SSO 및 SLO 대화 상자(SAML 2.0 IdP)
"SSO 및 SLO" 단계에서는 Single Sign-On 및 Single Logout 작업을 구성할 수 있습니다.
casso12kr
HID_partnership-sso-asserting
"SSO 및 SLO" 단계에서는 Single Sign-On 및 Single Logout 작업을 구성할 수 있습니다.
2
인증(SAML 2.0 ldP)
"인증" 섹션에서는 Single Sign-On 트랜잭션 동안 사용자가 인증되는 방법을 지정할 수 있습니다. 사용자 세션이 없는 사용자를 인증하는 방법을 지정합니다.
이 섹션에는 다음 설정이 표시됩니다.
- 인증 모드사용자를 로컬로 인증하여 사용자 세션을 설정하는지 아니면 원격 타사 액세스 관리 시스템에 인증을 위임하여 사용자 세션을 설정하는지를 나타냅니다.기본값:로컬옵션: 다음 옵션 중 하나를 선택하고 해당 옵션에 대한 모든 추가 필드를 구성합니다.
- 로컬 - 페더레이션 시스템에서 사용자 인증을 처리합니다."인증 모드" 필드에서 "로컬"을 선택할 경우 "인증 URL" 필드에 URL을 입력하십시오. URL은 일반적으로 redirect.jsp 파일을 가리키지만보안 URL 사용확인란을 선택한 경우에는 URL이 secureredirect 웹 서비스를 가리켜야 합니다.인증 URL페더레이션이 사용자를 인증하고 보호된 리소스가 요청될 때 세션을 생성하는 데 사용하는 보호된 URL을 지정합니다. 인증 모드가 로컬로 설정되어 있고 사용자가 어설션 당사자에서 로그인하지 않은 경우 사용자는 이 URL로 리디렉션됩니다.보안 URL 사용확인란을 선택하지 않은 경우 이 URL은 redirect.jsp 파일을 가리켜야 합니다.예: http://casso12krredirectjsp 폴더에 대한 다음 경로 중 하나를 리소스 필터로 사용하십시오. CA 웹 에이전트 옵션 팩 및 CA Access Gateway는 이 리소스 필터를 사용합니다.
- 직접 경로:/affwebservices/redirectjsp/
- 가상 경로:redirectjsp 폴더가 있는 서버의 경로입니다. 일반적인 가상 경로는 /siteminderagent/redirectjsp이며 웹 에이전트 옵션 팩 또는 Access Gateway를 사용하여 웹 에이전트를 구성할 때 설정됩니다. 가상 경로는 다음 가상 디렉터리를 가리킵니다.
- 웹 에이전트:web_agent_home/affwebservices/redirectjsp
- CA Access Gateway:access_gateway_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserver는 어설션 당사자에 웹 에이전트 옵션 팩이나CA Access Gateway가 설치된 웹 서버입니다. 이러한 제품에는 redirectjsp 응용 프로그램이 포함되어 있습니다.중요!액세스 제어 정책을 사용하여 인증 URL을 보호하십시오. 또한 해당 정책에 대해 인증 체계, 영역 및 규칙을 구성하십시오. 어설션에 세션 저장소 특성을 추가하려면 인증 체계의 설정인 "인증 세션 변수 유지" 확인란을 선택하십시오.보안 URL 사용이 설정을 사용하면 Single Sign-On 서비스가 SMPORTALURL 쿼리 매개 변수만 암호화하게 됩니다. 암호화된 SMPORTALURL은 악의적인 사용자가 값을 수정하고 인증된 사용자를 악의적인 웹 사이트로 리디렉션하지 못하게 합니다. 브라우저가 사용자를 리디렉션하여 세션을 설정하기 전에 인증 URL에 SMPORTALURL이 추가됩니다. 사용자가 인증된 후에는 브라우저가 사용자를 SMPORTALURL 쿼리 매개 변수에 지정된 대상으로 다시 리디렉션합니다."보안 URL 사용" 확인란을 선택한 경우 다음 단계를 수행하십시오.1. "인증 URL" 필드를 다음 URL로 설정합니다. http(s)://idp_server:port/affwebservices/secure/secureredirect2. 정책을 사용하여 secureredirect 웹 서비스를 보호합니다.어설션 당사자가 둘 이상의 신뢰 파트너에게 서비스를 제공하는 경우 어설션 당사자는 이러한 파트너별로 각기 다른 사용자를 인증할 수 있습니다. 따라서 secureredirect 서비스를 사용하는 각 인증 URL에 대해 이 웹 서비스를 각 파트너의 서로 다른 영역에 포함하십시오.secureredirect 서비스를 서로 다른 영역에 연결하려면 web.xml 파일을 수정하고 여러 리소스 매핑을 생성하십시오. secureredirect 웹 서비스를 서버의 여러 위치로 복사하지 마십시오.web_agent_home/affwebservices/WEB-INF 디렉터리에서 web.xml 파일을 찾으십시오. 여기서web_agent_home은 웹 에이전트가 설치된 위치입니다.
- 위임됨 - 타사 WAM(웹 액세스 관리) 시스템에서 사용자 인증을 처리합니다. 추가 필드를 기입합니다. 자세한 내용은 위임된 인증을 참조하십시오.
- 자격 증명 선택기 - 여러 아이덴티티 공급자가 나열되는 자격 증명 선택기 페이지가 사용자에게 표시됩니다. 아이덴티티 공급자는 소셜 미디어, WS-페더레이션, SAML 또는 OAuth 파트너일 수 있습니다. 사용자가 적절한 아이덴티티 공급자를 선택하고 해당 공급자가 사용자를 인증합니다. 허용되는 아이덴티티 공급자의 목록은 "인증 방법 그룹"에 정의되어 있습니다. 이러한 모든 파트너에 대해 사용자가 이미 해당 외부 파트너에 등록되어 있어야 합니다."자격 증명 선택기"를 선택하는 경우 다음 필드를 작성하십시오.인증 기준 URL- 자격 증명 처리 서비스가 설치된CA Access Gateway서버의 호스트 이름을 정의합니다. 다음 형식으로 값을 입력합니다. https:sps_hostname또는 http:sps_hostname인증 방법 그룹- 파트너 관계가 호출될 때 인증을 위해 사용자에게 표시되어야 하는 아이덴티티 공급자의 인증 방법 그룹을 지정합니다.
