SAML 2.0에 대한 싱글 사인온 구성

싱글 사인온 구성에는 아이덴티티 공급자가 어설션을 서비스 공급자에게 전달하는 방법을 결정하는 작업이 포함됩니다.
casso12kr
싱글 사인온 구성에는 아이덴티티 공급자가 어설션을 서비스 공급자에게 전달하는 방법을 결정하는 작업이 포함됩니다.
2
다음 단계를 수행하십시오.
  1. 관리 UI에서 서비스 공급자 개체에 대한 "SAML 프로필" 설정으로 이동합니다.
  2. 페이지의 "SSO" 섹션에 있는 필드에 데이터를 입력합니다. 통신에 사용할 SAML 바인딩을 선택합니다.
    HTTP-아티팩트 바인딩의 경우 사용자가 보호된 아티팩트 레졸루션 서비스에 액세스할 수 있도록 백 채널 설정을 구성합니다. 백 채널 설정은 구성 마법사의 "특성" 단계에 있습니다.
  3. "제출"을 클릭하여 변경 내용을 저장합니다.
싱글 사인온에 대한 어설션 유효 기간
casso12kr
싱글 사인온의 경우 차이 시간 및 유효 기간 값에 따라
Single Sign-On
이 어설션의 총 유효 기간을 계산하는 방법이 결정됩니다.
Single Sign-On
는 어설션 생성 및 소비에 이 차이 시간을 적용합니다.
참고:
이 설명에서 어설션 당사자는 SAML 1.x 생산자, SAML 2.0 아이덴티티 공급자 또는 WS-페더레이션 계정 파트너입니다. 신뢰 당사자는 SAML 1.x 소비자, SAML 2.0 서비스 공급자 또는 WS-페더레이션 리소스 파트너입니다.
어설션 문서에서 NotBefore 및 NotOnOrAfter 값은 유효 간격의 시작 및 끝을 나타냅니다.
어설션 당사자에서는
Single Sign-On
이 어설션 유효 기간을 설정합니다. 유효 간격은 어설션이 생성되는 시스템 시간입니다.
Single Sign-On
은 이 시간을 사용하여 어설션의 IssueInstant 값을 설정한 다음 IssueInstant 값에서 차이 시간 값을 뺍니다. 그 결과로 얻은 시간이 NotBefore 값입니다.
NotBefore = IssueInstant - 차이 시간
유효 간격의 끝을 결정하기 위해
Single Sign-On
은 유효 기간 값과 차이 시간을 IssueInstant 값에 더합니다. 그 결과로 얻은 시간은 NotOnOrAfter 값이 됩니다.
NotOnOrAfter = 유효 기간 + 차이 시간 + IssueInstant
시간은 GMT를 기준으로 합니다.
예를 들어 어설션 당사자 측에서 어설션이 1:00 GMT에 생성된다고 가정합니다. 차이 시간은 30초이고 유효 기간은 60초이며 어설션 유효 간격은 12:59:30 GMT에서 1:01:30 GMT 사이입니다. 이 간격은 어설션이 생성된 시간보다 30초 전에 시작되고 90초 후에 끝납니다.
신뢰 당사자에서
Single Sign-On
은 어설션 당사자에서와 동일한 계산을 수행하여 수신된 어설션이 유효한지 확인합니다.
Single Sign-On
이 파트너 관계의 양쪽 모두에 있는 경우의 어설션 유효 기간 계산
Single Sign-On
이 파트너 관계의 양쪽 모두에 있는 경우 어설션 유효 기간은 유효 기간을 차이 시간의 두 배에 더한 합계입니다. 공식은 다음과 같습니다.
어설션 유효 기간 = 2 x 차이 시간(어설션 당사자) + 유효 기간 + 2 x 차이 시간(신뢰 당사자)
공식의 초기 부분(2 x 차이 시간 + 유효 기간)은 어설션 당사자의 유효 기간 시작 및 끝을 나타냅니다. 공식의 두 번째 부분(2 x 차이 시간)은 신뢰 당사자에 있는 시스템 클록의 차이 시간을 나타냅니다. 2를 곱하는 이유는 유효 기간의 NotBefore 및 NotOnOrAfter 끝을 고려하기 때문입니다.
