이름 ID 관리 구성(SAML 2.0)

SAML 2.0 이름 ID 관리 프로필을 사용하면 페더레이션된 파트너 관계에서 개별 사용자의 프로비저닝을 취소할 수 있습니다. 다양한 이유로 파트너 관계에서 사용자를 제거하려 할 수 있습니다. 예를 들어 직원이 퇴사했거나 서비스 공급자 기반의 SSO 기능을 더 이상 필요로 하지 않을 수 있습니다. 이름 ID 서비스는 클라이언트 응용 프로그램을 통해 프로비저닝 취소 요청을 보낼 수 있습니다.
casso126kkr
SAML 2.0 이름 ID 관리 프로필을 사용하면 페더레이션된 파트너 관계에서 개별 사용자의 프로비저닝을 취소할 수 있습니다. 다양한 이유로 파트너 관계에서 사용자를 제거하려 할 수 있습니다. 예를 들어 직원이 퇴사했거나 서비스 공급자 기반의 SSO 기능을 더 이상 필요로 하지 않을 수 있습니다. 이름 ID 서비스는 클라이언트 응용 프로그램을 통해 프로비저닝 취소 요청을 보낼 수 있습니다.
이름 ID 관리를 구성하기 위한 프로세스에는 다음 작업이 포함됩니다.
2
이름 식별자 관리를 위한 관리 웹 서비스 URL 보호
고객 응용 프로그램은 이름 식별자 관리를 위한 관리 웹 서비스를 사용하여 파트너 관계에서 사용자의 프로비저닝 취소를 요청할 수 있습니다. 이 웹 서비스는 REST 인터페이스를 구현합니다.
이 서비스의 URL은 /affwebservices/saml2nidws입니다. 이 URL을 기본 자격 증명을 사용하여 보호합니다. 이 서비스의 모든 사용자를 도메인과 연결된 사용자 디렉터리에 포함하십시오. 정책 관리자는 기본적으로 포함되지 않습니다. 연결된 디렉터리에 수동으로 추가할 수 있습니다.
이름 ID 관리에 대한 원격 엔터티 구성
이름 ID 관리를 지원하는 파트너 관계를 생성하는 첫 번째 단계는 원격 및 로컬 파트너나 엔터티를 정의하는 것입니다. 엔터티를 수동으로 구성하거나 XML 메타데이터를 가져올 수 있습니다. 수동 구성 단계는 다음과 같습니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "페더레이션", "파트너 관계 페더레이션", "엔터티"로 이동합니다.
  2. "엔터티 만들기"를 클릭합니다.
  3. "원격"(구현에 따라 IdP 또는 SP)을 선택합니다.
  4. "다음"을 클릭하여 엔터티의 세부 사항을 구성합니다.
  5. "엔터티 ID" 및 "엔터티 이름"(필수)의 값을 입력합니다.
  6. "이름 ID 관리 서비스 URL"에 대한 행에서 "행 추가"를 클릭합니다.
  7. SOAP 바인딩을 선택합니다. 원격 엔터티가 다른 바인딩을 지정할 수 있지만, 이 경우 가져오기는 하지만 사용되지 않습니다.
  8. 이름 ID 관리 서비스의 URL을 지정하는 "위치 URL"을 입력합니다. 이 값은 다음과 같습니다.
    http://
    sp_server:port
    /affwebservices/public/saml2nidsoap
  9. "응답 위치 URL" 필드를 비워 둡니다. SOAP 바인딩에 대한 응답 위치 URL과 위치 URL은 동일합니다.
  10. 이 목록에서 지원되는 이름 ID 형식을 선택합니다.
  11. 구현에 필요한 다른 필드를 모두 완료합니다.
  12. "다음"을 클릭하여 엔터티 구성을 확인합니다.
  13. "마침"을 클릭합니다.
로컬 엔터티 만들기
이름 ID 관리를 지원하는 파트너 관계를 생성하는 첫 번째 단계는 원격 및 로컬 파트너나 엔터티를 정의하는 것입니다. 엔터티를 수동으로 구성하거나 XML 메타데이터를 가져올 수 있습니다. 파트너 관계에서 엔터티를 생성하는 데 익숙하지 않은 경우 자세한 내용은 페더레이션 엔터티 구성을 참조하십시오.
중요!
사용자 프로비저닝 취소 또는 연결 취소를 위한 임의의 이름 ID 형식을 선택할 수 있습니다. 동적 계정 연결은 "영구 식별자" 형식만 지원합니다. 계정 연결 및 연결 취소를 구현하는 경우 "영구 식별자 이름 ID" 형식을 선택하십시오.