- casso12kr위임된 인증 유형(위임됨 모드에만 해당)타사 인증을 수행하기 위해 개방 형식 쿠키를 전달하는지 아니면 사용자 로그인 ID 및 기타 정보가 포함된 쿼리 문자열을 전달하는지를 지정합니다. 인증 모드로 "위임됨"을 선택한 경우에만 이 필드가 표시됩니다.옵션: 쿼리 문자열, 개방 형식 쿠키
- 쿼리 문자열-쿼리 문자열을 사용할 경우 타사는 리디렉션 문자열을 작성하고 LoginIDHash라는 쿼리 매개 변수를 이 문자열에 추가합니다. LoginIDHash 매개 변수는 사용자 로그인 ID와 공유 암호의 조합입니다. 이러한 두 값이 결합된 다음 해시 알고리즘을 통해 처리됩니다.중요!프로덕션 환경에서는 쿼리 문자열 방법을 사용하지 마십시오. 쿼리 문자열 리디렉션 방법은 테스트 환경에서 개념 증명용으로만 사용해야 합니다.참고:쿼리 문자열 옵션은 FIPS 호환 파트너 관계를 생성하지 않습니다.
- 개방 형식 쿠키 - 개방 형식 쿠키를 사용할 경우 타사 시스템은CA SiteMinder® FederationJava 또는 .NET SDK를 사용하여 쿠키를 생성할 수 있습니다. 또는 프로그래밍 언어를 사용하여 쿠키를 수동으로 생성합니다. 타사는 사용자 ID를 검색하는 페더레이션 시스템으로 브라우저를 리디렉션합니다.
- 위임된 인증 URL(위임됨 모드에만 해당)사용자 인증을 처리하는 타사 웹 액세스 관리 시스템의 URL을 지정합니다. 사용자가 로컬 시스템에서 요청을 시작하는 경우 사용자는 인증을 위해 웹 액세스 관리 시스템으로 리디렉션됩니다. 성공적인 인증 후 사용자는 로컬 시스템으로 다시 리디렉션됩니다.사용자가 먼저 웹 액세스 관리 시스템에서 요청을 시작하는 경우 이 URL은 관련이 없습니다.값:http:// 또는 https://로 시작하는 유효한 URL
- casso12kr위임된 인증 상태 추적위임된 인증이 성공했는지 여부를 추적합니다. 위임된 인증이 실패하면 이 설정이 페더레이션 시스템의 동작을 결정합니다. 기본적으로 이 확인란은 선택되어 있습니다. 위임된 인증에 대해 구성된 보호된 리소스를 액세스할 때 사용자가 자격 증명을 제공하지 않으면 위임된 인증이 실패합니다. 사용자가 동일한 브라우저 세션에서 리소스를 다시 액세스하려고 시도하면 브라우저는 404 오류를 표시합니다. 또한, 페더레이션 시스템은 affwebservices.log 및 FWSTrace.log 파일에 오류 메시지를 기록합니다. 이 오류 메시지는 위임된 인증의 자격 증명이 누락되었음을 나타냅니다. 페더레이션 시스템은 자격 증명을 제공하도록 사용자를 위임된 인증 URL로 다시 리디렉션하지 않습니다.페더레이션 시스템이 동일한 브라우저 세션에서 사용자를 위임된 인증 URL로 다시 리디렉션하도록 하려면 이 확인란의 선택을 취소하십시오. 추적을 비활성화하면 404 오류가 표시되지 않고 사용자가 동일한 브라우저 세션에서 리소스에 대한 액세스를 다시 시도할 수 있습니다. 대신, 페더레이션 시스템은 브라우저를 위임된 인증 URL로 리디렉션합니다. 사용자는 다시 자격 증명의 제출을 요청받습니다.
- 위임된 인증에 대한 쿼리 문자열 매개 변수"위임된 인증 유형" 필드에서 "쿼리 문자열"을 선택하는 경우 다음 추가 설정을 완료하십시오.
- 해시 암호LoginIDHash 쿼리 매개 변수를 생성하기 위해 사용자 로그인 ID에 추가되는 공유 암호를 결정합니다. 위임된 인증 유형으로 쿼리 문자열 옵션을 선택하는 경우에만 이 설정이 적용됩니다.
- 해시 암호 확인해시 암호를 확인합니다. 해시 암호 값을 다시 입력합니다.
- 위임된 인증에 대한 개방 형식 쿠키 매개 변수개방 형식 쿠키를 선택하는 경우 사용자가 HTTP 302 리디렉션을 통해 타사 응용 프로그램으로 리디렉션됩니다. 타사 WAM 시스템은 사용자를 인증하고 해당 사용자 자격 증명을 개방 형식 쿠키에 포함하여 어설션 당사자 측의 CA SSO와 공유합니다.위임된 인증에 대해 개방 형식 쿠키 옵션을 선택하는 경우 다음과 같은 추가 필드가 표시됩니다.개방 형식 쿠키 이름쿠키 이름을 지정합니다.암호화 변환개방 형식 쿠키의 암호를 해독하는 데 사용해야 하는 암호화 변환을 나타냅니다. 타사 WAM 시스템이 개방 형식 쿠키를 암호화하는 데 사용한 것과 동일한 값을 사용하십시오.암호화 암호쿠키의 암호를 해독하는 데 사용되는 암호를 나타냅니다. 타사 WAM 시스템이 개방 형식 쿠키를 암호화하는 데 사용한 것과 동일한 값을 사용하십시오.암호 확인암호화 암호 항목을 확인합니다.HMAC 사용소프트웨어에서 이 대화 상자에 제공된 암호화 암호를 사용하여 HMAC(해시 메시지 인증 코드)를 생성함을 나타냅니다.MAC(메시지 인증 코드)는 두 당사자 간에 전송되는 정보의 무결성을 확인할 수 있습니다. 두 당사자는 메시지 인증 값의 계산 및 확인을 위해 암호 키를 공유합니다. HMAC(해시 메시지 인증 코드)는 암호화 해시 함수를 기반으로 하는 MAC 메커니즘입니다."HMAC 사용" 확인란을 선택하는 경우 시스템에서는 개방 형식 쿠키에 대한 HMAC 값을 생성합니다. 소프트웨어에서 개방 형식 쿠키 값 앞에 HMAC 값을 추가한 다음 전체 문자열을 암호화합니다. 시스템은 암호화된 문자열을 개방 형식 쿠키에 저장합니다. 그러면 이 쿠키가 대상 응용 프로그램에 전달됩니다.쿠키 차이 시간(초)시스템 클록의 차이를 처리하기 위해 현재 시스템 시간에서 차감되는 시간(초)을 지정합니다. 페더레이션 시스템과 위임된 인증을 처리하는 타사 응용 프로그램 간에 이러한 차이가 발생합니다. 차이 시간이 개방 형식 쿠키의 생성 및 소비에 적용됩니다.값:값을 초 단위로 입력합니다.개방 형식 쿠키 값으로 인증 클래스 무시구성된 인증 클래스 URI를 원격 타사 액세스 관리 시스템이 어설션에 포함하여 SP에 전송한 URI로 재정의하려면 이 확인란을 선택하십시오.
