SP에서 싱글 사인온 구성

목차
casso126kkr
목차
2
아이덴티티 공급자와 서비스 공급자 간의 싱글 사인온을 설정하려면 SSO 바인딩을 지정하십시오.
"SSO" 설정을 사용하면 아티팩트 또는 POST 바인딩을 사용하는 싱글 사인온을 구성할 수 있습니다.
싱글 사인온 구성에는 "리디렉션 모드" 설정을 정의하는 단계가 포함됩니다. 리디렉션 모드는 사용 가능한 경우
Single Sign-On
이 어설션 특성을 대상 응용 프로그램에 보내는 방법을 지정합니다. 어설션 특성을 HTTP 헤더나 HTTP 쿠키로 보낼 수 있습니다.
casso126kkr
HTTP 헤더와 HTTP 쿠키에는 어설션 특성이 초과할 수 없는 크기 제한이 있습니다. 크기 제한은 다음과 같습니다.
  • HTTP 헤더의 경우
    Single Sign-On
    은 헤더에 대한 웹 서버 크기 제한까지 헤더에 있는 특성을 보낼 수 있습니다. 헤더당 허용되는 어설션 특성은 하나뿐입니다. 헤더 크기 제한을 확인하려면 해당 웹 서버 설명서를 참조하십시오.
  • HTTP 쿠키의 경우
    Single Sign-On
    은 쿠키에 대한 크기 제한까지 쿠키를 보낼 수 있습니다. 각 어설션 특성은 자체 쿠키로 전송됩니다. 쿠키 크기 제한은 브라우저별로 다르고, 해당 제한은 각 특성에만 적용되는 것이 아니라 응용 프로그램에 전달되고 있는 모든 특성에 적용됩니다. 쿠키 크기 제한을 확인하려면 해당 웹 브라우저 설명서를 참조하십시오.
싱글 사인온을 구성하려면
  1. SAML 2.0 인증 체계로 이동합니다.
  2. "SAML 2.0 구성", "SSO"를 차례로 클릭합니다.
  3. "SSO" 필드에 대한 항목을 입력합니다.
  4. (선택 사항) 싱글 사인온 작동을 위한 대상 리소스를 지정합니다. 대상은 대상 서비스 공급자 사이트의 요청된 리소스를 지정합니다.
    서비스 공급자는 기본 대상을 사용하지 않아도 됩니다. 싱글 사인온을 시작하는 링크에는 대상을 지정하는 쿼리 매개 변수가 포함될 수 있습니다.
  5. "바인딩" 섹션에서 "HTTP-아티팩트"와 "HTTP-POST"를 선택할 수 있습니다.
    "HTTP-POST"는 선택하고 아티팩트는 선택하지 않은 경우 POST 바인딩만 아이덴티티 공급자에서 허용됩니다. 바인딩을 지정하지 않은 경우 기본값은 HTTP-artifact입니다.
    "HTTP-아티팩트" 바인딩을 선택하는 경우
    • 검색되기 전에 어설션을 저장하도록 세션 서버를 설정합니다.
    • 백 채널을 구성합니다. 아티팩트 레졸루션 서비스와의 통신을 보호하는 인증 체계 유형을 선택합니다. 이 서비스는 아이덴티티 공급자에서 어설션을 검색합니다.
    • 선택적으로 각 바인딩에 대해 정수를 인덱스 항목으로 지정합니다.
      여러 끝점이 있는 경우 인덱싱된 끝점을 구성할 수 있습니다. 서비스 공급자가 지정된 끝점 항목을 AuthnRequest에 쿼리 매개 변수로 포함합니다. AuthnRequest가 아이덴티티 공급자의 싱글 사인온 서비스에 전송됩니다.
단일 사용 정책을 적용하여 보안 강화
단일 사용 정책은 SAML 2.0 어설션이 서비스 공급자에서 두 번째 세션을 설정하는 데 재사용되지 않도록 합니다. 이 기능은 POST 바인딩을 통해 도달하는 어설션에 적용됩니다.
