어설션 구성 대화 상자(SAML 2.0 IdP)

목차
casso126kkr
HID_assertion-config-saml2-idp
목차
이름 ID 구성(SAML 2.0)
casso126kkr
"이름 ID" 섹션에서는 어설션에서 사용자를 고유하게 명명하는 이름 식별자를 구성할 수 있습니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 전자 메일 주소인 경우 콘텐츠는 [email protected]이 될 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
  • 이름 ID 형식
    이름 식별자 형식을 지정합니다.
    옵션:
    옵션 목록을 보려면 풀다운 메뉴를 선택하십시오.
    각 형식에 대한 설명은 OASIS SAML(Security Assertion Markup Language) 사양을 참조하십시오.
  • 이름 ID 유형
    "이름 ID"에 입력하는 값 유형을 지정합니다.
    • 옵션:
    • 정적
      이름 ID가 "값" 필드의 상수 값임을 나타냅니다.
    • 사용자 특성
      제품이 사용자 디렉터리에서 "값" 필드에 입력된 특성을 쿼리하여 이름 ID를 가져옴을 나타냅니다.
    • 세션 특성
      제품이 세션 저장소에서 "값" 필드에 입력된 특성을 쿼리하여 이름 ID를 가져옴을 나타냅니다.
    • DN 특성(LDAP에만 해당)
      특성을 가져오는 쿼리에는 "값" 필드의 DN 특성과 "DN 사양" 필드의 DN이 포함됩니다. 이 옵션은 주로 사용자 그룹을 식별하는 데 사용됩니다.
  • 다음 값 중 하나를 지정합니다.
    • 정적 ID 유형인 경우 이름 ID의 정적 텍스트 값
    • 사용자 특성 ID 유형인 경우 사용자 특성의 값
    • 세션 특성 유형인 경우 세션 저장소 특성의 값
    • DN 유형인 경우 DN 특성의 값
  • DN 사양
    이름 식별자를 위한 연결된 특성을 가져오기 위해 사용되는 그룹 또는 조직 단위 DN을 지정합니다.
    예:
    ou=Engineering,o=ca.com
  • 사용자 식별자의 생성 허용(SAML 2.0에만 해당)
    IdP가 이름 ID 값을 생성하여 어설션에 포함할 수 있는지 여부를 나타냅니다. SP가 AuthnRequest를 IdP에 전송할 때 SP는 요청에 AllowCreate 특성을 포함할 수 있습니다. 이 확인란과 함께 이 특성을 사용하면 IdP는 기존 사용자 레코드에서 이름 ID를 찾을 수 없을 경우 이름 ID 값을 생성합니다. 이 값은 영구 식별자여야 합니다.
    다음 표에서는 AllowCreate 특성과 이 확인란의 상호 작용을 설명합니다.
    AuthnRequest의 AllowCreate 특성 값(SP)
    사용자 식별자의 생성 허용 설정(IdP)
    IdP 작업
    AllowCreate=true
    확인란 선택
    이름 ID 값을 생성합니다.
    AllowCreate=true
    확인란 선택 취소
    작업 없음. IdP가 이름 ID 값을 생성할 수 없습니다.
    AllowCreate=false
    확인란 선택
    작업 없음. 이름 ID 값이 생성되지 않습니다. AuthnRequest에 있는 특성이 IdP 설정을 재정의합니다.
    AllowCreate=false
    확인란 선택 취소
    작업 없음. 이름 ID 값이 생성되지 않습니다.
    AllowCreate 특성 없음
    확인란 선택
    이름 ID 값을 생성합니다.
    AllowCreate 특성 없음
    확인란 선택 취소
    작업 없음. 이름 ID 값이 생성되지 않습니다.
어설션 특성(SAML 2.0 IdP)
"어설션 특성" 섹션에서는 어설션에 포함되는 사용자 특성을 지정할 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
  • 어설션 특성
    어설션에 포함할 특정 특성을 지정합니다. 신뢰 당사자가 어설션에서 필요로 하는 특성을 지정합니다. 이 항목은 반드시 사용자 저장소 특성이 아니어도 됩니다.
    값:
    신뢰 당사자에서 사용되는 특성 이름
  • 검색 방법
    특성의 용도를 지정합니다.
    옵션:
    • SSO
      특성이 싱글 사인온에 사용됨을 나타냅니다.
    • 특성 서비스
      특성 기관이 특성 쿼리의 요청을 완료하는 데 특성이 사용됨을 나타냅니다.
    • 모두
      특성이 특성 기관과 SSO 모두에 사용됨을 나타냅니다.
  • 형식
    SAML 어설션에 포함할 특성의 형식을 지정합니다. 옵션은 다음과 같습니다.
    • 지정되지 않음
    • 기본
    • URI
    이러한 형식에 대한 정의는 SAML 2.0 사양을 참조하십시오.
  • Type
    어설션 특성의 특성 유형 및 원본을 지정합니다. 
    옵션:
    정적
    특성이 "값" 필드에 입력한 상수 값임을 나타냅니다.
    값:
    정적 유형에 대해 특성의 상수 값을 입력하십시오.
    사용자 특성
    사용자 디렉터리에서 "값" 필드에 지정된 특성을 쿼리하여 특성을 가져옵니다.
    값:
    사용자 디렉터리 및 관련된 값의 올바른 특성을 입력하십시오.
    사용자 특성에만 해당:
    LDAP는 여러 값이 있는 특성을 지원합니다. 기본적으로 정책 서버는 여러 LDAP 특성 값을 캐럿 기호(^)를 사용하여 결합하여 단일 어설션 특성 값을 만듭니다. 다중값 어설션 특성에서 다중값 LDAP 특성 결과를 나타내려면 특성 이름에 접두사
    FMATTR:
    를 사용하십시오.
    참고:
    접두사는 대문자여야 합니다. 입력하는 특성의 대/소문자는 LDAP 디렉터리의 특성에 사용된 대/소문자와 일치하는 것이 좋습니다.
    예:
    여러 특성 값과 함께 사용자 특성
    mail
    을 추가하려면
    FMATTR:mail
    을 입력하십시오.
    어설션에서 각 값은 별도의 <AttributeValue> 요소로 지정됩니다. 예제 결과:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    FMATTR: 접두사가 없는 경우(특성 이름은
    mail)
    예제 결과는 다음과 같습니다.
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    세션 특성
    세션 저장소에서 "값" 필드에 지정된 특성을 쿼리하여 특성을 가져옵니다.
    값:
    세션 특성의 값을 입력하십시오.
    DN 특성(LDAP에만 해당)
    "값" 필드에 지정된 DN 특성 및 "DN 사양" 필드에 지정된 DN을 포함하는 쿼리를 보내 특성을 가져옵니다. 이 옵션은 주로 사용자 그룹을 식별하는 데 사용됩니다.
    값:
    DN 특성을 입력하십시오.
    JUEL(Java Unified Expression Language)을 사용하여 특성 어설션을 변환, 추가 또는 삭제할 문자열을 입력하십시오.
    값:
    JUEL 식을 지정하십시오.
     
