중요한 리소스에 대해 재인증을 요구하는 방법

목차
casso126kkr
목차
2
Single Sign-On
에서 중요한 리소스란 액세스 전에 항상 사용자를 다시 인증하도록 할 리소스로 정의됩니다. 중요한 리소스의 예로 온라인 뱅킹 웹 사이트의 이체 섹션을 들 수 있습니다. 일반적으로는 사용자가 로그인한 후 이체를 위해 다시 인증할 필요가 없습니다.
이체 섹션을 중요한 리소스로 정의하면 사용자는 자격 증명을 제공해야 해당 섹션에 액세스할 수 있습니다.
이 중요한 리소스 보호 기능을 사용하면 사용자가 로그아웃하지 않은 채 시스템을 떠나더라도 권한 없는 사용자가 이체를 실행할 수 없게 됩니다.
중요한 리소스 보호 기능은 권한 없는 사용자가 사용자 아이덴티티 확인 요구에 응하지 않고는 이체 섹션에 액세스할 수 없도록 합니다.
다음 그림에서는 중요한 리소스에 대해 재인증을 요구하는 방법을 설명합니다.
How to require reauthenitcation for sensitive resources
정책 관리자 및 에이전트 소유자가 사전 요구 사항 검토
중요한 리소스에 대한 재인증을 요구하려면 정책 관리자와 에이전트 소유자가 함께 작업해야 합니다.
이 시나리오에서는 사용 환경에 다음과 같은 구성 요소가 있다고 가정합니다.
  • 다음 구성 요소와 함께 설치되고 구성된 정책 서버
    • 사용자 디렉터리 연결, 영역, 규칙 및 정책이 포함된 정책 도메인
    • .FCC 인증 체계
  • .FCC 인증 체계에 대해 구성된 에이전트
  • 완전하게 구성되어 작동 중인 세션 저장소
  • FCCCompatMode 매개 변수를 사용하지 않도록 설정
에이전트 소유자는 다음 태스크를 수행합니다.
  • 정책 관리자에게 중요한 리소스에 해당하는 URL을 제공합니다. 정책 관리자는 이 중요한 리소스를 보호하는 규칙을 생성합니다.
  • 중요한 리소스에 대한 액세스를 요청하는 사용자를 재인증하는 데 사용할 .FCC 파일을 생성합니다. 에이전트 소유자는 이 .FCC 파일의 이름을 정책 관리자에게 제공합니다. 정책 관리자는 .FCC 파일의 이름을 사용하여 응답을 생성합니다. 이 응답은 사용자가 중요한 리소스를 요청할 때 재인증을 위해 사용자를 새 .FCC 파일로 리디렉션합니다.
정책 관리자는 다음 태스크를 수행합니다.
  • 중요한 리소스를 보호하도록 구성 요소를 추가하여 기존 정책을 수정합니다.
  • 정책 서버를 다시 시작합니다.
에이전트 소유자가 중요한 리소스에 대한 지시문을 포함하는 .FCC 파일 생성
중요한 응용 프로그램에 대한 액세스를 요청하는 사용자를 인증하려면 추가 .FCC 파일이 필요합니다. 한 .FCC 파일은 원래 사용자 로그인을 처리합니다. 다른 .FCC 파일은 사용자가 중요한 리소스에 액세스하기 전에 인증이 요청될 경우 사용자의 자격 증명을 수집합니다.
다음 단계를 수행하십시오.
  1. 중요한 리소스를 보호하는 에이전트가 작동하는 웹 서버에 로그온합니다.
  2. 로그인에 사용할 .FCC 파일을 찾습니다. .FCC 파일은 다음 디렉터리에 있습니다.
    web_agent_home/samples/forms
     
    web_agent_home
    Single Sign-On
    에이전트가 설치된 디렉터리를 나타냅니다.