- 인증 클래스페더레이션된 사용자가 인증되는 방법을 설명하는 어설션의 AuthnContextClassRef 요소에 제공되는 URI을 지정합니다. 사용자가 로컬로 인증될 경우 "암호"에 기본 URI를 적용합니다. 사용자가 원격 타사 액세스 관리 시스템에 의해 인증되는 경우 인증 방법을 반영하도록 이 필드를 편집합니다.기본값:urn:oasis:names:tc:SAML:2.0:ac:classes:Password로컬 인증 모드 값:urn:oasis:names:tc:SAML:2.0:ac:classes:Password위임된 인증 모드 값:SAML 사양에 정의된 AuthnContextClassRef 요소의 유효한 URI
- AuthnContext 구성아이덴티티 공급자가 어설션에 저장하는 인증 컨텍스트를 결정하는 데 사용하는 방법을 정의합니다. 옵션은 다음과 같습니다.
- 미리 정의된 인증 클래스 사용아이덴티티 공급자가 어설션에서 하드 코딩된 인증 클래스 URI를 사용하도록 지시합니다. 이 URI는 "인증 클래스" 필드에 지정된 값입니다. 이 옵션을 선택하는 경우 다음 필드를 구성하십시오.인증 클래스페더레이션된 사용자가 인증되는 방법을 설명하는 어설션의 AuthnContextClassRef 요소에 제공되는 URI을 지정합니다. "암호"에는 기본 URI를 적용합니다.기본값:urn:oasis:names:tc:SAML:2.0:ac:classes:Password
- 인증 클래스 자동 검색아이덴티티 공급자가 구성된 인증 컨텍스트 템플릿을 기반으로 하는 세션의 보호 수준에 AuthnContext 클래스를 매핑하도록 지시합니다. 이 옵션을 선택한 경우 "인증 컨텍스트 템플릿" 필드를 구성하십시오. 이 설정은 아이덴티티 공급자가 지정된 사용자 세션의 연관된 보호 수준에 인증 컨텍스트를 매핑하는 데 사용하는 템플릿을 식별합니다. 기존 템플릿을 선택하지 않고 새로 템플릿을 생성하려면 "템플릿 만들기"를 선택합니다.
- 요청된 AuthnContext 무시아이덴티티 공급자가 서비스 공급자로부터 받는 인증 요청의 <RequestedAuthnContext> 요소를 무시하도록 지시합니다. 아이덴티티 공급자는 미리 정의된 인증 클래스 또는 인증 컨텍스트 템플릿을 사용하여 인증 컨텍스트를 결정합니다.
- 유휴 시간 만료(시간:분)페더레이션 시스템이 세션을 종료하기 전에 권한이 부여된 사용자 세션이 비활성 상태로 유지될 수 있는 시간을 결정합니다. 사용자가 보호되는 리소스에 액세스한 후 워크스테이션에서 벗어나는 것이 염려될 경우 유휴 시간 만료를 더 짧은 기간으로 설정하십시오. 세션 시간이 만료되면 사용자는 재인증해야만 리소스에 다시 액세스할 수 있습니다.이 설정은 기본적으로 사용되도록 설정되어 있습니다. 세션 유휴 시간 만료를 지정하지 않으려면 확인란의 선택을 취소하십시오. 세션 유휴 시간 만료 기본값은 1시간입니다.기본값:1시간
- 시간유휴 시간 만료 기간의 시간을 지정합니다.
- 분유휴 시간 만료 기간의 분을 지정합니다.
- 최대 시간 만료(시간:분)페더레이션 시스템이 사용자에게 재인증을 요청하기 전에 사용자 세션이 활성으로 유지될 수 있는 최대 시간을 결정합니다.이 설정은 기본적으로 사용되도록 설정되어 있습니다. 최대 세션 길이를 지정하지 않으려면 확인란의 선택을 취소하십시오.기본값: 2시간
- 시간최대 세션 길이의 시간을 지정합니다.
- 분최대 세션 길이의 분을 지정합니다.
- ForceAuthn의 세션 업데이트현재 세션 시작 시간, 최대 및 유휴 시간 만료로 어설션을 업데이트하려면 이 확인란을 선택합니다. SP가 자격 증명을 요청한 경우 및 인증 요청에 강제 인증 쿼리 매개 변수가 포함된 경우 이 확인란이 유효합니다.이 설정은 기본적으로 선택되지 않습니다. 어설션을 생성할 때는 원래 세션 시작 시간 및 시간 만료가 사용됩니다.
- 고급 세션 보증 사용영역(정책 도메인 모델) 또는 구성 요소(응용 프로그램 모델)에 지정된 리소스를 보호하려면 이 확인란을 선택합니다. 특정 페더레이션 파트너 관계의 인증 요청을 보호할 수도 있습니다. 세션 보증 끝점은 사용자로부터 DeviceDNA™를 수집하여 세션의 유효성을 검사합니다. 이 기능에는 세션 보증 끝점이 필요합니다.
SSO(SAML 2.0 IdP)
SSO 섹션에서는 SSO(Single Sign-On)를 구성할 수 있습니다. 이 섹션에는 다음 설정이 표시됩니다.
- 인증 요청 바인딩IdP가 SP로부터 인증 요청을 받을 때 허용하는 바인딩 유형을 지정합니다.옵션: HTTP-리디렉션, HTTP-POST
- SSO 바인딩요청을 처리하는 데 사용되는 Single Sign-On 프로필을 결정합니다. 모든 바인딩을 선택할 수 있으며, 로컬 엔터티에 따라 바인딩이 시도되는 순서가 결정됩니다.옵션:HTTP-아티팩트, HTTP-POST, 향상된 클라이언트 및 프록시이 설정에 대한 지침:
- 아티팩트 바인딩을 선택하는 경우에는 아티팩트 인코딩("URL" 또는 "양식")을 선택합니다. 인코딩에 따라 아티팩트가 신뢰 당사자로 반환되는 방식이 정의됩니다. "URL" 옵션을 선택하는 경우 아티팩트가 URL의 쿼리 매개 변수로 반환됩니다. "양식"을 선택하는 경우 아티팩트가 양식 데이터로 게시됩니다. 아티팩트 바인딩의 경우 어설션이 보안 백 채널을 통해 전송됩니다. 따라서 "백 채널" 섹션에서 설정을 구성하십시오.