  • DN 사양
    특성이 DN 유형인 경우 DN을 지정합니다.
    예:
    ou=Marketing,o=ca.com
     
  • 암호화
    런타임에 신뢰 당사자로 어설션을 보내기 전에 어설션 특성이 암호화됨을 나타냅니다.
어설션 생성기 플러그 인(SAML 2.0 IdP)
casso126kkr
"어설션 생성기 플러그 인" 섹션에서는
CA Single Sign-on
이 어설션에 특성을 추가하는 데 사용할 수 있도록 작성된 플러그 인을 지정할 수 있습니다.
  • 플러그 인 클래스
    플러그 인의 정규화된 Java 클래스 이름을 지정합니다. 이 플러그 인은 런타임에 호출됩니다. 이름(예:
    com.mycompany.assertiongenerator.AssertionSample)을 입력합니다.
    플러그 인 클래스는 어설션을 구문 분석 및 수정한 다음 최종 처리를 위해 결과를
    CA Single Sign-on
    으로 반환할 수 있습니다. 각 신뢰 당사자에 대해 플러그 인이 하나만 허용됩니다. SDK에 샘플 플러그 인이 포함되어 있습니다.
    federation_sdk_home
    \jar 디렉터리에서 컴파일된 샘플 플러그 인 fedpluginsample.jar를 볼 수 있습니다.
    참고:
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample 디렉터리에서 샘플 플러그 인의 소스 코드를 볼 수도 있습니다.
  • 플러그 인 매개 변수
    (선택 사항)
    CA Single Sign-on
    이 플러그 인에 매개 변수로 전달하는 문자열을 지정합니다.
    CA Single Sign-on
    은 이 문자열을 런타임에 전달합니다. 이 문자열에는 어떤 값이든 포함될 수 있으며 따라야 하는 특정 구문이 없습니다.
    플러그 인은 수신하는 매개 변수를 해석합니다. 예를 들어 매개 변수가 특성 이름일 수도 있고 플러그 인에 태스크를 수행하도록 지시하는 정수가 문자열에 포함될 수도 있습니다.