응용 프로그램 통합(신뢰 당사자)

casso12kr
HID_application-integration
"응용 프로그램 통합" 대화 상자에서는 페더레이션 시스템이 다음 태스크를 처리하는 방법을 구성할 수 있습니다.
  • 사용자를 신뢰 당사자의 대상 응용 프로그램으로 전달하는 방법
  • 어설션 특성을 대상 응용 프로그램이 사용하는 특성에 매핑하는 방법
  • 타사 프로비저닝 응용 프로그램이 사용자 계정을 설정하는 방법
  • 인증이 실패할 때 사용자가 리디렉션되는 방법
대상 응용 프로그램 구성(SAML, WSFED)
"대상 응용 프로그램" 섹션에서는 대상 응용 프로그램을 지정하고 사용자가 대상 응용 프로그램으로 전달되는 방법을 지정합니다.
  • 리디렉션 모드
    신뢰 당사자가 사용자를 대상 리소스로 리디렉션하는 방법을 지정합니다.
    기본값:
    데이터 없음
    이 필드의 옵션은 다음과 같습니다.
    • 데이터 없음(기본값)
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 세션 쿠키만 포함되고 다른 데이터는 제외됩니다.
    • 쿠키 데이터
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션됩니다. 이 리디렉션에는 어설션 당사자에서 구성된 세션 쿠키 및 추가 쿠키 데이터가 포함됩니다.
      SAML 1.1 및 2.0의 경우 이 옵션을 사용하도록 설정하면 다음과 같은 추가 필드가 표시됩니다.
      URL 인코드 특성 쿠키 데이터
      쿠키로 보낸 특성이 URL로 인코딩됨을 나타냅니다. URL의 문자가 URL에 대해 표준인 것과 다른 고유한 용도로 사용되기 때문에 특성이 URL로 인코딩됩니다. 이 설정은 리디렉션 모드의 쿠키 데이터에만 유효합니다.
      응용 프로그램 특성 테이블에서 특수 문자를 지정하는 경우 이 옵션을 선택하십시오. 예를 들어 일본어 문자가 포함된 특성에 대해 이 설정을 고려하십시오. 특수 문자는 드롭다운 목록에서 추가하거나 직접 입력할 수 있습니다. 또한 대상 응용 프로그램은 수신되는 응용 프로그램 특성의 이름과 값을 URL 디코딩해야 합니다.
       
    • 개방 형식 쿠키
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 개방 형식 쿠키만 포함되고 다른 데이터는 제외됩니다. 고객 응용 프로그램은 암호화된 쿠키의 암호를 해독하여 사용자 정보를 얻습니다.
      신뢰 당사자가 여러 특성 값이 있는 어설션을 받는 경우 모든 값을 대상 응용 프로그램에 전달합니다.
    • 개방 형식 쿠키 게시
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 개방 형식 쿠키만 포함되고 다른 데이터는 제외됩니다. 쿠키 데이터 제한으로 인해 데이터가 손실될 것을 우려하는 경우 이 옵션을 사용하십시오.
      개방 형식 쿠키 또는 개방 형식 쿠키 게시 옵션을 선택하는 경우 UI에 다음과 같은 추가 필드가 표시됩니다.
      • 개방 형식 쿠키 이름
        개방 형식 쿠키의 이름을 지정합니다.
      • 암호화 변환
        개방 형식 쿠키를 암호화하는 암호화 알고리즘을 나타냅니다.
        FIPS 호환 알고리즘(AES 알고리즘) 중 하나를 선택하는 경우 대상 시스템에서는
        CA SiteMinder® Federation
        SDK를 사용하여 쿠키를 소비해야 합니다. SDK는 대상 응용 프로그램과 동일한 서버에 있어야 합니다.
        .NET SDK를 사용하여 쿠키를 소비하는 경우 AES128/CBC/PKCS5Padding 암호화 알고리즘을 사용하십시오.
      • 암호화 암호
        쿠키를 암호화하는 데 사용되는 암호를 나타냅니다. "암호화 암호" 및 "암호 확인" 필드는 개방 형식 쿠키의 경우 필수이지만 레거시 쿠키의 경우 선택 사항입니다.
        중요!
        레거시 쿠키의 암호를 제공하는 경우
        CA SiteMinder® Federation
        Java SDK에 동일한 값을 정의하십시오. SDK에서는 암호를 사용하여 쿠키의 암호를 해독할 수 있습니다. 이 값은 대역 외 통신에서 공유됩니다.
      • 암호 확인
        암호화 암호 항목을 확인합니다.
      • HMAC 사용
        HMAC(해시 메시지 인증 코드)가 이 대화 상자의 암호화 암호를 사용하여 생성됨을 나타냅니다.
        MAC(메시지 인증 코드)는 두 당사자 간에 전송되는 정보의 무결성을 확인할 수 있습니다. 두 당사자는 메시지 인증 값의 계산 및 확인을 위해 암호 키를 공유합니다. HMAC(해시 메시지 인증 코드)는 암호화 해시 함수를 기반으로 하는 MAC 메커니즘입니다. HMAC는 메시지 보낸 사람과 받는 사람에게만 알려진 메시지 입력 및 암호 키를 갖습니다.
        "HMAC 사용" 확인란을 선택하는 경우 시스템에서는 개방 형식 쿠키에 대한 HMAC 값을 생성합니다. HMAC 값은 개방 형식 쿠키 값 앞에 추가되어 전체 문자열을 암호화합니다. 시스템은 암호화된 문자열을 개방 형식 쿠키에 저장합니다. 그러면 이 쿠키가 대상 응용 프로그램에 전달됩니다.
      • 인용 부호로 둘러싸인 쿠키 사용
        개방 형식 쿠키 값을 큰따옴표로 묶도록 지정합니다. 이렇게 지정하면 쿠키 값에 지원되지 않는 문자가 포함되어 있는 경우 쿠키를 처리할 수 있습니다.
    • HTTP 헤더(SAML 1.1 및 2.0에만 해당)
      사용자가 대상 응용 프로그램으로 리디렉션될 때 HTTP 헤더만 포함되고 다른 데이터는 제외됩니다. 페더레이션 시스템은 여러 특성 값을 쉼표로 구분하여 단일 헤더로 전송할 수 있습니다.
