Single Sign-On 및 Sign-Out(WSFED IP)

casso12kr
HID_sso-signout-wsfed
목차
"Single Sign-On 및 Sign-Out" 단계에서는 각 기능의 작업을 구성할 수 있습니다.
인증(WSFED)
"인증" 섹션에서는 페더레이션 시스템이 Single Sign-On 트랜잭션 동안 사용자를 인증하는 방법을 지정할 수 있습니다. 세션이 없는 사용자를 인증하는 방법을 지정합니다.
다음 설정을 구성할 수 있습니다.
인증 모드
사용자를 로컬로 인증하여 세션을 설정하는지 아니면 원격 타사 액세스 관리 시스템에 인증을 위임하여 세션을 설정하는지를 나타냅니다.
기본값:
로컬
옵션
: 다음 옵션 중 하나를 선택하고 해당 옵션에 대한 모든 추가 필드를 구성합니다.
  • 로컬 - 페더레이션 시스템에서 사용자 인증을 처리합니다. 
    "인증 모드" 필드에서 "로컬"을 선택할 경우 "인증 URL" 필드에 URL을 입력하십시오. URL은 일반적으로 redirect.jsp 파일을 가리키지만
    보안 URL 사용
    확인란을 선택한 경우에는 URL이 secureredirect 웹 서비스를 가리켜야 합니다.
    인증 URL
    페더레이션이 사용자를 인증하고 보호된 리소스가 요청될 때 세션을 생성하는 데 사용하는 보호된 URL을 지정합니다. 인증 모드가 로컬로 설정되어 있고 사용자가 어설션 당사자에서 로그인하지 않은 경우 사용자는 이 URL로 리디렉션됩니다. 
    보안 URL 사용
    확인란을 선택하지 않은 경우 이 URL은 redirect.jsp 파일을 가리켜야 합니다. 
    casso12kr
    redirectjsp 폴더에 대한 다음 경로 중 하나를 리소스 필터로 사용하십시오. CA 웹 에이전트 옵션 팩 및 CA Access Gateway는 이 리소스 필터를 사용합니다.
    • 직접 경로:
      /affwebservices/redirectjsp/
    • 가상 경로:
      redirectjsp 폴더가 있는 서버의 경로입니다. 일반적인 가상 경로는 /siteminderagent/redirectjsp이며 웹 에이전트 옵션 팩 또는 Access Gateway를 사용하여 웹 에이전트를 구성할 때 설정됩니다. 가상 경로는 다음 가상 디렉터리를 가리킵니다.
      • 웹 에이전트:
        web_agent_home
        /affwebservices/redirectjsp
      • CA Access Gateway:
        access_gateway_home
        /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
    예: http://
    myserver.idpA.com
    /affwebservices/redirectjsp/redirect.jsphttp://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp 
    myserver
    는 어설션 당사자에 웹 에이전트 옵션 팩이나
    CA Access Gateway
    가 설치된 웹 서버입니다. 이러한 제품에는 redirectjsp 응용 프로그램이 포함되어 있습니다.
    중요!
    액세스 제어 정책을 사용하여 인증 URL을 보호하십시오. 또한 해당 정책에 대해 인증 체계, 영역 및 규칙을 구성하십시오. 어설션에 세션 저장소 특성을 추가하려면 인증 체계의 설정인 "인증 세션 변수 유지" 확인란을 선택하십시오.
    보안 URL 사용
    이 설정을 사용하면 Single Sign-On 서비스가 SMPORTALURL 쿼리 매개 변수만 암호화하게 됩니다. 암호화된 SMPORTALURL은 악의적인 사용자가 값을 수정하고 인증된 사용자를 악의적인 웹 사이트로 리디렉션하지 못하게 합니다. 브라우저가 사용자를 리디렉션하여 세션을 설정하기 전에 인증 URL에 SMPORTALURL이 추가됩니다. 사용자가 인증된 후에는 브라우저가 사용자를 SMPORTALURL 쿼리 매개 변수에 지정된 대상으로 다시 리디렉션합니다.
