페더레이션 배포에 기능 추가

목차
casso126kkr
목차
2
POST 싱글 사인온 구성을 완료한 후 페더레이션된 네트워크에 기능을 추가할 수 있습니다.
이 배포 예에서 다루는 추가 태스크는 다음과 같습니다.
  • 싱글 로그아웃 구성
  • 아티팩트 싱글 사인온 구성
  • 어설션에 특성 추가
  • 어설션의 디지털 서명이 사용되도록 설정
  • 어설션 암호화 및 암호 해독
이러한 추가 기능 중 일부는 POST 바인딩에 대한 디지털 서명과 같은 프로덕션 환경의 싱글 사인온에 필요합니다. 필요한 태스크가 나와 있습니다.
싱글 로그아웃 구성
SLO(싱글 로그아웃 프로토콜)를 사용하면 특정 사용자의 모든 세션이 동시에 종료되므로 보안을 유지하는 데 도움이 됩니다. 이러한 세션과 로그아웃을 시작한 브라우저를 연결하십시오. 싱글 로그아웃이 반드시 사용자의 모든 세션을 종료하는 것은 아닙니다.
싱글 로그아웃을 구성하면 아이덴티티 공급자와 서비스 공급자가 싱글 로그아웃 프로토콜을 지원할 수 있습니다. 구성에 따라 싱글 로그아웃 처리 방법도 결정됩니다.
IdP에서 싱글 로그아웃이 사용되도록 설정
IdP에서 싱글 로그아웃을 시작할 수 있습니다. IdP인 idp.demo에서 SP별로 싱글 로그아웃이 사용되도록 설정하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인하고 sp.demo에 대한 SAML 서비스 공급자 개체에 액세스합니다.
  2. "SAML 프로필" 페이지로 이동합니다.
  3. "HTTP-리디렉션"을 선택합니다.
    나머지 필드가 활성화됩니다.
  4. 다음 필드에 대한 값을 입력합니다.
    • SLO 위치 URL
      http://www.sp.demo:81/affwebservices/public/saml2slo
      SP의 SLO 서블릿을 정의합니다.
    • SLO 확인 URL
      http://www.idp.demo:80/idpsample/SLOConfirm.jsp
  5. 다른 필드의 경우 기본값을 적용합니다.
  6. 제출을 클릭합니다.
  7. 정책 서버 관리 콘솔에 로그인하고 세션 저장소가 사용되도록 설정합니다.
SP에서 싱글 로그아웃이 사용되도록 설정
서비스 공급자에서 싱글 로그아웃을 시작할 수 있습니다.
다음 단계를 수행하십시오.
  1. 보호된 리소스가 있는 영역이 영구 세션에 대해 구성되었는지 확인합니다.
  2. "파트너 IDP.demo 인증 체계"라는 인증 체계로 이동합니다.
  3. 체계가 "SLO" 탭에 액세스하도록 "SAML 2.0 구성"을 수정합니다.
  4. "SLO" 탭에서 "HTTP-리디렉션"을 선택합니다.
    나머지 필드가 활성화됩니다.
  5. 다음과 같이 필드에 데이터를 입력합니다.
    • SLO 위치 URL
      http://www.idp.demo:80/affwebservices/public/saml2slo
    • SLO 확인 URL
      http://www.sp.demo:81/spsample/SLOConfirm.jsp
  6. 다른 모든 필드의 경우 기본값을 적용합니다.
  7. 정책 서버 관리 콘솔에 로그인하고 세션 저장소가 사용되도록 설정합니다.
싱글 로그아웃 테스트
싱글 로그아웃을 테스트하려면 자체 웹 페이지를 사용하십시오. SP에서 시작되는 싱글 사인온을 테스트하기 위한 HTML 페이지에 싱글 로그아웃 서비스에 대한 하드 코드된 링크가 포함되어 있는지 확인하십시오.
싱글 사인온을 성공적으로 테스트한 후에 싱글 로그아웃을 테스트할 수 있습니다. 만든 시작 페이지에서 HTTP 리디렉션 바인딩을 사용하여 싱글 로그아웃 URL로 브라우저를 디렉션하는 링크를 클릭하십시오.
SAML 2.0 아티팩트 싱글 사인온 구성
아이덴티티 공급자와 서비스 공급자에서 아티팩트 싱글 사인온 구성 태스크를 완료하십시오.
아이덴티티 공급자에 필요한 태스크는 다음과 같습니다.
서비스 공급자에 필요한 태스크는 다음과 같습니다.