    • 특성 유지
      사용자가 HTTP 302 리디렉션을 통해 리디렉션되며, 이때 세션 쿠키만 포함되고 다른 데이터는 제외됩니다. 또한 이 모드에서는 정책 서버로 하여금 어설션에서 추출된 특성을 세션 저장소에 저장하도록 합니다. 그러면
      CA Single Sign-on
      가 특성을 HTTP 헤더 변수로서 제공할 수 있습니다.
      중요!
      이 옵션을 보려면 정책 서버 관리 콘솔을 사용하여 세션 저장소가 사용되도록 설정하십시오.
       참고: "특성 유지"를 선택했지만 어설션에 빈 특성이 있는 경우 세션 저장소에 NULL 값이 기록됩니다. NULL 값은 빈 특성에 대한 자리 표시자로 사용되며 특성을 사용하는 모든 응용 프로그램에 전달됩니다.
    • casso12kr
      서버 리디렉션
      페더레이션 시스템이 어설션에서 받는 헤더 및 쿠키 특성을 대상 응용 프로그램으로 전달하도록 지시합니다. 어설션을 소비하는 서비스는 사용자 자격 증명을 수집한 다음 Java 서버 측 리디렉션을 사용하여 사용자를 대상 응용 프로그램 URL로 전송합니다.
      이 모드를 사용하려면 다음 요구 사항을 따르십시오.
      • 모든 대상 응용 프로그램 파일은 응용 프로그램 루트 디렉터리에 있어야 합니다. 이 디렉터리는 다음 중 하나입니다.
        • 웹 에이전트:
           web_agent_home
          \webagent\affwebservices
        • SPS 페더레이션 게이트웨이:
           sps_home
          \secure-proxy\Tomcat\webapps\affwebservices
           
      • 지정하는 대상 URL은 어설션을 소비하는 서블릿의 컨텍스트에
        상대적
        이어야 합니다. 컨텍스트는
        /affwebservices/public/
        이고, 컨텍스트의 루트는 페더레이션 웹 서비스 응용 프로그램의 루트인
        /affwebservices/
        입니다. URL에 컨텍스트를 포함하지 마십시오. 예를 들어 대상 URL은
        /applications/doc1.html
        일 수 있습니다.
      • 대상 리소스를 보호하기 위한 영역, 규칙 및 정책을 정의하십시오. 영역의 리소스 필터에는 최소한 /affwebservices/ 값이 포함되어야 합니다.
      • 페더레이션 웹 서비스 응용 프로그램을 지원하는 서버에 사용자 지정 Java 또는 JSP 응용 프로그램을 설치하십시오. 웹 에이전트 옵션 팩 또는 SPS 페더레이션 게이트웨이는 페더레이션 웹 서비스를 설치합니다.
        Java 서블릿 기술을 사용하면 응용 프로그램이 ServletRequest 인터페이스의 setAttribute 메서드를 사용하여 두 리소스 요청 간에 정보를 전달할 수 있습니다.
        어설션을 소비하는 서비스는 사용자를 대상으로 리디렉션하기 전에 사용자 특성을 대상 응용 프로그램으로 보냅니다. 이 서비스는 java.util.HashMap 개체를 생성하여 특성을 보냅니다. SAML 특성의 HashMap을 포함하는 특성은 "Netegrity.AttributeInfo"입니다.
        어설션을 소비하는 서비스는 사용자 지정 응용 프로그램에 다음과 같은 두 개의 다른 Java.lang.String 특성을 전달합니다.
        • Netegrity.smSessionID 특성은 세션 ID를 나타냅니다.
        • Netegrity.userDN 특성은 사용자 DN을 나타냅니다.
      대상 응용 프로그램은 HTTP 요청에서 이러한 개체를 읽고 hashmap 개체에서 찾은 데이터를 사용합니다.
  • 대상
    신뢰 당사자의 대상 응용 프로그램 URL을 지정합니다. 여기에 입력하는 값은 기본 대상 리소스가 됩니다. 리디렉션 모드로 "서버 리디렉션"를 선택하지 않은 경우 이 URL에 정규화된 도메인 이름을 포함해야 합니다. "서버 리디렉션"의 경우 대상 URL은 어설션을 소비하는 서블릿의 컨텍스트에
    상대적
    이어야 합니다. 컨텍스트는
    /affwebservices/public/
    입니다. URL에 컨텍스트를 포함하지 마십시오. 예를 들어 대상 URL은
    /applications/doc1.html
    일 수 있습니다.
    대상 리소스가 있는 서버의 앞에 프록시가 있는 경우 프록시 호스트의 URL을 입력합니다. 프록시는 모든 페더레이션 요청을 로컬로 처리합니다. 프록시 호스트는 대상 서버의 앞에 있는 모든 시스템이 될 수 있습니다.
    Single Sign-On
    이 인터넷에서 직접 액세스되는 경우에는 CA Single Sign-On 자체가 프록시 호스트가 될 수도 있습니다. 궁극적으로, 프록시를 사용할 때는 대상으로 지정하는 URL이
    Single Sign-On
    을 반드시 거쳐야 합니다. 예를 들어 기준 URL이 fed.demo.com이고 백엔드 서버 리소스가 mytarget/target.jsp인 경우 이 필드의 값은 http://fed.demo.com:5555/mytarget/target.jsp입니다.
    SAML 2.0에서는 RelayState 쿼리 매개 변수로 이 필드를 재정의하는 경우 이 필드를 비워 둘 수 있습니다. RelayState 쿼리 매개 변수는 Single Sign-On을 트리거하는 URL의 일부일 수 있습니다. 이렇게 설정하려면 "릴레이 상태가 대상 무시" 확인란을 선택하십시오.
