SiteMinder 브라우저 쿠키
목차
casso126kkr
목차
기본 인증에 쿠키 필요
다음 매개 변수를 사용하여
Single Sign-On
에 쿠키가 필요한지 여부를 제어할 수 있습니다.RequireCookies
Single Sign-On
에 쿠키가 필요한지 여부를 지정합니다. 다음과 같은 기능을 수행하려면 Single Sign-On
에 쿠키가 필요합니다.- 싱글 사인온 환경의 보안 설정
- 세션 시간 만료 적용
- 유휴 시간 만료 적용
이 매개 변수의 값이 yes인 경우 에이전트에서 HTTP 요청을 처리하려면 다음 쿠키 중 하나가 필요합니다.
- SMCHALLENGE
- SMSESSION
이 매개 변수의 값이 no인 경우 다음과 같은 상황이 발생할 수 있습니다.
- 예기치 않게 사용자에게 자격 증명이 요청됩니다.
- 시간 만료가 엄격하게 적용되지 않습니다.
중요!
에이전트에 쿠키가 필요한 경우 사용자에게 자신의 브라우저에서 HTTP 쿠키를 수락하도록 지시하십시오. 그렇지 않으면 사용자는 보호된 모든 리소스에 대해 액세스가 거부됩니다.기본값:
Yes쿠키를 요청하려면 RequireCookies 매개 변수의 값을 yes로 설정하십시오.
HTTP-Only 특성을 사용하여 쿠키의 정보 보호
교차 사이트 스크립팅 공격으로부터 보호하기 위해 다음 매개 변수를 사용하여 웹 에이전트가 자신이 생성하는 모든 쿠키에 대해 HTTP-Only 특성을 설정하도록 할 수 있습니다.
UseHTTPOnlyCookies
웹 에이전트가 생성하는 쿠키에 HTTP 전용 특성을 설정하도록 웹 에이전트에 지시합니다. 웹 에이전트가 이 특성이 있는 쿠키를 사용자의 브라우저에 반환하면 원래 이 쿠키를 설정한 웹 사이트의 스크립트도 쿠키의 내용을 읽을 수 없습니다. 따라서 스크립트를 통해 권한 없는 제 3자에게 쿠키의 중요 정보를 보내지 못하게 할 수 있습니다.
기본값:
No쿠키의 정보를 보호하려면 UseHTTPOnlyCookies 매개 변수의 값을 yes로 설정하십시오.
보안 쿠키 설정
다음 매개 변수를 사용하면 보안 연결(HTTPS)을 통해서만 요청 브라우저와 보호된 웹 서버 간에 세션 쿠키가 전송되도록 지정할 수 있습니다.
UseSecureCookies
보안 HTTPS 연결을 통해 웹 서버에 쿠키를 보냅니다. 이 매개 변수를 설정하면 브라우저와 웹 서버 간 보안이 강화됩니다.
이 설정이 활성화되어 있으면 SSO(싱글 사인온) 환경의 사용자가 SSL 웹 서버에서 비 SSL 웹 서버로 이동할 경우 다시 인증해야 합니다. 기존 HTTP 연결을 통해 보안 쿠키를 전달할 수 없습니다.
기본값:
NoSSL 연결을 통해 쿠키를 전송하려면 UseSecureCookies 매개 변수를 yes로 설정하십시오.
아이덴티티 쿠키 제어
TransientIDCookies 매개 변수는 에이전트 아이덴티티 쿠키(SMIDENTITY)가 임시 쿠키인지 아니면 영구 쿠키인지를 지정합니다.
영구 쿠키는 클라이언트 시스템의 하드 디스크에 작성됩니다. 5.x QMR1 이전의 웹 에이전트에서 영구 쿠키는 7일 동안 유효했습니다. 또한 5.x QMR1 이상의 웹 에이전트에서 영구 쿠키는 구성된 최대 세션 만료 시간 이후 7일 동안 유효합니다. 최대 세션 만료 시간은 관리 UI에서 설정됩니다. 일반적으로 영구 쿠키는 쿠키가 만료된 후 웹 브라우저의 쿠키 파일에서 삭제되지만 브라우저에서 영구 쿠키를 다르게 처리할 수 있습니다. 기본적으로 웹 에이전트는 영구 쿠키를 사용하지 않습니다. 대신 임시 쿠키를 사용합니다.