아티팩트 싱글 사인온을 위한 IdP 세션 저장소 설정
아티팩트 바인딩의 경우 IdP에서 세션 저장소를 설정하고 사용되도록 설정하십시오. 아티팩트 바인딩을 사용하는 경우 세션 저장소는 아티팩트와 함께 검색되기 전에 어설션을 저장하는 데 필요합니다.
세션 저장소가 사용되도록 설정하려면
  1. 세션 저장소 역할을 할 ODBC 데이터베이스를 설치하고 구성합니다. 이 배포에서는 Microsoft SQL Server를 사용합니다.
    지침은
    정책 서버 설치 안내서
    를 참조하십시오.
  2. 정책 서버 관리 콘솔을 엽니다.
  3. "데이터" 탭을 선택합니다.
  4. "데이터베이스" 드롭다운 목록에서 "세션 서버"를 선택합니다.
  5. 다음 필드를 작성하십시오.
    • 데이터 원본 정보
      CA Single Sign-on
      세션 데이터 원본
    • 사용자 이름
      admin
    • 암호
      dbpassword
    • 암호 확인
      dbpassword
    • 최대 연결 수
      16(기본값)
  6. "Enable Session Server"(세션 서버 사용) 확인란을 선택합니다.
  7. "확인"을 클릭하여 설정을 저장합니다.
아티팩트 싱글 사인온용 IdP 웹 서버에 대해 SSL이 사용되도록 설정
웹 에이전트 옵션 팩이 설치된 웹 서버에 대해 SSL이 사용되도록 설정하십시오. SSL이 사용되도록 설정하면 어설션이 전달되는 백 채널이 안전해집니다.
다음 단계를 수행하십시오.
  1. 서버 측 인증서 요청을 생성합니다.
  2. 인증 기관이 서버 측 인증서에 서명하도록 합니다.
  3. 웹 서버 구성에서 서버 측 인증서를 지정합니다.
    샘플 네트워크에 사용된 IIS 웹 서버의 경우 IIS 인증서 마법사가 사용됩니다.
  4. IdP에서 어설션을 저장하기 위해 영구 세션이 사용되도록 설정합니다.
아티팩트 레졸루션 서비스의 FWS 정책에 대한 액세스 허용
웹 에이전트 옵션 팩은 FWS(페더레이션 웹 서비스) 응용 프로그램을 설치합니다. 정책 서버를 웹 에이전트와 동일한 IdP용으로 설치하면 FWS 응용 프로그램 내 서비스에 대한 여러 정책이 자동으로 생성됩니다. 이러한 정책 중 하나가 HTTP-아티팩트 싱글 사인온에 대한 아티팩트 레졸루션 서비스를 보호합니다.
이 아티팩트 레졸루션 정책의 보호를 적용하여 아티팩트 레졸루션 서비스에 액세스할 수 있는 신뢰 파트너를 지정하십시오.
IdP에서 다음 단계를 수행하십시오.
  1. 관리 UI에 로그온합니다.
  2. "인프라", "에이전트", "에이전트"를 차례로 클릭합니다.
  3. "에이전트 만들기"를 클릭합니다.
  4. "이름" 필드에 이 샘플 배포의 에이전트 이름인 "idp-webagent"를 입력합니다. 제출을 클릭합니다.
  5. "인프라", "에이전트 그룹"을 차례로 선택합니다.
  6. "FederationWebServicesAgentGroup" 항목을 선택합니다.
    "에이전트 그룹" 대화 상자가 열립니다.
  7. "추가/제거"를 클릭합니다. 그러면 "에이전트 그룹 구성원" 대화 상자가 열립니다.
  8. "사용 가능한 구성원" 목록에서 "선택한 구성원" 목록으로 "idp-webagent"를 이동합니다.
  9. "확인"을 클릭하여 "에이전트 그룹" 대화 상자로 돌아갑니다.
  10. "제출", "닫기"를 차례로 클릭하여 기본 페이지로 돌아갑니다.
  11. 다음과 같이 가맹 도메인 "Federation Sample Partners"(페더레이션 샘플 파트너)의 모든 서비스 공급자가 아티팩트 레졸루션 서비스에 액세스할 수 있도록 지정합니다.
    1. "인프라", "정책", "도메인", "도메인"을 차례로 선택합니다.
    2. "FederationWebServicesDomain"을 선택합니다.
    3. "정책" 탭을 선택하고 "수정"을 클릭합니다.
