서명된 요청 및 응답 유효성 검사

정책 서버는 다음과 같은 서명된 메시지를 확인할 수 있습니다.
casso12kr
정책 서버는 다음과 같은 서명된 메시지를 확인할 수 있습니다.
  • SSO 인증 요청
  • 싱글 로그아웃 요청 및 응답
기본적으로 서명 처리는 사용되도록 설정되어 있는데, 이는 SAML 2.0 사양에 따라 필요하기 때문입니다. 프로덕션 환경에서 항상 서명 처리가 사용되도록 설정하십시오.
정책 서버는 항상 SAML 2.0 POST 응답과 싱글 로그아웃 요청에 서명합니다. 서명에는 관리 UI를 통한 구성이 필요하지 않습니다. 서명에 필요한 설정은 인증서 데이터 저장소에 서명 기관의 개인 키/인증서 쌍을 추가하는 것뿐입니다.
중요!
디버깅에만 사용할 경우 일시적으로 모든 서명 처리(서명 및 서명 확인 모두)가 사용되지 않도록 설정할 수 있습니다. "암호화 및 서명" 설정의 "서명" 섹션에서 "서명 처리 사용 안 함"을 선택하십시오.
서비스 공급자로부터 받은 AuthnRequest의 서명이나 싱글 로그아웃 요청 및 응답의 유효성을 검사하려면 관리 UI에서 구성 단계를 완료하십시오.
유효성 검사를 설정하려면
  1. 아이덴티티 공급자의 인증서 데이터 저장소에 공개 키를 추가합니다.
    공개 키는 서비스 공급자가 서명을 수행하는 데 사용한 개인 키 및 인증서에 해당해야 합니다.
  2. 관리 UI에서 다음 확인란 중 하나 또는 둘 모두를 선택합니다.
    • 서명된 AuthnRequest 필요("암호화 및 서명" 설정)
      이 확인란을 선택하면 아이덴티티 공급자가 서명된 authnrequest를 요구한 다음 IdP가 요청 서명의 유효성을 검사합니다. authnrequest가 서명되지 않은 경우 아이덴티티 공급자가 해당 요청을 거부합니다.
      중요
      : AuthnRequest에 서명하면 원치 않는 응답이 아이덴티티 공급자로부터 전송될 수 없습니다.
    • HTTP-리디렉션("SAML 프로필" 설정)
      이 확인란을 선택하면 아이덴티티 공급자가 SLO 요청 및 응답 서명의 유효성을 검사합니다.
  3. "발급자 DN" 및 "일련 번호" 필드("암호화 및 서명" 설정)에 데이터를 입력합니다.
    필드 값이 인증서 데이터 저장소에 있는 인증서와 일치해야 합니다. 인증서는 요청에 서명하는 기관의 개인 키/인증서 쌍에 해당하는 것입니다. 입력하는 값이 일치하는 값인지 확인하려면 인증서의 DN을 봅니다.
NameID 및 어설션 암호화
어설션에 있는 이름 ID나 어설션 자체를 암호화할 수 있습니다. 암호화를 수행하면 어설션을 전송할 때 보호 수준이 강화됩니다.
암호화를 구성하는 경우 파트너 인증서를 지정하십시오. 인증서는 어설션에 있습니다. 어설션이 서비스 공급자에 도달하면 서비스 공급자가 연결된 개인 키를 사용하여 암호화된 데이터의 암호를 해독합니다.
참고:
암호화가 사용되도록 설정하는 경우 첫 번째 페더레이션 호출로 인해 암호화 라이브러리를 로드하고 추가 메모리를 할당하기 위해 정책 서버 메모리가 증가할 수 있습니다.
암호화가 사용되도록 설정
암호화를 구현하려면
  1. 관리 UI에 로그인합니다.
  2. 구성할 서비스 공급자에 대한 "암호화 및 서명" 설정으로 이동합니다.
  3. 어설션 암호화에 대한 설정을 구성합니다.
    다음 조건을 확인합니다.
    • rsa-oaep를 암호화 키 알고리즘으로 선택하는 경우 필요한 최소 키 크기는 1024 비트입니다.
    • aes-256 비트 암호화 블록 알고리즘을 사용하려면 Sun JCE(Java Cryptography Extension) Unlimited Strength Jurisdiction Policy Files를 설치합니다. 이 파일은 http://java.sun.com/javase/downloads/index.jsp에서 다운로드할 수 있습니다.
    • "IssuerDN" 및 "일련 번호" 필드의 경우 IssuerDN은 인증서 발급자의 DN 및 연결된 일련 번호입니다. 이 정보를 사용하여 인증서 데이터 저장소에 있는 서비스 공급자의 인증서를 찾을 수 있습니다. 서비스 공급자가 이 데이터를 제공합니다.
      입력하는 IssuerDN 및 일련 번호는 아이덴티티 공급자의 인증서 데이터 저장소에 저장된 키/인증서 쌍의 IssuerDN 및 일련 번호와 일치해야 합니다.
  4. "제출"을 클릭하여 변경 내용을 저장합니다.