파트너 관계에 이름 ID 관리를 사용하도록 설정
이름 ID 관리 기능을 사용하려면 새 파트너 관계나 기존 파트너 관계에 대한 구성이 필요합니다. 로컬 또는 원격 엔터티가 파트너 관계에서 사용자의 프로비저닝을 취소하는 요청을 시작할 수 있습니다.
다음 단계를 수행하십시오.
  1. "SSO 및 SLO" 대화 상자로 이동합니다.
  2. 아직 구성하지 않은 경우 "인증" 및 "SSO" 섹션을 구성합니다.
  3. "이름 ID 관리" 섹션으로 이동합니다.
  4. "MNI" 필드에서 "SOAP"를 선택합니다.
    이 항목을 선택하면 파트너 관계에서 이름 ID 관리가 사용됩니다. 이러한 옵션에 대한 설명은 온라인 도움말을 참조하십시오.
  5. (필수) SOAP 시간 만료 값을 지정합니다. 이 값은 런타임에서 원격 공급자에 대한 요청 시간이 만료될 때까지 대기하는 시간(초)입니다.  
    기본값
    은 60초입니다.
  6. (필수 사항) "다시 시도 횟수"를 지정합니다. 이 값은 실패로 간주되기 전까지 백그라운드 요청이 시도되는 횟수입니다. 기본값은 3입니다.
  7. (필수 사항) "다시 시도 경계"를 지정합니다. 이 값은 재시도 간격(분)입니다. 기본값은 15분입니다.
  8. (선택 사항) 이름 ID 종료가 성공했는지 여부에 대한 HTTP 알림을 고객 응용 프로그램으로 보내려면
    알림 사용
    옵션을 선택합니다. 표시되는 추가 필드를 입력합니다.
    • 알림 URL
      . 이 URL은 HTTP 알림을 보낼 위치를 나타냅니다. 이 알림에는 프로비저닝 취소 요청이 완료된 후 다음과 같은 요청의 상태가 포함됩니다.
      • 상태 1은 프로비저닝 취소가 성공했음을 나타냅니다.
      • 상태 0은 프로비저닝 취소가 실패했음을 나타냅니다.
    • 알림 시간 만료
      (초). 요청 시간이 만료된 것으로 간주되기 전까지의 경과 시간(초)입니다. 
    • 알림 인증 유형
      (NoAuth, Basic). "Basic"을 선택할 경우
      사용자 이름 알림
      ,
      알림 암호
      알림 암호 확인
      필드를 입력합니다.
이러한 단계는 "이름 ID 관리" 구성을 완료합니다.
파트너 관계 활성화
자세한 내용은 파트너 관계 활성화를 참조하십시오.
이름 ID 관리 요청 활성화
"비동기 요청 처리기"라고 하는 웹 에이전트 옵션 팩 내부 구성 요소는 이름 ID 관리 서비스에 대한 모든 요청을 처리합니다. 단 하나의 웹 에이전트 옵션 팩만 이 서비스를 한 번에 하나만 실행할 수 있습니다. 관리 UI의 설정에 추가하여, 다음 위치의 AffWebServices.properties 파일에서 설정을 지정하여 이름 ID 관리 처리를 활성화합니다.
  • SPS:
    secure_proxy_home
    /Tomcat/webapps/affwebservices/WEB-INF/classes
  • WA/WAOP:
    web_agent_home
    /affwebservices/WEB-INF/classes
AffWebServices.properties 파일은 이름 ID 관리와 관련된 다음 설정을 포함하고 있습니다.
  • ProcessBackgroundNameIDOperations
    이 시스템이 이름 ID 작업을 처리하는지 여부를 지정합니다.
    기본값: False
    중요!
    웹 에이전트 옵션 팩 또는
    CA Access Gateway
    에 대한 이름 ID 관리를 사용하려면 이 값을 True로 설정하십시오.
  • BackgroundProcessingInterval
    이름 ID 요청에 대한 비동기 프로세서 검색 간격(초)을 지정합니다. 이 값은 수정할 수 있습니다. 기본값은 60초입니다.
옵션 팩 또는
CA Access Gateway
를 업그레이드하는 경우 설치 관리자는 이러한 설정을 기본값으로 새 속성 파일에 추가합니다.