참고:
레거시 페더레이션의 경우 유효 기간은 어설션 당사자에서만 설정됩니다.
어설션 당사자
어설션 당사자 측에서의 값은 다음과 같습니다.
  • IssueInstant = 5:00PM
  • 유효 기간 = 60초
  • 차이 시간 = 60초
  • NotBefore = 4:59PM
  • NotOnOrAfter = 5:02PM
신뢰 당사자
신뢰 당사자는 어설션의 NotBefore 및 NotOnOrAfter 값을 사용하고 해당 차이 시간을 이러한 값에 적용합니다. 이 공식은 신뢰 당사자가 새 NotBefore 및 NotOnOrAfter 값을 계산하는 방법입니다.
  • 차이 시간 = 180초(3분)
  • NotBefore = 4:56PM
  • NotOnOrAfter = 5:05PM
어설션 유효 기간 창
이 예제의 값을 사용한 전체 어설션 유효 기간 창의 계산은 다음과 같습니다.
120초(2 x 60) + 60초 + 360초(2 x 180) = 540초(9분)
다른 싱글 사인온 바인딩에 대해 인덱싱된 끝점 정의
페더레이션 통신에 대해 인덱싱된 끝점을 구성할 수 있습니다. 인덱싱된 끝점은 어설션이 소비되는 사이트입니다.
Single Sign-On
의 컨텍스트에서 이 끝점은 어설션 소비자 서비스가 있는 서비스 공급자입니다.
구성하는 끝점 각각에는 어설션 소비자 서비스 URL에 대한 단일 명시적 참조 대신 고유 인덱스 값이 할당됩니다. 할당된 인덱스는 서비스 공급자가 아이덴티티 공급자에게 보내는 어설션 요청에 추가됩니다.
인덱싱된 끝점을 지원하는 타사 아이덴티티 공급자와의 페더레이션된 관계가 있는
Single Sign-On
서비스 공급자에 대해 인덱싱된 끝점을 구성할 수 있습니다. 여러 끝점을 서비스에 할당하여 어설션 소비자 서비스에 대해 다양한 프로토콜 바인딩(아티팩트, POST)을 구성할 수도 있습니다.
참고:
사용 중인 네트워크에 다양한
Single Sign-On
버전이 포함된 경우 인덱싱된 끝점을 구성할 수 없습니다. 예를 들어 서비스 공급자는 r12.0 SP 2이고 아이덴티티 공급자는 r12.0 SP3인 경우 인덱싱된 끝점을 구성할 수 없습니다. 두 HTTP 바인딩 모두에 대해 어설션 소비자 서비스를 하나만 구성하십시오.
다음 그림에서는 인덱싱된 끝점의 이점을 활용하는 네트워크를 보여 줍니다.
Graphic showing a network using indexed endpoints
인덱싱된 끝점 순서도
다음 그림에서는 인덱싱된 끝점을 사용하여 싱글 사인온이 작동하는 방식을 보여 줍니다.
Graphic showing how single sign-on works with indexed enpoints
 
참고:
웹 에이전트 옵션 팩 또는
CA Access Gateway
는 FWS 기능을 제공할 수 있습니다.
인덱싱된 끝점을 사용하는 경우 이벤트 순서는 다음과 같습니다.
  1. 사용자가 특정 IdP의 인증을 받기 위해 링크를 선택합니다. 인덱스 기능이 사용되도록 설정되어 있으므로 링크에는 IdP ID 및 AssertionConsumerServiceIndex 쿼리 매개 변수 인덱스가 쿼리 매개 변수로 포함됩니다.
