
소비자에 액세스하기 위해 브라우저가 실행되고 있는 웹 서버의 IP 주소, 범위 주소 또는 서브넷 마스크를 지정할 수 있습니다. IP 주소를 지정하면 소비자가 적절한 IP 주소의 사용자만 허용합니다.
IP 주소를 지정하려면
- 관리 UI의 "일반" 설정에서 시작합니다.페이지의 "제한" 섹션에 있는 "IP 주소" 영역에서 "추가"를 클릭합니다."IP 제한" 페이지가 표시됩니다.
- 추가하고 있는 IP 주소 유형에 대한 옵션을 선택하고 연결된 필드에 해당 주소 유형에 대한 데이터를 입력합니다.IP 주소는 모르지만 도메인 이름은 알고 있는 경우 "DNS 조회" 단추를 클릭하십시오. 이 단추를 클릭하면 "DNS 조회" 페이지가 열립니다. "호스트 이름" 필드에 정규화된 호스트 이름을 입력하고 "확인"을 클릭합니다.옵션은 다음과 같습니다.
- 단일 호스트--브라우저를 호스트하는 단일 IP 주소를 지정합니다. 단일 IP 주소를 지정하면 사용자가 지정된 IP 주소에서만 소비자에 액세스할 수 있습니다.
- 호스트 이름--호스트 이름을 사용하여 웹 서버를 지정합니다. 호스트 이름을 지정하면 지정된 호스트의 사용자만 소비자에 액세스할 수 있습니다.
- 서브넷 마스크--웹 서버에 대한 서브넷 마스크를 지정합니다. 서브넷 마스크를 지정하면 지정된 서브넷 마스크의 사용자만 서비스 공급자에 액세스할 수 있습니다. 이 단추를 선택하면 "주소 및 서브넷 마스크 추가" 대화 상자가 열립니다. 왼쪽 및 오른쪽 화살표 단추를 사용하거나 슬라이더 막대를 클릭한 상태로 끌어서 놓아 서브넷 마스크를 선택합니다.
- 범위--IP 주소 범위를 지정합니다. IP 주소 범위를 지정하면 소비자가 주소 범위에 속한 IP 주소 중 하나의 사용자만 허용합니다. 시작 및 끝 주소를 입력하여 범위를 결정합니다.
- "확인"을 클릭하여 구성을 저장합니다.