리소스 파트너 개체에 대한 일반 정보 구성
목차
casso126kkr
목차
2
"일반" 페이지를 선택하여 리소스 파트너를 명명하고 리소스 파트너 및 계정 파트너 ID 등의 상세 정보를 제공하십시오. 또한 서비스 공급자에 액세스하기 위한 IP 주소 및 시간 제한을 구성할 수 있습니다.
일반 설정을 구성하려면
- "일반" 설정으로 이동합니다.
- 필수 필드에 주의하면서 필드에 대한 값을 입력합니다.참고:"도움말"을 클릭하면 필드, 컨트롤 및 해당되는 각 요구 사항에 대한 설명을 볼 수 있습니다."차이 시간" 필드에 대한 다음 정보에 주의합니다.
- 차이 시간현재 시스템 시간에서 차감되는 시간(초)을 지정합니다. 이 계산은 계정 파트너와 동기화되지 않은 클록이 있는 리소스 파트너에 해당합니다.싱글 사인온의 경우 차이 시간 및 싱글 사인온 유효 기간 값에 따라 어설션 유효 기간이 결정됩니다. 어설션 유효 기간 계산 방법을 검토하면 차이 시간에 대해 자세히 이해할 수 있습니다.
- 디버깅에만 사용할 경우 "서명 처리 사용 안 함" 확인란을 선택하여 일시적으로 모든 서명 처리(서명 및 서명 확인 모두)가 사용되지 않도록 설정할 수 있습니다.중요!서명 처리는 싱글 사인온에 대한 WS-페더레이션 피동 요청자 프로필에 필요하기 때문에 기본적으로 사용되도록 설정되어 있습니다.
Single Sign-On
세션이 없는 사용자 인증가맹 도메인에 리소스 파트너를 추가하는 경우 설정해야 하는 매개 변수 중 하나는 인증 URL 매개 변수입니다.
인증 URL은 redirect.jsp 파일을 가리킵니다. 이 파일은 웹 에이전트 옵션 팩이나
CA Access Gateway
를 설치하는 계정 파트너 사이트에 설치됩니다. Single Sign-On
정책으로 redirect.jsp 파일을 보호하십시오. 정책은 보호된 리소스 파트너 리소스를 요청하지만 Single Sign-On
세션이 없는 사용자에 대한 인증 챌린지를 트리거합니다.다음 바인딩에는
Single Sign-On
세션이 필요합니다.- HTTP POST 바인딩을 사용하는 싱글 사인온의 경우사용자에게 세션이 있어야 하지만 영구 세션이 아니어도 됩니다. 어설션은 브라우저를 통해 리소스 파트너에게 직접 전달됩니다. 어설션이 세션 저장소에 저장되지 않아도 됩니다.
- 사인아웃의 경우싱글 로그아웃이 사용되도록 설정하는 경우에는 영구 세션이 필요합니다. 사용자가 먼저 리소스를 요청하면 계정 파트너가 세션을 세션 저장소에 저장합니다. 세션 정보는 나중에 싱글 로그아웃이 실행될 때 필요합니다.
사용자가 인증되어 redirect.jsp 파일에 성공적으로 액세스한 후 세션이 설정됩니다. redirect.jsp 파일이 사용자를 계정 파트너 웹 에이전트나
CA Access Gateway
로 다시 리디렉션합니다. 그런 다음 Single Sign-On
이 요청을 처리합니다.인증 URL을 보호하는 절차는 다음 배포와 관계없이 동일합니다.
- 웹 에이전트와 동일한 시스템에 설치된 웹 에이전트 옵션 팩
- 웹 서버 프록시에 웹 에이전트가 설치된 응용 프로그램 서버
- 응용 프로그램 서버 에이전트와 함께 설치된 응용 프로그램 서버
- 아이덴티티 공급자에 설치된CA Access Gateway
인증 URL을 보호하도록 정책 구성
casso126kkr
인증 URL을 보호하려면
- 관리 UI에 로그인합니다.
- 어설션 당사자 웹 서버에 대해 정의하는 영역에 바인드할 웹 에이전트를 생성합니다. 웹 서버와 FWS 응용 프로그램에 대해 고유한 에이전트 이름을 할당하거나 둘 다에 대해 동일한 에이전트 이름을 사용합니다.
- 소비자 리소스에 액세스하려고 할 때 챌린지가 표시되는 사용자에 대한 정책 도메인을 생성합니다.
- 정책 도메인에 속한 리소스에 액세스할 수 있어야 하는 사용자를 선택합니다.