  • 유휴 시간 만료
    에이전트에서 세션을 종료하기 전에 권한이 부여된 사용자 세션이 비활성 상태로 유지될 수 있는 시간을 결정합니다. 사용자가 보호되는 리소스에 액세스한 후 워크스테이션에서 벗어나는 것이 염려될 경우 유휴 시간 만료를 더 짧은 기간으로 설정하십시오. 세션 시간이 만료되면 사용자는 재인증해야만 리소스에 다시 액세스할 수 있습니다.
    이 설정은 기본적으로 사용되도록 설정되어 있습니다. 세션 유휴 시간 만료를 지정하지 않으려면 확인란의 선택을 취소하십시오. 세션 유휴 시간 만료 기본값은 1시간입니다.
    참고
    실제로 세션은 지정된 유휴 시간 만료 값이 지난 후 특정 유지 기간 내에 만료됩니다. 다음 레지스트리 키에 지정된 시간(초)에 따라 그 기간이 결정됩니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\
    CA Single Sign-on
    \CurrentVersion\SessionServer\MaintenancePeriod
    예를 들어 유휴 시간 만료를 10분으로 설정한다고 가정합니다. 또한 레지스트리에서 MaintenancePeriod를 기본값으로 설정합니다. 세션이 사용되지 않아 시간 만료되기까지의 최장 기간은 11분(시간 만료 + 유지 기간)입니다.
    기본 인증 체계에서 이 기능을 사용하려면 쿠키를 요구하도록 웹 에이전트를 구성해야 합니다.
    다음과 같은 문제에 유의하십시오.
    • 영구 세션의 경우 "유휴 시간 만료"가 사용되도록 설정하고 "유효성 검사 기간"보다 높은 값으로 설정하십시오.
    • WebAgent-OnAuthAccept-Session-Idle-Timeout 응답 특성을 사용하여 이 전역 설정을 재정의할 수 있습니다. 값이 0이면 세션이 사용되지 않는다고 해서 종료되지 않습니다.
    기본값
    : 60초
    시간
    유휴 시간 만료 기간의 시간을 지정합니다.
    유휴 시간 만료 기간의 분을 지정합니다.
    최대 시간 만료
    에이전트가 사용자에게 재인증을 요청하기 전에 사용자 세션이 활성으로 유지될 수 있는 최대 시간을 결정합니다.
    이 설정은 기본적으로 사용되도록 설정되어 있습니다. 최대 세션 길이를 지정하지 않으려면 확인란의 선택을 취소하십시오. 최대 세션 길이 기본값은 2시간입니다.
    • 시간
      최대 세션 길이의 시간을 지정합니다.
    • 최대 세션 길이의 분을 지정합니다.
    기본 인증 체계에서 이 기능을 사용하려면 쿠키를 요구하도록 웹 에이전트를 구성하십시오.
    참고:
    WebAgent-OnAuthAccept-Session-Max-Timeout 응답 특성을 사용하여 이 설정을 재정의할 수 있습니다.
  • 릴레이 상태가 대상 무시(SAML 2.0에만 해당)
    (선택 사항) "대상" 필드 값을 Single Sign-On을 시작하는 요청의 릴레이 상태 쿼리 매개 변수 값으로 대체합니다. 릴레이 상태 쿼리 매개 변수를 사용하면 대상을 동적으로 정의할 수 있으므로 이 옵션을 선택하여 대상을 더 세부적으로 제어할 수 있습니다.
  • 대상 URL 도메인 유효성 검사
    (SAML 2.0에만 해당) 정책 서버가 "대상" 필드의 값이나 RelayState 쿼리 매개 변수의 대상을 에이전트 구성 개체의 ValidFedTargetDomain 매개 변수와 비교하도록 합니다. 이 설정은 신뢰 당사자가 요청된 대상 도메인에 대한 액세스를 허용하는지 확인하는 데 도움이 됩니다.
  • 인증 세션 변수 유지
    어설션의 정보가 세션 저장소에 저장되고 세션 컨텍스트에 기록될 수 있게 합니다. 어설션 정보를 세션 저장소에 저장하면 활성 응답 및 정책 식과 같은 기능에 해당 정보를 사용할 수 있습니다. 이 확인란을 선택하는 경우 저장되는 어설션 정보에 NameID, NameIDFormat, ProviderID 및 AuthnContext 값이 포함됩니다.
    이 설정은 대상 응용 프로그램에 대한 리디렉션 모드의 "특성 유지" 옵션과 다릅니다. 인증 세션 변수를 유지하면 HTTP 헤더보다 더 간단히 정보를 사용할 수 있습니다.
    중요!
    이 확인란을 표시하려면 정책 서버 관리 콘솔을 사용하여 세션 저장소가 사용되도록 설정하십시오. 또한 파트너 관계 구성의 SSO 설정에서 "영구 세션 사용" 확인란을 선택하십시오.
  • 쿼리 매개 변수가 기본 대상 무시(SAML 1.1에만 해당)
    (선택 사항) "대상" 필드 값을 Single Sign-On을 시작하는 요청의 대상 쿼리 매개 변수 값으로 대체합니다. 이 쿼리 매개 변수를 사용하면 대상을 동적으로 정의할 수 있으므로 이 옵션을 선택하여 대상을 더 세부적으로 제어할 수 있습니다.
  • 쿠키 유효 기간
    개방 형식 쿠키가 유효한 시간을 나타냅니다. 유효 기간은 쿠키에 저장되므로 대상 응용 프로그램은 데이터를 소비하기 전에 쿠키가 유효한지 확인할 수 있습니다. 개방 형식 쿠키 및 HTTP 헤더 리디렉션 모드(HTTP 헤더에서 개방 형식 쿠키 사용)에 대해 이 값을 설정할 수 있습니다. 개방 형식 쿠키의 경우 응용 프로그램에서는 쿠키가 만료될 때 수행할 작업을 결정합니다. HTTP 헤더의 경우
    CA Single Sign-on
    는 만료된 쿠키 보내기를 중지합니다.
    시간을 시, 분 및 초 단위로 입력하십시오. 값 00:00:00은 쿠키가 만료되지 않음을 나타냅니다.
대상 응용 프로그램 구성(OAuth)
"대상 응용 프로그램" 섹션에서는 대상 응용 프로그램을 지정하고 사용자가 대상 응용 프로그램으로 전달되는 방법을 지정합니다.
