SSO 및 SLO 대화 상자(SAML 2.0 SP)

casso12kr
HID_partnerships-SSO-relying
목차
"SSO 및 SLO" 단계에서는 싱글 사인온 및 싱글 로그아웃 구성을 결정할 수 있습니다.
참고:
SLO 설정을 보려면 정책 서버 관리 콘솔을 사용하여 세션 서버가 사용되도록 설정합니다.
SSO(SAML 2.0 SP)
이 "SSO" 섹션에서는 SSO(싱글 사인온) 정보를 구성할 수 있습니다. 설정은 다음과 같습니다.
인증 요청 바인딩
SP가 IdP로 인증 요청을 보낼 때 사용하는 바인딩 유형을 지정합니다.
옵션
: HTTP-리디렉션, HTTP-POST
SSO 프로필
페더레이션 시스템이 요청 처리를 위해 사용하는 싱글 사인온 프로필을 결정합니다. 모든 바인딩을 선택할 수 있으며, 로컬 엔터티에 따라 바인딩이 시도되는 순서가 결정됩니다.
옵션:
HTTP-아티팩트, HTTP-POST, 향상된 클라이언트 및 프록시
파트너 관계의 엔터티가 향상된 클라이언트를 통해 직접 통신하는 경우 ECP 프로필을 선택하십시오. 향상된 클라이언트는 브라우저나 다른 사용자 에이전트 또는 향상된 프록시(예: 무선 장치의 무선 프록시)일 수 있습니다.
대상자
SAML 어설션의 대상자를 지정합니다.
대상자는 두 페더레이션 파트너 간의 비즈니스 계약 조건을 설명하는 문서의 URL입니다. 어설션 당사자의 관리자가 대상자를 결정합니다. 입력하는 값은 어설션 당사자에서 지정된 "대상자" 값과 같아야 합니다.
값:
URL.
대상자 값은 1024자를 초과하지 마십시오. 또한 이 값은 대/소문자를 구분합니다.
예:
http://www.ca.com/fedserver
트랜잭션 허용됨
싱글 사인온을 시작할 수 있는 파트너를 나타냅니다. 싱글 사인온을 시작하는 파트너를 제어하면 페더레이션 호출을 관리할 수 있습니다. 예를 들어 "SP 시작만"을 선택할 수 있습니다. 이 경우 SP는 특정 인증 컨텍스트를 요청하는 경우에만 페더레이션 트랜잭션을 시작할 수 있습니다.
사용자 동의 필요
SP가 아이덴티티 공급자로 하여금 사용자에게 아이덴티티 정보 공유를 허가할지 묻도록 요청함을 나타냅니다. 동의를 확인하기 위해 SP는 받은 어설션의 사용자 동의 값을 다음 동의 값 중 하나와 비교합니다.
  • urn:oasis:names:tc:SAML:2.0:consent:obtained
    아이덴티티 공급자가 사용자로부터 동의를 받았습니다.
  • urn:oasis:names:tc:SAML:2.0:consent:prior
    아이덴티티 공급자가 싱글 사인온 트랜잭션이 발생하기 전에 사용자로부터 동의를 받았습니다.
  • urn:oasis:names:tc:SAML:2.0:consent:current-implicit
    아이덴티티 공급자가 싱글 사인온 트랜잭션 중에 암시적으로 동의를 받았습니다. 이 동의는 동의를 의미하는 작업의 일부인 경우가 많습니다. 암시적 동의는 일반적으로 시간 면에서 이전 동의보다 트랜잭션에 더 가깝습니다.
  • urn:oasis:names:tc:SAML:2.0:consent:current-explicit
    아이덴티티 공급자가 싱글 사인온 트랜잭션을 시작한 작업 동안 동의를 받았습니다.
보호 수준
동일한 정책 도메인 내에서 보호 수준이 같거나 낮은 인증 체계에 대해 싱글 사인온을 허용합니다. 또한 보호 수준 체계가 높은 리소스에 액세스하려면 보호 수준에 대한 추가 인증이 필요합니다.