- 다음 값으로 정책 도메인에 대한 영역을 정의합니다.
- IIS용어설션 당사자 웹 서버에 대한 에이전트
- 리소스 필터웹 에이전트 r6.x QMR 6, r12.0 SP2 이상 및CA Access Gateway에 다음을 입력합니다./siteminderagent/redirectjsp/리소스 필터 /siteminderagent/redirectjsp/는 FWS 응용 프로그램이 자동으로 설정하는 별칭입니다. 별칭 참조는 다음과 같습니다.
- 웹 에이전트(web_agent_home/affwebservices/redirectjsp)
- CA Access Gateway(sps_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp)
- 영구 세션SAML 아티팩트 프로필의 경우에만 영역 대화 상자의 "세션" 섹션에 있는 "영구" 확인란을 선택합니다. 영구 세션을 구성하지 않으면 사용자가 소비자 리소스에 액세스할 수 없습니다.
- "확인"을 클릭하여 영역을 저장합니다.
- 영역에 대한 규칙을 생성합니다. "리소스" 필드에서 기본값인 별표(*)를 적용하여 영역에 대한 리소스를 모두 보호합니다.
- 이전 단계에서 만든 규칙이 포함된 어설션 당사자 웹 서버에 대한 정책을 생성합니다.
- 생성하는 어설션의 대상이 되는 사용자 선택 태스크를 완료합니다.
싱글 사인온에 대한 어설션 유효 기간
casso126kkr
싱글 사인온의 경우 차이 시간 및 유효 기간 값에 따라
Single Sign-On
이 어설션의 총 유효 기간을 계산하는 방법이 결정됩니다. Single Sign-On
은 어설션 생성 및 소비에 이 차이 시간을 적용합니다.참고:
이 설명에서 어설션 당사자는 SAML 1.x 생산자, SAML 2.0 아이덴티티 공급자 또는 WS-페더레이션 계정 파트너입니다. 신뢰 당사자는 SAML 1.x 소비자, SAML 2.0 서비스 공급자 또는 WS-페더레이션 리소스 파트너입니다.어설션 문서에서 NotBefore 및 NotOnOrAfter 값은 유효 간격의 시작 및 끝을 나타냅니다.
어설션 당사자에서는
Single Sign-On
이 어설션 유효 기간을 설정합니다. 유효 간격은 어설션이 생성되는 시스템 시간입니다. Single Sign-On
은 이 시간을 사용하여 어설션의 IssueInstant 값을 설정한 다음 IssueInstant 값에서 차이 시간 값을 뺍니다. 그 결과로 얻은 시간이 NotBefore 값입니다.NotBefore = IssueInstant - 차이 시간
유효 간격의 끝을 결정하기 위해
Single Sign-On
은 유효 기간 값과 차이 시간을 IssueInstant 값에 더합니다. 그 결과로 얻은 시간은 NotOnOrAfter 값이 됩니다.NotOnOrAfter = 유효 기간 + 차이 시간 + IssueInstant
시간은 GMT를 기준으로 합니다.
예를 들어 어설션 당사자 측에서 어설션이 1:00 GMT에 생성된다고 가정합니다. 차이 시간은 30초이고 유효 기간은 60초이며 어설션 유효 간격은 12:59:30 GMT에서 1:01:30 GMT 사이입니다. 이 간격은 어설션이 생성된 시간보다 30초 전에 시작되고 90초 후에 끝납니다.
신뢰 당사자에서
Single Sign-On
은 어설션 당사자에서와 동일한 계산을 수행하여 수신된 어설션이 유효한지 확인합니다.Single Sign-On
이 파트너 관계의 양쪽 모두에 있는 경우의 어설션 유효 기간 계산Single Sign-On
이 파트너 관계의 양쪽 모두에 있는 경우 어설션 유효 기간은 유효 기간을 차이 시간의 두 배에 더한 합계입니다. 공식은 다음과 같습니다.어설션 유효 기간 = 2 x 차이 시간(어설션 당사자) + 유효 기간 + 2 x 차이 시간(신뢰 당사자)
공식의 초기 부분(2 x 차이 시간 + 유효 기간)은 어설션 당사자의 유효 기간 시작 및 끝을 나타냅니다. 공식의 두 번째 부분(2 x 차이 시간)은 신뢰 당사자에 있는 시스템 클록의 차이 시간을 나타냅니다. 2를 곱하는 이유는 유효 기간의 NotBefore 및 NotOnOrAfter 끝을 고려하기 때문입니다.