  • 리디렉션 모드
    신뢰 당사자가 사용자를 대상 리소스로 리디렉션하는 방법을 지정합니다. 가능한 값은 다음과 같습니다.
    • 데이터 없음
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 세션 쿠키만 포함되고 다른 데이터는 제외되도록 지정합니다.
    • 쿠키 데이터
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 세션 쿠키 및 어설션 당사자에 구성된 추가 쿠키 데이터가 포함되도록 지정합니다. 이 옵션을 선택한 경우 다음 옵션을 사용할 수 있습니다.
      • URL 인코드 특성 쿠키 데이터
        쿠키로 보낸 특성이 URL로 인코딩됨을 나타냅니다. URL의 문자가 URL에 대해 표준인 용도 외의 고유한 용도로 사용되기 때문에 URL로 인코딩된 지정이 필요합니다. 이 설정은 리디렉션 모드의 쿠키 데이터에만 유효합니다. 쿠키 데이터에 다중값이 포함된 경우 이 옵션을 선택해야 합니다.
        응용 프로그램 특성 테이블에서 특수 문자를 지정하는 경우 이 옵션을 선택하십시오. 예를 들어 일본어 문자가 포함된 특성에 대해 이 설정을 선택합니다. 특수 문자는 드롭다운 목록에서 추가하거나 직접 입력할 수 있습니다. 또한 대상 응용 프로그램은 수신되는 응용 프로그램 특성의 이름과 값을 URL 디코딩해야 합니다.
    • 개방 형식 쿠키
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 개방 형식 쿠키만 포함되고 다른 데이터는 제외되도록 지정합니다. 고객 응용 프로그램은 암호화된 쿠키의 암호를 해독하여 사용자 정보를 얻습니다.
      신뢰 당사자가 여러 특성 값이 있는 클레임을 받는 경우 모든 값을 대상 응용 프로그램에 전달합니다.
    • 개방 형식 쿠키 게시
      사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 이때 개방 형식 쿠키만 포함되고 다른 데이터는 제외됩니다. 쿠키 데이터 제한으로 인해 데이터가 손실될 것을 우려하는 경우 이 옵션을 사용하십시오.
    "개방 형식 쿠키" 옵션을 선택하는 경우 UI에 다음과 같은 추가 필드가 표시됩니다.
  • 개방 형식 쿠키 이름
    개방 형식 쿠키의 이름을 지정합니다.
  • 암호화 변환
    개방 형식 쿠키를 암호화하는 데 사용할 암호화 알고리즘을 나타냅니다.
    FIPS 호환 알고리즘(AES 알고리즘) 중 하나를 선택하는 경우 대상 시스템에서는 시스템 SDK를 사용하여 쿠키를 소비해야 합니다. SDK는 대상 응용 프로그램과 동일한 서버에 있어야 합니다.
    .NET SDK를 사용하여 쿠키를 소비하는 경우 AES128/CBC/PKCS5Padding 암호화 알고리즘을 사용하십시오.
  • 암호화 암호
    쿠키를 암호화하는 데 사용되는 암호를 나타냅니다.
  • 암호 확인
    암호화 암호 항목을 확인합니다.
  • HMAC 사용
    HMAC(해시 메시지 인증 코드)가 이 대화 상자의 암호화 암호를 사용하여 생성됨을 나타냅니다.
    MAC(메시지 인증 코드)는 두 당사자 간에 전송되는 정보의 무결성을 확인할 수 있습니다. 두 당사자는 메시지 인증 값의 계산 및 확인을 위해 암호 키를 공유합니다. HMAC(해시 메시지 인증 코드)는 암호화 해시 함수를 기반으로 하는 MAC 메커니즘입니다. HMAC는 메시지 보낸 사람과 받는 사람에게만 알려진 메시지 입력 및 암호 키를 갖습니다.
    "HMAC 사용" 확인란을 선택하는 경우 시스템에서는 개방 형식 쿠키에 대한 HMAC 값을 생성합니다. HMAC 값은 개방 형식 쿠키 값 앞에 추가되어 전체 문자열을 암호화합니다. 시스템은 암호화된 문자열을 개방 형식 쿠키에 저장합니다. 그러면 이 쿠키가 대상 응용 프로그램에 전달됩니다.
  • 인용 부호로 둘러싸인 쿠키 사용
    개방 형식 쿠키 값을 큰따옴표로 묶도록 지정합니다. 이렇게 지정하면 쿠키 값에 지원되지 않는 문자가 포함되어 있는 경우 쿠키를 처리할 수 있습니다.
  • 쿠키 유효 기간
    개방 형식 쿠키가 유효한 시간을 나타냅니다. 유효 기간은 쿠키에 저장되므로 대상 응용 프로그램은 데이터를 소비하기 전에 쿠키가 유효한지 확인할 수 있습니다. 응용 프로그램이 쿠키가 만료될 때 수행할 동작을 결정합니다.
    시간을 시, 분 및 초 단위로 입력하십시오.
  • HTTP 헤더(프록시 모드에만 해당)
    사용자가 대상 응용 프로그램으로 리디렉션될 때 HTTP 헤더만 포함되고 다른 데이터는 제외됩니다.
  • 세션 저장소에 클레임 유지
    사용자가 HTTP 302 리디렉션을 통해 리디렉션되며, 이때 세션 쿠키만 포함되고 다른 데이터는 제외됩니다. 또한 이 모드에서는 정책 서버로 하여금 어설션에서 추출된 특성을 세션 저장소에 저장하도록 합니다. 그러면 시스템이 특성을 HTTP 헤더 변수로서 제공할 수 있습니다.
    참고:
    "PersistAttributes"를 선택할 수 있으며, 어설션에 빈 상태의 특성이 포함되어 있습니다. 이 경우 세션 저장소에 NULL 값이 기록됩니다. 이 값은 빈 특성에 대한 자리 표시자로 사용되며 특성을 사용하는 모든 응용 프로그램에 전달됩니다.