  2. SP FWS(페더레이션 웹 서비스) 응용 프로그램이 해당 로컬 정책 서버에서 AuthnRequest를 요청합니다. 이 응용 프로그램이 보내는 요청에는 IdP ID와 선택적으로 AssertionConsumerServiceIndex 및 ForceAuthn 쿼리 매개 변수가 포함됩니다.
    ACS 인덱스 및 프로토콜 바인딩 매개 변수는 동시에 사용할 수 없으므로 프로토콜 바인딩이 요청에 포함되지 않습니다. AssertionConsumerServiceIndex가 바인딩과 이미 연결되어 있으므로 프로토콜 바인딩 값을 지정할 필요가 없습니다. 프로토콜 바인딩과 AssertionConsumerServiceIndex가 쿼리 매개 변수로 전달되면 로컬 정책 서버가 요청을 거부하는 오류로 응답합니다.
  3. AuthnRequest 서비스가 SP 정책 서버에서 IdP 정보를 추출하고 AssertionConsumerServiceIndex가 포함된 AuthnRequest 메시지를 생성합니다. AssertionConsumerServiceIndex가 쿼리 매개 변수 중 하나이므로 해당 값이 IdP 설명자 문서의 IdP와 비교하여 확인됩니다. 이 문서는 이전에 IdP에서 SP로 전송됩니다.
    AuthnRequest 서비스는 다음과 같이 반응합니다.
    • 아티팩트 바인딩에 대한 인덱스가 IdP 메타데이터에 설정된 경우 이 인덱스가 AssertionConsumerServiceIndex 값과 비교됩니다. 값이 일치하는 경우 인덱스 값이 AuthnRequest의 일부로 유지됩니다. 인덱스 값이 일치하지 않는 경우에는 IdP 메타데이터가 확인됩니다. AssertionConsumerServiceIndex는 POST 바인딩에 해당해야 합니다.
    • 인덱스가 HTTP-POST 바인딩에 해당하는 경우 이 인덱스 값이 AuthnRequest의 AssertionConsumerServiceIndex와 다시 비교됩니다. AssertionConsumerServiceIndex 매개 변수의 값이 POST 바인딩과 일치하지 않는 경우에는 AuthnRequest 서비스가 오류를 생성합니다. 오류에서는 AssertionConsumerServiceIndex가 IdP 메타데이터의 인덱스와 일치하지 않음을 나타냅니다.
  4. IdP 메타데이터 인덱스 및 AssertionConsumerServiceIndex 값이 일치한다고 가정하여 SP 정책 서버가 AuthnRequest를 생성합니다.
  5. SP 정책 서버가 HTTP-리디렉션 바인딩에서 AuthnRequest를 반환합니다.
  6. SP FWS 응용 프로그램이 AuthnRequest를 IdP의 싱글 사인온 서비스로 리디렉션합니다. URL이 AuthnRequest에 있는 구성 정보의 일부이므로 SP는 싱글 사인온 서비스의 URL을 알고 있습니다.
  7. 브라우저가 싱글 사인온 서비스를 요청합니다.
  8. 싱글 사인온 서비스가 AuthnRequest에서 AssertionConsumerServiceIndex 값을 추출합니다. 서비스는 AssertionConsumerServiceIndex를 사용하여 어설션 소비자 서비스 URL을 확인합니다. 인덱스가 메타데이터에 없으면 서비스가 오류를 생성합니다. 오류 메시지에서는 잘못된 AssertionConsumerServiceIndex가 AuthnRequest 메시지에 있음을 나타냅니다.
    어설션이나 아티팩트를 SP에 보내는 어설션 소비자 URL은 사용 중인 싱글 사인온 프로필에 따라 다릅니다.
    참고:
    AssertionConsumerServiceIndex 매개 변수가 AuthnRequest에 없으면 어설션 소비자 서비스의 값과 해당 바인딩이 기본적으로 사용됩니다.