값:
1~1000
인증 체계에는 기본 보호 수준이 있으며, 이 수준은 변경할 수 있습니다. 중요한 리소스에는 높은 보호 수준을 사용하고 일반적으로 액세스 가능한 리소스에는 낮은 수준 체계를 사용하십시오.
단일 사용자 어설션 적용
SAML 2.0 어설션이 서비스 공급자에서 두 번째 세션을 설정하는 데 재사용되지 않도록 합니다.
동기 감사 사용
CA Single Sign-on
이 리소스에 대한 액세스를 허용하기 전에 정책 서버 및 웹 에이전트 작업을 기록해야 함을 나타냅니다.
CA Single Sign-on
은 작업이 감사 로그에 로깅될 때까지 영역 리소스에 대한 액세스를 허용하지 않습니다
.
영구 세션 사용
(선택 사항) 사용자 세션이 추적되고 세션 저장소 및 쿠키에 저장되도록 지정합니다. 정책 서버는 이 정보에 액세스하여 인증 결정에 사용할 수 있습니다.
영구 세션을 사용하려면 이 확인란을 선택하십시오. 싱글 로그아웃 및 단일 사용 정책 기능의 경우 이 확인란을 선택해야 합니다.
중요!
이 확인란을 표시하려면
CA Single Sign-on
정책 서버 관리 콘솔을 사용하여 세션 서버가 사용되도록 설정하십시오.
  • 유효성 검사 기간
    세션의 유효성을 검사하기 위한 에이전트의 정책 서버 호출 사이의 최대 기간을 결정합니다. 세션 유효성 검사 호출은 정책 서버에 사용자가 계속 활성 상태임을 알리고 사용자 세션이 계속 유효한지 확인합니다.
    유효성 검사 기간을 지정하려면 "시간", "분" 및 "초" 필드에 값을 입력하십시오. Windows 사용자 보안 컨텍스트를 제공하도록
    CA Single Sign-on
    을 구성하려는 경우 이 값을 15분~30분의 높은 값으로 설정하십시오. 또한 활성 세션이 에이전트의 최대 사용자 세션 캐시 값보다 작아도 에이전트가 세션 서버에 대해 세션 유효성을 다시 검사할 필요가 없습니다.
    중요!
    세션 "유효성 검사 기간"은 지정된 "유휴 시간 만료" 값보다 작아야 합니다.
원격 SSO 서비스 URL
어설션 당사자의 싱글 사인온 서비스에 대한 URL을 나열합니다. 이 테이블의 각 항목은 AuthnRequest 서비스가 AuthnRequest 메시지를 리디렉션할 수 있는 위치를 지정합니다. 테이블에 항목을 추가하려면 "행 추가"를 클릭하십시오. 원격 신뢰 당사자 생성 또는 가져오기 중에 정의한 값은 모두 이 테이블에 입력됩니다.
이 테이블에는 다음 열이 포함되어 있습니다.
  • 선택
    사용할 항목을 나타냅니다.
  • 바인딩
    어설션 당사자에서 지원되는 바인딩을 지정합니다.
    옵션:
    HTTP-리디렉션, HTTP-POST, SOAP
  • URL
    어설션 당사자의 싱글 사인온 서비스를 지정합니다.
    값:
    원격 어설션 당사자의 SSO 서비스 URL
  • 삭제
    이 아이콘을 선택하면 항목이 삭제됩니다.
원격 SOAP 아티팩트 레졸루션 URL
어설션 당사자의 아티팩트 레졸루션 서비스 URL을 나열합니다. 이 서비스는 신뢰 당사자로부터 받는 아티팩트를 기반으로 하는 어설션을 검색합니다. 이 테이블의 항목은 아티팩트 싱글 사인온에 필요합니다. 원격 신뢰 당사자 생성 또는 가져오기 중에 정의한 값이 이 테이블에 입력됩니다.
이 테이블에는 다음 열이 포함되어 있습니다.