    기본값
    (Windows 32비트의
    Single Sign-On
    웹 에이전트 설치만 해당): C:\Program Files\CA\webagent
    기본값
    (Windows 64비트의 IIS용
    Single Sign-On
    웹 에이전트 설치만 해당): C:\Program Files\CA\webagent\win64
    기본값
    (64비트 시스템에서 작동하는 Windows 32비트 응용 프로그램 - Wow64 모드의 IIS용
    Single Sign-On
    웹 에이전트만 해당): C:\Program Files (x86)\webagent\win32
    기본값
    (UNIX/Linux 설치): [경로 설정 변수 설정]/webagent
    로그인 양식에 사용할 FCC 파일을 복제합니다. 복제본을 고유한 파일 이름으로 저장합니다. 예를 들어 로그인 양식에 login.fcc 파일을 사용하는 경우 복제 파일의 이름은 sensitive_login.fcc로 지정합니다.
  3. 텍스트 편집기에서 복제 파일을 엽니다.
  4. 다음 섹션을 찾습니다.
    <!-- SiteMinder Encoding=ISO-8859-1; --> @username=%USER% @smretries=0
  5. @ 기호로 시작하는 마지막 행 다음에 다음 행을 추가합니다.
    @validateuser=1
  6. 파일을 저장하고 텍스트 편집기를 닫습니다.
  7. 파일의 위치를 기록하여 정책 관리자에게 알려 줍니다.
    중요한 리소스를 보호하는 각 웹 서버에서 1~8 단계를 반복합니다.
    중요!
    각 웹 서버에 대해 동일한 파일 이름과 위치를 사용하십시오.
정책 관리자가 관리 UI를 열고 정책 서버 개체 변경
관리 UI를 열어 정책 서버의 개체를 변경합니다.
다음 단계를 수행하십시오.
  1. 브라우저에서 다음 URL을 엽니다.
    https://
    host_name
    :8443/iam/siteminder/adminui
    • host_name
      관리 UI 호스트 시스템의 정규화된 이름을 지정합니다.
  2. "사용자 이름" 필드에 슈퍼 사용자 이름을 입력합니다.
  3. "암호" 필드에 슈퍼 사용자 계정 암호를 입력합니다.
    참고:
    슈퍼 사용자 계정 암호에 달러 기호($) 문자가 있으면 달러 기호 문자의 각 인스턴스를 $DOLLAR$로 바꾸십시오. 예를 들어 슈퍼 사용자 계정 암호가 $password이면 "암호" 필드에
    $DOLLAR$password
    를 입력하십시오.
  4. "서버" 드롭다운 목록에 올바른 서버 이름 또는 IP 주소가 나타나는지 확인합니다.
  5. "로그인"을 선택합니다.
정책 관리자가 FCCCompatMode 매개 변수를 사용하지 않도록 설정
에이전트는 이전 버전 제품과의 호환을 위해 FCCCompatMode 구성 매개 변수를 사용합니다. 최신 버전 제품(예: r12.5)의 경우 특정 기능을 사용할 때 보안 향상을 위해 이 매개 변수를 사용하지 않도록 설정해야 합니다.
참고
이 절차에서는 정책 서버의 에이전트 구성 개체를 사용하여 중앙에서 에이전트를 구성한다고 가정합니다. 이 방법 대신 로컬 에이전트 구성 방법을 사용하는 경우에는 LocalConfig.conf 파일에서 FCCCompatMode 매개 변수를 사용하지 않도록 설정하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "인프라", "에이전트 구성 개체"를 차례로 클릭합니다.
  2. 원하는 에이전트 구성 개체 옆의 편집 아이콘을 클릭합니다.
  3. FCCCompatMode 매개 변수를 찾습니다.
  4. 값이 no로 설정되어 있는지 확인합니다. 값이 yes로 설정되어 있으면 다음 단계를 계속합니다.
    1. 매개 변수 왼쪽에 있는 편집 아이콘을 클릭합니다.
      "매개 변수 편집" 대화 상자가 나타납니다.
    2. "값" 필드를 강조 표시하고 "no"를 입력합니다.
    3. "확인"을 클릭합니다.
      "매개 변수 편집" 대화 상자가 닫힙니다.
    4. 제출을 클릭합니다.