여러 개의 브라우저 세션에 싱글 사인온을 사용하려면 영구 쿠키를 사용합니다. 영구 쿠키를 설정하는 경우 사용자는
Single Sign-On
세션이 만료되기 전에 브라우저 세션을 끝낸 후 새 브라우저 세션을 시작하고 싱글 사인온 기능을 사용할 수 있습니다.영구 쿠키는 하드 디스크에 작성되지만 임시 쿠키는 하드 디스크에 작성되지 않으며 구성된 세션 만료 시간의 영향을 받지 않습니다. 임시 쿠키는 쿠키 폴더에 유지됩니다.
아이덴티티 쿠키를 영구 쿠키로 설정하려면 TransientIDCookies를 no로 설정합니다. 아이덴티티 쿠키를 임시 쿠키로 설정하려는 경우에는 기본값인 yes로 두십시오.
해당하는 IP 검사를 설정해야 합니다.
영구 쿠키 설정
여러 개의 브라우저 세션에 싱글 사인온을 사용하려면 영구 쿠키를 사용합니다. 다음 단계에서는 영구 쿠키를 사용하는 한 가지 경우를 보여 줍니다.
- 사용자가Single Sign-On에 인증하지만Single Sign-On세션이 만료되기 전에 브라우저 세션을 끝냅니다.
- 사용자가 나중에 새 브라우저 세션을 시작하지만 영구 쿠키가 싱글 사인온 기능을 유지 관리합니다.
영구 쿠키는 구성된 최대 세션 만료 시간
이후
7일 동안 유효합니다. 대부분의 브라우저는 쿠키 만료 후 웹 브라우저의 쿠키 파일을 삭제합니다. 일부 브라우저의 경우 영구 쿠키를 다르게 처리할 수 있습니다.다음 단계를 수행하십시오.
- PersistentCookies 매개 변수를 yes로 설정합니다.SMSESSION은 영구 쿠키입니다.
- TransientIDCookies 매개 변수를 no로 설정합니다.SMIDENTITY은 영구 쿠키입니다.
에이전트 쿠키의 쿠키 경로 지정
웹 에이전트는 쿠키를 생성할 때 자동으로 루트(/) 디렉터리를 쿠키 경로로 사용합니다. 쿠키의 도메인 및 경로 특성은 요청 URL과 비교됩니다. 쿠키가 도메인 및 경로에 대해 유효한 경우 클라이언트는 해당 쿠키를 서버에 전송합니다. 쿠키 경로에 루트 값이 사용되는 경우 클라이언트는 해당 쿠키를 도메인의 모든 요청과 함께 서버에 전송합니다.
Single Sign-On
쿠키를 특정 경로 집합으로 설정하면 보호되지 않는 리소스에 대해 쿠키가 전송될 경우 발생하는 웹 트래픽을 제거할 수 있습니다. 예를 들어 쿠키 경로를 /mypackage로 설정하면 클라이언트는 도메인에서 특정 패키지의 요청에 대해서만 쿠키를 전송합니다.에이전트 쿠키의 쿠키 경로를 지정하려면
- 에이전트 구성 개체 또는 로컬 에이전트 구성 파일을 엽니다.
- 다음 매개 변수를 사용하여 쿠키 공급자의 쿠키 경로를 설정합니다.
- MasterCookiePath쿠키 공급자가 생성한 기본 도메인 세션 쿠키의 경로를 지정합니다. 예를 들어 이 매개 변수를 /siteminderagent로 설정하면 쿠키 공급자가 생성하는 모든 세션 쿠키의 경로가 /siteminderagent가 됩니다. 쿠키 공급자 에이전트에서 이 매개 변수를 설정하지 않으면 기본값이 사용됩니다.기본값:/(루트)
- 다음 매개 변수를 사용하여 보조 에이전트의 쿠키 경로를 설정합니다.