  • 대상
    신뢰 당사자의 대상 응용 프로그램 URL을 지정합니다. 여기에 입력하는 값은 기본 대상 리소스가 됩니다. URL에 정규화된 도메인 이름을 포함해야 합니다.
    대상 리소스가 있는 서버의 앞에 프록시가 있는 경우 프록시 호스트의 URL을 입력합니다. 프록시는 모든 페더레이션 요청을 로컬로 처리합니다. 프록시 호스트는 대상 서버의 앞에 있는 모든 시스템이 될 수 있습니다. 이 시스템이 인터넷에서 직접 액세스되는 경우에는 프록시 호스트가 시스템 자체일 수 있습니다. 궁극적으로, 프록시를 사용할 때는 대상으로 지정하는 URL이 페더레이션 시스템을 반드시 거쳐야 합니다. 예를 들어 기준 URL이 fed.demo.com이고 백엔드 서버 리소스가 mytarget/target.jsp인 경우 이 필드의 값은 http://fed.demo.com:5555/mytarget/target.jsp입니다.
    RelayState 쿼리 매개 변수로 덮어쓰는 경우 이 필드를 비워두십시오. RelayState 쿼리 매개 변수는 Single Sign-On을 트리거하는 URL의 일부일 수 있습니다. 이렇게 설정하려면 "릴레이 상태가 대상 무시" 확인란을 선택하십시오.
  • 유휴 시간 만료
    페더레이션 시스템이 세션을 종료하기 전에 권한이 부여된 사용자 세션이 비활성 상태로 유지될 수 있는 시간을 결정합니다. 사용자가 보호되는 리소스에 액세스한 후 워크스테이션에서 벗어나는 것이 염려될 경우 유휴 시간 만료를 더 짧은 기간으로 설정하십시오. 세션 시간이 만료되면 사용자는 재인증해야만 리소스에 다시 액세스할 수 있습니다.
    이 설정은 기본적으로 사용되도록 설정되어 있습니다. 세션 유휴 시간 만료를 지정하지 않으려면 확인란의 선택을 취소하십시오. 세션 유휴 시간 만료 기본값은 1시간입니다.
    참고:
    영구 세션의 경우 "유휴 시간 만료"가 사용되도록 설정하고 "유효성 검사 기간"보다 높은 값으로 설정하십시오.
    기본값:
    1시간
    시간
    유휴 시간 만료 기간의 시간을 지정합니다.
    유휴 시간 만료 기간의 분을 지정합니다.
    최대 시간 만료
    페더레이션 시스템이 사용자에게 재인증을 요청하기 전에 사용자 세션이 활성으로 유지될 수 있는 최대 시간을 결정합니다.
    이 설정은 기본적으로 사용되도록 설정되어 있습니다. 최대 세션 길이를 지정하지 않으려면 확인란의 선택을 취소하십시오.
    기본값
    : 2시간
    • 시간
      최대 세션 길이의 시간을 지정합니다.
    • 최대 세션 길이의 분을 지정합니다.
  • 릴레이 상태가 대상 무시
    (선택 사항) "대상" 필드 값을 Single Sign-On을 시작하는 요청의 릴레이 상태 쿼리 매개 변수 값으로 대체합니다. 릴레이 상태 쿼리 매개 변수를 사용하면 대상을 동적으로 정의할 수 있으므로 이 옵션을 선택하여 대상을 더 세부적으로 제어할 수 있습니다.
  • 대상 URL 도메인 유효성 검사
    페더레이션 시스템으로 하여금 "대상" 필드의 값이나 RelayState 쿼리 매개 변수에 지정된 대상을 "에이전트 구성" 개체의 ValidFedTargetDomain 매개 변수와 비교하도록 합니다. 이 설정은 신뢰 당사자가 요청된 대상 도메인에 대한 액세스를 허용하는지 확인하는 데 도움이 됩니다.
응용 프로그램 특성에 매핑(SAML, WSFED)
"응용 프로그램 특성에 매핑" 섹션은 대상 응용 프로그램이 사용하는 특성에 어설션 특성을 매핑하는 방법을 지정합니다.
  • 응용 프로그램 특성에 매핑
    특성 매핑이 사용됨을 나타냅니다. "응용 프로그램 특성 사용" 확인란을 선택하는 경우 "응용 프로그램 특성 정의" 테이블이 표시됩니다. 이 테이블에서는 응용 프로그램 특성이 어설션 특성에 매핑되는 방법을 지정할 수 있습니다.
    테이블의 다음 열에는 항목이 필요합니다.
    응용 프로그램 특성
    대상 응용 프로그램이 사용하는 특성을 나열합니다. 기본적으로 응용 프로그램 특성 이름은 어설션 특성 이름과 동일합니다. 응용 프로그램 특성 이름을 응용 프로그램에 필요한 이름으로 변경할 수 있습니다.
    어설션 특성
    응용 프로그램 특성 매핑의 기준으로 사용할 어설션의 특성을 지정합니다.
    << 단추를 선택하면 "추가" 필드가 표시됩니다. "추가" 풀다운 목록에서 매핑 규칙에 포함할 수 있는 어설션 특성 및 특수 문자를 선택할 수 있습니다.
응용 프로그램 특성에 매핑(OAuth)
"응용 프로그램 특성에 매핑" 섹션은 대상 응용 프로그램이 사용하는 특성에 클레임 특성을 매핑하는 방법을 지정합니다.
  • 응용 프로그램 특성에 매핑
    특성 매핑이 사용됨을 나타냅니다. "특성 매핑 사용" 확인란을 선택하는 경우 "응용 프로그램 특성 정의" 테이블이 표시됩니다. 이 테이블에서는 응용 프로그램 특성이 어설션 특성에 매핑되는 방법을 지정할 수 있습니다.
    테이블의 다음 열에는 항목이 필요합니다.
    응용 프로그램 특성
    대상 응용 프로그램이 사용하는 특성을 나열합니다. 기본적으로 응용 프로그램 특성 이름은 어설션 특성 이름과 동일합니다. 응용 프로그램 특성 이름을 응용 프로그램에 필요한 이름으로 변경할 수 있습니다.
