IdP 파트너 구성
목차
casso126kkr
목차
2
다음 구성 프로세스는 IdP1의 관리자 관점에서 작성된 것입니다. 따라서 IdP1은 로컬 IdP입니다.
다음은 IdP 파트너를 설정하는 프로세스입니다.
- 관리 UI에 로그인합니다.
- 사용자 디렉터리 연결을 설정합니다.
- IdP 및 SP 엔터티를 식별합니다.
- SAML2 IdP->SP 파트너 관계를 생성합니다.
- 파트너 관계 마법사를 따라 최소한의 필수 설정을 구성합니다.
IdP에서 사용자 디렉터리 연결 설정
파트너 관계를 설정하려면 먼저 사용자 디렉터리에 대한 연결을 정의해야 합니다. IdP 사용자 디렉터리는 아이덴티티 공급자가 어설션을 생성하는 사용자 레코드로 구성됩니다.
다음 단계에서는 관리 UI에서 사용자 디렉터리를 구성하는 방법을 지정합니다. 이름이 IdP LDAP인 디렉터리에 user1 및 user2가 포함되어 있습니다.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "인프라", "디렉터리", "사용자 디렉터리"를 차례로 선택합니다.
- "사용자 디렉터리 만들기"를 클릭합니다."사용자 디렉터리" 대화 상자가 열립니다.
- 다음 필드를 작성하십시오.
- 이름IdP LDAP
- 네임스페이스LDAP
- 서버www.idp.demo:42088
- "LDAP 설정" 섹션의 다음 필드에 데이터를 입력합니다.
- 루트dc=idp,dc=demo다른 값의 경우 기본값을 적용합니다.
- 시작uid=
- 끝,ou=People,dc=idp,dc=demo
- "콘텐츠 보기"를 클릭하여 디렉터리 콘텐츠를 볼 수 있는지 확인합니다.
- 제출을 클릭합니다.
세션을 구성하기 위해 인증 URL 보호
정책 서버가 어설션을 생성하려면 사용자가 IdP 정책 서버에 세션이 있어야 합니다. 세션을 구성하려면 사용자에게 인증 챌린지가 표시되도록 정책을 사용하여 인증 URL을 보호하십시오. 그러면 사용자가 로그인할 때 세션이 구성됩니다.
다음 단계를 수행하십시오.
- <ui>에 로그인합니다.
- "인프라", "에이전트", "에이전트 만들기"를 차례로 선택합니다.
- Agent1이라는 웹 에이전트를 생성합니다.
- "정책", "도메인", "도메인", "도메인 만들기"를 선택합니다.
- 인증 URL에 대한 정책 도메인을 만듭니다.
- 챌린지되는 사용자를 포함하는 사용자 디렉터리를 추가하십시오.
- 정책 도메인에 속한 리소스에 액세스할 수 있어야 하는 사용자를 선택합니다.
- "영역" 탭을 선택하고 다음 값으로 정책 도메인에 대한 영역을 정의합니다.
- 에이전트Agent1
- 리소스 필터이 리소스 필터는 웹 에이전트 및CA Access Gateway에 대해 적용됩니다.
- 기본 리소스 보호보호됨
- 인증 체계이 예에서는 "기본"을 선택합니다.인증 URL을 보호하기 위해 모든 인증 체계를 선택할 수 있습니다. 예를 들어 인증을 위해 사용자를 사용자 지정 로그인 응용 프로그램으로 보내는 사용자 지정 인증 체계를 사용할 수 있습니다. 그러면 redirect.jsp는 다시 페더레이션 프로세스로 리디렉션을 처리합니다.
- 영구 세션HTTP-아티팩트 프로필에 대해 세션 정보를 저장하려면 "세션" 섹션에서 "영구" 확인란을 선택하십시오. 세션 정보는 Single Logout과 같은 기능 및 특성 기관에 필요합니다.
9. 영역 대화 상자의 "규칙" 섹션에서 "규칙 만들기"를 클릭합니다. 필드에 다음 값을 입력합니다.
- 리소스가/*별표는 규칙이 영역의 모든 리소스에 적용됨을 의미합니다.