참고:
단일 사용 정책 기능은 HTTP-POST 바인딩을 선택할 때 기본적으로 사용되도록 설정되어 있습니다.
어설션을 일회 사용 대상으로 지정하면 싱글 사인온 환경에서 인증 보안을 강화할 수 있습니다. 브라우저에서 공격자는
Single Sign-On
세션을 설정하는 데 사용된 SAML 어설션을 획득할 수 있습니다. 그런 다음 공격자가 서비스 공급자의 어설션 소비자 서비스에 어설션을 포스트하여 두 번째 세션을 설정할 수 있습니다. 하지만 어설션이 일회 사용 대상으로 지정된 경우에는 이러한 유형의 위험이 완화됩니다.
Single Sign-On
은 만료 데이터를 사용하여 단일 사용 정책을 적용합니다. 만료 데이터는 어설션에 대한 시간 기반 데이터입니다. SAML 2.0 인증 체계는 세션 저장소에 만료 데이터를 저장합니다. 만료 데이터는 SAML 2.0 POST 어설션이 한 번만 사용되는지 확인합니다.
단일 사용 정책의 적용 방식
SAML 2.0 어설션의 유효성 검사가 성공하면 인증 체계가 만료 데이터 테이블에 어설션 데이터를 씁니다. 데이터에는 어설션 ID 키와 만료 시간이 포함됩니다. 정책 서버의 어설션 저장소 관리 스레드가 만료 데이터 테이블에서 만료된 데이터를 삭제합니다.
체계가 어설션 데이터의 유효성을 검사하려고 하는 경우 만료 데이터 항목에 동일한 어설션 ID 키가 있으면 어설션 데이터 쓰기가 실패합니다. 체계가 만료 테이블에 쓸 수 없는 경우 SAML 2.0 인증 체계는 잘못된 어설션과 동일한 방식으로 인증을 거부합니다.
데이터베이스를 사용할 수 없으면 어설션의 단일 사용을 적용할 수 없습니다. 따라서 인증 체계가 요청을 거부하고 어설션이 재사용되지 않습니다.
단일 사용 정책 구성
단일 사용 정책을 구성하려면
  1. SAML 2.0 인증 체계로 이동합니다.
    "수정", "SAML 2.0 구성"을 차례로 클릭합니다.
  2. "SSO" 탭을 선택합니다.
  3. "HTTP-POST" 섹션에서 "단일 사용 정책 적용" 확인란이 기본적으로 선택되어 있습니다.
  4. 세션 저장소가 사용되도록 설정합니다.
SSO에 대한 이름 식별자 만들기 허용
싱글 사인온 요청의 일부로 서비스 공급자는 true로 설정된 AllowCreate라는 특성이 포함된 AuthnRequest를 생성할 수 있습니다. 서비스 공급자는 사용자의 아이덴티티를 가져오려고 합니다. AuthnRequest를 받으면 아이덴티티 공급자가 어설션을 생성합니다. 아이덴티티 공급자가 적절한 사용자 레코드에서 이름 ID 역할을 하는 어설션 특성을 검색합니다. 아이덴티티 공급자가 NameID 특성에 대한 값을 찾을 수 없으면 영구 식별자가 생성됩니다. "허용/만들기" 기능을 사용하여 식별자를 생성할 수 있습니다.
영구 식별자는 무작위로 생성된 ID입니다. 아이덴티티 공급자는 이 식별자를 NameID 특성의 값으로 사용하고 어설션에 넣습니다. 그런 다음 아이덴티티 공급자가 어설션을 서비스 공급자에게 반환합니다. 예를 들어 NameID 특성이 telephone으로 설정된 경우 telephone에 대한 값이 사용자 레코드에 없으면 NameID가 무작위로 생성된 식별자로 설정됩니다.
서비스 공급자가 어설션을 받으면 SAML 2.0 인증 체계가 응답을 처리합니다. 그런 다음 체계가 해당 로컬 사용자 저장소에서 사용자 조회를 수행합니다. 서비스 공급자가 사용자 레코드를 찾으면 사용자에게 액세스 권한이 부여됩니다.