  • 선택
    CA Single Sign-on
    에 사용할 항목을 알려 줍니다.
  • 인덱스
    인덱스 값을 아티팩트 레졸루션 서비스의 특정 URL과 연결합니다. 0 값은 기본 항목을 나타냅니다.
    기본값:
    0
    값:
    0~65535
  • URL
    아티팩트 레졸루션 서비스의 URL입니다.
    원격 아이덴티티 공급자가
    CA Single Sign-on
    을 사용하는 경우 다음 URL을 사용하십시오.
    http://
    idp_host:port
    /affwebservices/public/saml2ars
  • 삭제
    이 아이콘을 선택하면 항목이 삭제됩니다.
이름 ID 관리 서비스
이 섹션은 "이름 ID 관리 서비스"를 구성하기 위한 필드를 설명합니다.
  • MNI 바인딩: SOAP
    이름 ID 관리 서비스를 활성화합니다. 바인딩은 SOAP만 지원됩니다.
  • 이름 ID 암호화
    이름 ID를 암호화합니다.
  • 암호화된 이름 ID 필요
    받은 메시지에서 암호화된 이름 ID가 요구됩니다.
  • 서명 요청
    ManageNameID 요청 메시지에 서명합니다.
  • 서명된 요청 필요
    서명된 ManageNameID 요청 메시지가 필요합니다.
  • 서명 응답
    ManageNameId 응답 메시지에 서명합니다.
  • 서명된 응답 필요
    서명된 ManageNameID 응답 메시지가 필요합니다.
  • 이름 ID 삭제
    이 파트너 관계에 대한 사용자 이름 ID를 수록한 사용자 디렉터리 특성을 삭제합니다. 이 기능을 적용하려면 "이름 ID 삭제" 또는 "알림 사용"을 선택해야 합니다.
  • SOAP 시간 만료(초)
    요청이 만료될 때까지 대기하는 시간(분)을 지정합니다.
    기본값
    : 60
  • 다시 시도 횟수
    요청을 다시 시도할 횟수를 지정합니다.
    기본값
    : 3
  • 다시 시도 경계(분)
    메시지 실패 시 다시 시도하기 전까지 대기하는 시간(분)을 지정합니다.
    기본값
    : 15
  • (선택 사항) 알림 사용
    사용자가 종료되면
    Single Sign-On
     페더레이션 엔터티가 고객 응용 프로그램에 이를 알리도록 합니다. 알림 기능은 이름 ID 종료에 성공할 경우 백그라운드에서 이름 ID 서비스에 이를 알려 줍니다. 요청된 응용 프로그램을 소유하는 고객이 사용자 디렉터리에서 사용자 제거를 제어하고자 하는 경우 알림을 사용하도록 설정하십시오. 
  • 알림 URL 
    로컬 페더레이션 엔터티가 페더레이션된 사용자의 이름 ID가 종료되었다는 알림을 보내는 데 사용하는 IdP 또는 SP의 URL을 지정합니다.
  • 알림 시간 만료(초)
    알림 요청이 시간 만료될 때까지 대기할 시간(초)을 지정합니다.
  • 알림 인증 유형
    종료를 전송할 때 고객에게 자격 증명이 필요한지 여부를 지정합니다. "Basic"을 선택하면 알림 서비스가 알림 URL을 통해 백그라운드에서 알림을 보냅니다. 고객 응용 프로그램은
    Single Sign-On
    페더레이션이 이 알림을 보낼 수 있는지를 인증할 수 있습니다. "Basic"을 선택할 경우 "사용자 이름 알림" 및 "알림 암호" 설정의 값을 지정하십시오. 이러한 값은 알림 채널을 통해 알림을 보낼 때 자격 증명으로 사용됩니다.
    옵션
    : NoAuth, Basic
  • 사용자 이름 알림
    알림 서비스의 사용자 이름을 지정합니다. 이 이름은 알림 URL을 통해 통신하는 엔터티를 확인하기 위해 고객 응용 프로그램에서 사용되는 자격 증명의 일부입니다. 