    "보안 URL 사용" 확인란을 선택한 경우 다음 단계를 수행하십시오.
    1. "인증 URL" 필드를 다음 URL로 설정합니다. http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. 정책을 사용하여 secureredirect 웹 서비스를 보호합니다.
    어설션 당사자가 둘 이상의 신뢰 파트너에게 서비스를 제공하는 경우 어설션 당사자는 이러한 파트너별로 각기 다른 사용자를 인증할 수 있습니다. 따라서 secureredirect 서비스를 사용하는 각 인증 URL에 대해 이 웹 서비스를 각 파트너의 서로 다른 영역에 포함하십시오.
    secureredirect 서비스를 서로 다른 영역에 연결하려면 web.xml 파일을 수정하고 여러 리소스 매핑을 생성하십시오. secureredirect 웹 서비스를 서버의 여러 위치로 복사하지 마십시오.
    web_agent_home
    /affwebservices/WEB-INF 디렉터리에서 web.xml 파일을 찾으십시오. 여기서
    web_agent_home
    은 웹 에이전트가 설치된 위치입니다.
  • 위임됨 - 타사 WAM(웹 액세스 관리) 시스템에서 사용자 인증을 처리합니다. 추가 필드를 기입합니다.
  • 자격 증명 선택기 - 여러 아이덴티티 공급자가 나열되는 자격 증명 선택기 페이지가 사용자에게 표시됩니다. 아이덴티티 공급자는 소셜 미디어, WS-페더레이션, SAML 또는 OAuth 파트너일 수 있습니다. 사용자가 적절한 아이덴티티 공급자를 선택하고 해당 공급자가 사용자를 인증합니다.  허용되는 아이덴티티 공급자의 목록은 "인증 방법 그룹"에 정의되어 있습니다.  이러한 모든 파트너에 대해 사용자가 이미 해당 외부 파트너에 등록되어 있어야 합니다.
  • 위임된 인증 유형(위임됨 모드에만 해당)
    타사 인증을 수행하기 위해 개방 형식 쿠키를 전달하는지 아니면 사용자 로그인 ID 및 기타 정보가 포함된 쿼리 문자열을 전달하는지를 지정합니다. 인증 모드로 "위임됨"을 선택한 경우에만 이 필드가 표시됩니다.
    옵션:
    쿼리 문자열, 개방 형식 쿠키
    • 쿼리 문자열 - 쿼리 문자열을 사용할 경우 타사는 리디렉션 문자열을 작성하고 LoginIDHash라는 쿼리 매개 변수를 이 문자열에 추가합니다. LoginIDHash 매개 변수는 사용자 로그인 ID와 공유 암호의 조합입니다. 이러한 두 값이 결합된 다음 해시 알고리즘을 통해 처리됩니다.
      중요!
      프로덕션 환경에서는 쿼리 문자열 방법을 사용하지 마십시오. 쿼리 문자열 리디렉션 방법은 테스트 환경에서 개념 증명용으로만 사용해야 합니다. 쿼리 문자열 옵션은 FIPS 호환 파트너 관계를 생성하지 않습니다.
    • 개방 형식 쿠키 - 개방 형식 쿠키를 사용할 경우 타사 시스템은 Federation Java 또는 .NET SDK를 사용하여 쿠키를 생성할 수 있습니다. 또는 프로그래밍 언어를 사용하여 쿠키를 수동으로 생성합니다. 타사는 사용자 ID를 검색하는 페더레이션 시스템으로 브라우저를 리디렉션합니다.
  • 위임된 인증 URL
    사용자 인증을 처리하는 타사 웹 액세스 관리 시스템의 URL을 지정합니다. 사용자가 페더레이션 시스템에서 요청을 시작하는 경우 사용자는 인증을 위해 웹 액세스 관리 시스템으로 리디렉션됩니다. 성공적인 인증 후 사용자는 페더레이션 시스템으로 다시 리디렉션됩니다.