- CookiePath다음 보조 에이전트 브라우저 쿠키의 쿠키 경로를 지정합니다.
- xxSESSION
- xxIDENTITY
- xxDOMINODATA
- xxCHALLENGE(SSL_CHALLENGE_DONE 포함)
- xxDATA
- xxSAVEDSESSION
예를 들어 이 매개 변수를 /BasicAuth로 설정하면 이전 목록의 모든 보조 에이전트가 /BasicAuth를 경로로 사용하여 생성됩니다. 지정하지 않을 경우 기본값이 사용됩니다.4.x 에이전트와의 호환성을 유지하기 위해 CookiePath가 자격 증명 쿠키(예: xxxxCRED)에 추가되지않습니다.다음 쿠키에서는항상루트(/) 경로를 사용합니다.- ONDENIEDREDIR
- TRYNO
CookiePathScope 매개 변수가 0보다 크면 CookiePath 매개 변수 설정이 무시됩니다.기본값:/(루트)
- (선택 사항) 웹 에이전트가 CookiePath 값을 사용하는 대신 URL에서 쿠키 경로를 추출하도록 구성하려면 다음 매개 변수를 0보다 큰 값으로 설정합니다.
- CookiePathScope다음 보조 에이전트 쿠키에 대한 쿠키 경로의 범위를 지정합니다.
- xxSESSION
- xxIDENTITY
- xxDOMINODATA
- xxCHALLENGE(SSL_CHALLENGE_DONE 포함)
- xxDATA
- xxSAVEDSESSION
이 매개 변수에서 0보다 큰 CookiePathScope를 사용하면 CookiePath 매개 변수의 설정이 무시됩니다.기본값:0
쿠키 도메인 적용
정규화된 도메인 이름을 사용하면 쿠키가 올바로 작동할 수 있습니다. 다음과 같은 조건을 충족하는 URL 요청의 호스트 이름에 에이전트가 쿠키 도메인을 추가하도록 지정할 수 있습니다.
- 요청에 도메인을 지정하지 않았습니다.
- 요청에 IP 주소만 포함되어 있습니다.
- 다음 매개 변수를 설정하여 에이전트에 쿠키 도메인을 사용하도록 지정할 수 있습니다.
- ForceCookieDomain도메인을 지정하지 않거나 IP 주소만 포함하는 URL 요청의 호스트 이름에 웹 에이전트가 쿠키 도메인을 추가하도록 합니다. 이 매개 변수는 추가 기능을 위해 ForceFQHost 매개 변수와 함께 사용됩니다.기본값:No
- ForceFQHost에이전트가 정규화된 도메인 이름을 사용하도록 합니다. 이 매개 변수는 구성된 DNS(Domain Name System) 서비스를 사용하여 에이전트가 아니라 DNS 서비스를 통해 URL 요청의 호스트 이름에 쿠키 도메인을 추가합니다. 웹 에이전트는 부분 URL을 포함하는 요청을 받으면 원래 URI에 지정된 동일한 대상 리소스로 요청을 리디렉션합니다. 이러한 리디렉션 요청에는 에이전트에서 구성된 DNS 서비스를 사용하여 확인하는 정규화된 호스트 이름이 사용됩니다. 추가 기능을 위해 이 매개 변수를 ForceCookieDomain 매개 변수와 함께 사용하십시오.기본값:No예:에이전트는 http://host1/page.html에서 요청을 받으면 http://host1.myorg.com/page.html로 응답합니다. 또한 http://123.113.12.1/page.html과 같은 요청을 받으면 http://host1.myorg.com/page.html로 응답합니다.참고:이러한 예제를 사용하려면 올바른 DNS 조회표가 있어야 합니다. 요청에 포함된 부분 도메인 이름을 DNS에서 확인할 수 없는 경우 오류가 발생할 수 있습니다.
다음 단계를 수행하십시오.
- ForceCookieDomain 매개 변수의 값을 yes로 설정합니다.