이름 식별자 웹 서비스와 상호 작용하는 클라이언트 응용 프로그램 만들기
클라이언트 응용 프로그램의 콘텐츠는 구현에 따라 달라집니다. 사용자 제거를 요청하려면 이름 식별자 관리를 위한 관리 웹 서비스를 사용하십시오. 웹 서비스는 다음 두 가지 HTTP 메서드를 구현합니다.
  • POST - 프로비저닝 취소 요청을 시작합니다.
  • GET - 요청의 상태를 폴링합니다.
메서드는 OData 프로토콜을 준수합니다. 이러한 메서드에 대한 자세한 내용은 다음과 같습니다.
페더레이션 구성원 자격 종료
관리자는 다음 URL을 사용하여 사용자의 페더레이션 구성원 자격을 종료할 수 있습니다.
POST http://
server:port
/affwebservices/saml2nidws/terminate
이 비동기 요청은 XPS에서 ManageNameID 이벤트를 생성합니다.
POST 본문에는 다음 값이 포함됩니다.
  • UserDN
    SMSession이 없으므로 사용자를 명확히 구분합니다. LDAP에 대한 DN 예: uid=user0001,ou=Engineering,o=security.com
  • OperationType
    특정 사용 사례를 나타냅니다. 유효한 값은 다음과 같습니다.
    • sp - 특정 서비스 공급자와의 페더레이션을 종료하려는 idp임을 나타냅니다.
    • idp - 특정 아이덴티티 공급자와의 페더레이션을 종료하려는 서비스 공급자임을 나타냅니다.
  • ProviderID
    작업에 참여하는 공급자를 결정합니다. SP 및 IdP 값이 사용될 경우 ProviderID는 원격 공급자를 나타냅니다. OperationType이 'sp'이면 ProviderID는 원격 서비스 공급자 개체를 나타냅니다. OperationType이 'idp'이면 ProviderID는 원격 아이덴티티 공급자 개체를 나타냅니다.
요청의 POST 본문에 있는 정보는 JSON 또는 AtomPub 형식입니다. 다음은 JSON 형식의 예입니다.
{ "UserDN":"uid=user0001,ou=Engineering,o=security.com", "OperationType":"sp", "ProviderID":"http://company.example.com/SPID" }
이 요청은 다음과 같은 지속되는 개체를 나타내는 리소스를 반환합니다.
http://
server:port
/affwebservices/saml2nidws/terminate(
XID
)
XID
는 생성된 개체의 XPS XID입니다. 클라이언트는 이 URL을 사용하여 이 개체의 변경 내용을 폴링할 수 있습니다.
이 요청은 다음과 같은 완전한 AtomPub 형식일 수도 있습니다.
<?xml version="1.0" encoding="utf-8"?><entry xmlns="http://www.w3.org/2005/Atom" xmlns:d="http://schemas.microsoft.com/ado/2007/08/dataservices"
xmlns:m="http://schemas.microsoft.com/ado/2007/08/dataservices/metadata"><title type="text"></title><author><name></name></author>
<category term="NameidProducer.terminate" scheme="http://schemas.microsoft.com/ado/2007/08/dataservices/scheme"></category>
<content type="application/xml"><m:properties><d:UserDN>uid=user0001,ou=Engineering,o=security.com</d:UserDN><d:ProviderID>http://company.example.com/SPID</d:ProviderID>
<d:OperationType>SP</d:OperationType></m:properties></content></entry>
POST 서비스는 다음과 같은 HTTP 반환 코드를 설정합니다.
HTTP 상태
설명
201
리소스가 생성됨
400
잘못된 요청
415
지원되지 않는 미디어 유형
500
내부 서버 오류
상태 폴링
관리자는 이 서비스를 통해 다음 URL을 사용하여 비동기 요청의 상태를 요청할 수 있습니다.
GET http://
server:port
/affwebservices/saml2nidws/terminate(<XID>)
이 URL은 리소스 상태를 폴링합니다. 응답은 PENDING, COMPLETED, FAILED 중에서 요청의 상태를 반환합니다.
중요
이 요청을 하기 전에 에이전트 구성 개체의
CssChecking
매개 변수가 NO로 설정되어 있는지 확인하십시오. 이 설정은 OData 사이의 잠재적인 충돌 및 사이트 간 스크립트 공격을 방지합니다.
GET 서비스는 다음과 같은 HTTP 반환 코드를 설정합니다.
HTTP 상태
설명
200
확인
400
잘못된 요청
403
금지됨(웹 에이전트에 대해 CSS 검사가 설정된 경우)
415
지원되지 않는 미디어 유형
500
내부 서버 오류