서비스 공급자 개체에 대한 일반 정보 구성

목차
casso12kr
목차
2
"일반" 페이지를 선택하여 서비스 공급자를 명명하고 SP ID, IDP ID 등의 상세 정보를 제공하십시오. 또한 서비스 공급자에 액세스하기 위한 IP 주소 및 시간 제한을 구성할 수 있습니다.
일반 설정을 구성하려면
  1. "일반" 설정으로 이동합니다.
  2. 필수 필드에 주의하면서 필드에 대한 값을 입력합니다.
    필드 설명을 보려면 "도움말"을 클릭하십시오. 특히 다음 필드에 유의하십시오.
    • 인증 URL
      이 URL은 redirect.jsp 파일을 가리킵니다.
      Single Sign-On
      정책으로 redirect.jsp 파일을 보호하십시오. 정책은 보호된 서비스 공급자 리소스를 요청하지만
      Single Sign-On
      세션이 없는 사용자에 대한 인증 챌린지를 트리거합니다.
    • 차이 시간
      아이덴티티 공급자의 시스템 클록과 서비스 공급자의 시스템 클록 간의 차이(초)를 지정합니다. 차이 시간은 Single Sign-On과 Single Logout에 사용됩니다.
      Single Sign-On의 경우 차이 시간 및 Single Sign-On 유효 기간("SSO" 탭의 "유효 기간" 필드) 값에 따라 어설션 유효 기간이 결정됩니다. 어설션 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.
      Single Logout의 경우 SLO 유효 기간("SLO" 탭의 "유효 기간" 필드) 및 차이 시간 값에 따라 Single Logout 요청의 총 유효 시간이 결정됩니다. Single Logout 요청 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.
Single Sign-On
세션이 없는 사용자 인증
가맹 도메인에 서비스 공급자를 추가하는 경우 설정해야 하는 매개 변수 중 하나는 인증 URL 매개 변수입니다.
인증 URL은 redirect.jsp 파일을 가리킵니다. 이 파일은 웹 에이전트 옵션 팩이나
CA Access Gateway
를 설치하는 아이덴티티 공급자 사이트에 설치됩니다.
Single Sign-On
정책으로 redirect.jsp 파일을 보호하십시오. 정책은 보호된 서비스 공급자 리소스를 요청하지만
Single Sign-On
세션이 없는 사용자에 대한 인증 챌린지를 트리거합니다.
다음 바인딩에는
Single Sign-On
세션이 필요합니다.
  • 보호된 서비스 공급자 리소스를 요청하는 사용자의 경우
    HTTP 아티팩트 바인딩을 사용하여 Single Sign-On을 구성하는 경우 영구 세션을 설정하여 SAML 어설션을 세션 저장소에 저장하십시오.
  • HTTP POST 바인딩을 사용하는 Single Sign-On의 경우
    사용자에게 세션이 있어야 하지만 영구 세션이 아니어도 됩니다. 어설션은 브라우저를 통해 서비스 공급자에게 직접 전달됩니다. 어설션이 세션 저장소에 저장되지 않아도 됩니다.
  • Single Logout의 경우
    Single Logout이 사용되도록 설정하는 경우에는 영구 세션이 필요합니다. 사용자가 먼저 서비스 공급자 리소스를 요청하면 세션이 세션 저장소에 저장됩니다. 세션 정보는 나중에 Single Logout이 실행될 때 필요합니다.
사용자가 인증되어 redirect.jsp 파일에 성공적으로 액세스한 후 세션이 설정됩니다. redirect.jsp 파일이 사용자를 아이덴티티 공급자 웹 에이전트나
CA Access Gateway
로 다시 리디렉션합니다. 그런 다음
Single Sign-On
이 요청을 처리합니다.
인증 URL을 보호하는 절차는 다음 배포와 관계없이 동일합니다.
  • 웹 에이전트와 동일한 시스템에 설치된 웹 에이전트 옵션 팩
  • 웹 서버 프록시에 웹 에이전트가 설치된 응용 프로그램 서버
  • 응용 프로그램 서버 에이전트와 함께 설치된 응용 프로그램 서버
  • 아이덴티티 공급자에 설치된 
    CA Access Gateway
인증 URL을 보호하도록 정책 구성
인증 URL을 보호하려면
  1. 관리 UI에 로그인합니다.
  2. 어설션 당사자 웹 서버에 대해 정의하는 영역에 바인드할 웹 에이전트를 생성합니다. 웹 서버와 FWS 응용 프로그램에 대해 고유한 에이전트 이름을 할당하거나 둘 다에 대해 동일한 에이전트 이름을 사용합니다.
  3. 소비자 리소스에 액세스하려고 할 때 챌린지가 표시되는 사용자에 대한 정책 도메인을 생성합니다.
  4. 정책 도메인에 속한 리소스에 액세스할 수 있어야 하는 사용자를 선택합니다.
  5. 다음 값으로 정책 도메인에 대한 영역을 정의합니다.
    • 에이전트
      어설션 당사자 웹 서버에 대한 에이전트
    • 리소스 필터
      웹 에이전트 r6.x QMR 6, r12.0 SP2 이상 및
      CA Access Gateway
      에 다음을 입력합니다.