  • 알림 암호
    알림 서비스의 암호를 지정합니다. 이 암호는 알림 URL을 통해 통신하는 엔터티를 확인하기 위해 고객 응용 프로그램에서 사용되는 자격 증명의 일부입니다.  고객 응용 프로그램에서는 유효한 클라이언트가 알림을 보내고 있는지 확인하기 위해 이 인증을 제공합니다.
  • 알림 암호 확인
    알림 암호 값을 확인합니다.
SP의 특성 요청자 서비스
"특성 요청자 서비스" 섹션에서 특성 요청자가 특성 기관에서 검색할 특성을 구성하십시오. 이러한 특성은 특성 기관으로 보내는 특성 쿼리에 포함됩니다.
이 섹션에는 다음 설정이 포함되어 있습니다.
  • 사용
    요청자가 특성 쿼리를 생성할 수 있도록 합니다.
  • 서명된 어설션 필요
    특성 요청자가 특성 기관이 서명한 특성 어설션만 수락함을 나타냅니다. 서명되지 않은 경우 어설션이 거부됩니다.
  • casso12kr
    프록시 쿼리 사용
    타사 IdP가 특성 쿼리에 응답함을 나타냅니다. 프록시 쿼리 기능은 타사가 IdP 및 특성 기관의 역할을 하는 배포 환경에 사용할 수 있습니다. 프록시 쿼리를 구현할 때 구성하는 로컬 정책 서버 시스템은 두 가지 역할을 가집니다. 시스템은 타사 IdP와 관련된 SP 및 특성 요청자의 역할을 합니다. 로컬 시스템은 요청된 응용 프로그램을 소유하는 SP와 관련된 IdP 및 특성 기관의 역할도 합니다.
    프록시 쿼리는 다음 조건이 충족될 경우에 발생합니다.
    • 특성이 로컬 시스템의 사용자 디렉터리나 세션 저장소에 없는 경우
    • 사용자가 처음에 타사 IdP에 의해 인증된 경우
    정책 서버는 타사 IdP를 쿼리합니다. IdP는 특성을 찾은 경우 쿼리 응답을 반환합니다. 정책 서버는 응답의 특성을 세션 저장소에 추가합니다. 그러면 시스템은 응용 프로그램을 소유한 SP에 해당 특성이 포함된 응답을 반환합니다. 이 SP는 원래 특성 요청자입니다.
  • 서명 특성 쿼리
    특성 요청자가 특성 쿼리를 특성 기관으로 보내기 전에 특성 쿼리에 서명하도록 합니다.
  • 서명된 응답 필요
    특성 요청자가 서명된 응답만 수락하도록 합니다.
  • 특성 서비스
    각 특성 기관의 특성 서비스 URL을 나열합니다.
    요청자의 쿼리에 응답하는 작동 중인 특성 기관을 나타내려면 연결된 라디오 단추를 선택하십시오.
SP의 특성 요청자 서비스
특성 요청자가 특성 기관으로 보내는 특성 쿼리에 올바른 값을 포함하려면 "이름 ID" 섹션을 구성하십시오.
참고
이 섹션은 "특성 쿼리" 기능이 사용되도록 설정되어 있는 경우에만 구성할 수 있습니다.
필드는 다음과 같습니다.
  • 이름 ID 형식
    이름 ID의 형식을 지정합니다. 이 값은 특성 기관에 필요한 이름 ID의 형식과 일치해야 하며 그렇지 않으면 요청이 실패합니다.
  • 이름 ID 유형
    이름 ID에 사용되는 특성의 유형을 정의합니다.
    • 정적
      이름 ID가 "값" 필드의 정적 값임을 나타냅니다.
    • 사용자 특성
      이름 ID가 사용자 저장소의 사용자 특성임을 나타냅니다. 사용자 특성은 "값" 필드에 지정됩니다.