    클레임 특성
    응용 프로그램 특성 매핑의 기준으로 사용할 클레임의 특성을 지정합니다.
    << 단추를 선택하면 "추가" 필드가 표시됩니다. "추가" 풀다운 목록에서 매핑 규칙에 포함할 특수 문자를 선택할 수 있습니다.
사용자 프로비저닝(SAML, WSFED)
"사용자 프로비저닝" 섹션에서는 타사 프로비저닝 응용 프로그램이 사용자 계정을 설정하는 방법을 결정할 수 있습니다.
  • 사용자 프로비저닝
    이 섹션에서는 사용자 프로비저닝이 작동되는 방식을 결정할 수 있습니다.
  • 프로비저닝 유형
    원격 프로비저닝 응용 프로그램이 사용자 계정을 설정하는지 여부를 나타냅니다. 정책 서버가 프로비저닝 응용 프로그램과 함께 작동하는 경우 "원격"을 선택하십시오.
    기본값:
    없음
    옵션
    : 없음, 원격
    참고
    프로비저닝 유형으로 "원격"을 선택할 수 있습니다. 이 경우 어설션 데이터를 프로비저닝 응용 프로그램에 전달하는 전송 옵션을 구성하십시오.
  • 전송 옵션
    (원격 프로비저닝에만 해당) 브라우저가 어설션 데이터와 함께 프로비저닝 응용 프로그램으로 리디렉션되는 방식을 정의합니다. 어설션 데이터는 쿠키 또는 HTTP 헤더로 전달될 수 있습니다.
    옵션:
    • 개방 형식 쿠키
      SAML 어설션 정보를 개방 형식 쿠키로 전송합니다. 개방 형식 쿠키를 사용하는 경우 프로비저닝 응용 프로그램은 SDK를 사용하지 않고도 쿠키를 읽을 수 있습니다. 프로비저닝 응용 프로그램이 .NET을 사용하는 경우 .NET SDK가 프로비저닝 서버에 설치될 수 있고 개방 형식 쿠키를 읽는 데 사용됩니다.
    • 개방 형식 쿠키 게시
      어설션 정보는 개방 형식 쿠키로 제공되지만 데이터는 HTTP-POST 요청으로 전송됩니다. 쿠키 데이터 길이 제한으로 인해 데이터가 손실될 것을 우려하는 경우 이 옵션을 선택하십시오.
    • HTTP 헤더
      정책 서버는 어설션 데이터를 HTTP 헤더로 전달합니다.
  • 프로비저닝 서버 URL
    프로비저닝 응용 프로그램을 호스트하는 타사 서버 URL을 식별합니다.
    값:
    유효한 URL
"개방 형식 쿠키" 옵션을 선택하는 경우 다음과 같은 선택적 필드를 완료하십시오.
개방 형식 쿠키 이름
개방 형식 쿠키의 이름을 지정합니다.
  • 암호화 변환
    개방 형식 쿠키를 암호화하는 암호화 알고리즘을 나타냅니다.
  • 암호화 암호
    쿠키를 암호화하는 데 사용되는 암호를 나타냅니다. "암호화 암호" 및 "암호 확인" 필드는 개방 형식 쿠키의 경우 필수이지만 레거시 쿠키의 경우 선택 사항입니다.
    중요! 레거시 쿠키의 암호를 제공하는 경우
    CA SiteMinder® Federation
    Java SDK에 동일한 값을 사용하십시오. SDK에서 쿠키의 암호를 해독하려면 이 암호가 필요합니다. 이 값은 대역 외 통신에서 공유됩니다.
  • 암호 확인
    암호화 암호 항목을 확인합니다.
  • HMAC 사용
    시스템이 이 대화 상자의 암호화 암호를 사용하여 HMAC(해시 메시지 인증 코드)를 생성함을 나타냅니다.
    MAC(메시지 인증 코드)는 두 당사자 간에 전송되는 정보의 무결성을 확인할 수 있습니다. 두 당사자는 메시지 인증 값의 계산 및 확인을 위해 암호 키를 공유합니다. HMAC(해시 메시지 인증 코드)는 암호화 해시 함수를 기반으로 하는 MAC 메커니즘입니다. HMAC는 메시지 보낸 사람과 받는 사람에게만 알려진 메시지 입력 및 암호 키를 갖습니다.
    "HMAC 사용" 확인란을 선택하는 경우 시스템에서는 개방 형식 쿠키에 대한 HMAC 값을 생성합니다. HMAC 값은 개방 형식 쿠키 값 앞에 추가되어 전체 문자열을 암호화합니다.
    CA Single Sign-on
    는 암호화된 문자열을 개방 형식 쿠키에 저장합니다. 그러면 이 쿠키가 대상 응용 프로그램에 전달됩니다.
  • 인용 부호로 둘러싸인 쿠키 사용
    개방 형식 쿠키 값을 큰따옴표로 묶도록 지정합니다. 이렇게 지정하면 쿠키 값에 지원되지 않는 문자가 포함되어 있는 경우 쿠키를 처리할 수 있습니다.
쿠키 유효 기간
개방 형식 쿠키가 유효한 시간을 나타냅니다. 유효 기간은 쿠키에 저장되므로 대상 응용 프로그램은 데이터를 소비하기 전에 쿠키가 유효한지 확인할 수 있습니다. 개방 형식 쿠키 및 HTTP 헤더 리디렉션 모드(HTTP 헤더에서 개방 형식 쿠키 사용)에 대해 이 값을 설정할 수 있습니다. 개방 형식 쿠키의 경우 응용 프로그램에서는 쿠키가 만료될 때 수행할 작업을 결정합니다. HTTP 헤더의 경우 에이전트는 만료된 쿠키를 더 이상 보내지 않습니다.
시간을 시, 분 및 초 단위로 입력하십시오.
사용자 프로비저닝(OAuth)
"사용자 프로비저닝" 섹션에서는 타사 프로비저닝 응용 프로그램이 사용자 계정을 설정하는 방법을 결정할 수 있습니다.
    • 프로비저닝 유형
      원격 프로비저닝 응용 프로그램이 사용자 계정을 설정하는지 여부를 나타냅니다.