- SSO 바인딩을 선택하는 경우 일치하는 바인딩을 사용하는 어설션 소비자 서비스를 하나 이상 구성하십시오.
- 파트너 관계의 엔터티가 향상된 클라이언트를 통해 간접적으로 통신하는 경우 ECP 프로필을 선택합니다. 향상된 클라이언트는 브라우저나 다른 사용자 에이전트 또는 향상된 프록시(예: 무선 장치의 무선 프록시)일 수 있습니다.
- casso12kr아티팩트 보호 유형HTTP-아티팩트 싱글 사인온에 대한 백 채널이 보호되는 방법을 정의합니다. 레거시 옵션은CA Single Sign-on가 백 채널을 보호함을 나타냅니다. 파트너 관계 옵션은CA Single Sign-on내의 페더레이션 구성 요소가 백 채널을 보호함을 나타냅니다.eTrust SiteMinder FSS구성을 다시 생성하는 경우 백 채널을 보호하는 원래 방법을 사용할 수 있습니다. 레거시 옵션을 사용하면 구성에서 어설션 검색 서비스(SAML 1.x) 또는 아티팩트 레졸루션 서비스(SAML 2.0)의 기존 URL을 사용할 수 있습니다. 레거시를 옵션으로 선택하면CA Single Sign-on에서는 요청을 수락합니다. URL은 수정할 필요가 없습니다. 아티팩트 서비스 URL을 레거시 구성에서 가져오지만 이 설정에서 파트너 관계 옵션만 선택하는 경우CA Single Sign-on은 요청을 거부합니다.중요!레거시 옵션을 사용하는 경우 아티팩트 서비스를 보호하는 정책을 적용해야 합니다. 이 정책은 페더레이션 웹 서비스의 구성 요소입니다.CA Single Sign-on은 페더레이션 웹 서비스의 정책을 자동으로 생성하지만 이러한 정책의 보호를 직접 적용해야 합니다. 아티팩트를 검색하는 서비스에 대한 액세스가 허용되는 파트너 관계를 지정해야 합니다.옵션:레거시, 파트너 관계
- 아티팩트 인코딩HTTP-아티팩트 Single Sign-On의 신뢰 당사자로 전송될 때 아티팩트가 인코딩되는 방법을 지정합니다.옵션:URL, 양식"URL"을 선택하면 아티팩트가 URL로 인코딩된 쿼리 문자열에 추가됩니다. "양식"을 선택하면 아티팩트가 양식의 숨겨진 양식 컨트롤에 추가됩니다.
- 대상자대상자의 URL을 지정합니다. 대상자 URL은 어설션 당사자와 신뢰 당사자 간의 비즈니스 계약 조건을 설명하는 문서의 위치를 식별합니다. 어설션 당사자의 관리자가 대상자를 결정합니다. 이 값은 신뢰 당사자에서 지정된 "대상자" 값과 일치해야 합니다.값:URL.대상자 값은 1024자를 초과할 수 없으며 대/소문자를 구분합니다.예:http://www.ca.com/fedserver
- 인증 요청에서 ACS URL 수락시스템이 신뢰 당사자로부터 받은 인증 요청에서 어설션 소비자 서비스 URL을 수락 및 처리하도록 합니다. URL이 있고 유효하며 메타데이터에 있음을 확인하려면 이 확인란을 선택하십시오.
- 트랜잭션 허용됨Single Sign-On을 시작할 수 있는 파트너를 나타냅니다. Single Sign-On을 시작하는 파트너를 제어하면 페더레이션 호출을 관리할 수 있습니다. "SP 시작만" 값의 경우 SP는 어설션에서 반환된 특정 인증 컨텍스트가 있어야만 리소스에 대한 액세스가 허용됩니다.
- SSO 유효 기간(초)생성된 어설션이 유효한 시간(초)을 지정합니다. 참고: "SSO 유효 기간"과 "차이 시간"은 정책 서버에 Single Sign-On 요청이 유효한 총 시간을 계산하는 방법을 알려 줍니다. 테스트 환경에서 추적 로그에 다음 메시지가 있는 경우 유효 기간 값을 60(기본값) 이상으로 늘릴 수 있습니다.Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)값:양의 정수를 입력합니다.기본값:60
- 권장되는 SP 세션 기간SP의 세션이 활성 상태를 유지하는 기간을 지정합니다.어설션의 <AuthnStatement>에서 정책 서버는 현재 시간 + 유효 기간 + 차이 시간 수식을 사용하여 SessionNotOnOrAfter 특성을 계산합니다. SP가 세션 시간 만료를 이 값으로 설정하려고 하면 세션이 너무 짧습니다. SSO 유효 기간 값을 사용하거나 SessionNotOnOrAfter 값을 조작하여 이 문제를 해결할 수 있습니다.옵션:
- 어설션 유효성 사용SSO 유효 기간 설정을 기반으로 하는 SessionNotOnOrAfter 값을 계산합니다.
- Customize Assertion Session Duration(어설션 세션 기간 사용자 지정)다음 옵션 중 하나를 선택하십시오.생략- IdP에 SessionNotOnOrAfter 매개 변수를 어설션에 포함하지 않도록 지시합니다.IDP 세션- IdP 세션 시간 만료에 기반한 SessionNotOnOrAfter 값을 계산합니다. 시간 만료는 인증 URL에 대한 IdP 영역에서 구성됩니다. 이 옵션을 사용하면 IdP 및 SP 세션 시간 만료 값을 동기화할 수 있습니다.사용자 지정- 시간 만료를 사용자 지정된 값(시간 및 분)으로 설정합니다.
- 부정적 인증 응답 사용사용자 인증 요청이 실패하는 경우 서비스 공급자가 알림을 받도록 지정합니다.
- 사용자 동의 사용사용자 개인 정보를 보다 안전하게 보호하기 위해 사용자 동의를 얻어야만 어설션 당사자가 아이덴티티 정보를 SP와 공유하도록 할 수 있습니다. "사용자 동의 사용" 확인란을 선택하는 경우 어설션 당사자는 사용자의 동의를 묻는 메시지를 표시합니다. 어설션 당사자는 어설션에서 해당 값을 전달합니다.이 확인란이 사용되도록 설정하면 다음 두 필드가 표시됩니다.
