SAML 2.0 IdP에서 사용자 동의

아이덴티티 공급자는 SAML 2.0에 대한 사용자 동의 기능을 지원합니다. 사용자 동의를 사용하려면 아이덴티티 공급자가 파트너에 어설션을 전송하기 전에 사용자에게 권한 부여를 요청해야 합니다. 아이덴티티 공급자에서 사용자 동의가 사용되도록 설정하면 이 사용자에게 동의 여부를 묻습니다. 아이덴티티 공급자는 어설션에서 동의 값을 전달합니다.
casso126kkr
Single Sign-On
아이덴티티 공급자는 SAML 2.0에 대한 사용자 동의 기능을 지원합니다. 사용자 동의를 사용하려면 아이덴티티 공급자가 파트너에 어설션을 전송하기 전에 사용자에게 권한 부여를 요청해야 합니다. 아이덴티티 공급자에서 사용자 동의가 사용되도록 설정하면
Single Sign-On
이 사용자에게 동의 여부를 묻습니다. 아이덴티티 공급자는 어설션에서 동의 값을 전달합니다.
동의 유효 기간은 5분입니다. 아이덴티티 공급자가 사용자를 동의 페이지로 리디렉션하면 사용자는 동의할 시간을 5분간 허용 받고 다시 아이덴티티 공급자로 리디렉션됩니다. 그러면 아이덴티티 공급자가 어설션을 생성하여 이를 서비스 공급자로 전송합니다. 이 태스크는 5분 내에 완료되어야 합니다. 아이덴티티 공급자가 어설션을 생성하기 전에 시간이 만료되면 사용자 아이덴티티를 전달하지 않습니다.
동의는 단일 어설션에만 적용됩니다. 아이덴티티 공급자는 어설션을 생성한 후에 동의가 부여된 모든 레코드를 삭제합니다. 5분의 유효 기간이 만료되기 전에 동일한 사용자가 아이덴티티 공급자로 돌아갈 수 있지만 아이덴티티 공급자는 여전히 사용자에게 동의할지를 묻습니다.
참고:
유효 기간은 구성할 수 없습니다.
User1이 오후 2시에 MyWorkPlace.com에 로그인하고 인증합니다. MyWorkPlace가 아이덴티티 공급자의 역할을 합니다. 오후 2시 3분에 사용자가 직원용 여행 특별 상품을 운영하는 파트너 회사의 링크를 선택합니다. User1은 ExampleTravel.com으로 보내지기 전에 동의 여부를 묻는 양식으로 리디렉션됩니다. User1은 동의 양식을 기입하기 전에 전화 통화를 합니다. 현재 시간은 오후 2시 10분입니다. 이 경우 유효 기간이 만료되었기 때문에 MyWorkPlace는 어설션을 생성하지 않습니다.
User1이 오후 2시 5분까지 신속하게 동의하고 아이덴티티 공급자로 다시 리디렉션되면 아이덴티티 공급자는 어설션을 생성합니다. 동의와 어설션 사이에 2분만 경과되었으므로 유효 기간이 여전히 활성 상태입니다.
사용자 동의를 구성하려면 다음과 같이 해야 합니다.
  • 사용자 동의가 사용되도록 설정합니다.
  • 사용자 동의 양식의 이름을 제공합니다.
    아이덴티티 공급자는 사용자의 동의를 구하기 위한 사용자 양식을 전송합니다.
아이덴티티 공급자가 어설션 응답에 사용자 동의 특성을 포함하지 않으면 다음 URI만 사용됩니다.
urn:oasis:names:tc:SAML:2.0:consent:obtained
사용자 동의는 서비스 공급자에서도 구성할 수 있습니다. 서비스 공급자는 아이덴티티 공급자에게 어설션 응답에 사용자 동의 값을 전달하도록 요구할 수 있습니다.
사용자 동의 양식 사용자 지정
Single Sign-On
에는 ca_defaultconsentform.html이라는
페더레이션 동의
양식이 함께 제공됩니다. 아이덴티티 공급자는 사용자의 동의를 구하기 위한 사용자 양식을 전송합니다. 기본 동의 양식은 %NETE_WA_ROOT%\customization 디렉터리에 있습니다. %NETE_WA_ROOT%는 웹 에이전트 옵션 팩의 위치입니다.
기본 동의 양식을 사용하고 관리 UI에서 양식을 지정하는 대신 사용자 지정 양식을 사용할 수 있습니다.
다음 단계를 수행하십시오.
  1. 사용자 지정 HTML 양식을 생성합니다. 양식을 수정하고 다음 설정에 대한 값을 바꿉니다.
    • $$userconsent_spid$$
      파트너 관계에서 구성된 SP ID를 나타냅니다.
    • $$userconsent_idpid$$
      파트너 관계에서 구성된 IDP ID를 나타냅니다.
  2. 양식을 %NETE_WA_ROOT%\customization 디렉터리에 넣습니다.
    NETE_WA_ROOT는 시스템 환경 변수입니다. %NETE_WA_ROOT%는 웹 에이전트 옵션 팩의 위치입니다. 웹 에이전트와 웹 에이전트 옵션 팩을 동일한 시스템에 설치하는 경우 동일한 디렉터리(예: webagent\customization)에 설치됩니다.
  3. 관리 UI에 로그인합니다.
  4. "페더레이션", "파트너 관계 페더레이션", "파트너 관계"로 이동합니다.
  5. 수정할 IdP->SP 파트너 관계를 선택합니다.
  6. 파트너 관계 마법사의 "SSO 및 SLO" 단계로 이동합니다.
  7. SSO 섹션에서 다음을 수행합니다.
    1. "사용자 동의 사용" 확인란을 선택합니다.
    2. "사용자 동의 Post 양식" 필드에서 사용자 지정 양식의 이름을 지정합니다.
    참고:
    "사용자 동의 서비스 URL"은 기본적으로 지정됩니다. 이 값은 변경할 수 없습니다.
  8. 구성이 완료되면 확인 단계로 이동하고 "마침"을 클릭합니다.