    • 세션 특성
      이름 ID가 "값" 필드에 지정된 세션 저장소 특성임을 나타냅니다.
    • DN 특성
      이름 ID가 DN과 연결된 특성임을 나타냅니다. "값" 및 "DN 사양" 필드를 채우십시오.
    • 이름 ID의 값을 지정합니다. 이 필드에 유효한 항목은 "이름 ID 유형" 선택에 따라 달라집니다.
      • 정적 - 정적 텍스트 값을 입력합니다.
      • 사용자 특성 - 사용자 저장소의 사용자 특성 이름을 입력합니다.
      • 세션 특성 - 정책 서버 세션 저장소의 세션 특성 이름을 입력합니다.
      • DN 특성 - 그룹 또는 조직 단위 DN과 연결된 사용자 특성의 이름을 입력합니다. DN 사양도 지정하십시오.
    • DN 사양
      시스템이 적절한 DN 특성을 가져오기 위해 사용하는 그룹 또는 조직 단위 DN을 지정합니다.
SLO(SAML 2.0 SP)
"SLO" 섹션에서는 SLO(싱글 로그아웃)를 구성할 수 있습니다.
중요!
SLO를 사용하려면 이 대화 상자의 "SSO" 섹션에서 "영구 세션 사용" 확인란이 사용되도록 설정하십시오.
이 섹션에는 다음 설정이 표시됩니다.
  • SLO 바인딩
    어설션 당사자에서 싱글 로그아웃 프로필이 사용되는지 여부 및 어떤 바인딩이 사용되고 있는지를 지정합니다. HTTP-리디렉션 바인딩은 HTTP GET 요청을 사용하여 SLO 메시지를 보냅니다. SOAP 바인딩은 초기 요청 후에는 HTTP를 사용하지 않고 메시지를 백 채널을 통해 보냅니다.
    옵션:
    HTTP-리디렉션, HTTP-POST, SOAP
  • SLO 확인 URL
    싱글 로그아웃 프로세스가 완료될 때 사용자가 리디렉션되는 URL을 지정합니다. 일반적으로 이 사이트는 싱글 로그아웃을 시작한 사이트입니다. "SLO 확인 URL"은 사용자 사이트에서 액세스할 수 있어야 합니다. 페더레이션 시스템은 SLO가 사용자 사이트에서 시작된 경우 이 URL을 사용합니다.
    이 값은 로컬 리소스이며 페더레이션된 파트너 도메인의 리소스가 아닙니다. 예를 들어 로컬 도메인이 acme.com이고 파트너가 example.com인 경우 "SLO 확인 URL"은 acme.com에 있어야 합니다.
    유효한 URL을 입력하십시오.
  • SLO 유효 기간(초)
    SLO 요청이 유효한 시간(초)을 지정합니다.
    기본값:
    60초
    옵션:
    양의 정수
  • 릴레이 상태가 SLO 확인 URL 무시(HTTP-리디렉션에만 해당)
    "SLO 확인 URL"의 값을 싱글 로그아웃 요청에 포함된 릴레이 상태 쿼리 매개 변수 값으로 대체합니다.
    이 확인란을 사용하면 싱글 로그아웃 확인 대상을 더 세부적으로 제어할 수 있습니다. 릴레이 상태 쿼리 매개 변수를 사용하여 SLO 요청의 확인 URL을 동적으로 정의할 수 있습니다.
  • 세션 인덱스 재사용
    CA Single Sign-on
    이 단일 브라우저 세션에서 동일한 파트너에 대한 어설션에 동일한 세션 인덱스를 포함하여 보내는지 여부를 나타냅니다. 사용자는 동일한 브라우저 창을 사용하여 동일한 파트너와 여러 번 페더레이션할 수 있습니다. 이 옵션을 선택하면 IdP가 각 어설션에서 동일한 세션 인덱스를 보내도록 지시합니다. 이 옵션을 비활성화하면
    CA Single Sign-on
    은 Single Sign-On이 발생할 때마다 새 세션 인덱스를 생성합니다. 