- 허용/거부 및 사용/사용 안 함액세스 허용"사용" 확인란이 선택됩니다.
- 작업웹 에이전트 작업GET, POST, PUT
10. "정책" 탭을 선택하고 다음 구성 요소를 포함하는 정책을 만듭니다.
- 사용자 디렉터리에서 선택한 사용자 집합
- redirectjsp 응용 프로그램 및 관련 규칙을 포함하는 영역
이제 정책이 인증 URL을 보호합니다.
파트너 관계 엔터티 구성
사용자 디렉터리 연결을 설정한 후에는 파트너 관계의 양측을 식별하십시오. 관리 UI에서는 각 파트너를 엔터티라고 합니다.
다음 절차에서는 로컬 및 원격 엔터티에 제공할 값을 보여 줍니다. 실제 네트워크 구성에서는 각 측에서 로컬 엔터티를 생성하고, 로컬 엔터티를 메타데이터 파일로 내보낸 다음 파일을 교환할 수 있습니다. 그러면 각 측에서 원격 엔터티를 정의할 수 있습니다.
로컬 IdP를 생성하려면
- "페더레이션", "파트너 관계 페더레이션", "엔터티"를 선택합니다.
- "페더레이션 엔터티 목록"에서 "엔터티 만들기"를 클릭합니다.
- 엔터티 마법사의 첫 번째 단계에서 다음 사항을 선택하고 "다음"을 클릭합니다.
- 엔터티 위치로컬
- 새 엔터티 유형SAML2 IDP
- 마법사의 두 번째 단계에서 다음 필드에 데이터를 입력하고 "다음"을 클릭합니다.
- 엔터티 IDidp1이 값으로 파트너는 엔터티를 식별합니다.
- 엔터티 이름idp1이 값은 데이터베이스에서 내부적으로 엔터티 개체를 식별합니다. 파트너는 이 값을 인식하지 않습니다.
- 기준 URLhttp://idp1.example.com:9090
다른 설정은 그대로 둡니다.참고:"엔터티 이름"의 값은 "엔터티 ID"와 동일할 수 있습니다. 하지만 사이트의 다른 엔터티와 동일한 값을 사용하지 않아야 합니다. - 마지막 단계에서 설정을 검토하고 "마침"을 클릭합니다.
"엔터티" 창으로 돌아옵니다.
SP 엔터티를 생성하려면
- "엔터티" 창에서 시작합니다.
- "페더레이션 엔터티 목록"에서 "엔터티 만들기"를 클릭합니다."엔터티 만들기" 대화 상자가 표시됩니다.
- 엔터티 마법사의 첫 번째 단계에서 다음 사항을 선택하고 "다음"을 클릭합니다.
- 엔터티 위치원격
- 새 엔터티 유형SAML2 SP
- 마법사의 두 번째 단계에서 필드에 다음과 같이 데이터를 입력하고 "다음"을 클릭합니다.
- 엔터티 IDsp1이 값으로 파트너는 엔터티를 식별합니다.
- 엔터티 이름sp1이 값은 데이터베이스에서 내부적으로 엔터티 개체를 식별합니다. 파트너는 이 값을 인식하지 않습니다.
- 어설션 소비자 서비스 URL
- 인덱스0
- 바인딩HTTP-POST
- URLhttp://sp1.demo.com:9091/affwebservices/public/saml2assertionconsumer
- 기본값항목에 대한 확인란을 선택합니다.
- 마지막 단계에서 설정을 검토하고 "마침"을 클릭합니다.
원격 SP 엔터티가 구성됩니다.
로컬 및 원격 엔터티가 구성된 후 파트너 관계를 생성하십시오.
IdP-SP 파트너 관계 생성
페더레이션 엔터티를 생성한 후에는 파트너 관계 마법사에 따라 IdP ->SP 파트너 관계를 구성하십시오. 마법사는 기본 파트너 관계 매개 변수로 시작합니다.
다음 단계를 수행하십시오.
- "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 선택합니다.
- "파트너 관계 만들기"를 클릭합니다.