    사용자가 먼저 웹 액세스 관리 시스템에서 요청을 시작하는 경우 이 URL은 관련이 없습니다.
    값:
    http:// 또는 https://로 시작하는 유효한 URL
  • 위임된 인증 상태 추적
    위임된 인증이 성공했는지 여부를 추적합니다. 위임된 인증이 실패하면 이 설정이 페더레이션 시스템의 동작을 결정합니다. 기본적으로 이 확인란은 선택되어 있습니다.
    위임된 인증에 대해 구성된 보호된 리소스를 액세스할 때 사용자가 자격 증명을 제공하지 않으면 위임된 인증이 실패합니다. 사용자가 동일한 브라우저 세션에서 리소스를 다시 액세스하려고 시도하면 브라우저는 404 오류를 표시합니다. 또한, 페더레이션 시스템은 affwebservices.log 및 FWSTrace.log 파일에 오류 메시지를 기록합니다. 이 오류 메시지는 위임된 인증의 자격 증명이 누락되었음을 나타냅니다. 페더레이션 시스템은 자격 증명을 제공하도록 사용자를 위임된 인증 URL로 다시 리디렉션하지 않습니다.페더레이션 시스템이 동일한 브라우저 세션에서 사용자를 위임된 인증 URL로 다시 리디렉션하도록 하려면 이 확인란의 선택을 취소하십시오. 추적을 비활성화하면 404 오류가 표시되지 않고 사용자가 동일한 브라우저 세션에서 리소스에 대한 액세스를 다시 시도할 수 있습니다. 대신, 페더레이션 시스템은 브라우저를 위임된 인증 URL로 리디렉션합니다. 사용자는 다시 자격 증명의 제출을 요청받습니다.
  • 해시 암호(쿼리 문자열에만 해당)
    LoginIDHash 쿼리 매개 변수를 생성하기 위해 사용자 로그인 ID에 추가되는 공유 암호를 결정합니다. 위임된 인증 유형으로 쿼리 문자열을 선택하는 경우에만 이 설정이 적용됩니다.
  • 해시 암호 확인(쿼리 문자열에만 해당)
    해시 암호를 확인합니다. 해시 암호 값을 다시 입력합니다.
  • 개방 형식 쿠키(개방 형식 쿠키에만 해당)
    사용자가 HTTP 302 리디렉션을 통해 대상 응용 프로그램으로 리디렉션되며, 개방 형식 쿠키는 포함하지만 다른 데이터는 제외됩니다. 고객 응용 프로그램은 암호화된 쿠키의 암호를 해독하여 사용자 정보를 얻습니다.신뢰 당사자가 여러 특성 값이 있는 어설션을 받는 경우 모든 값을 대상 응용 프로그램에 전달합니다.위임된 인증에 대해 개방 형식 쿠키 옵션을 선택하는 경우 관리 UI에서는 다음과 같은 추가 필드를 표시합니다.
    • 개방 형식 쿠키 이름
      쿠키 이름을 지정합니다.
      암호화 변환
      개방 형식 쿠키를 암호화하는 데 사용할 암호화 알고리즘을 나타냅니다.
      FIPS 호환 알고리즘(AES 알고리즘) 중 하나를 선택하는 경우 대상 시스템에서는 페더레이션 SDK를 사용하여 쿠키를 소비해야 합니다. SDK는 대상 응용 프로그램과 동일한 서버에 있어야 합니다.
      페더레이션 .NET SDK를 사용하여 쿠키를 소비하는 경우 AES128/CBC/PKCS5Padding 암호화 알고리즘을 사용하십시오.
      암호화 암호
      쿠키를 암호화하는 데 사용되는 암호를 나타냅니다. "암호화 암호" 및 "암호 확인" 필드는 필수입니다.
