싱글 사인온 대화 상자(OAuth)
"싱글 사인온" 단계에서는 싱글 사인온 작업을 구성할 수 있습니다.
casso12kr
HID_partnership-sso-oauth
"싱글 사인온" 단계에서는 싱글 사인온 작업을 구성할 수 있습니다.
- 클라이언트 인증 ID(OAuth 2.0)클라이언트 응용 프로그램 등록이 성공할 때 인증 서버가 생성하는 클라이언트 ID를 정의합니다.
- 클라이언트 서버 및 클라이언트 암호 확인(OAuth 2.0)ClientID와 연결된 암호를 나타냅니다. 이 설정 값을 ClientID와 연결된 암호로 업데이트합니다. 권한 부여 서버에서는 응용 프로그램이 성공적으로 등록된 경우 이 값을 제공합니다.
- 소비자 키(OAuth 1.0a)클라이언트 응용 프로그램 등록이 성공할 때 인증 서버가 생성하는 소비자 키를 정의합니다.
- 소비자 암호 및 소비자 암호 확인(OAuth 1.0a)소비자 키의 암호 값을 정의합니다.
- 권한 부여 서비스 URL이 공급자의 권한 부여 서버 끝점 URL을 제공합니다. 이 URL은 사용자를 성공적으로 인증한 후 권한 부여 토큰을 생성해야 합니다.예를 들어 Google의 권한 부여 URL은 https://accounts.google.com/o/oauth2/auth입니다.
- 권한 부여 헤더 지원(OAuth 2.0)권한 부여 서버가 권한 부여 헤더에서 클라이언트 자격 증명을 검사해야 하는지 여부를 지정합니다. 이 옵션을 선택하면 시스템은 권한 부여 헤더로 클라이언트 자격 증명을 보냅니다. 이 옵션을 선택하지 않으면 시스템은 클라이언트 ID와 클라이언트 암호를 사용하여 요청 본문으로 클라이언트 자격 증명을 보냅니다.중요!OAuth 2.0에서는 암호 기반 HTTP 인증 체계를 직접 사용할 수 없는 경우를 제외하고, 요청 본문으로 클라이언트 자격 증명을 보내지 않는 것이 좋습니다.
- 원격 서버 시간 만료OAuth 클라이언트가 OAuth 권한 부여 서버의 응답을 기다려야 하는 최대 시간을 정의합니다.
- 액세스 토큰 서비스 URL액세스 토큰 끝점 URL을 제공합니다. 사용자는 응용 프로그램 구성 상세 정보와 함께 권한 부여 코드를 교환하여 액세스 토큰에 대해 쿼리할 수 있습니다.예를 들어 Google의 액세스 토큰 URL은 https://accounts.google.com/o/oauth2/token입니다.
- 액세스 토큰 유형 유효성 검사(OAuth 2.0)OAuth 인증 서버에서 전송되는 액세스 토큰의 유형을 지원되는 액세스 토큰 유형과 비교하여 유효성을 검사해야 하는지를 지정합니다.
- 액세스 토큰 쿼리 매개 변수아이덴티티 공급자가 액세스 토큰 요청에 대해 보내는 액세스 토큰을 나타냅니다.
- 지원되는 액세스 토큰 유형(OAuth 2.0)지원되는 액세스 토큰 유형을 지정합니다. "행 추가" 옵션을 사용하여 지원되는 액세스 토큰 유형을 추가할 수 있습니다.중요!인증 서버가 사용하는 토큰 유형을 보고하지 않는 경우 OAuth에서는 권한 부여 서버에 대한 지원되는 액세스 토큰 유형 값을 구성하지 않는 것이 좋습니다.
- Authz 서버 오프셋(초) (OAuth 1.0a)권한 부여 서버의 시간과 동기화하기 위해 로컬 컴퓨터 시간을 오프셋할 시간을 정의합니다.
- 보호 수준동일한 정책 도메인 내에서 보호 수준이 같거나 낮은 인증 체계에 대해 싱글 사인온을 허용합니다. 보호 수준이 더 높은 체계를 사용하는 리소스에 액세스하려면 보호 수준에 대한 추가 인증이 필요합니다.값:1~1000인증 체계에는 기본 보호 수준이 있으며, 이 수준은 변경할 수 있습니다. 중요한 리소스에는 높은 보호 수준을 사용하고 일반적으로 액세스 가능한 리소스에는 낮은 수준 체계를 사용하십시오.
- 동기 감사 사용CA Single Sign-on가 리소스에 대한 액세스를 허용하기 전에 정책 서버 및 웹 에이전트 작업을 기록해야 함을 나타냅니다.CA Single Sign-on은 작업이 감사 로그에 로깅될 때까지 영역 리소스에 대한 액세스를 허용하지 않습니다.
- 영구 세션 사용(선택 사항) 사용자 세션이 추적되고 세션 저장소 및 쿠키에 저장되도록 지정합니다. 정책 서버는 이 정보에 액세스하여 인증 결정에 사용할 수 있습니다.영구 세션을 사용하려면 이 확인란을 선택하십시오. 싱글 로그아웃 및 단일 사용 정책 기능의 경우 이 확인란을 선택해야 합니다.중요!이 확인란을 표시하려면CA Single Sign-on정책 서버 관리 콘솔을 사용하여 세션 서버가 사용되도록 설정하십시오.
- 유효성 검사 기간이 확인란을 표시하려면 정책 서버 관리 콘솔을 사용하여 세션 서버가 사용되도록 설정하십시오.세션의 유효성을 검사하기 위해 에이전트가 정책 서버를 호출하는 최대 간격 기간을 결정합니다. 세션 유효성 검사 호출은 정책 서버에 사용자가 아직 활성 상태임을 알리고 사용자 세션이 아직 유효한지 확인합니다.유효성 검사 기간을 지정하려면 "시간", "분" 및 "초" 필드에 값을 입력하십시오. Windows 사용자 보안 컨텍스트를 제공하도록 시스템을 구성하려는 경우 이 값을 15분~30분의 높은 값으로 설정하십시오. 활성 세션이 에이전트의 최대 사용자 세션 캐시 값보다 작은 경우 에이전트는 세션의 유효성을 다시 검사할 필요가 없습니다.중요!세션 "유효성 검사 기간"은 지정된 "유휴 시간 만료" 값보다 작아야 합니다.