    4. "정책" 목록에서 "SAML2FWSArtifactResolutionServicePolicy" 항목 오른쪽의 "편집" 화살표를 클릭합니다.
      "정책" 대화 상자가 열립니다.
    5. "사용자" 탭에서 "SAML2FederationCustomUserStore" 디렉터리에 대해 "구성원 추가"를 선택합니다.
      "사용자/그룹" 대화 상자가 열립니다.
    6. 목록에서 "affiliate:FederationSamplePartners"를 선택하고 "확인"을 클릭합니다.
    7. "제출"을 클릭하여 변경을 완료합니다.
이제 아티팩트 레졸루션 서비스를 보호하는 정책이 적용되고 있습니다.
IdP에서 어설션을 저장하기 위해 영구 세션이 사용되도록 설정
보호된 인증 URL(인증 URL 보호)이 포함된 영역에 대해 영구 세션이 사용되도록 설정하십시오. 영구 세션은 SAML 아티팩트 바인딩에 대한 어설션을 저장하는 데 필요합니다.
인증 URL을 보호할 때 영구 세션이 사용되도록 설정하지 않았으면 지금 사용되도록 설정하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "도메인", "도메인"으로 이동합니다.
  3. 인증 URL 영역에 대한 도메인에 액세스합니다.
  4. "영역" 페이지에서 인증 URL이 포함된 영역을 선택하고 수정합니다.
  5. "세션" 섹션에서 "영구"를 선택합니다.
  6. "확인"을 클릭합니다.
  7. IdP에서 아티팩트 바인딩을 선택합니다.
IdP에서 아티팩트 바인딩 선택
아티팩트 싱글 사인온의 경우 아티팩트 바인딩이 사용되도록 설정하십시오.
다음 단계를 수행하십시오.
  1. "페더레이션", "레거시 페더레이션", "SAML 서비스 공급자"를 차례로 클릭합니다.
  2. "sp.demo"를 선택하여 이 파트너에 대한 설정에 액세스합니다.
  3. "수정"을 클릭하고 "SAML 프로필" 페이지를 선택합니다.
  4. 다음 필드를 작성하십시오.
    • 대상자
      sp.demo
      이 값은 서비스 공급자에 있는 값과 일치해야 합니다.
    • 어설션 소비자 서비스
      http://www.sp.demo:81/affwebservices/public/ saml2assertionconsumer
    • 인증 수준, 유효 기간, AuthnContext 클래스 참조
      기본값을 적용합니다.
      테스트 환경에서 다음 메시지가 정책 서버 추적 로그에 표시되는 경우 "유효 기간" 값을 60(기본값)보다 크게 늘릴 수 있습니다.
      Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2005)
  5. "아티팩트 바인딩" 섹션에서 "HTTP-아티팩트"를 선택합니다.
  6. "아티팩트 인코딩" 필드에서 "URL"을 선택합니다.
    아티팩트가 URL로 인코딩된 쿼리 문자열에 추가됩니다.
  7. "특성" 페이지로 이동합니다.
  8. "백 채널" 섹션의 다음 필드에 데이터를 입력합니다.
    • 암호
      smfederation
    • 암호 확인
      smfederation
    아이덴티티 공급자는 이 암호를 백 채널을 통한 보안 통신에 사용합니다.
  9. 제출을 클릭합니다.
  10. SP의 인증서 데이터 저장소에 CA 인증서를 추가합니다.
SP에서 SSL 백 채널에 대한 CA 인증서 추가
아티팩트 싱글 사인온의 경우 "SSL을 통한 기본 인증"이 아티팩트 레졸루션 서비스를 보호하는 인증 체계이면 서비스 공급자의 인증서 데이터 저장소에 인증서를 추가하십시오.
인증서 데이터 저장소에는 서비스 공급자와 아이덴티티 공급자 간의 SSL 연결을 설정하는 인증 기관 인증서가 저장됩니다. 인증서는 어설션이 전송될 때 통과하는 백 채널의 보안을 유지합니다. 트러스트된 기관이 SSL 연결을 보호하고 있음을 서비스 공급자가 알도록 아티팩트 레졸루션 서비스를 보호하고 백 채널의 보안을 유지하십시오.
일반 루트 및 중간 CA 집합이
Single Sign-On
에 포함되어 있습니다. 인증서 데이터 저장소에 없는 CA 인증서를 사용하려면 해당 CA 인증서를 가져오십시오.
이 배포의 경우 별칭은 sampleAppCertCA이고 CA 인증서는 docCA.crt입니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "X509 인증서 관리", "인증 기관"을 차례로 클릭합니다.