- "SAML2 IdP -> SP"를 선택합니다.이 옵션을 선택하는 것은 현재 로컬 IdP라는 것을 의미합니다.파트너 관계 마법사의 첫 번째 단계가 나타납니다.
- 필드에 다음 값을 입력합니다.
- 파트너 관계 이름TestPartnership
- 로컬 IDP IDidp1(풀다운 목록에서 선택)
- 원격 SP IDsp1(풀다운 목록에서 선택)
- 차이 시간(초)기본값을 적용합니다.
- IDP LDAP 디렉터리를 "사용 가능한 디렉터리" 목록에서 "선택한 디렉터리" 목록으로 이동합니다.
- "다음"을 클릭하여 "페더레이션 사용자" 단계로 이동합니다.
어설션 생성을 위한 페더레이션 사용자 지정
"페더레이션 사용자" 대화 상자에서 IdP가 어설션을 생성할 사용자를 선택합니다.
다음 단계를 수행하십시오.
- 기본값을 적용합니다.
- "다음"을 눌러 계속합니다.
기본값을 적용하면
Single Sign-On
이 사용자 디렉터리의 모든 사용자에 대해 어설션을 생성할 수 있도록 지정하게 됩니다.어설션에 이름 ID 추가
"어설션 구성" 단계에서는 NameID의 형식 및 값과 사용자를 식별하는 특성을 지정할 수 있습니다. 이러한 특성은 어설션에 포함됩니다.
참고:
NameID는 항상 어설션에 포함됩니다.이 구성에서는 이름 ID만 지정하십시오. 다른 특성을 추가하지 마십시오.
다음 단계를 수행하십시오.
- "어설션 구성" 단계에서 다음 필드에 대한 값을 입력합니다.
- 이름 ID 형식지정되지 않음
- 이름 ID 유형정적
- 값GeorgeC
- "다음"을 클릭하여 SSO(싱글 사인온)를 설정합니다.
IdP에서 싱글 사인온 설정
파트너 간에 싱글 사인온을 설정하려면 SSO 설정을 구성하십시오.
다음 단계를 수행하십시오.
- 파트너 관계 마법사의 SSO 및 SLO 단계부터 시작합니다.
- "인증" 섹션에서 다음 항목을 지정합니다.
- 인증 모드로컬
- 인증 URL전체 인증 URL을 입력하십시오. 예:
- 직접 URL:http://webserver1.example.com/affwebservices/redirectjsp/redirect.jsp
- 가상 URL:http://webserver1.example.com/siteminderagent/redirectjsp/redirect.jsp이 URL에서 siteminderagent는 가상 경로에 대한 별칭입니다.
정책을 사용하여 인증 URL을 보호하십시오.
- AuthnContext 구성기본값을 적용합니다.
- 인증 클래스기본값을 적용합니다.
- "SSO" 섹션에서 다음 항목을 지정합니다.
- SSO 바인딩HTTP-POST
- 어설션 소비자 URLhttp://sp1.demo.com:9091/affwebservices/public/saml2assertionconsumer
- "다음"을 클릭하여 "서명 및 암호화" 단계로 이동합니다.
서명 처리 사용 안 함
casso126kkr
이 간단한 파트너 관계에서는 서명 처리가 사용되지 않도록 지정하십시오. 하지만 프로덕션 환경에서는 아이덴티티 공급자가 어설션에 서명해야 합니다.
다음 단계를 수행하십시오.
- "서명 및 암호화" 단계에서 "서명 처리 사용 안 함"을 선택합니다.
- "다음"을 클릭하여 다음 단계로 이동합니다.
IdP-SP 파트너 관계 설정 확인
페더레이션 파트너 관계의 한쪽에 대한 파트너 관계 정의를 완료했습니다. 이제 설정을 확인하십시오.
다음 단계를 수행하십시오.
- "확인" 대화 상자에서 파트너 관계에 대한 설정을 검토합니다.
- 설정을 수정하려면 원하는 섹션에서 "수정"을 클릭합니다.
- 원하는 대로 구성되었으면 "마침"을 클릭합니다.
파트너 관계의 IdP 측이 완료되었습니다. IdP 시스템이 아닌 다른 시스템에서 파트너 관계의 SP 측을 정의하십시오.