    이 옵션이 사용되도록 설정하면 새 어설션에서 전달된 세션 인덱스를 따르지 않는 타사 파트너와의 싱글 로그아웃을 지원할 수 있습니다.
    참고:
    이 설정은 싱글 로그아웃이 사용되도록 설정한 경우에만 적용됩니다.
  • SLO 서비스 URL
    사용 가능한 SLO 서비스 URL을 나열합니다. 이 테이블에는 다음 항목이 포함되어 있습니다.
    • 선택
      이 값이 "SLO 서비스 URL"의 항목임을 나타냅니다.
    • 바인딩
      SLO 연결에 대한 바인딩을 나타냅니다.
      옵션:
      HTTP-리디렉션, HTTP-POST, SOAP
    • 위치 URL
      원격 파트너의 싱글 로그아웃 서비스 URL을 지정합니다. 이 URL은 싱글 로그아웃 요청이 전송되는 위치입니다.
      옵션:
      유효한 URL
      페더레이션 시스템이 원격 아이덴티티 공급자에서 사용되는 경우 다음 URL을 사용하십시오.
      HTTP-Redirect 바인딩:
      http://
      idp_host:port
      /affwebservices/public/saml2slo
      HTTP-POST 바인딩
      :
      http://
      idp_host:port
      /affwebservices/public/saml2slo
      SOAP 바인딩:
      http://
      idp_host:port
      /affwebservices/public/saml2slosoap
      타사 페더레이션 제품이 아이덴티티 공급자에 있는 경우 해당 제품에 적절한 URL을 사용하십시오.
    • 응답 위치 URL
      (선택 사항) 엔터티의 싱글 로그아웃 서비스 URL을 지정합니다. 싱글 로그아웃 요청에 대한 서비스와 싱글 로그아웃 응답에 대한 서비스가 하나씩 있는 구성에서 응답 위치 URL이 사용됩니다. 기본적으로 위치 URL만 제공된 경우 이 URL이 요청과 응답에 사용됩니다.
      유효한 URL을 입력하십시오.
백 채널(SAML 2.0 SP)
casso12kr
"백 채널" 섹션에서는 백 채널을 통한 인증 방법을 구성합니다. 백 채널의 용도는 다음과 같은 조건에 따라 달라집니다.
  • HTTP-아티팩트 싱글 사인온이 구성됨
  • SOAP 바인딩을 사용하는 싱글 로그아웃이 구성됨
  • 페더레이션 시스템이 아이덴티티 공급자 또는 서비스 공급자임
  • 통신이 수신 또는 송신 채널을 통해 이루어짐
"백 채널" 섹션에는 다음과 같은 설정이 표시됩니다.
  • 수신 구성/송신 구성
    선택한 바인딩에서 필요한 경우 수신 또는 송신 백 채널을 구성하십시오. 백 채널의 구성은 하나뿐입니다. 동일한 채널을 사용하는 두 서비스는 동일한 백 채널 구성을 사용합니다. 예를 들어 로컬 IdP에 대한 수신 채널은 HTTP-아티팩트 SSO와 SOAP 기반 SLO를 지원합니다. 이 두 서비스는 동일한 백 채널 구성을 사용해야 합니다.
  • 인증 방법
    백 채널을 보호하는 인증 방법을 지정합니다.
    기본값:
    인증 없음
    옵션:
    기본, 클라이언트 인증서, 인증 없음
    기본
    기본 인증 체계가 백 채널을 통한 통신을 보호함을 나타냅니다.
    참고:
    백 채널 연결에 대해 SSL이 사용되도록 설정한 경우에도 기본 인증을 선택할 수 있습니다.
    기본 인증을 선택하는 경우 다음과 같은 추가 설정을 구성하십시오.