      암호 확인
      암호화 암호 항목을 확인합니다.
      HMAC 사용
      HMAC(해시 메시지 인증 코드)가 이 대화 상자에 제공된 암호화 암호를 사용하여 생성됨을 나타냅니다.
      MAC(메시지 인증 코드)는 두 당사자 간에 전송되는 정보의 무결성을 확인할 수 있습니다. 두 당사자는 메시지 인증 값의 계산 및 확인을 위해 암호 키를 공유합니다. HMAC(해시 메시지 인증 코드)는 암호화 해시 함수를 기반으로 하는 MAC 메커니즘입니다.
      "HMAC 사용" 확인란을 선택하는 경우 시스템에서는 개방 형식 쿠키에 대한 HMAC 값을 생성합니다. HMAC 값은 개방 형식 쿠키 값 앞에 추가되어 전체 문자열을 암호화합니다. 페더레이션 시스템은 암호화된 문자열을 개방 형식 쿠키에 저장합니다. 그러면 이 쿠키가 대상 응용 프로그램에 전달됩니다.
      쿠키 차이 시간(초)
      시스템 클록의 차이를 처리하기 위해 현재 시스템 시간에서 차감되는 시간(초)을 지정합니다. 페더레이션 시스템과 위임된 인증을 처리하는 타사 응용 프로그램 간에 이러한 차이가 발생합니다.
      차이 시간이 개방 형식 쿠키의 생성 및 소비에 적용됩니다.
      값:
      값을 초 단위로 입력합니다.
  • 유휴 시간 만료
    에이전트에서 세션을 종료하기 전에 권한이 부여된 사용자 세션이 비활성 상태로 유지될 수 있는 시간을 결정합니다. 사용자가 보호되는 리소스에 액세스한 후 워크스테이션에서 벗어나는 것이 염려될 경우 유휴 시간 만료를 더 짧은 기간으로 설정하십시오. 세션 시간이 만료되면 사용자는 재인증해야만 리소스에 다시 액세스할 수 있습니다.
    이 설정은 기본적으로 사용되도록 설정되어 있습니다. 세션 유휴 시간 만료를 지정하지 않으려면 확인란의 선택을 취소하십시오. 세션 유휴 시간 만료 기본값은 1시간입니다.
    참고
    실제로 세션은 지정된 유휴 시간 만료 값이 지난 후 특정 유지 기간 내에 만료됩니다. 다음 레지스트리 키에 지정된 시간(초)에 따라 그 기간이 결정됩니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriod
    예를 들어 유휴 시간 만료를 10분으로 설정한다고 가정합니다. 또한 레지스트리에서 MaintenancePeriod를 기본값으로 설정합니다. 세션이 사용되지 않아 시간 만료되기까지의 최장 기간은 11분(시간 만료 + 유지 기간)입니다.
    기본 인증 체계에서 이 기능을 사용하려면 쿠키를 요구하도록 웹 에이전트를 구성해야 합니다.
    다음과 같은 문제에 유의하십시오.
    • 영구 세션의 경우 "유휴 시간 만료"가 사용되도록 설정하고 "유효성 검사 기간"보다 높은 값으로 설정하십시오.
    • WebAgent-OnAuthAccept-Session-Idle-Timeout 응답 특성을 사용하여 이 전역 설정을 재정의할 수 있습니다. 값이 0이면 세션이 사용되지 않는다고 해서 종료되지 않습니다.
    기본값
    : 60초
    시간
    유휴 시간 만료 기간의 시간을 지정합니다.
  • 유휴 시간 만료 기간의 분을 지정합니다.
  • 최대 시간 만료
    에이전트가 사용자에게 재인증을 요청하기 전에 사용자 세션이 활성으로 유지될 수 있는 최대 시간을 결정합니다.
    이 설정은 기본적으로 사용되도록 설정되어 있습니다. 최대 세션 길이를 지정하지 않으려면 확인란의 선택을 취소하십시오. 최대 세션 길이 기본값은 2시간입니다.