      FCCCompatMode 매개 변수가 사용되지 않도록 설정되고 확인 메시지가 나타납니다.
정책 관리자가 중요한 리소스를 보호하도록 정책 수정
정책 관리자는 중요한 리소스를 보호하기 위한 첫 번째 단계로 정책을 수정해야 합니다. 이 수정 단계에서는 정책으로 보호되는 리소스 중 중요한 것으로 간주되는 리소스를 지정합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "도메인"을 차례로 클릭합니다.
  2. 중요한 리소스가 포함된 도메인에 해당하는 편집 아이콘을 클릭합니다.
  3. "정책" 탭을 클릭합니다.
    "일반" 탭이 선택된 상태로 "정책 수정:" 화면이 나타납니다.
  4. "아이덴티티 유효성 검사" 확인란을 클릭합니다.
  5. "확인"을 클릭합니다.
  6. 제출을 클릭합니다.
    확인 메시지가 표시됩니다.
  7. 다음 단계를 계속하여 정책에 GET/POST 규칙을 생성합니다.
정책 관리자가 GET/POST 규칙을 사용하여 중요한 리소스의 URL 보호
정책 관리자는 중요한 리소스를 보호하기 위한 다음 단계로 GET/POST 규칙을 사용하여 중요한 리소스의 URL을 보호해야 합니다. 이 규칙은 정책으로 보호되는 URL이 중요한 것으로 간주되도록 지정합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "도메인 정책"을 클릭합니다.
  2. 중요한 리소스의 URL이 포함된 정책에 해당하는 편집 아이콘을 클릭합니다.
  3. "규칙" 탭을 클릭합니다.
  4. "규칙 추가"를 클릭합니다.
    "사용 가능한 규칙" 대화 상자가 나타납니다.
  5. "만들기"를 클릭합니다.
  6. 규칙을 생성할 영역의 옵션 단추를 클릭하고 "다음"을 클릭합니다.
  7. 다음 단계를 수행하여 GET/POST 규칙을 생성합니다.
    1. 이름과 설명(선택 사항)을 입력합니다.
    2. "리소스" 필드를 클릭하고 중요한 리소스의 URL을 입력합니다. 다음 예에서는 transfer_funds라는 HTML 페이지를 중요한 리소스로 정의합니다.
      transfer_funds.html
    3. "Web Agent actions"(웹 에이전트 작업) 옵션 단추가 선택되어 있는지 확인합니다.
    4. "작업" 목록 아래에서 다음 항목을 클릭합니다.
      • Get
      • Post
    5. (선택 사항) 원하는 시간 제한을 정의합니다.
  8. "마침"을 클릭합니다.
    "사용 가능한 규칙" 대화 상자가 나타납니다. 새 GET/POST 규칙이 목록에 나타납니다.
  9. "확인"을 클릭합니다.
  10. 제출을 클릭합니다.
    규칙이 정책에 추가되고 확인 메시지가 나타납니다.
  11. 다음 단계를 계속하여 정책에 OnValidateReject 규칙을 생성합니다.
정책 관리자가 중요한 리소스에 대한 OnAccessValidateIdentity 규칙 생성
정책 관리자는 중요한 리소스를 보호하기 위한 다음 단계로 정책에 OnAccessValidateIdentity 규칙을 생성해야 합니다. 이 규칙은 세션을 시작한 사용자의 현재 자격 증명을 거부합니다. 따라서 사용자가 중요한 리소스에 액세스하려면 먼저 재인증을 거쳐야 합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "도메인 정책"을 클릭합니다.
  2. 중요한 리소스의 URL이 포함된 정책에 해당하는 편집 아이콘을 클릭합니다.
  3. "규칙" 탭을 클릭합니다.
  4. "규칙 추가"를 클릭합니다.
    "사용 가능한 규칙" 대화 상자가 나타납니다.
  5. "만들기"를 클릭합니다.
  6. 규칙을 생성할 영역의 옵션 단추를 클릭하고 "다음"을 클릭합니다.
  7. 다음 단계를 수행하여 OnAccessValidateIdentity 규칙을 생성합니다.