    • 전송 옵션
      사용자 데이터와 함께 브라우저를 프로비저닝 응용 프로그램으로 리디렉션하는 방법을 정의합니다. 페더레이션 시스템은 쿠키 또는 HTTP 헤더를 사용하여 사용자 데이터를 전달할 수 있습니다. 가능한 옵션은 다음과 같습니다.
      • 개방 형식 쿠키
        OAuth 사용자 정보를 개방 형식 쿠키로 전송합니다. 개방 형식 쿠키를 사용하는 경우 프로비저닝 응용 프로그램은 SDK를 사용하지 않고도 쿠키를 읽을 수 있습니다. 프로비저닝 응용 프로그램이 .NET을 사용하는 경우 .NET SDK를 프로비저닝 서버에 설치하고 .NET SDK를 사용하여 개방 형식 쿠키를 읽습니다.
      • 개방 형식 쿠키 게시
        OAuth 사용자 정보는 개방 형식 쿠키로 제공되지만 데이터는 HTTP-POST 요청으로 전송됩니다. 쿠키 데이터 길이 제한으로 인해 데이터가 손실될 것을 우려하는 경우 이 옵션을 선택하십시오.
      "개방 형식 쿠키" 옵션을 선택하는 경우 다음과 같은 선택적 필드를 완료하십시오.
    • 개방 형식 쿠키 이름
      개방 형식 쿠키의 이름을 지정합니다.
    • 암호화 변환
      개방 형식 쿠키를 암호화하는 암호화 알고리즘을 나타냅니다.
    • 암호화 암호 및 암호 확인
      쿠키를 암호화하는 데 사용되는 암호를 나타냅니다. 개방 형식 쿠키에 대해서는 "암호화 암호" 및 "암호 확인" 필드가 필요합니다.
    • HMAC 사용
      HMAC(해시 메시지 인증 코드)가 이 대화 상자의 암호화 암호를 사용하여 생성됨을 나타냅니다.
      MAC(메시지 인증 코드)는 두 당사자 간에 전송되는 정보의 무결성을 확인할 수 있습니다. 두 당사자는 메시지 인증 값의 계산 및 확인을 위해 암호 키를 공유합니다. HMAC(해시 메시지 인증 코드)는 암호화 해시 함수를 기반으로 하는 MAC 메커니즘입니다. HMAC는 메시지 보낸 사람과 받는 사람에게만 알려진 메시지 입력 및 암호 키를 갖습니다.
      "HMAC 사용" 확인란을 선택하는 경우 시스템에서는 개방 형식 쿠키에 대한 HMAC 값을 생성합니다. HMAC 값은 개방 형식 쿠키 값 앞에 추가되어 전체 문자열을 암호화합니다. 페더레이션 시스템은 암호화된 문자열을 개방 형식 쿠키에 저장합니다. 그러면 이 쿠키가 대상 응용 프로그램에 전달됩니다.
    • 인용 부호로 둘러싸인 쿠키 사용
      개방 형식 쿠키 값을 큰따옴표로 묶도록 지정합니다. 이렇게 지정하면 쿠키 값에 지원되지 않는 문자가 포함되어 있는 경우 쿠키를 처리할 수 있습니다.
HTTP 헤더(프록시 모드에만 해당)
  • 시스템이 프록시 모드에서 실행 중인 경우 시스템이 어설션 데이터를 HTTP 헤더로 전달합니다.
  • 프로비저닝 서버 URL
    프로비저닝 응용 프로그램을 호스트하는 타사 서버 URL을 식별합니다.
  • 쿠키 유효 기간
    개방 형식 쿠키가 유효한 시간을 나타냅니다. 유효 기간은 쿠키에 저장되므로 대상 응용 프로그램은 데이터를 소비하기 전에 쿠키가 유효한지 확인할 수 있습니다. 개방 형식 쿠키 및 HTTP 헤더 리디렉션 모드에 대해 이 값을 설정할 수 있습니다. HTTP 헤더는 개방 형식 쿠키를 사용합니다. 개방 형식 쿠키의 경우 응용 프로그램에서는 쿠키가 만료될 때 수행할 작업을 결정합니다. HTTP 헤더의 경우 시스템은 만료된 쿠키를 더 이상 보내지 않습니다.
상태 리디렉션 URL(SAML, WSFED)
"상태 리디렉션 URL" 섹션에서는 인증이 실패할 때
CA Single Sign-on
가 사용자를 리디렉션하는 방법을 결정할 수 있습니다.
어설션 기반 인증은 어설션을 소비하는 사이트에서 실패할 수 있습니다. 인증이 실패하는 경우 페더레이션 시스템은 추가 처리를 위해 사용자를 다른 응용 프로그램(URL)으로 전달하는 기능을 제공합니다. 예를 들어 사용자 명확성이 실패하는 경우
CA Single Sign-on
에서 이 사용자를 프로비저닝 시스템으로 보내도록 구성할 수 있습니다. 프로비저닝 시스템은 SAML 어설션에서 찾은 정보를 기반으로 하는 사용자 계정을 생성할 수 있습니다.
이러한 옵션을 하나 이상 구성할 수 있습니다. 실패를 유발한 조건이 발생하면
CA Single Sign-on
는 사용자를 구성된 URL로 리디렉션합니다.
참고:
오류 리디렉션은 시스템이 요청을 성공적으로 구문 분석하고 어설션 및 신뢰 당사자를 식별하기 위해 필요한 정보를 가져올 수 있는 경우에만 발생합니다.
설정은 다음과 같습니다.
  • 사용자를 찾을 수 없음
    다음 조건 중 하나에 해당하는 경우 시스템이 사용자를 리디렉션하는 URL을 식별합니다.
    • Single Sign-On 메시지에 LoginID가 없습니다.
    • 사용자 디렉터리에 검색 문자열이 정의된 LoginID가 포함되어 있지 않습니다.
  • 잘못된 SSO 메시지
    다음 조건 중 하나에 해당하는 경우
    CA Single Sign-on
    가 사용자를 리디렉션하는 URL을 식별합니다.