- 사용자 동의 서비스 URL어설션 당사자의 사용자 동의 서비스 URL을 지정합니다. 기본값은 http://idp_site:8999/affwebservices/public/saml2userconsent입니다.
- 사용자 동의 Post 양식사용자 동의를 위한 사용자 지정 자동 POST HTML 양식의 이름을 지정합니다. 양식 이름만 입력하고 양식 경로는 입력하지 마십시오. 사용자는 어설션 당사자가 동의를 얻기 위해 사용자에 제공하는 HTML 양식을 구성할 수 있습니다. 이 양식은 사용자의 비즈니스 요구에 맞게 사용자 지정할 수 있습니다.실제 페이지는 %NETE_WA_ROOT%\customization 디렉터리에 있어야 합니다. 여기서 %NETE_WA_ROOT%는 웹 에이전트 옵션 팩의 위치입니다. 웹 에이전트와 웹 에이전트 옵션 팩을 동일한 시스템에 설치하는 경우 동일한 디렉터리(예: webagent\customization)에 설치됩니다.
- 최소 인증 수준영역에 액세스하기 위해 사용자가 인증되어야 하는 최소 수준을 지정합니다. 사용자가 이 수준 이상에서 인증된 경우 아이덴티티 공급자는 사용자의 어설션을 생성합니다. 이 수준 이상에서 인증되지 않은 사용자는 이 수준에서 인증되도록 "인증 URL"로 리디렉션됩니다.
- 사용자 지정 Post 양식HTTP-POST Single Sign-On에 대한 사용자 지정 자동 POST HTML 양식의 이름을 지정합니다. 양식 이름만 입력하고 양식 경로는 입력하지 마십시오. 정책 서버는 defaultpostform.html이라는 양식을 제공합니다. 사용자 지정 자동 POST를 사용하면 정책 서버가 SAML 정보를 소비자로 보낼 수 있습니다. 실제 페이지는 %NETE_WA_ROOT%\customization 디렉터리에 있어야 합니다. 여기서 %NETE_WA_ROOT%는 웹 에이전트 옵션 팩의 위치입니다. 웹 에이전트와 웹 에이전트 옵션 팩을 동일한 시스템에 설치하는 경우 동일한 디렉터리(예: webagent\customization)에 설치됩니다.
- 유효성 검사 기간이 확인란을 표시하려면 정책 서버 관리 콘솔을 사용하여 세션 서버가 사용되도록 설정하십시오.세션의 유효성을 검사하기 위해 에이전트가 정책 서버를 호출하는 최대 간격 기간을 결정합니다. 세션 유효성 검사 호출은 정책 서버에 사용자가 아직 활성 상태임을 알리고 사용자 세션이 아직 유효한지 확인합니다. 유효성 검사 기간을 지정하려면 "시간", "분" 및 "초" 필드에 값을 입력하십시오. Windows 사용자 보안 컨텍스트를 제공하도록 시스템을 구성하려는 경우 이 값을 15분~30분의 높은 값으로 설정하십시오.중요!세션 "유효성 검사 기간"은 지정된 "유휴 시간 만료" 값보다 작아야 합니다.
- OneTimeUseCondition 설정SP가 어설션을 즉시 사용하고 나중에 사용하기 위해 유지하지 않도록 지시합니다. 어설션이 일회용으로만 사용됩니다. 어설션의 정보는 변경되거나 만료될 수 있지만 SP는 최신 정보가 포함된 어설션을 사용하므로 OneTimeUse 조건은 유용합니다. SP는 어설션을 다시 사용하지 않고 IdP에서 새 어설션을 요청해야 합니다.
- 어설션 소비자 URL이 섹션에서는 어설션 소비자 서비스 URL의 인덱스 값을 할당할 수 있습니다. 인덱스 번호를 할당하면 프로토콜 바인딩마다 각기 다른 어설션 소비자 서비스 항목을 사용할 수 있습니다. 신뢰 당사자는 어설션 당사자에게 보내는 AuthnRequest에 해당 URL의 인덱스 번호를 포함하면 됩니다.이 섹션의 테이블에는 다음과 같은 필드가 있습니다.
- 인덱스신뢰 당사자의 어설션 소비자 서비스 URL에 대한 인덱스 번호를 지정합니다.기본값: 0값: 0~65535 사이의 고유한 정수
- 바인딩어설션 소비자 서비스에 사용하고 있는 Single Sign-On 바인딩을 지정합니다.원치 않는 요청으로 어설션 당사자에서 Single Sign-On이 시작될 수 있습니다. 요청을 트리거하는 링크에 ProtocolBinding 쿼리 매개 변수가 포함된 경우 이 쿼리 매개 변수에 지정된 바인딩이 이 필드의 값을 재정의합니다.기본값:HTTP-POST옵션: HTTP-Artifact, HTTP-POST, PAOS
- URL신뢰 당사자의 어설션 소비자 서비스 URL을 지정합니다.기본값(: http://CA Single Sign-on가 SP인 경우)sp_server:port/affwebservices/public/saml2assertionconsumer
- 기본값(선택 사항) 선택한 URL이 기본 항목으로 사용됨을 나타냅니다. 기본값으로 사용할 항목 옆의 확인란을 선택합니다.
SLO(SAML 2.0 IdP)
"SLO" 섹션에서는 SLO(Single Logout)를 구성할 수 있습니다. 이 섹션에는 다음 설정이 표시됩니다.
- SLO 바인딩어설션 당사자에서 Single Logout 프로필이 사용되는지 여부 및 어떤 바인딩이 사용되고 있는지를 지정합니다. HTTP-리디렉션 바인딩은 HTTP GET 요청을 사용하여 SLO 메시지를 보냅니다. SOAP 바인딩은 초기 요청 후에는 HTTP를 사용하지 않고 메시지를 백 채널을 통해 보냅니다.옵션: HTTP-리디렉션, HTTP-POST, SOAP
- SLO 확인 URLSingle Logout 프로세스가 완료될 때 사용자가 리디렉션되는 URL을 지정합니다. 일반적으로 확인 URL은 Single Logout을 시작한 사이트의 위치를 가리킵니다. SLO가 사용자 사이트에서 시작된 경우 이 URL이 사용됩니다. URL 리소스는 사이트에서 액세스할 수 있는 로컬 리소스여야 하며 페더레이션된 파트너 도메인의 리소스이면 안 됩니다. 예를 들어 로컬 도메인이 acme.com이고 파트너가 example.com인 경우 "SLO 확인 URL"은 acme.com에 있어야 합니다.값:유효한 URL
- SLO 유효 기간(초)SLO 요청이 유효한 시간(초)을 지정합니다.기본값:60초값:양의 정수
- 릴레이 상태가 SLO 확인 URL 무시(HTTP-리디렉션에만 해당)"SLO 확인 URL" 필드의 URL을 Single Logout 요청에 포함된 릴레이 상태 쿼리 매개 변수 값으로 대체합니다. 이 확인란을 사용하면 Single Logout 확인 대상을 더 세부적으로 제어할 수 있습니다. 릴레이 상태 쿼리 매개 변수를 사용하여 SLO 요청의 확인 URL을 동적으로 정의할 수 있습니다.