어설션 소비자 서비스에 대해 인덱싱된 끝점 구성
싱글 사인온 서비스는 AuthnRequest에서 ACS 인덱스 값을 추출합니다. 서비스가 인덱스 값을 인덱스 항목 목록과 비교하고 해당 인덱스 값과 연결된 어설션 소비자 서비스 URL을 확인합니다. 그런 다음 싱글 사인온 서비스가 인덱스 값과 연결된 바인딩에 따라 어설션이나 아티팩트를 보낼 위치를 알게 됩니다.
아이덴티티 공급자에서 인덱스 항목을 구성하려면
  1. 관리 UI에 로그인합니다.
  2. 수정할 서비스 공급자 항목을 선택하거나 새로 생성합니다.
  3. "SAML 프로필" 페이지로 이동합니다.
  4. 페이지의 "SSO" 섹션에서 "어설션 소비자 서비스" 필드 끝의 줄임표 단추를 클릭합니다.
    "어설션 소비자 서비스" 페이지가 열립니다.
  5. "추가"를 클릭합니다.
    "어설션 소비자 서비스 추가" 페이지가 열립니다.
  6. 페이지의 필드에 데이터를 입력합니다.
    동일한 어설션 소비자 서비스 URL에 다양한 인덱스 값을 할당할 수 있습니다.
  7. "확인"을 클릭하여 변경 내용을 저장합니다.
참고:
서비스 공급자의 SAML 2.0 인증 체계에서 인덱스 항목을 구성해야 합니다.
SSO에 대한 인증 체계 보호 수준 적용
사용자가 페더레이션된 리소스를 요청하는 경우 사용자에게
Single Sign-On
세션이 있어야 합니다. 세션이 없으면 세션을 설정하기 위해 사용자가 인증 URL로 리디렉션됩니다. 인증 URL을 보호하는 인증 체계는 특정 보호 수준으로 구성됩니다. 이 보호 수준은 SAML 서비스 공급자 구성에 대해 구성하는 인증 수준보다 크거나 같아야 합니다.
인증 URL에 대한 보호 수준이 관리 UI에 설정된 인증 수준보다 낮으면 정책 서버가 어설션을 생성하지 않습니다.
디지털 서명 옵션 결정
페더레이션은 개인 키/인증서 쌍을 사용하여 페더레이션 통신의 다양한 디지털 서명 태스크를 수행할 수 있습니다. 개인 키/인증서 쌍으로 서명할 수 있는 메시지는 다음과 같습니다.
  • 어설션
  • SAML 응답
  • 아티팩트 응답
  • 싱글 로그아웃 요청 및 응답
    싱글 로그아웃의 경우 로그아웃을 시작하는 측에서 요청에 서명합니다. 요청을 수신하는 측에서 서명의 유효성을 검사합니다. 반대로 수신하는 측에서 SLO 응답에 서명하고 시작하는 측에서 응답 서명의 유효성을 검사해야 합니다.
  • 특성 응답(사용자 특성에 기반한 권한 부여의 경우)
서명을 담당하는 파트너는 서명을 확인하는 파트너에게 개인 키와 연결된 인증서(공개 키)를 제공합니다. 이 교환은 트랜잭션이 발생하기 전에 독립된 통신으로 수행됩니다.
IdP가 어설션을 SP에 보내는 경우 기본적으로 인증서가 어설션에 포함되어 있습니다. 하지만 SP는 자신의 사이트에 저장하는 인증서를 사용하여 서명을 확인합니다.
디지털 서명에 대한 구성 옵션은 다음과 같습니다.
  • 서명 별칭
  • 서명 알고리즘(RSAwithSHA1 또는 RSAwithSHA256)
  • HTTP-아티팩트 어설션, SAML 응답 및 아티팩트 응답 옵션
  • HTTP-POST 어설션 및 SAML 응답 옵션
"일반" 또는 "SSO" 탭에서 서명 옵션을 지정하려면
  1. 기존 SAML 서비스 공급자 개체를 수정하거나 새로 생성합니다.
  2. "SAML 프로필"로 이동합니다.
  3. 대화 상자의 "서명 옵션" 섹션에 있는 필드에 데이터를 입력합니다.