    • Single Sign-On 메시지가 SAML 스키마에 지정된 규칙에 맞지 않고 잘못됨
    • 소비자에게 암호화된 어설션이 필요하지만 Single Sign-On 메시지에 암호화된 어설션이 포함되어 있지 않음
  • 수락되지 않은 사용자 자격 증명(SSO 메시지)
    대부분의 오류 조건에 대해
    CA Single Sign-on
    가 사용자를 리디렉션하는 URL을 식별합니다. 예외에 해당하는 오류 조건은 사용자를 찾을 수 없는 경우나 Single Sign-On 메시지가 잘못된 경우입니다. 어설션이 유효하더라도 다음과 같은 여러 이유로 인해
    CA Single Sign-on
    가 메시지를 수락하지 않습니다.
    • XML 디지털 서명 유효성 검사가 실패합니다.
    • (SAML 2.0) XML 암호 해독 작업이 실패합니다.
    • 만료된 메시지 또는 대상자 불일치 등과 같이 조건에 대한 XML 유효성 검사가 실패합니다.
    • SSO 메시지의 어설션에 인증 문이 포함되어 있지 않습니다.
  • 302 데이터 없음(기본값)
    HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
  • HTTP Post
    HTTP-POST 프로토콜을 사용하여 사용자를 리디렉션합니다.
추가 SAML 2.0 리디렉션 URL
SAML 2.0 서비스 공급자의 경우 HTTP 500, 400 및 405 오류에 대한 리디렉션 URL도 지정할 수 있습니다. 사용하도록 설정할 리디렉션 옵션을 선택한 다음 관련 URL을 입력합니다. 옵션은 다음과 같습니다.
  • 서버 오류 리디렉션 사용
    서버 오류 URL:
    HTTP 500 서버 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 예기치 않은 조건으로 인해 웹 서버가 클라이언트 요청을 이행하지 못하게 되기 때문에 사용자에게 500 오류가 발생할 수 있습니다. 이러한 유형의 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.
    예: http://www.redirectmachine.com/error_pages/server_error.html
  • 잘못된 요청 리디렉션 사용
    잘못된 요청 URL:
    HTTP 400 잘못된 요청 또는 405 메서드 허용 안 함 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 요청 형식이 잘못되었기 때문에 사용자에게 400 오류가 발생할 수 있습니다. 웹 서버에서 특정 메서드 또는 작업의 수행을 허용하지 않기 때문에 405 오류가 발생할 수도 있습니다. 이러한 유형의 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.
    예: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • 권한 없는 액세스 리디렉션 사용
    권한 없는 액세스 URL
    : HTTP 403 사용 권한 없음 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 요청의 URL이 잘못된 대상(예: 파일이 아닌 디렉터리)을 가리키기 때문에 403 오류가 발생할 수 있습니다. 이러한 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.
    예: http://www.redirectmachine.com/error_pages/unauthorized_error.html
상태 리디렉션 URL(OAuth)
"상태 리디렉션 URL" 섹션에서는 인증이 실패할 때
CA Single Sign-on
가 사용자를 리디렉션하는 방법을 결정할 수 있습니다.
어설션 기반 인증은 어설션을 소비하는 사이트에서 실패할 수 있습니다. 인증이 실패하는 경우 Federation Standalone은 추가 처리를 위해 사용자를 다른 응용 프로그램(URL)으로 전달하는 기능을 제공합니다. 예를 들어 사용자 명확성이 실패하는 경우
CA Single Sign-on
에서 이 사용자를 프로비저닝 시스템으로 보내도록 구성할 수 있습니다. 프로비저닝 시스템은 SAML 어설션에서 찾은 정보를 기반으로 하는 사용자 계정을 생성할 수 있습니다.
이러한 옵션을 하나 이상 구성할 수 있습니다. 실패를 유발한 조건이 발생하면
CA Single Sign-on
는 사용자를 구성된 URL로 리디렉션합니다.
설정은 다음과 같습니다.
  • 원격 서버 오류
    • OAuth 2.0
      다음 OAuth 2.0 관련 오류가 발생한 경우 시스템이 사용자를 디렉션하는 URL을 나타냅니다.
      • 권한 부여 서버에서 사용자 요청을 이행할 수 없게 만드는 예상치 못한 상황이 발생했습니다.
      • 권한 부여 서버는 서버의 임시 오버로딩 또는 유지 보수로 인해 사용자 요청을 처리할 수 없습니다.
    • OAuth 1.0a
      권한 부여 서버가 HTTP 500 오류를 보내는 경우 시스템이 사용자를 디렉션하는 URL을 식별합니다.
  • 잘못된 요청 메시지
    • OAuth 2.0
      다음 OAuth 2.0 관련 오류가 발생한 경우 시스템이 사용자를 디렉션하는 URL을 나타냅니다.
      • 사용자 요청 구문이 잘못되었습니다.
      • 사용자가 요청한 범위가 잘못되었거나, 알 수 없거나, 형식이 잘못되었습니다.
      • 권한 부여 서버가 지정된 방법으로 권한 부여 코드를 획득하는 것을 지원하지 않습니다.
    • OAuth 1.0a
      권한 부여 서버가 HTTP 400 또는 404 오류를 보내는 경우 시스템이 사용자를 디렉션하는 URL을 식별합니다.
  • 수락되지 않은 사용자 자격 증명
    • OAuth 2.0
      다음 OAuth 2.0 관련 오류가 발생한 경우 CA
      CA Single Sign-on
      Federation Standalone이 사용자를 리디렉션할 URL을 나타냅니다.
      • 클라이언트가 지정된 방법을 사용하여 권한 부여 코드를 요청할 권한이 없습니다.
      • 인증 서버가 요청을 거부했습니다.
    • OAuth 1.0a
      권한 부여 서버가 HTTP 401 또는 403 오류를 보내는 경우 시스템이 사용자를 디렉션하는 URL을 식별합니다.
  • 302 데이터 없음(기본값)
    HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
  • HTTP Post
    HTTP-POST 프로토콜을 사용하여 사용자를 리디렉션합니다.