싱글 사인온 대화 상자(SAML 1.1 소비자)
casso126kkr
HID_partnership-sso-saml1-consumer
"싱글 사인온" 단계에서는 싱글 사인온 작업을 구성할 수 있습니다.
SSO(SAML 1.1 소비자)
SSO(싱글 사인온)를 구성할 수 있습니다. 이 섹션에는 다음 설정이 포함되어 있습니다.
- SSO 프로필싱글 사인온에 SAML 아티팩트 바인딩을 사용하는지 아니면 포스트 바인딩을 사용하는 지를 결정합니다. 파트너 관계에 대한 바인딩을 선택합니다.옵션:HTTP-아티팩트, HTTP-POST
- 대상자SAML 어설션의 대상자를 지정합니다.대상자는 두 페더레이션 파트너 간의 비즈니스 계약 조건을 설명하는 문서의 URL입니다. 생산자 사이트의 관리자가 대상자를 결정합니다. 이 값은 생산자에서 지정된 "대상자" 값과 같아야 합니다.값:URL.대상자 값은 1024자를 초과할 수 없으며 대/소문자를 구분합니다.예:http://www.ca.com/SampleAudience
- 원격 원본 ID(SAML 1.1 HTTP-아티팩트에만 해당) 생산자를 식별하는 SAML 아티팩트의 고유 ID를 지정합니다. 소비자는 이 ID를 사용하여 어설션 발급자를 식별합니다.SAML 사양에서는 생산자를 식별하는 20바이트 바이너리 16진수 인코딩 숫자로 원본 ID를 정의합니다. 입력하는 원본 ID 값은 40바이트 16진수 표현입니다.엔터티 ID의 SHA1 해시를 원본 ID 값으로 지정하는 것이 좋습니다. 이 매개 변수의 값을 입력하지 않는 경우CA Single Sign-on은 기본적으로 SHA1 해시를 사용합니다.파트너 관계 페더레이션에 대한 기본값:엔터티 ID의 SHA1 해시
- 원격 SSO 서비스 URL생산자의 싱글 사인온 서비스 URL을 지정합니다.: http://CA Single Sign-on이 생산자인 경우 기본값producer_server:port/affwebservices/public/intersitetransfer
- 원격 어설션 검색 서비스 URL(HTTP-아티팩트에만 해당)생산자의 어설션 검색 서비스 URL을 지정합니다. 어설션 검색 서비스는 소비자로부터 받는 아티팩트를 기반으로 하는 어설션을 검색합니다. 아티팩트 싱글 사인온에 대한 항목이 있어야 합니다.항목:어설션 검색 서비스 URL원격 생산자가CA Single Sign-on을 사용하는 경우 다음 URL을 사용합니다.
- SSL을 사용하지 않는 경우:http://producer_server:port/affwebservices/publicsaml1ars
- SSL을 사용하는 경우:https://producer_server:ssl_port/affwebservices/publicsaml1ars
- 보호 수준동일한 정책 도메인 내에서 보호 수준이 같거나 낮은 인증 체계에 대해 싱글 사인온을 허용합니다. 또한 보호 수준 체계가 높은 리소스에 액세스하려면 보호 수준에 대한 추가 인증이 필요합니다.제한:1~1000인증 체계에는 기본 보호 수준이 있으며, 이 수준은 변경할 수 있습니다. 중요한 리소스에는 높은 보호 수준을 사용하고 일반적으로 액세스 가능한 리소스에는 낮은 수준 체계를 사용하십시오.
- 동기 감사 사용CA Single Sign-on이 리소스에 대한 액세스를 허용하기 전에 정책 서버 및 웹 에이전트 작업을 기록해야 함을 나타냅니다.CA Single Sign-on은 작업이 감사 로그에 로깅될 때까지 영역 리소스에 대한 액세스를 허용하지 않습니다.