아이덴티티 공급자가 고유 식별자를 생성하도록 아이덴티티 공급자에서 "허용/만들기" 기능이 사용되도록 설정하십시오. 아이덴티티 공급자는 이 기능이 사용되도록 설정된 경우에만 식별자를 생성합니다. 고유 식별자가 생성되지 않았다는 항목이 아이덴티티 공급자 로그 파일에 입력된 후 일반적인 어설션 생성 흐름이 계속됩니다.
인증 요청에 "허용/만들기" 특성 포함
아이덴티티 공급자가 이름 ID에 대한 식별자를 생성하도록 허용하려면 AuthnRequest 메시지에 "허용/만들기" 특성을 포함하십시오.
참고:
아이덴티티 공급자의 관리자가 "허용/만들기" 기능이 사용되도록 설정해야 식별자가 생성됩니다.
다음 단계를 수행하십시오.
  1. SAML 2.0 인증 체계로 이동합니다.
  2. "SAML 2.0 구성", "SSO"를 차례로 클릭합니다.
  3. "IDP가 새 식별자를 만들도록 허용" 확인란을 선택합니다.
  4. "확인"을 클릭합니다.
HTTP-아티팩트 SSO에 대한 백 채널 구성
싱글 사인온에 대해 HTTP-아티팩트 바인딩을 선택하는 경우 아티팩트 레졸루션 서비스에 대한 백 채널을 보호할 인증 체계를 선택하십시오. 이 서비스는 아이덴티티 공급자에서 어설션을 검색합니다.
백 채널을 구성하려면
  1. SAML 2.0 인증 체계로 이동합니다.
  2. "SAML 2.0 구성", "암호화 및 서명"을 차례로 클릭합니다.
  3. "백 채널" 섹션의 모든 필드에 데이터를 입력합니다.
    중요!
    백 채널 인증 체계에 대해 기본 인증을 사용하고 있는 경우 "SP 이름" 필드의 값은 서비스 공급자의 이름입니다. 추가 구성이 필요하지 않습니다. 클라이언트 인증서 인증을 사용하고 있는 경우 "SP 이름" 필드는 인증서 데이터 저장소에 저장된 클라이언트 인증서의 별칭이어야 합니다. SP는 인증서를 자격 증명으로 사용하여 아티팩트 레졸루션 서비스에 대한 액세스 권한을 얻습니다.
  4. "확인"을 클릭하여 구성을 저장합니다.
서비스 공급자의 ECP 구성
ECP를 구성하려면 아이덴티티 공급자와 서비스 공급자에서 해당 기능을 사용하도록 설정하십시오. 다음 절차는
Single Sign-On
서비스 공급자에 해당됩니다.
ECP에 대한 자세한 내용은 개요를 참조하십시오.
다음 단계를 수행하십시오.
  1. 서비스 공급자에서 보호된 리소스에 대한 요청을 AuthnRequest 서비스에 전달합니다. URL의 예는 다음과 같습니다.
    https://
    host
    :
    port
    /affwebservices/public/saml2authnrequest
  2. 서비스 공급자 측에서 관리 UI에 로그인합니다.
  3. 관련 SAML 2.0 인증 체계 개체를 수정합니다.
  4. "체계 설정" 섹션에서 "SAML 2.0 구성"을 클릭합니다.
    해당 체계에 대한 구성 탭이 표시됩니다.
  5. "SSO" 탭을 선택합니다.
  6. "향상된 클라이언트 및 프록시 프로필" 확인란을 선택하고 "확인"을 클릭합니다.
  7. "제출"을 클릭하여 변경 내용을 저장합니다.
이제
Single Sign-On
서비스 공급자가 ECP 호출을 처리할 수 있습니다.
참고:
단일 SAML 서비스 공급자 개체가 싱글 사인온 요청에 대한 아티팩트, POST, SOAP 및 PAOS 바인딩을 처리할 수 있습니다. SOAP 및 PAOS는 ECP 프로필에 대한 바인딩입니다. 아이덴티티 공급자와 서비스 공급자는 요청의 매개 변수를 기준으로 사용되는 바인딩을 확인합니다.