타사에서 사용자 특성 값 가져오기(SAML 2.0)

목차
casso126kkr
목차
2
경우에 따라 SAML 2.0 페더레이션된 환경의 서비스 공급자는 어설션에 제공되지 않는 사용자 관련 정보를 필요로 합니다. 서비스 공급자는 미리 결정된 사용자 특성의 값을 요청할 수 있습니다. 아이덴티티 공급자에 이러한 값이 없는 경우 타사에 값을 요청할 수 있습니다.
Single Sign-On
환경에서는 이 기능을 프록시 특성 쿼리라고 합니다.
프록시 특성 쿼리 개요
프록시 특성 쿼리 기능은 SAML 2.0 어설션 쿼리/요청 프로필을 기반으로 하며 사용자 특성 검색을 확장합니다. 특성 기관은 먼저 사용자 디렉터리 및 세션 저장소에서 특성을 검색합니다. 특성을 찾을 수 없고 사용자가 처음에 타사 IdP에서 인증된 경우 타사 IdP에 요청을 전달할 수 있습니다.
프록시 특성 쿼리를 구현하기 위해 단일
Single Sign-On
시스템이 두 원격 시스템 간의 릴레이 지점으로 사용됩니다. 두 원격 시스템 간에 요청을 릴레이하기 위해 단일 시스템에서 두 가지 역할을 수행합니다. 시스템은 먼저 원래 특성 요청자에 대한 특성 기관으로 사용됩니다. 또한 타사 IdP에 대한 특성 요청자로 사용됩니다. 특성 요청자로 사용되는 시스템은 특성 쿼리를 원래 IdP로 프록시합니다.
다음 그림에서는 단일 시스템이 프록시 쿼리를 처리하는 방식을 보여 줍니다.
proxied attribute query
다음 단계에서는 프록시 특성 쿼리의 흐름을 설명합니다.
  1. 처음에 사용자는 타사 IdP인 시스템 C에서 인증됩니다. 시스템 C는 어설션을 생성하여 시스템 B에 전달합니다.
  2. 시스템 B는 어설션을 시스템 A로 보내 시스템 A, B, C 사이에서 최초 싱글 사인온 트랜잭션을 완료합니다. 이 싱글 사인온 트랜잭션은 프록시 특성 쿼리를 처리하는 데 필요합니다.
  3. 시스템 A가 어설션을 받은 후에 시스템은 어설션에 없는 다른 특성이 필요함을 파악합니다. 특성 요청자로서 시스템 A는 특성 기관/IdP, 시스템 B로 특성 쿼리를 보냅니다.
  4. 시스템 B는 시스템 A가 사용자 디렉터리 또는 세션 저장소에 없는 특성이 필요함을 파악합니다. 특성을 가져오기 위해 시스템 B는 새 쿼리 요청을 생성합니다. 새 쿼리를 사용자가 원래 인증된 타사 IdP인 시스템 C로 보냅니다. 이 새 쿼리는 프록시 쿼리입니다.
  5. 시스템 C가 특성이 포함된 응답을 시스템 B에 반환합니다. 시스템 B가 특성을 해당 세션 저장소에 저장합니다.
  6. 특성 기관 역할을 수행하는 시스템 B가 특성이 포함된 응답을 시스템 A에 반환합니다.
중요
시스템 A의 구성된 특성 이름 및 이름 형식("지정되지 않음", "uri" 또는 "기본")은 시스템 C의 이러한 특성 이름과 일치해야 합니다. 이 정보는 트랜잭션이 발생하기 전에 전달됩니다.
시스템이 특성 기관 역할을 하도록 설정(IdP->SP)
프록시 쿼리 트랜잭션을 구현하려면 동일한
Single Sign-On
시스템에서 다음과 같은 두 가지 파트너 관계를 구성하십시오.
  • IdP-SP 파트너 관계
  • SP-IdP 파트너 관계
Single Sign-On
이 특성 기관의 역할을 하기 위해서는 기존 IdP-SP 파트너 관계를 수정하거나 새 파트너 관계를 생성해야 합니다. 이 파트너 관계에서
Single Sign-On
은 로컬 IdP/특성 기관이 되고 원격 파트너는 SP/특성 요청자가 됩니다.
참고:
이 시스템은 SP-IdP 파트너 관계에서 특성 요청자 역할도 수행합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 선택합니다.
  3. 수정할 IdP-SP 파트너 관계를 선택하거나 새 파트너 관계를 생성합니다.
  4. 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
  5. 대화 상자의 "특성 서비스" 섹션에서 "사용"을 선택합니다.
  6. "유효 기간"에 시간(초)을 입력합니다.
  7. (선택 사항) 특성 쿼리에 서명이 필요한지 여부와 특성 어설션 및 응답에 대한 서명 요구 사항을 지정합니다.
  8. "프록시 쿼리 사용"을 선택합니다.
  9. "사용자 조회" 섹션에서 적절한 사용자 디렉터리 네임스페이스에 대한 검색 사양을 입력합니다. 특성 기관은 이 검색 사양을 사용하여 사용자를 명확히 구분합니다.
    LDAP 사용자 디렉터리의 예는 uid=%s입니다. 하나 이상의 검색 사양이 필요합니다.
  10. (선택 사항) "백 채널" 섹션에서 "보호 유형"으로 "파트너 관계"를 지정합니다. 그런 다음 인증 방법을 선택합니다. 백 채널에 대한 자세한 내용을 보려면 "도움말"을 클릭하십시오.
  11. 파트너 관계를 저장한 후 활성화합니다.
이제 시스템이 원래 특성 요청자에 대해 특성 기관의 역할을 할 수 있습니다.
시스템이 특성 요청자 역할을 하도록 설정(SP->IdP)
프록시 쿼리 트랜잭션을 구현하려면 동일한
Single Sign-On
시스템에서 다음과 같은 두 가지 파트너 관계를 구성하십시오.
  • IdP-SP 파트너 관계
  • SP-IdP 파트너 관계
참고:
파트너 관계 페더레이션은 프록시 특성 쿼리 기능에 대해서만 특성 요청자로서 SP를 지원합니다.
Single Sign-On
이 특성 요청자의 역할을 하기 위해서는 기존 SP-IdP 파트너 관계를 수정하거나 새 파트너 관계를 생성해야 합니다. 이 파트너 관계에서
Single Sign-On
은 로컬 SP/특성 요청자가 되고 원격 타사는 원격 IdP/특성 기관이 됩니다.
참고
: 이 시스템은 IdP-SP 파트너 관계에서 특성 기관 역할도 수행합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 선택합니다.
  3. 수정할 SP-IdP 파트너 관계를 선택하거나 새 파트너 관계를 생성합니다.
  4. 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
  5. "특성 요청자 서비스" 섹션에서 "사용" 및 "프록시 쿼리 사용"을 선택합니다.
  6. "특성 서비스" 섹션에서 원격 IdP의 URL을 지정합니다.
  7. 이름 ID의 형식, 유형 및 값을 지정합니다.
  8. (선택 사항) 백 채널의 인증 유형을 선택합니다. 백 채널에 대한 자세한 내용을 보려면 "도움말"을 클릭하십시오.
  9. 파트너 관계를 저장한 후 활성화합니다.
이제 서비스 공급자를 특성 요청자로 사용할 수 있습니다.