  3. "새로 가져오기"를 클릭합니다.
    참고:
    "도움말"을 클릭하면 필드, 컨트롤 및 해당되는 각 요구 사항에 대한 설명을 볼 수 있습니다.
  4. "파일 선택" 단계에서 "docCA.crt"를 선택합니다.
    마법사가 "암호" 단계를 건너뜁니다.
  5. "항목 선택" 단계의 "별칭" 열에 "sampleAppCertCA"를 입력합니다.
  6. "확인" 단계에서 인증서 정보를 검토하고 "마침"을 클릭합니다.
    CA 인증서를 인증서 데이터 저장소로 가져왔습니다. 변경 내용은 가져오기가 완료된 직후 적용됩니다.
  7. SP에서 SAML 인증에 대해 아티팩트 바인딩이 사용되도록 설정합니다.
중요!
시스템이 사용하는 다른 인증서의 트러스트 체인에 속한 CA 인증서는 삭제할 수 없습니다. 사용 중인 CA 인증서를 삭제하려고 하면 인증서를 삭제할 수 없다는 오류 메시지가 표시됩니다.
서비스 공급자에서 아티팩트 바인딩이 사용되도록 설정
서비스 공급자에서 SAML 인증 체계에 대한 싱글 사인온 바인딩을 구성하십시오. 이 구성은 서비스 공급자에게 아이덴티티 공급자와 통신하는 방법을 지시합니다.
다음 단계를 수행하십시오.
  1. "인프라", "인증", "인증 체계"를 차례로 클릭합니다.
  2. "파트너 IDP.demo 인증 체계"를 선택합니다. 이 인증 체계는 기본 구성에 대해 생성한 것입니다.
  3. "수정", "SAML 2.0 구성", "SSO" 탭을 차례로 선택합니다.
  4. "레졸루션 서비스" 필드에 다음 값을 입력합니다.
    https:/www.idp.demo:443/affwebservices/saml2artifactresolution
  5. "암호화 및 서명" 페이지로 이동합니다.
  6. "백 채널" 섹션의 다음 필드에 데이터를 입력합니다.
    • 인증
      기본
    • SP 이름
      sp.demo
    • 암호
      smfederation
    • 암호 확인
      smfederation
    암호는 아이덴티티 공급자의 암호와 일치해야 합니다. 이 암호를 사용하면 백 채널을 통해 아이덴티티 공급자의 아티팩트 레졸루션 서비스에 안전하게 액세스할 수 있습니다.
  7. "확인"을 클릭합니다.
아티팩트 싱글 사인온 테스트
자체 웹 페이지를 사용하여
Single Sign-On
에서
Single Sign-On
으로의 네트워크에서 싱글 사인온을 테스트하십시오.
자체 HTML 페이지는 AuthnRequest 서비스에 대한 하드 코드된 링크를 포함해야 합니다. 이 배포의 경우 아티팩트 바인딩용 링크는 다음과 같습니다.
http://<server:port>/affwebservices/public/saml2authnrequest?ProviderID= IdP_ID&ProtocolBinding=urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact
  • server:port
    SP에서 웹 에이전트 옵션 팩이 설치된 서버의 이름과 포트를 정의합니다.
  • IdP_ID
    공급자 ID를 정의합니다.
이 배포의 링크는 다음과 같습니다.
http://www.sp.demo:81/affwebservices/public/saml2authnrequest?ProviderID= idp.demo&ProtocolBinding=urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact
링크가 포함된 HTML 원본 파일은 다음 예와 유사합니다.
<a href="http://www.sp.demo:81/affwebservices/public/saml2authnrequest?ProviderID= idp.demo&ProtocolBinding=urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact"> Link for ARTIFACT Single Sign-on</a>
AuthnRequest 서비스는 사용자를 링크에 지정된 아이덴티티 공급자로 리디렉션하여 사용자의 인증 컨텍스트를 검색합니다. 아이덴티티 공급자는 사용자를 인증하고 세션을 설정한 후 사용자를 서비스 공급자의 대상 리소스에 다시 연결합니다.
참고:
Authnrequest 링크의 ProviderID는 SP의 SAML 인증 체계에 있는 "IdP ID" 필드 값과 일치해야 합니다. "IdP ID" 필드는 "인증 체계 속성" 대화 상자의 "체계 설정" 탭에 있습니다.