- ForceFQHost 매개 변수의 값을 yes로 설정합니다.필요한 경우 에이전트가 호스트 이름에 쿠키 도메인을 추가합니다.
쿠키 도메인 확인 구현
자동 도메인 확인을 구현하려면 CookieDomain 매개 변수를 주석으로 처리하거나 none으로 설정하여 웹 에이전트가 쿠키를 생성할 때 해당 쿠키가 발급된 서버에만 유효하도록 지정하십시오.
CookieDomainScope 매개 변수에 값을 추가하여 쿠키 도메인을 세부적으로 정의할 수 있습니다. 범위는 도메인 이름을 구성하는 섹션의 수를 결정합니다. 이때 각 섹션은 마침표로 구분됩니다. 도메인은 항상 "."로 시작됩니다.
CookieDomainScope 값을 0으로 설정하면 지정된 호스트에 대해 가장 특정한 범위를 사용하도록 에이전트에 지시합니다. 1(예: 쿠키 도메인이 .com이 되는 경우)은 HTTP 사양에서 허용되지 않는 값입니다. 이 값을 2로 설정하면 가장 일반적인 범위를 사용하도록 에이전트에 지시합니다.
다음 표에서는 몇 가지 도메인 이름과 CookieDomainScope 값을 보여 줍니다.
도메인 이름
| 쿠키 도메인 범위 값
| 쿠키 도메인
|
server.myorg.com | 2 | .myorg.com |
server.division.myorg.com | 3 2 | .division.myorg.com .myorg.com |
server.subdivision.division.myorg.com | 4 3 2 | .subdivision.division.myorg.com .division.myorg.com .myorg.com |
예를 들어 division.myorg.com 도메인의 범위는 3입니다. 기본적으로 웹 에이전트는 범위를 2로 가정합니다. 쿠키 도메인의 범위는 1이 될 수 없습니다.
CookiePathScope 설정의 작동 방식
다음 표에서는 CookiePathScope 매개 변수의 값이 아래 설정과 함께 사용되는 방식을 보여 줍니다.
- URL(예: http://fqdn/path1/path2/path3/path4/index.html)
- CookiePath 매개 변수 값 /BasicA
CookiePath 값
| CookiePathScope 값
| 사용되는 경로
|
/BasicA | 0 | /BasicA |
/BasicA | 1 | /Path1 |
/BasicA | 2 | /Path1/Path2 |
/BasicA | 3 | /Path1/Path2/Path3 |
/BasicA | 4 | /Path1/Path2/Path3/Path4 |
/BasicA | 5 | /Path1/Path2/Path3/Path4 |
/BasicA | 99 | /Path1/Path2/Path3/Path4 |
/ 또는 "정의되지 않음" | 0 | / |
/ 또는 "정의되지 않음" | 1 | /Path1 |
/ 또는 "정의되지 않음" | 2 | /Path1/Path2 |
/ 또는 "정의되지 않음" | 3 | /Path1/Path2/Path3 |
/ 또는 "정의되지 않음" | 4 | /Path1/Path2/Path3/Path4 |
/ 또는 "정의되지 않음" | 5 | /Path1/Path2/Path3/Path4 |
/ 또는 "정의되지 않음" | 99 | /Path1/Path2/Path3/Path4 |
SDK 타사 쿠키에 대한 지원 구성
Single Sign-On
이 아닌 다른 웹 에이전트를 조직에 사용하는 경우 다음 매개 변수를 설정하여 싱글 사인온을 지원하도록 웹 에이전트를 구성할 수 있습니다.AcceptTPCookie
웹 에이전트가
Single Sign-On
이 아닌 타사 웹 에이전트에서 생성된 세션(SMSESSION) 쿠키를 수락하도록 합니다. 타사 에이전트는 Single Sign-On
SDK를 사용하여 SMSESSION 쿠키를 생성하고 읽습니다.기본값:
기본값 없음웹 에이전트가
Single Sign-On
이 아닌 다른 웹 에이전트에서 생성한 세션 쿠키를 수락하도록 설정하려면 AcceptTPCookie 매개 변수를 yes로 설정하십시오.