SAML 1.x 어설션 구성
생산자 사이트에서 SAML 어설션을 소비자에게 전달하는 방법을 결정하십시오. 어설션은 소비자에서 사용자를 식별합니다.
casso12kr
생산자 사이트에서 SAML 어설션을 소비자에게 전달하는 방법을 결정하십시오. 어설션은 소비자에서 사용자를 식별합니다.
어설션은 다음 정보가 포함된 XML 문서입니다.
- 소비자에 대한 정보
- 세션 정보
- 사용자 특성
SAML 어설션에 대한 자세한 내용은 SAML 사양을 참조하십시오.
2
SAML 1.x 어설션 구성
SAML 1.x 어설션을 구성하려면
- "어설션" 설정으로 이동합니다.
- "어설션" 페이지의 필드에 데이터를 입력합니다.
- 어설션 소비자 URLSAML 1.x 아티팩트 바인딩의 경우 어설션 소비자 URL이 필수 사이트 간 전송 URL 매개 변수인 SMCONSUMERURL 쿼리 매개 변수보다 우선합니다. 사용자가 이 URL을 선택하면 싱글 사인온이 시작됩니다. 악의적인 사용자가 쿼리 매개 변수를 수정하고 아티팩트 검색을 위해 사용자를 권한 없는 사이트로 보낼 수 있습니다. 사용자가 잘못 연결되지 않도록 하려면 어설션 소비자 URL에 대한 값을 지정하십시오.
- 차이 시간 초생산자의 시스템 클록과 소비자의 시스템 클록 간의 차이(초)를 지정합니다. 차이 시간은 싱글 사인온과 싱글 로그아웃에 사용됩니다.싱글 사인온의 경우 차이 시간 및 싱글 사인온 유효 기간 값에 따라 어설션 유효 기간이 결정됩니다. 어설션 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.
- "마침"을 클릭하여 선택한 항목을 저장합니다.
"어설션" 페이지에는 선택 사항인 특성 섹션도 있습니다. 이 섹션에서는 어설션에 특성을 포함시킬 수 있습니다.
SAML 1.x 어설션 관련 보안 문제
SAML 어설션 생성기는 임의의 인증 체계 보호 수준에서 인증된 사용자에 대한 세션을 기반으로 어설션을 생성합니다. 생산자가 어설션을 생성하는 사용자는 제어할 수 있습니다. 사용자가 인증되는 보호 수준은 제어할 수 없습니다.
특정 보호 수준이 필요한 리소스가 있을 수 있습니다. 다양한 보호 수준에서 리소스를 보호할 수 있습니다. 사용자가 인증될 때 원하는 보호 수준으로 인증되는지 확인하십시오.
싱글 사인온에 대한 어설션 유효 기간
casso12kr
싱글 사인온의 경우 차이 시간 및 유효 기간 값에 따라
Single Sign-On
이 어설션의 총 유효 기간을 계산하는 방법이 결정됩니다. Single Sign-On
는 어설션 생성 및 소비에 이 차이 시간을 적용합니다.참고:
이 설명에서 어설션 당사자는 SAML 1.x 생산자, SAML 2.0 아이덴티티 공급자 또는 WS-페더레이션 계정 파트너입니다. 신뢰 당사자는 SAML 1.x 소비자, SAML 2.0 서비스 공급자 또는 WS-페더레이션 리소스 파트너입니다.어설션 문서에서 NotBefore 및 NotOnOrAfter 값은 유효 간격의 시작 및 끝을 나타냅니다.
어설션 당사자에서는
Single Sign-On
이 어설션 유효 기간을 설정합니다. 유효 간격은 어설션이 생성되는 시스템 시간입니다. Single Sign-On
은 이 시간을 사용하여 어설션의 IssueInstant 값을 설정한 다음 IssueInstant 값에서 차이 시간 값을 뺍니다. 그 결과로 얻은 시간이 NotBefore 값입니다.NotBefore = IssueInstant - 차이 시간
유효 간격의 끝을 결정하기 위해
Single Sign-On
은 유효 기간 값과 차이 시간을 IssueInstant 값에 더합니다. 그 결과로 얻은 시간은 NotOnOrAfter 값이 됩니다.NotOnOrAfter = 유효 기간 + 차이 시간 + IssueInstant
시간은 GMT를 기준으로 합니다.
예를 들어 어설션 당사자 측에서 어설션이 1:00 GMT에 생성된다고 가정합니다. 차이 시간은 30초이고 유효 기간은 60초이며 어설션 유효 간격은 12:59:30 GMT에서 1:01:30 GMT 사이입니다. 이 간격은 어설션이 생성된 시간보다 30초 전에 시작되고 90초 후에 끝납니다.
신뢰 당사자에서
Single Sign-On
은 어설션 당사자에서와 동일한 계산을 수행하여 수신된 어설션이 유효한지 확인합니다.Single Sign-On
이 파트너 관계의 양쪽 모두에 있는 경우의 어설션 유효 기간 계산Single Sign-On
이 파트너 관계의 양쪽 모두에 있는 경우 어설션 유효 기간은 유효 기간을 차이 시간의 두 배에 더한 합계입니다. 공식은 다음과 같습니다.어설션 유효 기간 = 2 x 차이 시간(어설션 당사자) + 유효 기간 + 2 x 차이 시간(신뢰 당사자)
공식의 초기 부분(2 x 차이 시간 + 유효 기간)은 어설션 당사자의 유효 기간 시작 및 끝을 나타냅니다. 공식의 두 번째 부분(2 x 차이 시간)은 신뢰 당사자에 있는 시스템 클록의 차이 시간을 나타냅니다. 2를 곱하는 이유는 유효 기간의 NotBefore 및 NotOnOrAfter 끝을 고려하기 때문입니다.
참고:
레거시 페더레이션의 경우 유효 기간은 어설션 당사자에서만 설정됩니다.예
어설션 당사자
어설션 당사자 측에서의 값은 다음과 같습니다.
- IssueInstant = 5:00PM
- 유효 기간 = 60초
- 차이 시간 = 60초
- NotBefore = 4:59PM
- NotOnOrAfter = 5:02PM
신뢰 당사자
신뢰 당사자는 어설션의 NotBefore 및 NotOnOrAfter 값을 사용하고 해당 차이 시간을 이러한 값에 적용합니다. 이 공식은 신뢰 당사자가 새 NotBefore 및 NotOnOrAfter 값을 계산하는 방법입니다.
- 차이 시간 = 180초(3분)
- NotBefore = 4:56PM
- NotOnOrAfter = 5:05PM
어설션 유효 기간 창
이 예제의 값을 사용한 전체 어설션 유효 기간 창의 계산은 다음과 같습니다.
120초(2 x 60) + 60초 + 360초(2 x 180) = 540초(9분)
일회 사용하기 위한 어설션 구성
SAML 1.x 사양에 따라
Single Sign-On
이 어설션의 일회 사용을 적용할 수 있습니다. 일회 사용하기 위한 어설션을 생성하여 신뢰 당사자에게 향후 트랜잭션 용도로 어설션을 보관하지 않음을 알립니다. 유효 기간이 지난 어설션을 재사용하면 오래된 아이덴티티 정보를 사용하여 인증 결정이 내려집니다.일회 사용하기 위한 어설션을 구성하려면
- 가맹 개체에 대한 "일반" 설정으로 이동합니다.
- "고급" 섹션에서 "DoNotCache 조건 설정"을 선택합니다.
- 제출을 클릭합니다.