어설션에 특성 포함
사용자 저장소 기록의 특성을 SAML 어설션에 추가하여 사용자를 식별할 수 있습니다. 특성이 대상 리소스에 대한 액세스를 요청하고 있는 특정 사용자에 대한 아이덴티티 공급자의 사용자 저장소에 있어야 합니다.
이 배포의 경우 사용자 레코드에 있는 givenname을 나타내는 user1에 대한 특성을 추가하십시오.
아이덴티티 공급자에서 다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "페더레이션", "레거시 페더레이션", "SAML 서비스 공급자"를 차례로 클릭합니다.
  3. "sm.demo"를 선택합니다.
  4. "수정"을 클릭하고 "특성" 페이지로 이동합니다.
  5. "특성" 섹션에서 "추가"를 클릭합니다.
  6. "특성 추가" 대화 상자의 다음 필드에 데이터를 입력합니다.
    • 특성 유형
      지정되지 않음(기본값)
    • 특성 종류
      사용자 특성
    • 변수 이름
      firstname
    • 특성 이름
      givenname
      givenname은 user1의 프로필에 있는 특성입니다.
  7. "확인"을 클릭하여 변경 내용을 저장하고 "특성" 페이지로 돌아갑니다.
  8. 제출을 클릭합니다.
디지털 서명 및 확인 구성
SAML 2.0 POST 싱글 사인온의 경우 아이덴티티 공급자가 SAML 응답에 서명해야 합니다. 아이덴티티 공급자의 구성 태스크는 디지털 서명이 사용되도록 설정합니다. 서비스 공급자의 구성 태스크는 서명 확인이 사용되도록 설정합니다.
중요!
프로덕션 환경에서는 서명 처리가 필수 보안 요구 사항입니다.
아이덴티티 공급자에서 서명이 사용되도록 설정
POST 바인딩에 대한 SAML 어설션에 서명하는 키와 인증서는 인증서 데이터 저장소에 저장됩니다. SAML 응답에 서명해야 하므로 적절한 키/인증서 쌍이 아이덴티티 공급자의 인증서 데이터 저장소에 포함되어 있어야 합니다.
자동으로 설치되는 키/인증서 쌍을 사용하여 샘플 응용 프로그램을 배포하십시오. 새 키/인증서 쌍을 가져오려면 다음 절차를 완료하십시오.
개인 키/인증서 쌍을 가져오려면
  1. 관리 UI에 로그인합니다.
  2. "인프라", "X509 인증서 관리", "트러스트된 인증서 및 개인 키"로 이동합니다.
  3. 개인 키/인증서 "idp.demo"를 인증서 데이터 저장소로 가져옵니다.
    idp.demo는 SAML 응답에 서명합니다.
  4. "페더레이션", "레거시 페더레이션", "SAML 서비스 공급자"를 차례로 선택합니다.
  5. 서비스 공급자 "sp.demo"를 선택하고 "암호화 및 서명" 탭으로 이동합니다.
  6. "서명 처리 사용 안 함" 확인란을 선택 취소합니다. 이 확인란을 선택 취소하면 서명 처리가 사용되도록 설정됩니다.
  7. 다음 필드를 작성하십시오.
    • 서명 별칭
      개인 키/인증서 쌍을 가져올 때 지정한 별칭을 입력합니다.
    • 서명 알고리즘
      RSAwithSHA1(기본값)
    • POST 서명 옵션
      서명 어설션(기본값)
  8. 제출을 클릭합니다.
서비스 공급자에서 서명 유효성 검사가 사용되도록 설정
POST 싱글 사인온의 경우 아이덴티티 공급자가 SAML 어설션에 디지털로 서명해야 합니다. 따라서 서비스 공급자가 서명의 유효성을 검사해야 합니다.
디지털 서명의 유효성을 검사하려면
  • 인증서(공개 키)를 인증서 데이터 저장소로 가져옵니다.
  • 발급자의 DN과 인증서의 일련 번호를 지정합니다.
공개 키를 가져오려면
  1. 관리 UI에서 "인프라", "X509 인증서 관리", "트러스트된 인증서 및 개인 키"로 이동합니다.
  2. 공개 키/인증서 쌍을 인증서 데이터 저장소에 추가합니다. 이 배포에서 인증서는 post-cert.crt입니다.
    키/인증서 쌍이 데이터 저장소에 추가됩니다.
  3. 제출을 클릭합니다.
  4. "인프라", "인증", "인증 체계"로 이동합니다.
  5. SAML 2.0 인증 체계인 "파트너 IdP.demo 인증 체계"를 선택합니다.
  6. "암호화 및 서명" 탭을 선택합니다.