- 세션 인덱스 재사용CA Single Sign-on이 단일 브라우저 세션에서 동일한 파트너에 대한 어설션에 동일한 세션 인덱스를 포함하여 보내는지 여부를 나타냅니다. 사용자는 동일한 브라우저 창을 사용하여 동일한 파트너와 여러 번 페더레이션할 수 있습니다. 이 옵션을 선택하면 IdP가 각 어설션에서 동일한 세션 인덱스를 보내도록 지시합니다. 이 옵션을 비활성화하면CA Single Sign-on은 Single Sign-On이 발생할 때마다 새 세션 인덱스를 생성합니다.이 옵션이 사용되도록 설정하면 새 어설션에서 전달된 세션 인덱스를 따르지 않는 타사 파트너와의 Single Logout을 지원할 수 있습니다.참고:이 설정은 Single Logout이 사용되도록 설정한 경우에만 적용됩니다.
- SLO 서비스 URL사용 가능한 SLO 서비스 URL을 나열합니다. 이 테이블에는 다음 항목이 포함되어 있습니다.
- 특성 섹션에서이 값이 "SLO 서비스 URL"의 항목임을 나타냅니다.
- 바인딩SLO 연결에 대한 바인딩을 나타냅니다.옵션:HTTP-리디렉션, SOAP
- 위치 URLSingle Logout 요청이 전송되는 원격 파트너의 Single Logout 서비스 URL을 지정합니다.값:유효한 URL페더레이션 시스템이 원격 SP에 있는 경우 다음 URL을 사용하십시오.HTTP-리디렉션 바인딩:http://sp_host:port/affwebservices/public/saml2sloHTTP-POST 바인딩:http://sp_host:port/affwebservices/public/saml2sloSOAP 바인딩:http://sp_host:port/affwebservices/public/saml2slosoap타사 페더레이션 제품이 SP에 있는 경우 해당 제품에 적절한 URL을 사용하십시오.
- 응답 위치 URL(선택 사항) 엔터티의 Single Logout 서비스 URL을 지정합니다. Single Logout 요청에 대한 서비스와 Single Logout 응답에 대한 서비스가 하나씩 있는 구성에서 응답 위치 URL이 사용됩니다. 기본적으로 위치 URL만 제공된 경우 이 URL이 요청과 응답에 사용됩니다.값:유효한 URL
이름 ID 관리 서비스
이 섹션은 "이름 ID 관리 서비스"를 구성하기 위한 필드를 설명합니다.
- MNI 바인딩: SOAP이름 ID 관리 서비스를 활성화합니다. 바인딩은 SOAP만 지원됩니다. 이 옵션을 선택하면 "특성 및 이름 ID 서비스에 대한 사용자 조회" 섹션이 나타납니다. "사용자 지정" 필드에 사용자 디렉터리 검색 사양을 지정합니다. 정책 서버는 입력한 값을 사용하여 사용자 디렉터리에서 사용자 레코드를 찾는 방법을 확인할 수 있습니다. 다음과 같이 디렉터리 유형에 적합한 검색 문자열을 입력합니다.LDAP:uid=%sODBC:name=%s
- 이름 ID 암호화이름 ID를 암호화합니다.
- 암호화된 이름 ID 필요받은 메시지에서 암호화된 이름 ID가 요구됩니다.
- 서명 요청ManageNameID 요청 메시지에 서명합니다.
- 서명된 요청 필요서명된 ManageNameID 요청 메시지가 필요합니다.
- 서명 응답ManageNameId 응답 메시지에 서명합니다.
- 서명된 응답 필요서명된 ManageNameID 응답 메시지가 필요합니다.
- 이름 ID 삭제이 파트너 관계에 대한 사용자 이름 ID를 수록한 사용자 디렉터리 특성을 삭제합니다. 이 기능을 적용하려면 "이름 ID 삭제" 또는 "알림 사용"을 선택해야 합니다.
- SOAP 시간 만료(초)요청이 만료될 때까지 대기하는 시간(분)을 지정합니다.기본값: 60
- 다시 시도 횟수요청을 다시 시도할 횟수를 지정합니다.기본값: 3
- 다시 시도 경계(분)메시지 실패 시 다시 시도하기 전까지 대기하는 시간(분)을 지정합니다.기본값: 15
- (선택 사항) 알림 사용사용자가 종료되면Single Sign-On페더레이션 엔터티가 고객 응용 프로그램에 이를 알리도록 합니다. 알림 기능은 이름 ID 종료에 성공할 경우 백그라운드에서 이름 ID 서비스에 이를 알려 줍니다. 요청된 응용 프로그램을 소유하는 고객이 사용자 디렉터리에서 사용자 제거를 제어하고자 하는 경우 알림을 사용하도록 설정하십시오.
- 알림 URL로컬 페더레이션 엔터티가 페더레이션된 사용자의 이름 ID가 종료되었다는 알림을 보내는 데 사용하는 IdP 또는 SP의 URL을 지정합니다.
- 알림 시간 만료(초)알림 요청이 시간 만료될 때까지 대기할 시간(초)을 지정합니다.
- 알림 인증 유형종료를 전송할 때 고객에게 자격 증명이 필요한지 여부를 지정합니다. "Basic"을 선택하면 알림 서비스가 알림 URL을 통해 백그라운드에서 알림을 보냅니다. 고객 응용 프로그램은Single Sign-On페더레이션이 이 알림을 보낼 수 있는지를 인증할 수 있습니다. "Basic"을 선택할 경우 "사용자 이름 알림" 및 "알림 암호" 설정의 값을 지정하십시오. 이러한 값은 알림 채널을 통해 알림을 보낼 때 자격 증명으로 사용됩니다.옵션: NoAuth, Basic
- 사용자 이름 알림알림 서비스의 사용자 이름을 지정합니다. 이 이름은 알림 URL을 통해 통신하는 엔터티를 확인하기 위해 고객 응용 프로그램에서 사용되는 자격 증명의 일부입니다.