참고:
레거시 페더레이션의 경우 유효 기간은 어설션 당사자에서만 설정됩니다.예
어설션 당사자
어설션 당사자 측에서의 값은 다음과 같습니다.
- IssueInstant = 5:00PM
- 유효 기간 = 60초
- 차이 시간 = 60초
- NotBefore = 4:59PM
- NotOnOrAfter = 5:02PM
신뢰 당사자
신뢰 당사자는 어설션의 NotBefore 및 NotOnOrAfter 값을 사용하고 해당 차이 시간을 이러한 값에 적용합니다. 이 공식은 신뢰 당사자가 새 NotBefore 및 NotOnOrAfter 값을 계산하는 방법입니다.
- 차이 시간 = 180초(3분)
- NotBefore = 4:56PM
- NotOnOrAfter = 5:05PM
어설션 유효 기간 창
이 예제의 값을 사용한 전체 어설션 유효 기간 창의 계산은 다음과 같습니다.
120초(2 x 60) + 60초 + 360초(2 x 180) = 540초(9분)
리소스 파트너 가용성에 대한 시간 제한 구성(선택 사항)
리소스 파트너 리소스 가용성에 대한 시간 제한을 지정할 수 있습니다. 시간 제한을 지정하면 리소스 파트너 리소스에 대한 액세스가 지정된 기간 동안에만 허용됩니다. 사용자가 지정된 기간을 벗어나 리소스에 액세스하려고 하면 계정 파트너가 SAML 어설션을 생성하지 않습니다.
참고:
시간 제한은 정책 서버가 설치된 서버의 시스템 클록을 기준으로 합니다.시간 제한을 지정하려면
- "일반" 설정에서 시작합니다.페이지의 "제한" 섹션에 있는 "시간" 섹션에서 "설정"을 클릭합니다."시간 제한" 페이지가 표시됩니다.일정을 완료합니다. 이 일정 표는 규칙 개체의 "시간 제한" 표와 같습니다.
- "확인"을 클릭합니다.
시간 제한 일정이 설정되었습니다.
리소스 파트너에 대한 IP 주소 제한 구성(선택 사항)
리소스 파트너에 액세스할 웹 서버의 IP 주소, 범위 주소 또는 서브넷 마스크를 지정할 수 있습니다. 리소스 파트너에 대해 IP 주소를 지정하면 리소스 파트너가 적절한 IP 주소의 사용자만 허용합니다.
IP 주소를 지정하려면
- "일반" 설정에서 시작합니다.페이지의 "제한" 섹션에 있는 "IP 주소" 영역에서 "추가"를 클릭합니다."IP 제한" 페이지가 표시됩니다.
- 추가하고 있는 IP 주소 유형에 대한 옵션을 선택하고 연결된 필드에 해당 주소 유형에 대한 데이터를 입력합니다.참고:IP 주소는 모르지만 주소에 대한 도메인 이름은 알고 있는 경우 "DNS 조회" 단추를 클릭합니다. 이 단추를 클릭하면 "DNS 조회" 페이지가 열립니다. "호스트 이름" 필드에 정규화된 호스트 이름을 입력하고 "확인"을 클릭합니다.
- 단일 호스트--브라우저를 호스트하는 단일 IP 주소를 지정합니다. 단일 IP 주소를 지정하면 사용자가 지정된 IP 주소에서만 리소스 파트너에 액세스할 수 있습니다.
- 호스트 이름--호스트 이름을 사용하여 웹 서버를 지정합니다. 호스트 이름을 지정하면 지정된 호스트의 사용자만 리소스 파트너에 액세스할 수 있습니다.
- 서브넷 마스크--웹 서버에 대한 서브넷 마스크를 지정합니다. 서브넷 마스크를 지정하면 지정된 서브넷 마스크의 사용자만 리소스 파트너에 액세스할 수 있습니다. 이 단추를 선택하면 "주소 및 서브넷 마스크 추가" 대화 상자가 열립니다. 왼쪽 및 오른쪽 화살표 단추를 사용하거나 슬라이더 막대를 클릭한 상태로 끌어서 놓아 서브넷 마스크를 선택합니다.
- 범위--IP 주소 범위를 지정합니다. IP 주소 범위를 지정하면 리소스 파트너가 주소 범위에 속한 IP 주소 중 하나의 사용자만 허용합니다. 시작 및 끝 주소를 입력하여 범위를 결정합니다.
- "확인"을 클릭하여 구성을 저장합니다.