  7. "D-서명 정보" 섹션에서 "서명 처리 사용 안 함" 확인란을 선택 취소하여 서명 처리가 사용되도록 설정합니다.
  8. 다음 필드 값을 지정합니다.
    • 발급자 DN
      CN=Certificate Manager,OU=IAM,O=CA.COM
    • 일련 번호
      008D 8B6A D18C 46D8 5B
    D-서명 정보를 사용하면 서비스 공급자가 SAML 응답 서명을 확인할 수 있습니다. "발급자 DN"과 "일련 번호"에 대한 값은 서비스 공급자의 인증서 데이터 저장소에 저장된 인증서에서 가져옵니다.
  9. "확인"을 클릭합니다.
    이제 유효성 검사 구성이 완료되었습니다.
  10. POST 싱글 사인온을 테스트합니다.
어설션 암호화 및 암호 해독
보안을 강화하기 위해 어설션을 암호화할 수 있습니다. 암호화는 기본 싱글 사인온 네트워크를 구성한 후에 수행할 수 있는 선택적 태스크입니다.
아이덴티티 공급자는 서비스 공급자가 어설션의 암호를 해독하는 데 사용하는 개인 키/인증서 쌍에 해당하는 인증서로 어설션을 암호화합니다.
아이덴티티 공급자와 서비스 공급자에서 구성 태스크를 수행할 수 있습니다.
IdP에서 어설션 암호화가 사용되도록 설정
이 배포에서 sp_encrypt.crt는 암호화용 인증서입니다.
IdP에서 암호화가 사용되도록 설정하려면
  1. 관리 UI에 로그인합니다.
  2. "인프라", "X509 인증서 관리", "트러스트된 인증서 및 개인 키"로 이동합니다.
  3. sp-encrypt.crt 인증서를 인증서 데이터 저장소로 가져옵니다.
  4. "페더레이션", "레거시 페더레이션", "SAML 서비스 공급자"로 이동합니다.
  5. "sp.demo"를 선택합니다.
  6. "수정", "SAML 2.0 구성"을 차례로 선택합니다.
  7. "암호화 및 서명" 탭으로 이동합니다.
  8. "어설션 암호화"를 선택합니다.
  9. "암호화 블록 알고리즘"과 "암호화 키 알고리즘"에서 기본값을 적용합니다.
  10. "발급자 DN"에 인증서 발급자를 입력합니다. 이 배포에서 DN은 다음과 같습니다.
    CN=Doc Certificate Authority, OU=Doc, O=CA.COM
    참고:
    "발급자 DN" 필드에 입력하는 값은 인증서 데이터 저장소에 있는 인증서의 발급자 DN과 일치해야 합니다. DN을 확인하여 입력하는 값이 일치하는 값인지 확인합니다.
  11. "일련 번호" 필드에 인증서 데이터 저장소에 있는 인증서의 일련 번호를 입력합니다. 이 배포에서 값은 00EFF6AFB49925C3F4입니다.
    이 숫자는 16진수여야 합니다.
  12. "확인"을 클릭하여 변경 내용을 저장합니다.
  13. SP에서 암호화된 어설션의 암호를 해독합니다.
SP에서 어설션 암호 해독이 사용되도록 설정
어설션이 아이덴티티 공급자에서 암호화된 경우 서비스 공급자는 인증서 데이터 저장소에 개인 키와 해당 인증서를 가지고 있어야 합니다.
어설션의 암호를 해독하기 위한 개인 키/인증서 쌍을 가지고 있는 경우 서비스 공급자는 아이덴티티 공급자에서 암호화된 어설션을 수락합니다.
참고:
"암호화된 어설션 필요" 기능이 사용되도록 설정하지 않아도 암호화된 어설션이 서비스 공급자에서 수락됩니다.
다음 단계를 수행하십시오.
  1. 명령 창을 엽니다.
  2. "인프라", "X509 인증서 관리", "트러스트된 인증서 및 개인 키"로 이동합니다.
  3. 개인 키/인증서 쌍 "sp-encrypt.crt"를 인증서 데이터 저장소에 추가합니다. 이 쌍에 대한 별칭은 sp1privkey입니다. 개인 키에 대한 암호는 fedsvcs입니다.
  4. 싱글 사인온을 테스트합니다. 다음 중 하나로 이동합니다.
    • SAML 2.0 POST 싱글 사인온 테스트
    • 아티팩트 싱글 사인온 테스트