    • 시간
      최대 세션 길이의 시간을 지정합니다.
    • 최대 세션 길이의 분을 지정합니다.
    기본 인증 체계에서 이 기능을 사용하려면 쿠키를 요구하도록 웹 에이전트를 구성하십시오.
    참고:
    WebAgent-OnAuthAccept-Session-Max-Timeout 응답 특성을 사용하여 이 설정을 재정의할 수 있습니다.
  • 최소
    인증 수준
    영역에 액세스하기 위해 사용자가 인증되어야 하는 최소 수준을 지정합니다. 사용자가 이 수준 이상에서 인증된 경우 아이덴티티 공급자는 사용자의 어설션을 생성합니다. 이 수준 이상에서 인증되지 않은 사용자는 이 수준에서 인증되도록 "인증 URL"로 리디렉션됩니다.
"자격 증명 선택기"를 인증 모드로서 선택하는 경우 다음 필드를 완성하십시오.
  • 인증 기준 URL
    자격 증명 처리 서비스가 설치된
    CA Access Gateway
    서버의 호스트 이름을 정의합니다. 값은 다음 형식으로 입력하십시오.
    https:
    sps_hostname
    /chs/login or http:
    sps_hostname
    /chs/login
  • 인증 방법 그룹
    파트너 관계가 호출될 때 인증을 위해 사용자에게 표시되어야 하는 아이덴티티 공급자의 인증 방법 그룹을 지정합니다.
Single Sign-On(WSFED IP)
  • 대상자
    대상자의 URL을 지정합니다. 대상자 URL은 어설션 당사자와 신뢰 당사자 간의 비즈니스 계약 조건을 설명하는 문서의 위치를 식별합니다. 어설션 당사자의 관리자가 대상자를 결정합니다. 이 "대상자" 값은 신뢰 당사자의 "대상자" 값 및 리소스 당사자의 "엔터티 ID"와 일치해야 합니다. 이러한 3개의 설정 모두는 동일한 값을 사용해야 합니다.
    값:
    유효한 URL
    대상자 값은 1024자를 초과할 수 없으며 대/소문자를 구분합니다.
    예:
    http://fed.example.com/portal1
  • 보안 토큰 소비자 서비스 URL
    보안 토큰 응답 메시지를 수신하고 어설션을 추출하는 리소스 파트너 서비스의 URL을 지정합니다. 서비스의 기본 위치는 다음과 같습니다.
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    rp_server:port
    웹 에이전트 옵션 팩 또는 SPS 페더레이션 게이트웨이를 호스트하는 리소스 파트너의 웹 서버와 포트를 식별합니다. 이러한 구성 요소는 페더레이션 웹 서비스 응용 프로그램을 제공합니다.
    참고:
    WSFedDispatcher 서비스는 모든 수신 WS-페더레이션 메시지를 받고 쿼리 매개 변수 데이터를 기반으로 적절한 서비스에 요청 처리를 전달합니다. wsfedsecuritytokenconsumer 서비스가 있지만 이 필드의 항목으로는 wsfeddispatcher 서비스를 사용하는 것이 좋습니다.
  • SSO 유효 기간(초)
    생성된 어설션이 유효한 시간(초)을 지정합니다.
    테스트 환경에서 추적 로그에 다음 메시지가 있는 경우 유효 기간 값을 60(기본값) 이상으로 늘릴 수 있습니다.
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    참고:
    "SSO 유효 기간"과 "차이 시간"은 정책 서버에 Single Sign-On 요청이 유효한 총 시간을 계산하는 방법을 알려 줍니다.
    기본값:
    60
    값:
    양의 정수를 입력합니다.
  • 사용자 지정 Post 양식
    HTTP-POST Single Sign-On에 대한 사용자 지정 자동 POST HTML 양식의 이름을 지정합니다. 양식 이름만 입력하고 양식 경로는 입력하지 마십시오. defaultpostform.html이라는 양식은 제품과 함께 설치됩니다.