  4. 제출을 클릭합니다.
ECP(향상된 클라이언트 또는 프록시) 프로필 개요
ECP(향상된 클라이언트 또는 프록시) 프로필은 싱글 사인온을 위한 응용 프로그램입니다. 향상된 클라이언트는 ECP 기능을 지원하는 브라우저 또는 일부 다른 사용자 에이전트입니다. 향상된 프록시는 무선 장치용 무선 액세스 프로토콜 프록시와 같은 HTTP 프록시입니다.
ECP 프로필은 아이덴티티 공급자와 서비스 공급자가 직접 통신할 수 없을 때 싱글 사인온을 가능하게 합니다. ECP는 서비스 공급자와 아이덴티티 공급자 사이에서 중재자 역할을 합니다.
중재자 역할을 하는 것 외에도 ECP 프로필은 다음과 같은 경우에 유용합니다.
  • 이 프로필이 필요한 향상된 클라이언트 또는 프록시에 서비스를 제공할 것으로 예상되는 서비스 공급자의 경우
  • 기능이 제한된 모바일 장치 앞의 WAP(무선 액세스 프로토콜) 게이트웨이와 같은 프록시 서버가 사용되고 있는 경우
ECP 응용 프로그램은 사용자가 직접 얻거나 개발해야 합니다. 정책 서버는 SAML 요구 사항에 맞는 ECP 응용 프로그램에 대한 ECP 요청 및 응답만 처리합니다.
다음 그림에서는 ECP 프로필의 흐름을 보여 줍니다.
Graphic showing the flow of the Enhanced Client and Proxy Profile between the Identity Provider and Service Provider
ECP 통신에서 사용자는 휴대폰 등에서 응용 프로그램에 대한 액세스를 요청합니다. 응용 프로그램은 서비스 공급자에 있으며 사용자에 대한 아이덴티티 정보는 아이덴티티 공급자에 있습니다. 서비스 공급자와 아이덴티티 공급자는 직접 통신하지 않습니다.
ECP 호출의 흐름은 다음과 같습니다.
  1. ECP 응용 프로그램이 리버스 SOAP(PAOS) 요청을 서비스 공급자에 전달합니다. 서비스 공급자는 아이덴티티 공급자에 직접 액세스할 수 없습니다.
    아이덴티티 공급자와 달리 ECP 엔터티에는 항상 직접 액세스할 수 있습니다.
  2. 서비스 공급자는 ECP 응용 프로그램에 AuthnRequest를 되보냅니다.
  3. ECP 응용 프로그램은 AuthnRequest를 처리 및 수정하여 아이덴티티 공급자에 보냅니다.
  4. 아이덴티티 공급자는 요청을 처리한 후 ECP 응용 프로그램에 SOAP 응답을 반환합니다. 이 응답에는 어설션이 포함됩니다.
  5. ECP 응용 프로그램은 서명된 PAOS 응답을 서비스 공급자에 되보냅니다.
싱글 사인온이 진행되고 사용자가 응용 프로그램에 대한 액세스 권한을 얻습니다.
아이덴티티 공급자에서 ECP 구성
ECP를 구성하려면 아이덴티티 공급자와 서비스 공급자에서 해당 기능을 사용하도록 설정하십시오. 다음 절차는
Single Sign-On
아이덴티티 공급자에 해당됩니다.
다음 단계를 수행하십시오.
  1. 아이덴티티 공급자에서 관리 UI에 로그인합니다.
  2. 수정할 SAML 서비스 공급자에 대한 "SAML 프로필" 탭으로 이동합니다.
  3. 대화 상자에서 필요한 싱글 사인온 구성 설정을 완료합니다.
  4. SSO 섹션에서 "향상된 클라이언트 및 프록시 프로필" 확인란을 선택합니다.
  5. 제출을 클릭합니다.
이제 아이덴티티 공급자가 ECP 호출을 처리할 수 있습니다.