    1. 이름과 설명(선택 사항)을 입력합니다.
    2. "리소스" 필드를 클릭하고 중요한 리소스의 URL을 입력합니다. 다음 예에서는 transfer_funds라는 HTML 페이지를 중요한 리소스로 정의합니다.
      transfer_funds.html
    3. "권한 부여 이벤트" 옵션 단추를 클릭합니다.
    4. "작업" 목록 아래에서 다음 항목을 클릭합니다.
      OnAccessValidateIdentity
    5. (선택 사항) 원하는 시간 제한을 정의합니다.
  8. "마침"을 클릭합니다.
    "사용 가능한 규칙" 대화 상자가 나타납니다. 새 OnAccessValidateIdentity 규칙이 목록에 나타납니다.
  9. "확인"을 클릭합니다.
  10. 제출을 클릭합니다.
    규칙이 정책에 추가되고 확인 메시지가 나타납니다.
  11. 다음 단계를 계속하여 .FCC 파일에 대한 리디렉션 응답을 생성합니다.
정책 관리자가 .FCC 파일로 리디렉션하는 응답 생성
정책 관리자는 중요한 리소스에 대한 재인증을 요구하기 위한 다음 단계로 응답을 생성해야 합니다. OnAccessValidateIdentity 규칙은 사용자가 원래 제공한 자격 증명을 거부합니다. 응답에서는 사용자를 새 FCC 양식으로 리디렉션합니다. 중요한 리소스를 요청하는 사용자는 새 FCC 양식을 사용하여 다시 인증해야 합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "도메인 정책"을 클릭합니다.
  2. 중요한 리소스의 URL이 포함된 정책에 해당하는 편집 아이콘을 클릭합니다.
  3. "규칙" 탭을 클릭합니다.
  4. OnAccessValidateIdentity 규칙을 찾고 규칙 옆의 "응답 추가"를 클릭합니다.
  5. "만들기"를 클릭합니다.
    "응답 만들기" 화면이 표시됩니다.
  6. 다음 단계를 수행하여 응답을 생성합니다.
    1. 이름과 설명(선택 사항)을 입력합니다.
    2. 다음 항목이 나타나는지 확인합니다.
      • CA Single Sign-on
        옵션 단추가 선택되어 있습니다.
      • "에이전트 유형" 드롭다운 목록에 "웹 에이전트"가 표시됩니다.
    3. "응답 특성 만들기"를 클릭합니다.
    4. "특성" 드롭다운 목록을 클릭하고 다음 항목을 선택합니다.
      • WebAgent-OnValidate-Redirect
    5. "변수 값" 필드를 클릭하고 중요한 리소스에 대한 지시문이 포함된 .FCC 파일의 URI를 입력합니다. 이 URI는 에이전트 소유자로부터 얻습니다. 다음 예는 sensitive_login.fcc라는 파일의 URI를 보여 줍니다.
      /samples/forms/sensitive_login.fcc
    6. "확인"을 클릭합니다.
    "응답 만들기" 화면이 나타나고 6c 단계에서 생성한 응답 특성이 목록에 표시됩니다.
  7. "확인"을 클릭합니다.
  8. "제출"을 클릭합니다.
    응답 및 응답 특성이 규칙에 추가되고 확인 메시지가 나타납니다.
  9. 다음 단계를 계속하여 정책 서버를 다시 시작합니다.
정책 관리자가 정책 서버 다시 시작
특정 설정을 적용하려면 정책 서버를 다시 시작하십시오.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 엽니다.
  2. "상태" 탭을 클릭하고 "정책 서버" 그룹 상자에서 "중지"를 클릭합니다.
    정책 서버가 중지되고 빨강 표시등이 표시됩니다.
  3. "시작"을 클릭합니다.
    정책 서버가 시작되고 녹색 표시등이 표시됩니다.
    참고
    : Unix에서 정책 서버를 다시 시작하려면 stop-ps 및 start-ps 명령을 실행하십시오. 정책 서버와 CA Risk Authentication을 다시 시작하려면 stop-all 및 start-all 명령을 실행하십시오.