백엔드 처리 설정

자격 증명 선택기를 사용하려면 백엔드 처리를 위해 다음 구성 요소가 필요합니다.
casso127kkr
자격 증명 선택기를 사용하려면 백엔드 처리를 위해 다음 구성 요소가 필요합니다.
  • 각 로그인 자격 증명 선택을 위한 인증 체계
  • 백엔드 구성 요소가 포함된 정책 도메인
  • 각 인증 체계를 사용하는 영역
  • 각 영역에 대한 규칙
  • 인증 컨텍스트를 설정하고 리소스 액세스 권한을 부여하는 정책
2
백엔드 처리를 위한 인증 체계 설정
백엔드 처리를 위한 몇 가지 인증 체계를 설정해야 합니다. 사용자에게 제공되는 각 자격 증명 선택 항목마다 하나씩 설정하십시오. 사용자는 이러한 체계를 사용하여 보호된 리소스에 액세스하기 위해 제공하는 자격 증명의 유형을 선택할 수 있습니다.
다음은 각 자격 증명 유형에 대한 인증 체계입니다.
  • HTML 양식 인증 체계
  • X.509 클라이언트 인증서 인증 체계
  • X.509 클라이언트 인증서 및 양식 인증 체계
  • SecurID HTML 양식 인증 체계
  • SafeWord HTML 양식 인증 체계
  • Windows 인증 체계
참고:
기본 인증 체계는 정책 서버를 설치할 때 기본적으로 설정되는 체계입니다.
백엔드 처리를 위한 정책 도메인 설정
자격 증명 선택기 백엔드 처리를 나타내도록 정책 도메인을 구성하십시오. 이 솔루션에서는 정책 도메인을 BackendAuth라고 합니다.
백엔드 정책 도메인에 대한 영역 구성
구성된 각 백엔드 인증 체계마다 영역을 하나씩 정의하십시오. 각 영역에는 다음과 같이 정의된 리소스 필터가 필요합니다.
/auth/redirect.asp?authtype=type&target=
  • type
    다음 값 중 하나가 될 수 있습니다.
    form 사용자 이름/암호 인증
    cert 인증서 인증
    certform 인증서 및 양식 인증
    securid SecurID 인증
    safeword SafeWord 인증
    windows Windows 인증
    참고:
    이러한 유형은 이 사용 사례의 목적에 맞게 선택된 것입니다. 이러한 특정 값 외의 다른 값도 선택할 수 있지만 유형은 selectlogin.fcc 파일이나 selectlogin.fcc 템플릿을 기반으로 하는 다른 FCC 파일의 authtype 값에 해당해야 합니다. 또한 영역 리소스 필터가 FCC 파일의 리디렉션 대상과 일치해야 합니다.
영역을 보호하는 웹 에이전트는 동일할 수는 있지만 동일할 필요는 없습니다. 이 솔루션에서는 단일 웹 에이전트를 사용하지만 여러 웹 에이전트가 사용되는 경우에는 웹 에이전트가 특정 요구 사항을 충족해야 합니다.
casso127kkr
다음은 자격 증명 선택기 기능의 일부로 영역을 보호하는 에이전트가 충족해야 하는 요구 사항입니다.
  • 영역을 보호하는 모든 웹 에이전트 간에 싱글 사인온이 구성되어야 합니다. 즉, 모든 웹 에이전트가 동일한 쿠키 도메인에 있거나 동일한 쿠키 공급자를 사용해야 합니다.
  • FCC 파일의 @smagentname 지시문 값이 원래 요청한 리소스를 보호하는 하나 이상의 웹 에이전트에 대한 예상 값과 일치해야 합니다.
    예상 값은 AgentName 매개 변수 값이거나, AgentName 매개 변수에 값이 할당되지 않은 경우 DefaultAgentName 매개 변수 값입니다. 에이전트 구성에서 EncryptAgentName 매개 변수가 yes로 설정된 경우 이 값은 암호화되어야 합니다.
    @smagentname 지시문을 설정하는 한 가지 방법은 각 웹 에이전트를 동일한 명명 속성으로 구성하는 것입니다. 에이전트 구성 개체를 공유해도 됩니다. 또 다른 방법은 이름이 암호화되지 않은 경우 FCC 파일에서 @smagentname 지시문을 프로그래밍 방식으로 구성하는 것입니다.
    중요!
    @smagentname 지시문이 잘못 구성된 경우 정책 서버 로그에 "No realm received in request"(요청에서 받은 영역 없음)라는 오류 메시지가 표시될 수 있습니다.
  • selectlogin.fcc 파일에 의해 생성된 새 대상에 대해 두 번째 IsProtected 호출이 수행되도록 하려면 FCCForceIsProtected 매개 변수를 yes로 설정해야 합니다. 에이전트가 이 URL 쿼리 매개 변수를 무시하지 않도록 방지하려면 IgnoreQueryData 매개 변수를 No로 설정하십시오.
백엔드 정책 도메인에 대한 규칙 만들기
BackendAuth 정책 도메인에 대해 구성하는 각 영역에서 다음 두 규칙을 구성하십시오.
  • OnAuthAccept 규칙
  • 웹 에이전트 작업 규칙(이 예의 경우 GET 작업 규칙 사용)
두 규칙 모두에 대해 "리소스" 필드의 값으로 별표(*)를 구성하십시오.
예를 들어 BackendAuth 정책 도메인의 Form 영역에 대한 규칙은 다음과 같습니다.
