어설션 구성 대화 상자(SAML 1.1 생산자)

목차
casso12kr
HID_assertion-config-saml1-producer
목차
이름 ID 구성
casso12kr
"이름 ID" 섹션에서는 어설션에서 사용자를 고유하게 명명하는 이름 식별자를 구성할 수 있습니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 전자 메일 주소인 경우 콘텐츠는 [email protected]이 될 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
  • 이름 ID 형식
    이름 식별자 형식을 지정합니다.
    옵션:
    옵션 목록을 보려면 풀다운 메뉴를 선택하십시오.
    각 형식에 대한 설명은 OASIS SAML(Security Assertion Markup Language) 사양을 참조하십시오.
  • 이름 ID 유형
    "이름 ID"에 입력하는 값 유형을 지정합니다.
    • 옵션:
    • 정적
      이름 ID가 "값" 필드의 상수 값임을 나타냅니다.
    • 사용자 특성
      제품이 사용자 디렉터리에서 "값" 필드에 입력된 특성을 쿼리하여 이름 ID를 가져옴을 나타냅니다.
    • 세션 특성
      제품이 세션 저장소에서 "값" 필드에 입력된 특성을 쿼리하여 이름 ID를 가져옴을 나타냅니다.
    • DN 특성(LDAP에만 해당)
      특성을 가져오는 쿼리에는 "값" 필드의 DN 특성과 "DN 사양" 필드의 DN이 포함됩니다. 이 옵션은 주로 사용자 그룹을 식별하는 데 사용됩니다.
  • 다음 값 중 하나를 지정합니다.
    • 정적 ID 유형인 경우 이름 ID의 정적 텍스트 값
    • 사용자 특성 ID 유형인 경우 사용자 특성의 값
    • 세션 특성 유형인 경우 세션 저장소 특성의 값
    • DN 유형인 경우 DN 특성의 값
  • DN 사양
    이름 식별자를 위한 연결된 특성을 가져오기 위해 사용되는 그룹 또는 조직 단위 DN을 지정합니다.
    예:
    ou=Engineering,o=ca.com
  • 사용자 식별자의 생성 허용(SAML 2.0에만 해당)
    IdP가 이름 ID 값을 생성하여 어설션에 포함할 수 있는지 여부를 나타냅니다. SP가 AuthnRequest를 IdP에 전송할 때 SP는 요청에 AllowCreate 특성을 포함할 수 있습니다. 이 확인란과 함께 이 특성을 사용하면 IdP는 기존 사용자 레코드에서 이름 ID를 찾을 수 없을 경우 이름 ID 값을 생성합니다. 이 값은 영구 식별자여야 합니다.
    다음 표에서는 AllowCreate 특성과 이 확인란의 상호 작용을 설명합니다.
    AuthnRequest의 AllowCreate 특성 값(SP)
    사용자 식별자의 생성 허용 설정(IdP)
    IdP 작업
    AllowCreate=true
    확인란 선택
    이름 ID 값을 생성합니다.
    AllowCreate=true
    확인란 선택 취소
    작업 없음. IdP가 이름 ID 값을 생성할 수 없습니다.
    AllowCreate=false
    확인란 선택
    작업 없음. 이름 ID 값이 생성되지 않습니다. AuthnRequest에 있는 특성이 IdP 설정을 재정의합니다.
    AllowCreate=false
    확인란 선택 취소
    작업 없음. 이름 ID 값이 생성되지 않습니다.
    AllowCreate 특성 없음
    확인란 선택
    이름 ID 값을 생성합니다.
    AllowCreate 특성 없음
    확인란 선택 취소
    작업 없음. 이름 ID 값이 생성되지 않습니다.
어설션 특성(SAML 1.1)
"어설션 특성" 섹션에서는 어설션에 포함되는 사용자 특성을 지정할 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
  • 어설션 특성
    어설션에 포함할 특정 특성을 지정합니다. 신뢰 당사자가 어설션에서 필요로 하는 특성을 지정합니다. 이 항목은 반드시 사용자 저장소 특성이 아니어도 됩니다.