    사용자 지정 자동 POST를 사용하면 정책 서버가 SAML 정보를 리소스 파트너로 보낼 수 있습니다. 실제 페이지는 %NETE_WA_ROOT%\customization 디렉터리에 있어야 합니다. 여기서 %NETE_WA_ROOT%는 웹 에이전트 옵션 팩의 위치입니다. 웹 에이전트와 웹 에이전트 옵션 팩을 동일한 시스템에 설치하는 경우 동일한 디렉터리(예: webagent\customization)에 설치됩니다.
  • 유효성 검사 기간
    이 확인란을 표시하려면 정책 서버 관리 콘솔을 사용하여 세션 서버가 사용되도록 설정하십시오.
    세션의 유효성을 검사하기 위해 에이전트가 정책 서버를 호출하는 최대 간격 기간을 결정합니다. 세션 유효성 검사 호출은 정책 서버에 사용자가 아직 활성 상태임을 알리고 사용자 세션이 아직 유효한지 확인합니다.
    유효성 검사 기간을 지정하려면 "시간", "분" 및 "초" 필드에 값을 입력하십시오. Windows 사용자 보안 컨텍스트를 제공하도록 시스템을 구성하려는 경우 이 값을 15분~30분의 높은 값으로 설정하십시오. 활성 세션이 에이전트의 최대 사용자 세션 캐시 값보다 작은 경우 에이전트는 세션의 유효성을 다시 검사할 필요가 없습니다.
    중요!
    세션 "유효성 검사 기간"은 지정된 "유휴 시간 만료" 값보다 작아야 합니다.
사인아웃(WSFED IP)
대화 상자의 "사인아웃" 섹션은 세션 저장소가 사용되도록 설정한 경우에만 표시됩니다. 정책 서버 관리 콘솔을 사용하여 세션 저장소가 사용되도록 설정합니다.
  • 사인아웃 사용
    파트너 관계에 대한 사인아웃 기능을 활성화합니다.
  • 사인아웃 확인 URL
    사인아웃을 수행하는 아이덴티티 공급자의 URL을 지정합니다.
    기준 URL은 다음과 같습니다.
    http://
    ip_server:port
    /affwebservices/signoutconfirmurl.jsp
    ip_server:port
    아이덴티티 공급자 시스템의 서버 및 포트 번호를 지정합니다. 시스템은 페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이를 호스트하고 있습니다.
    signoutconfirmurl.jsp는 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이에 포함되어 있습니다. 이 페이지를 기본 디렉터리에서 페더레이션 웹 서비스의 서블릿 엔진이 페이지에 액세스할 수 있는 위치로 이동할 수 있습니다.
    리소스 파트너가 사인아웃을 시작하는 경우 리소스 파트너에서 사인아웃 확인 페이지는 보호되지 않는 리소스여야 합니다. 아이덴티티 공급자가 사인아웃을 시작하는 경우 아이덴티티 공급자 사이트에서 사인아웃 확인 페이지는 보호되지 않는 리소스여야 합니다.
  • 원격 사인아웃 URL
    리소스 파트너의 사인아웃 서비스 URL을 지정합니다. 아이덴티티 공급자는 이 URL로 signoutcleanup 요청을 보냅니다.
    예:
    Single Sign-On
    이 리소스 파트너로 사용된 경우 URL은 https://
    rp_service
    :
    port
    /affwebservices/public/wsfeddispatcher입니다.
    참고:
    wsfeddispatcher 서비스는 모든 수신 WS-페더레이션 메시지를 받습니다. 이 서비스는 쿼리 매개 변수 데이터를 기반으로 요청을 적절한 서비스에 전달합니다. wsfedsignout 서비스가 있더라도 사인아웃 URL에 wsfeddispatcher URL을 사용하십시오.