  • OnAuthAccept
    리소스: /auth/redirect.asp?authtype=form&target=*
    작업: OnAuthAccept
  • GetRule
    리소스: /auth/redirect.asp?authtype=form&target=*
    작업: Get
백엔드 정책 도메인에 대한 AuthContext 응답 구성
BackendAuth 도메인에서 각 인증 체계에 대한 AuthContext 응답을 구성하십시오. 이러한 각 응답에는 OnAuthAccept 이벤트에서만 평가되는 AuthContext 응답 특성이 포함되어 있습니다. 해당 값은
Single Sign-On
세션 티켓에 SM_AUTHENTICATIONCONTEXT 사용자 특성 값으로 추가됩니다. 하지만 이 값은 클라이언트에 사용자 응답으로 반환되지는 않습니다.
이 예의 경우 응답 목록은 다음과 같습니다.
이름
에이전트 유형
설명
Form
웹 서버
사용자 이름/암호 인증용 AuthContext
Certificate
웹 서버
인증서 인증용 AuthContext
CertandForm
웹 서버
인증서 및 양식 인증용 AuthContext
SecurID
웹 서버
SecurID 인증용 AuthContext
SafeWord
웹 서버
SafeWord 인증용 AuthContext
Windows
웹 서버
Windows 인증용 AuthContext
참고:
응답 특성 값은 80바이트 길이로 잘립니다.
AuthContext 응답 특성을 구성하려면 WebAgent-OnAuthAccept-Session-AuthContext 응답 특성 유형을 선택하십시오.
다음 그림에서는 WebAgent-OnAuthAccept-Session-AuthContext 특성 유형을 사용하여 AuthContext 응답 특성을 생성하는 예를 보여 줍니다.
Graphic showing the Attribute Setup section of the Response Attribbute page
그림에 표시된 대로 AuthContext 응답 특성 유형은 정적입니다. 레거시 페더레이션을 사용 중인 경우 향상된 캡슐화를 위해 정적 특성을 지정하여 상수 또는 리터럴 값을 정의할 수 있습니다. 상수 값에는 문자열이 포함됩니다.
Single Sign-On
변수 및 활성 식을 사용하면 보다 유연하게 AuthContext 응답 특성을 구성할 수 있습니다. 여기에는 또한 SAML 어설션의 인증 타임스탬프, 해시 값 또는 둘 모두가 포함될 수 있습니다.
다음 그룹 상자에서는 이 솔루션에 대해 구성된 결과 응답 중 하나를 보여 줍니다. 이 특성은 Form 응답에 대한 특성입니다.
Graphic showing the Attribute Setup and Advanced sections of the create response attribute page
백엔드 자격 증명 선택에 대한 정책 구성
이 예에서는 BackendAuth 도메인에 대한 다음 두 가지 정책을 구성하십시오.
  • 사용자 인증 컨텍스트를 설정하기 위한 정책
  • 웹 에이전트 작업에 대한 정책
다음 그림에서는 이 두 가지 정책을 보여 줍니다.
Graphic showing the Policies tab
인증 컨텍스트 정책 만들기
AuthContext 정책은
Single Sign-On
세션 티켓에 인증 및 유효성 검사에 사용되는 인증 컨텍스트를 설정합니다. 이 정책에서 각 영역의 OnAuthAccept 규칙은 해당 응답과 쌍으로 연결되어 보호된 리소스에 대한 액세스를 허용합니다. 예를 들어 Form 영역에 대한 OnAuthAccept 규칙은 Form 응답과 쌍으로 연결되고 SafeWord 영역에 대한 OnAuthAccept 규칙은 SafeWord 응답과 쌍으로 연결됩니다.
사용자 인증과 사용자 유효성 검사는 OnAuthAccept 이벤트이므로 각 유효성 검사 이후 세션 티켓의 인증 컨텍스트를 덮어쓰게 될 수 있습니다. 인증 컨텍스트 특성을 업데이트하는 기능은 예를 들어 특성 값에 카운터가 포함되는 경우와 같은 일부 경우에 유용할 수 있습니다. 그러나 자격 증명 선택기를 사용하는 이 솔루션에서는 세션 티켓을 덮어쓰지 않도록 인증 컨텍스트가 비어 있는 경우에만 AuthContext 정책이 실행되도록 구성됩니다. 따라서 사용자가 선택하는 자격 증명이 기억됩니다.
세션 티켓에서 SM_AUTHENTICATIONCONTEXT을 가져오도록 AuthContext 정책에 활성 식을 작성하는 방법으로 인증 컨텍스트가 덮어쓰기되지 않도록 방지하십시오.
레거시 페더레이션을 사용 중인 경우 AuthContext이라는 사용자 컨텍스트 변수를 생성하고 AuthContext 정책에서 해당 변수를 사용하여 세션 티켓에서 SM_AUTHENTICATIONCONTEXT 특성을 검색하는 활성 식을 정의할 수 있습니다.
Graphic showing the General and Attributes sections
AuthContext 정책에서 AuthContext 변수를 사용하여 활성 식을 정의하십시오.
Graphic showing the Expression tab
보호 정책 만들기
인증된 사용자에게 요청된 리소스에 대한 권한을 부여하려면 BackendAuth 도메인에 두 번째 정책이 있어야 합니다. 이 정책은 리소스를 보호할 뿐 아니라 이 도메인의 인증 컨텍스트 정책이기도 합니다.
보호 정책이 인증된 사용자에게 리디렉션 대상에 대한 권한을 부여하도록 구성하십시오. 이 작업은 redirect.asp 파일의 GET 작업입니다. 정책 이름을 GetPolicy로 지정하십시오.
GetPolicy에는 관련 규칙이 포함됩니다.
규칙
영역
GetRule
Form
GetRule
Certificate
GetRule
CertandForm
GetRule
SecureID
GetRule
SafeWord
GetRule
Windows