    • 백 채널 사용자 이름
      (기본 인증 - 송신 채널만) 기본 인증을 사용하여 백 채널을 보호할 경우 SP의 사용자 이름을 지정합니다. 원격 IdP에서 구성된 파트너 관계의 이름을 입력하십시오. 예를 들어 원격 IdP에서 Partners1이라는 파트너 관계가 CompanyA(IdP)와 CompanyB(SP) 사이에 정의됩니다. 로컬 SP인 CompanyB에서 입력하는 값은 이 사용자 이름을 IdP의 관련 파트너 관계와 연결하는 Partners1입니다.
    • 암호
      백 채널 사용자 이름의 사용자 암호를 지정합니다. 백 채널을 통한 인증 방법으로 기본 또는 SSL을 통한 기본 인증을 사용하는 경우에만 이 암호가 관련이 있습니다.
      두 파트너가 이 암호에 합의해야 합니다.
    • 암호 확인
      암호 항목을 다시 확인합니다.
    • 백 채널 시간 만료(초)
      (송신 채널만) 시스템이 아티팩트 레졸루션 서비스에 백 채널 요청을 보낸 후 응답을 대기하는 최대 시간을 지정합니다. 간격(초)을 지정하십시오.
      기본값:
      300초
      값:
      양의 정수
  • 클라이언트 인증서
    X.509 클라이언트 인증서 인증 체계가 백 채널을 통한 아티팩트 레졸루션 서비스와의 통신을 보호함을 나타냅니다.
    클라이언트 인증서 인증에서는 모든 끝점 URL에 SSL을 사용해야 합니다. 끝점 URL은 서버에서 아티팩트 레졸루션 서비스와 같은 다양한 SAML 서비스를 찾습니다. 이 SSL 요구 사항에 따라 서비스의 URL은
    https://
    로 시작해야 합니다.
    클라이언트 인증서 인증을 구현하려면 트랜잭션이 발생하기 전에 SP가 어설션 당사자에게 인증서를 보내야 합니다. 어설션 당사자는 인증서를 자체 데이터베이스에 저장합니다. 두 파트너 모두 해당 데이터베이스에서 SSL 연결이 사용되도록 설정한 인증서가 있어야 합니다. 그렇지 않으면 클라이언트 인증서 인증이 작동하지 않습니다.
    인증 프로세스 중에 신뢰 당사자는 인증서를 어설션 당사자에게 보냅니다. 어설션 당사자는 수신한 인증서를 자체 데이터베이스의 인증서와 비교하여 일치하는지 확인합니다. 일치하면 어설션 당사자가 신뢰 당사자가 아티팩트 레졸루션 서비스에 액세스하도록 허용합니다.
    클라이언트 인증서 인증을 선택하는 경우 다음과 같은 추가 설정을 구성하십시오.
    • 클라이언트 인증서 별칭
      키 데이터베이스의 클라이언트 인증서와 연결되는 별칭을 지정합니다. 드롭다운 목록에서 별칭을 선택하십시오.
    • 백 채널 시간 만료(초)
      (송신 채널만)
      CA Single Sign-on
      이 아티팩트 레졸루션 서비스에 백 채널 요청을 보낸 후 응답을 대기하는 최대 시간을 지정합니다. 간격(초)을 지정하십시오.
      기본값:
      300초
      값:
      양의 정수
  • 인증 없음
    신뢰 당사자가 자격 증명을 제공할 필요가 없습니다. 백 채널 및 아티팩트 레졸루션 서비스가 보호되지 않습니다. 이 옵션을 사용할 때도 SSL을 활성화할 수 있습니다. 백 채널 트래픽은 암호화되지만 당사자 간에 자격 증명이 교환되지 않습니다.
    인증 없음 옵션은 테스트 용도로만 선택하고 페더레이션 시스템이 SSL 지원 장애 조치에 대해 구성되고 프록시 서버 뒤에 있는 경우를 제외하고 운영 용도로 선택하지 마십시오. 프록시 서버에 서버 인증서가 있으면 프록시 서버가 인증을 처리합니다. 이 경우 모든 IdP->SP 파트너 관계에서 인증 유형으로 "인증 없음"을 사용합니다.