- 알림 암호알림 서비스의 암호를 지정합니다. 이 암호는 알림 URL을 통해 통신하는 엔터티를 확인하기 위해 고객 응용 프로그램에서 사용되는 자격 증명의 일부입니다. 고객 응용 프로그램에서는 유효한 클라이언트가 알림을 보내고 있는지 확인하기 위해 이 인증을 제공합니다.
- 알림 암호 확인알림 암호 값을 확인합니다.
백 채널(SAML 2.0 IdP)
casso12kr
"백 채널" 섹션에서는 백 채널을 통한 인증 방법을 구성합니다. 백 채널의 용도는 다음과 같은 조건에 따라 달라집니다.
- HTTP-아티팩트 싱글 사인온이 구성됨
- SOAP 바인딩을 사용하는 싱글 로그아웃이 구성됨
- 페더레이션 시스템이 아이덴티티 공급자 또는 서비스 공급자임
- 통신이 수신 또는 송신 채널을 통해 이루어짐
"백 채널" 섹션에는 다음과 같은 설정이 표시됩니다.
- 수신 구성/송신 구성선택한 바인딩에서 필요한 경우 수신 또는 송신 백 채널을 구성하십시오. 백 채널의 구성은 하나뿐입니다. 동일한 채널을 사용하는 두 서비스는 동일한 백 채널 구성을 사용합니다. 예를 들어 로컬 IdP에 대한 수신 채널은 HTTP-아티팩트 SSO와 SOAP 기반 SLO를 지원합니다. 이 두 서비스는 동일한 백 채널 구성을 사용해야 합니다.
- 인증 방법백 채널을 보호하는 인증 방법을 지정합니다.기본값:인증 없음옵션:기본, 클라이언트 인증서, 인증 없음기본기본 인증 체계가 백 채널을 통한 통신을 보호함을 나타냅니다.참고:백 채널 연결에 대해 SSL이 사용되도록 설정한 경우에도 기본 인증을 선택할 수 있습니다.기본 인증을 선택하는 경우 다음과 같은 추가 설정을 구성하십시오.
- 백 채널 사용자 이름(기본 인증 - 송신 채널만) 기본 인증을 사용하여 백 채널을 보호할 경우 SP의 사용자 이름을 지정합니다. 원격 IdP에서 구성된 파트너 관계의 이름을 입력하십시오. 예를 들어 원격 IdP에서 Partners1이라는 파트너 관계가 CompanyA(IdP)와 CompanyB(SP) 사이에 정의됩니다. 로컬 SP인 CompanyB에서 입력하는 값은 이 사용자 이름을 IdP의 관련 파트너 관계와 연결하는 Partners1입니다.
- 암호백 채널 사용자 이름의 사용자 암호를 지정합니다. 백 채널을 통한 인증 방법으로 기본 또는 SSL을 통한 기본 인증을 사용하는 경우에만 이 암호가 관련이 있습니다.두 파트너가 이 암호에 합의해야 합니다.
- 암호 확인암호 항목을 다시 확인합니다.
- 백 채널 시간 만료(초)(송신 채널만) 시스템이 아티팩트 레졸루션 서비스에 백 채널 요청을 보낸 후 응답을 대기하는 최대 시간을 지정합니다. 간격(초)을 지정하십시오.기본값:300초값:양의 정수
- 클라이언트 인증서X.509 클라이언트 인증서 인증 체계가 백 채널을 통한 아티팩트 레졸루션 서비스와의 통신을 보호함을 나타냅니다.클라이언트 인증서 인증에서는 모든 끝점 URL에 SSL을 사용해야 합니다. 끝점 URL은 서버에서 아티팩트 레졸루션 서비스와 같은 다양한 SAML 서비스를 찾습니다. 이 SSL 요구 사항에 따라 서비스의 URL은https://로 시작해야 합니다.클라이언트 인증서 인증을 구현하려면 트랜잭션이 발생하기 전에 SP가 어설션 당사자에게 인증서를 보내야 합니다. 어설션 당사자는 인증서를 자체 데이터베이스에 저장합니다. 두 파트너 모두 해당 데이터베이스에서 SSL 연결이 사용되도록 설정한 인증서가 있어야 합니다. 그렇지 않으면 클라이언트 인증서 인증이 작동하지 않습니다.인증 프로세스 중에 신뢰 당사자는 인증서를 어설션 당사자에게 보냅니다. 어설션 당사자는 수신한 인증서를 자체 데이터베이스의 인증서와 비교하여 일치하는지 확인합니다. 일치하면 어설션 당사자가 신뢰 당사자가 아티팩트 레졸루션 서비스에 액세스하도록 허용합니다.클라이언트 인증서 인증을 선택하는 경우 다음과 같은 추가 설정을 구성하십시오.
- 클라이언트 인증서 별칭키 데이터베이스의 클라이언트 인증서와 연결되는 별칭을 지정합니다. 드롭다운 목록에서 별칭을 선택하십시오.
- 백 채널 시간 만료(초)(송신 채널만)CA Single Sign-on이 아티팩트 레졸루션 서비스에 백 채널 요청을 보낸 후 응답을 대기하는 최대 시간을 지정합니다. 간격(초)을 지정하십시오.기본값:300초값:양의 정수
- 인증 없음신뢰 당사자가 자격 증명을 제공할 필요가 없습니다. 백 채널 및 아티팩트 레졸루션 서비스가 보호되지 않습니다. 이 옵션을 사용할 때도 SSL을 활성화할 수 있습니다. 백 채널 트래픽은 암호화되지만 당사자 간에 자격 증명이 교환되지 않습니다.인증 없음 옵션은 테스트 용도로만 선택하고 페더레이션 시스템이 SSL 지원 장애 조치에 대해 구성되고 프록시 서버 뒤에 있는 경우를 제외하고 운영 용도로 선택하지 마십시오. 프록시 서버에 서버 인증서가 있으면 프록시 서버가 인증을 처리합니다. 이 경우 모든 IdP->SP 파트너 관계에서 인증 유형으로 "인증 없음"을 사용합니다.
IdP의 특성 서비스
아이덴티티 공급자가 특성 기관 역할을 하도록 구성할 수 있습니다. 이 권한으로 SAML 요청자의 특성 쿼리에 응답할 수 있습니다. 그런 다음 요청자는 검색된 특성을 기반으로 사용자에게 권한을 부여할 수 있습니다.