페더레이션된 파트너도 ECP를 사용하도록 설정해야 합니다.
Single Sign-On
의 경우 SAML 2.0 인증 체계에서 ECP를 사용하도록 설정합니다.
참고:
단일 SAML 서비스 공급자 개체가 싱글 사인온 요청에 대한 아티팩트, POST, SOAP 및 PAOS 바인딩을 처리할 수 있습니다. SOAP 및 PAOS는 ECP 프로필에 대한 바인딩입니다. 아이덴티티 공급자와 서비스 공급자는 요청의 매개 변수를 기준으로 사용되는 바인딩을 확인합니다.
"허용/만들기"가 사용되도록 설정하여 사용자 식별자 만들기
SAML 2.0 "허용/만들기" 기능을 통해 아이덴티티 공급자가 서비스 공급자 요청 시 사용자 식별자를 생성할 수 있습니다. 이 기능이 올바로 작동하려면 서비스 공급자 요청에 "허용/만들기" 특성이 포함되어 있어야 합니다. 또한 관리자가 식별자를 생성하도록 아이덴티티 공급자를 구성해야 합니다. 아이덴티티 공급자는 서비스 공급자에게 반환되는 어설션에 있는 NameID의 일부가 되는 고유한 값을 생성합니다.
서비스 공급자가 어설션을 받으면 SAML 2.0 인증 체계가 응답을 처리합니다. 그런 다음 인증 체계가 해당 로컬 사용자 저장소에서 사용자를 조회합니다. 사용자 레코드가 있는 경우 사용자에게 액세스 권한이 부여됩니다.
새 사용자 식별자 만들기가 사용되도록 설정하려면
  1. 관리 UI에 로그인합니다.
  2. "서비스 공급자" 개체에 대한 "SAML 프로필" 설정으로 이동합니다.
  3. 페이지의 "SSO" 섹션에서 "새 식별자의 생성 허용" 선택합니다.
  4. 제출을 클릭합니다.
SP의 인증 컨텍스트 무시
사용자 인증 컨텍스트에 대한 정보 교환은 페더레이션된 파트너 관계 양쪽에 인증 프로세스에 대해 통신할 수 있는 방법을 제공합니다.
서비스 공급자가 아이덴티티 공급자에 대한 요청에서 인증 컨텍스트를 요청하는 경우 컨텍스트를 무시하도록 아이덴티티 공급자를 구성할 수 있습니다.
인증 컨텍스트를 무시하려면
  1. 서비스 공급자 개체에 대한 "일반" 설정으로 이동합니다.
  2. "고급 SSO 구성" 섹션에서 "요청된 AuthnContext 무시"를 선택합니다.
  3. 제출을 클릭합니다.
일회 사용하기 위한 어설션 구성
SAML 2.0 사양에 따라 정책 서버가 어설션의 일회 사용을 적용할 수 있습니다. 일회 사용하기 위한 어설션을 생성하여 신뢰 당사자에게 향후 트랜잭션 용도로 어설션을 보관하지 않음을 알립니다. 유효 기간이 지난 어설션을 재사용하면 오래된 아이덴티티 정보에 기반한 인증 결정이 내려집니다.
일회 사용하기 위한 어설션을 구성하려면
  1. 서비스 공급자 개체에 대한 "일반" 설정으로 이동합니다.
  2. "고급 SSO 구성" 섹션에서 "OneTimeUse 조건 설정"을 선택합니다.
  3. 제출을 클릭합니다.
IdP의 HTTP 오류 처리
다양한 이유로 아이덴티티 공급자에서 어설션 기반 싱글 사인온이 실패할 수 있습니다. HTTP 오류가 발생하면 추가 처리를 위해 사용자가 다른 응용 프로그램(URL)으로 리디렉션될 수 있습니다. 사용자 지정된 오류 페이지로의 리디렉션은 필요한 서비스 공급자 정보가 아이덴티티 공급자에게 있는 경우에만 발생할 수 있습니다. 요청의 정보를 사용할 수 없거나 해당 정보가 올바르지 않은 경우에는 HTTP 오류 코드만 브라우저에 반환됩니다. 리디렉션은 발생하지 않습니다.