      /siteminderagent/redirectjsp/
      리소스 필터 /siteminderagent/redirectjsp/는 FWS 응용 프로그램이 자동으로 설정하는 별칭입니다. 별칭 참조는 다음과 같습니다.
      • 웹 에이전트(
        web_agent_home
        /affwebservices/redirectjsp)
      • CA Access Gateway
        (
        sps_home
        /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
    • 영구 세션
      SAML 아티팩트 프로필의 경우에만 영역 대화 상자의 "세션" 섹션에 있는 "영구" 확인란을 선택합니다. 영구 세션을 구성하지 않으면 사용자가 소비자 리소스에 액세스할 수 없습니다.
    나머지 설정의 경우 기본값을 적용하거나 필요에 따라 수정합니다.
  6. "확인"을 클릭하여 영역을 저장합니다.
  7. 영역에 대한 규칙을 생성합니다. "리소스" 필드에서 기본값인 별표(*)를 적용하여 영역에 대한 리소스를 모두 보호합니다.
  8. 이전 단계에서 만든 규칙이 포함된 어설션 당사자 웹 서버에 대한 정책을 생성합니다.
서비스 공급자 가용성에 대한 시간 제한 구성(선택 사항)
서비스 공급자 리소스를 사용할 수 있는 시기에 대한 시간 제한을 지정할 수 있습니다. 시간 제한을 지정하면 리소스에 대한 액세스가 지정된 기간 동안에만 허용됩니다. 사용자가 지정된 기간을 벗어나 리소스에 액세스하려고 하면 아이덴티티 공급자가 SAML 어설션을 생성하지 않습니다.
참고:
시간 제한은 정책 서버가 설치된 서버의 시스템 클록을 기준으로 합니다.
시간 제한을 지정하려면
  1. "일반" 설정에서 시작합니다.
    페이지의 "제한" 섹션에 있는 "시간" 섹션에서 "설정"을 클릭합니다.
    "시간 제한" 페이지가 표시됩니다.
  2. 일정을 완료합니다. 이 일정 표는 규칙 개체의 "시간 제한" 표와 같습니다.
  3. "확인"을 클릭합니다.
시간 제한 일정이 설정되었습니다.
서비스 공급자에 대한 IP 주소 제한 구성(선택 사항)
서비스 공급자에 액세스하기 위해 브라우저가 실행되고 있는 웹 서버의 IP 주소, 범위 주소 또는 서브넷 마스크를 지정할 수 있습니다. 서비스 공급자에 대해 IP 주소를 지정하면 서비스 공급자가 적절한 IP 주소의 사용자만 허용합니다.
IP 주소를 지정하려면
  1. "일반" 설정에서 시작합니다.
    페이지의 "제한" 섹션에 있는 "IP 주소" 영역에서 "추가"를 클릭합니다.
    "IP 제한" 페이지가 표시됩니다.
  2. 추가하고 있는 IP 주소 유형에 대한 옵션을 선택하고 연결된 필드에 해당 주소 유형에 대한 데이터를 입력합니다.
    참고:
    IP 주소는 모르지만 주소에 대한 도메인 이름은 알고 있는 경우 "DNS 조회" 단추를 클릭합니다. 이 단추를 클릭하면 "DNS 조회" 페이지가 열립니다. "호스트 이름" 필드에 정규화된 호스트 이름을 입력하고 "확인"을 클릭합니다.
    • 단일 호스트--브라우저를 호스트하는 단일 IP 주소를 지정합니다. 단일 IP 주소를 지정하면 사용자가 지정된 IP 주소에서만 서비스 공급자에 액세스할 수 있습니다.
    • 호스트 이름--호스트 이름을 사용하여 웹 서버를 지정합니다. 호스트 이름을 지정하면 지정된 호스트의 사용자만 서비스 공급자에 액세스할 수 있습니다.
    • 서브넷 마스크--웹 서버에 대한 서브넷 마스크를 지정합니다. 서브넷 마스크를 지정하면 지정된 서브넷 마스크의 사용자만 서비스 공급자에 액세스할 수 있습니다. 이 단추를 선택하면 "주소 및 서브넷 마스크 추가" 대화 상자가 열립니다. 왼쪽 및 오른쪽 화살표 단추를 사용하거나 슬라이더 막대를 클릭한 상태로 끌어서 놓아 서브넷 마스크를 선택합니다.
    • 범위--IP 주소 범위를 지정합니다. IP 주소 범위를 지정하면 서비스 공급자가 주소 범위에 속한 IP 주소 중 하나의 사용자만 허용합니다. 시작 및 끝 주소를 입력하여 범위를 결정합니다.
  3. "확인"을 클릭하여 구성을 저장합니다.
프록시 서버 식별(선택 사항)
사용 중인 네트워크의 클라이언트와 페더레이션 웹 서비스가 있는 시스템 간에 프록시 서버가 있는 경우 URL의 프로토콜 및 기관 부분을 지정하십시오. 구문은
protocol
:
authority
입니다.
  • protocol
    http: 또는 https:
  • authority
    //
    host.domain.com
    또는 //
    host.domain.com:port
예: http://example.ca.com
프록시 서버를 식별하려면
  1. 구성 마법사의 "일반" 단계에서 시작합니다.
    페이지의 "고급" 섹션에 있는 "서버" 필드에 URL을 입력합니다.
  2. 제출을 클릭합니다.