"특성 서비스" 섹션에는 특성 쿼리 지원을 위한 다음 필드가 포함되어 있습니다.
- 사용아이덴티티 공급자가 특성 기관 역할을 할 수 있습니다. 특성 기관 역할을 하는 시스템은 SAML 요청자의 쿼리 메시지에 응답할 수 있습니다. 이 옵션을 선택하면 "특성 및 이름 ID 서비스에 대한 사용자 조회" 섹션이 나타납니다. "사용자 지정" 필드에 사용자 디렉터리 검색 사양을 지정합니다. 정책 서버는 입력한 값을 사용하여 사용자 디렉터리에서 사용자 레코드를 찾는 방법을 확인할 수 있습니다. 다음과 같이 디렉터리 유형에 적합한 검색 문자열을 입력합니다.LDAP:uid=%sODBC:name=%s
- 서명된 특성 쿼리 필요특성 기관에 SAML 요청자의 디지털 서명된 특성 쿼리가 필요함을 나타냅니다.
- casso12kr프록시 쿼리 사용타사 IdP가 특성 쿼리에 응답함을 나타냅니다. 프록시 쿼리 기능은 타사가 IdP 및 특성 기관의 역할을 하는 배포 환경에 사용할 수 있습니다. 프록시 쿼리를 구현할 때 구성하는 로컬 정책 서버 시스템은 두 가지 역할을 가집니다. 시스템은 타사 IdP와 관련된 SP 및 특성 요청자의 역할을 합니다. 로컬 시스템은 요청된 응용 프로그램을 소유하는 SP와 관련된 IdP 및 특성 기관의 역할도 합니다.프록시 쿼리는 다음 조건이 충족될 경우에 발생합니다.
- 특성이 로컬 시스템의 사용자 디렉터리나 세션 저장소에 없는 경우
- 사용자가 처음에 타사 IdP에 의해 인증된 경우
정책 서버는 타사 IdP를 쿼리합니다. IdP는 특성을 찾은 경우 쿼리 응답을 반환합니다. 정책 서버는 응답의 특성을 세션 저장소에 추가합니다. 그러면 시스템은 응용 프로그램을 소유한 SP에 해당 특성이 포함된 응답을 반환합니다. 이 SP는 원래 특성 요청자입니다.참고:IdP의 특성 서비스에 대한 URL은 SP 파트너 관계에 구성되어 있습니다. - 유효 기간 초어설션이 유효한 시간(초)을 지정합니다.
- 서명 옵션특성 어설션 및 응답에 대한 서명 요구 사항을 지정합니다.
- 서명 어설션특성 기관이 특성 어설션에만 서명하도록 지시합니다. SAML 응답은 서명되지 않습니다.
- 서명 응답특성 기관이 SAML 응답에만 서명하도록 합니다.
- 모두 서명특성 기관이 특성 어설션과 SAML 응답에 서명하도록 지시합니다.
- 모두 서명 안 함특성 기관이 특성 어설션과 SAML 응답에 모두 서명하지 않도록 지시합니다.
- 사용자 조회사용자 디렉터리 네임스페이스에 대한 검색 사양을 정의합니다. 특성 기관은 검색 사양을 사용하여 로컬에서 사용자를 찾습니다. 검색 사양에는 사용자를 찾을 수 있도록 특성 쿼리의 주체에 대한 NameID가 포함되어 있어야 합니다.사용하는 네임스페이스 유형에 대한 검색 사양을 필드에 입력합니다.참고:하나 이상의 검색 사양이 필요합니다.
IDP 검색(SAML 2.0 IdP)
"IDP 검색" 섹션에서는 아이덴티티 공급자 검색 프로필을 구성할 수 있습니다. 이 프로필을 사용하여 신뢰 당사자는 프린서펄이 사용하고 있는 어설션 당사자를 결정할 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
- IDP 검색 사용아이덴티티 공급자 검색 프로필을 사용하거나 사용하지 않도록 설정합니다.
- 서비스 URL로컬 엔터티의 아이덴티티 공급자 검색 프로필 URL을 지정합니다.
- 일반 도메인아이덴티티 공급자 검색 서비스에서 어설션 당사자에 대한 정보를 저장하는 일반 도메인 쿠키의 도메인을 지정합니다. 이 도메인은 서비스 URL에서 호스트의 부모 도메인이어야 합니다.값:유효한 쿠키 도메인
- 영구 쿠키 사용쿠키가 영구적이어야 함을 나타냅니다.
상태 리디렉션 URL(SAML 2.0 IdP)
"상태 리디렉션 URL" 섹션에서는 HTTP 500, 400 및 405 오류가 발생할 때 브라우저가 사용자를 리디렉션하는 방식을 결정할 수 있습니다.
사용하도록 설정할 리디렉션 옵션을 선택한 다음 관련 URL을 입력합니다.
옵션은 다음과 같습니다.
- 서버 오류 리디렉션 사용서버 오류 리디렉션 URL:HTTP 500 서버 오류가 발생할 때 브라우저가 사용자를 리디렉션하는 URL을 지정합니다. 예기치 않은 조건으로 인해 웹 서버가 클라이언트 요청을 이행하지 못하게 되기 때문에 사용자에게 500 오류가 발생할 수 있습니다. 이러한 유형의 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.예:http://www.redirectmachine.com/error_pages/server_error.html
- 잘못된 요청 리디렉션 사용잘못된 요청 리디렉션 URL:HTTP 400 잘못된 요청 또는 405 메서드 허용 안 함 오류가 발생할 때 브라우저가 사용자를 리디렉션하는 URL을 지정합니다. 요청 형식이 잘못되었기 때문에 사용자에게 400 오류가 발생할 수 있습니다. 웹 서버에서 특정 메서드 또는 작업의 수행을 허용하지 않기 때문에 405 오류가 발생할 수도 있습니다. 이러한 유형의 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.예: http://www.redirectmachine.com/error_pages/invalidreq_error.html
- 권한 없는 액세스 리디렉션 사용권한 없는 액세스 리디렉션 URL:HTTP 403 사용 권한 없음 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 이 오류는 사용자에게 페더레이션된 트랜잭션에 대한 권한이 부여되지 않은 경우에 발생합니다. 요청의 URL이 잘못된 대상(예: 파일이 아닌 디렉터리)을 가리키기 때문에 403 오류가 발생할 수도 있습니다.예: http://www.redirectmachine.com/error_pages/unauthorized_error.htm
- 302 데이터 없음(기본값)HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
- HTTP PostHTTP-POST 프로토콜을 사용하여 사용자를 리디렉션합니다.