예를 들어 요청의 IdP ID 또는 SP ID가 올바르지 않은 경우 리디렉션이 발생하지 않습니다.
HTTP 처리에 대한 리디렉션 URL을 구성할 수 있지만 이는 필수 사항이 아닙니다.
다음 단계를 수행하십시오.
  1. "일반" 설정으로 이동합니다.
  2. "고급 SSO 구성" 섹션에서 사용되도록 설정할 URL을 선택하고 URL을 입력합니다. 다음 오류 중 하나 이상에 대한 URL을 지정할 수 있습니다.
    • 서버 오류 URL 사용
    • 잘못된 요청 URL 사용
    • 권한 없는 액세스 URL 사용
  3. "모드"의 경우 다음 옵션 중 하나를 선택합니다.
    • 302 데이터 없음
    • HTTP POST
  4. 제출을 클릭합니다.
참고:
이러한 리디렉션 URL은 추가 어설션 처리를 위해 어설션 소비자 플러그인과 함께 사용될 수 있습니다. 어설션 요청이 실패하면 플러그인이 사용자를 구성된 리디렉션 URL 중 하나에 보낼 수 있습니다.
어설션의 세션 기간 사용자 지정
정책 서버 IdP가 어설션을 보내는 경우 기본적으로 SessionNotOnOrAfter 매개 변수가 어설션의 인증 문에 포함됩니다. 타사 SP가 SessionNotOnOrAfter 값을 사용하여 자체 시간 만료 값을 설정할 수 있습니다. 시간 만료 값은 사용자 세션이 무효화되어 IdP에서 다시 인증하기 위해 사용자를 보내는 시기를 결정합니다.
중요!
정책 서버가 SP로 작동하고 있는 경우 SessionNotOnOrAfter 값이 무시됩니다. 대신에 SP는 대상 리소스를 보호하도록 구성된 SAML 인증 체계에 해당하는 영역 시간 만료를 기반으로 세션 시간 만료를 설정합니다.
SessionNotOnOrAfter 매개 변수는 어설션 유효 기간과 차이 시간을 결정하는 데 사용되는 NotOnOrAfter 매개 변수와 다릅니다.
SessionNotOnOrAfter 매개 변수를 사용자 지정하려면
  1. UI에 로그온합니다.
  2. 수정할 서비스 공급자 항목을 선택합니다.
  3. "고급" 탭으로 이동합니다.
  4. 대화 상자의 "고급 SSO 구성" 섹션에서 "유효 기간 사용자 지정"을 선택합니다.
    "유효 기간 사용자 지정" 대화 상자가 표시됩니다.
  5. "SP 세션 유효 기간"에 대한 값을 선택합니다. 입력하는 값은 어설션의 SessionNotOnOrAfter 매개 변수 값입니다.
    옵션은 다음과 같습니다.
    • 어설션 유효성 사용
      어설션 유효 기간에 기반하여 SessionNotOnOrAfter 값을 계산합니다.
    • 생략
      IdP에게 SessionNotOnOrAfter 매개 변수를 어설션에 포함하지 않도록 지시합니다.
    • IDP 세션
      IdP 세션 시간 만료에 기반한 SessionNotOnOrAfter 값을 계산합니다. 시간 만료는 인증 URL에 대한 IdP 영역에서 구성됩니다. 이 옵션을 사용하면 IdP 및 SP 세션 시간 만료 값을 동기화할 수 있습니다.
    • 사용자 지정
      어설션의 SessionNotOnOrAfter 매개 변수에 대한 사용자 지정 값을 지정할 수 있습니다. 이 옵션을 선택하는 경우 "어설션 세션 기간 사용자 지정" 필드에 시간을 입력합니다.
  6. "확인"을 클릭하여 변경 내용을 저장합니다.