    값:
    신뢰 당사자에서 사용되는 특성 이름
  • 네임스페이스
    이름을 고유하게 식별하는 모음을 지정합니다.
    값:
    임의의 유효한 네임스페이스
  • Type
    어설션 특성의 특성 유형 및 원본을 지정합니다.
    • 옵션:
    정적
    특성이 "값" 필드에 입력한 상수 값임을 나타냅니다.
    사용자 특성
    사용자 디렉터리에서 "값" 필드에 지정된 특성을 쿼리하여 특성을 가져옵니다.
    세션 특성
    세션 저장소에서 "값" 필드에 지정된 특성을 쿼리하여 특성을 가져옵니다.
    DN 특성(LDAP에만 해당)
    "값" 필드에 지정된 DN 특성 및 "DN 사양" 필드에 지정된 DN을 포함하는 쿼리를 보내 특성을 가져옵니다. 이 옵션은 주로 사용자 그룹을 식별하는 데 사용됩니다.
    JUEL(Java Unified Expression Language)을 사용하여 특성 어설션을 변환, 추가 또는 삭제할 문자열을 입력하십시오.
    • 정적 유형인 경우 특성의 정적 값을 지정합니다.
    • 사용자 특성 유형인 경우 사용자 특성의 값을 지정합니다.
      어설션에 LDAP 사용자 특성을 추가하는 경우 특성을 둘 이상의 값으로 구성할 수 있습니다. 다음과 같이 어설션에서 각 값을 별도의 <AttributeValue> 요소로 지정합니다.
      <ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"
      NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified">
      <ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue>
      <ns2:AttributeValue>organizationalPerson</ns2:AttributeValue>
      <ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute>
      </ns2:AttributeStatement>
      사용자 특성에 여러 값이 있음을 나타내려면 이 필드의 항목 시작 부분에 접두사
      FMATTR:
      을 추가하십시오. 접두사는 대문자여야 합니다. 예를 들어 LDAP 사용자 저장소의 사용자 특성 LastName을 추가하려면 FMATTR:LastName을 입력하십시오. 접두사는 특성을 해석하는 방법을
      CA SiteMinder® Federation
      에 지시합니다.
    • 세션 특성 유형인 경우 세션 특성의 값을 지정합니다.
    • DN 유형인 경우 DN 특성을 지정합니다.
    • JUEL 식을 지정합니다.
  • DN 사양
    특성이 DN 유형인 경우 DN을 지정합니다.
    예:
    ou=Marketing,o=ca.com
어설션 생성기 플러그 인
casso12kr
"어설션 생성기 플러그인" 섹션에서는
CA Single Sign-on
가 어설션에 특성을 추가하는 데 사용할 수 있도록 작성된 플러그인을 지정할 수 있습니다.
  • 플러그인 클래스
    플러그인의 정규화된 Java 클래스 이름을 지정합니다. 이 플러그인은 런타임에 호출됩니다. 이름(예:
    com.mycompany.assertiongenerator.AssertionSample)을 입력합니다.
    플러그인 클래스는 어설션을 구문 분석 및 수정한 다음 최종 처리를 위해 결과를
    CA Single Sign-on
    로 반환할 수 있습니다. 각 신뢰 당사자에 대해 플러그인이 하나만 허용됩니다. SDK에 샘플 플러그인이 포함되어 있습니다.
    federation_sdk_home
    \jar 디렉터리에서 컴파일된 샘플 플러그인 fedpluginsample.jar를 볼 수 있습니다.
    참고:
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample 디렉터리에서 샘플 플러그인의 소스 코드를 볼 수도 있습니다.
  • 플러그인 매개 변수
    (선택 사항)
    CA Single Sign-on
    가 플러그인에 매개 변수로 전달하는 문자열을 지정합니다.
    CA Single Sign-on
    는 이 문자열을 런타임에 전달합니다. 이 문자열에는 어떤 값이든 포함될 수 있으며 따라야 하는 특정 구문이 없습니다.
    플러그인은 수신하는 매개 변수를 해석합니다. 예를 들어 매개 변수가 특성 이름일 수도 있고 플러그인에 태스크를 수행하도록 지시하는 정수가 문자열에 포함될 수도 있습니다.