페더레이션 도메인에 대한 에이전트 설정
사용자가 SAML 2.0 트랜잭션에 IPD(아이덴티티 공급자 검색) 프로필을 사용하거나 WS-페더레이션 트랜잭션에 wreply URL을 사용할 경우 악의적인 웹 사이트로 리디렉션될 수 있습니다. 이러한 리디렉션을 방지하려면 웹 에이전트에서 ValidFedTargetDomain 매개 변수를 구성하십시오.
casso126kkr
사용자가 SAML 2.0 트랜잭션에 IPD(아이덴티티 공급자 검색) 프로필을 사용하거나 WS-페더레이션 트랜잭션에 wreply URL을 사용할 경우 악의적인 웹 사이트로 리디렉션될 수 있습니다. 이러한 리디렉션을 방지하려면 웹 에이전트에서 ValidFedTargetDomain 매개 변수를 구성하십시오.
ValidFedTargetDomain 매개 변수의 기능은 SAML 2.0의 경우와 WS-페더레이션의 경우에 서로 다릅니다.
SAML 2.0의 ValidFedTargetDomain
ValidFedTargetDomain 매개 변수는 IPD(아이덴티티 공급자 검색)를 구현할 때 페더레이션 환경에 대해 유효한 모든 도메인을 나열합니다.
IPD 서비스는 요청을 받으면 해당 요청에서 IPDTarget 쿼리 매개 변수를 검사합니다. IPDTarget은 검색 서비스가 요청을 처리한 후 브라우저를 리디렉션해야 하는 URL을 정의합니다. IdP의 경우 IPDTarget은 SAML 2.0 Single Sign-On 서비스입니다. SP의 경우 대상은 일반 도메인 쿠키를 사용하려고 요청하는 응용 프로그램입니다.
페더레이션 웹 서비스가 IPDTarget URL의 도메인과 ValidFedTargetDomain 매개 변수에 지정된 도메인 목록을 비교합니다. URL 도메인이 ValidFedTargetDomain 목록에 구성된 도메인 중 하나와 일치하면 IPD 서비스가 사용자를 SP의 IPDTarget URL로 리디렉션합니다.
일치하는 도메인이 없으면 IPD 서비스가 사용자 요청을 거부하며 "403 Forbidden"(금지됨) 오류 메시지가 나타납니다. 오류는 FWS 추적 로그와 affwebservices 로그에 보고됩니다.
이 매개 변수를 구성하지 않으면 유효성 검사가 수행되지 않고 사용자가 대상 URL로 리디렉션됩니다. 로컬 구성 파일을 수정하는 경우에는 각 도메인을 하나씩 추가해야 합니다. 예:
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"
WS-페더레이션의 ValidFedTargetDomain
ValidFedTargetDomain 매개 변수는 리디렉션이 안전한지 확인하기 위해 wreply URL이 사용해야 하는 페더레이션 환경에 대해 유효한 모든 도메인을 나열합니다.
페더레이션 웹 서비스는 wreply URL의 도메인과 ValidFedTargetDomain 매개 변수에 지정된 도메인 목록을 비교합니다. URL 도메인이 목록에 구성된 도메인 중 하나와 일치하면 페더레이션 웹 서비스가 사용자를 SP의 wreply URL로 리디렉션합니다.
일치하는 도메인이 없으면 페더레이션 웹 서비스가 사용자 요청을 거부하며 "400 Forbidden"(400 잘못된 요청) 오류 메시지가 나타납니다. 오류는 FWS 추적 로그와 affwebservices 로그에 보고됩니다.
이 매개 변수를 구성하지 않으면 유효성 검사가 수행되지 않고 사용자가 대상 URL로 리디렉션됩니다. 로컬 구성 파일을 수정하는 경우에는 각 도메인을 하나씩 추가해야 합니다. 예:
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"