백 채널(SAML 1.1 소비자)
"백 채널" 섹션에서는 HTTP-아티팩트 싱글 사인온에 대한 백 채널 통신을 보호하는 인증 방법을 구성할 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
- 인증 방법백 채널 트랜잭션에 대한 인증 방법을 지정합니다.기본값:인증 없음옵션:기본, 클라이언트 인증서, 인증 없음
- 기본기본 인증 체계가 어설션 검색 서비스에 대한 백 채널 액세스를 보호하고 있음을 나타냅니다. 따라서 소비자는 사용자 이름과 합의된 암호를 제공해야 합니다."기본"을 선택하는 경우 다음과 같은 추가 설정을 구성하십시오.
- 백 채널 사용자 이름(기본 인증에만 해당) 기본 인증을 사용할 경우 사용자 이름을 지정합니다.생산자의 이 필드에 지정한 것과 동일한 값을 입력합니다.
- 암호(기본 인증에만 해당) 사용자 암호를 지정합니다. 백 채널을 통한 인증 방법으로 기본 또는 SSL을 통한 기본 인증을 사용하는 경우에만 이 암호가 관련이 있습니다.두 페더레이션된 파트너가 암호에 합의해야 합니다.
- 암호 확인(기본 인증에만 해당) 백 채널을 통한 기본 인증의 사용자 암호를 확인합니다. 암호를 다시 입력합니다.참고:백 채널 연결에 대해 SSL이 사용되도록 설정하는 경우에도 기본 인증을 선택할 수 있습니다.
- 백 채널 시간 만료(초)페더레이션 시스템이 어설션 검색 서비스에 백 채널 요청을 보낸 후 응답을 대기하는 최대 시간을 지정합니다. 간격(초)을 지정하십시오.
- 클라이언트 인증서X.509 클라이언트 인증서 인증 체계가 어설션 검색 서비스와의 통신을 위해 백 채널을 보호함을 나타냅니다.클라이언트 인증서 인증에서는 모든 끝점 URL에 SSL을 사용해야 합니다. 끝점 URL은 서버에서 어설션 검색 서비스와 같은 다양한 SAML 서비스를 찾습니다. 이 SSL 요구 사항에 따라 서비스의 URL은https://로 시작해야 합니다.클라이언트 인증서 인증을 구현하려면 트랜잭션이 발생하기 전에 소비자가 생산자에게 인증서를 보내야 합니다. 생산자는 인증서를 인증서 데이터 저장소에 저장합니다. 두 파트너 모두 해당 저장소에서 SSL 연결이 사용되도록 설정한 인증서가 있어야 합니다. 그렇지 않으면 클라이언트 인증서 인증이 작동하지 않습니다.인증 프로세스 중에 소비자는 인증서를 생산자에게 보냅니다. 생산자는 수신한 인증서를 자체 데이터 저장소의 인증서와 비교하여 일치하는지 확인합니다. 일치하는 경우 생산자는 소비자가 어설션 검색 서비스에 액세스할 수 있도록 허용합니다.클라이언트 인증서 인증을 선택하는 경우 다음과 같은 추가 설정을 구성하십시오.
- 클라이언트 인증서 별칭인증서 데이터 저장소의 개인 키/인증서 쌍과 연결되는 별칭을 지정합니다. 드롭다운 목록에서 별칭을 선택하십시오. 인증서가 없는 경우 "가져오기"를 선택하여 가져오거나 "생성"을 선택하여 새로 생성할 수 있습니다.
- 백 채널 시간 만료(초)페더레이션 시스템이 어설션 검색 서비스에 백 채널 요청을 보낸 후 응답을 대기하는 최대 시간을 지정합니다. 간격(초)을 지정하십시오.
- 인증 없음소비자에서 자격 증명이 필요 없음을 나타냅니다. 백 채널 및 어설션 검색 서비스가 보호되지 않습니다.중요!단일 생산자가 다른 소비자와 파트너인 경우 각 파트너 관계에 고유한 원본 ID 값이 있어야 합니다.