DeviceDNA™를 사용한 고급 세션 보증 구성
목차
casso127kkr
목차
2
DeviceDNA™를 사용한 고급 세션 보증은 권한 없는 사용자가 훔친 쿠키를 사용하여 적법한 세션을 가로채는 것을 방지하는 데 도움을 줍니다. 세션 클라이언트는 제품이 사용자 시스템에서 수집하는 고유 DeviceDNA™를 사용하여 유효성이 검사됩니다. 이러한 유효성 검사를 통해 세션을 시작한 클라이언트가 액세스를 요청하는 클라이언트와 동일한지 확인됩니다. 올바른 DeviceDNA™가 없는 사용자는 보호되는 리소스에 대한 액세스가 거부되며 다음 오류가 발생합니다.
Server Error. The server was unable to process your request.
다음 그림은 DeviceDNA™를 사용한 고급 세션 보증을 구성하는 방법을 설명합니다.

기능 제한 사항 검토
DeviceDNA™를 사용한 고급 세션 보증은 다음 항목을 지원하지
않습니다
.- Web 2.0 클라이언트Web 2.0 응용 프로그램은CA Access Gateway로 리디렉션할 수 없는 웹 요청을 생성하는 AJAX 등의 기술에 기반하여 구축됩니다. Web 2.0 클라이언트에는 비 브라우저 기반 클라이언트(예: 모바일 장치의 Flickr 클라이언트)가 포함되어 있습니다. 두 경우 모두 요청이 발생할 수 있으며 이러한 요청은 인증 흐름 응용 프로그램을 호스트하는CA Access Gateway인스턴스로 리디렉션될 수 없습니다. 따라서 DeviceDNA™를 사용한 고급 세션 보증은 Web 2.0 클라이언트를 지원하지 않습니다. DeviceDNA™를 사용한 고급 세션 보증으로 Web 2.0 응용 프로그램의 로그인 페이지는 보호할 수 있지만 AJAX와 관련된 요청을 비롯한 일부 요청은 보호할 수 없습니다.
- 사용자 지정 에이전트Single Sign-OnSDK로 생성한 에이전트는 DeviceDNA™를 사용한 고급 세션 보증을 지원하지 않습니다.
- JavaScript 및 쿠키를 지원하지 않는 클라이언트CA Access Gateway의 DeviceDNA™ 스크립트는 웹 클라이언트와 관련된 정보를 추출하는 JavaScript입니다. 이 클라이언트 정보는 세션을 장치 또는 클라이언트와 연결합니다. JavaScript에 대한 지원 없이는 DeviceDNA™를 수집할 수 없으므로 DeviceDNA™를 사용한 고급 세션 보증이 세션을 장치 또는 클라이언트와 연결할 수 없습니다. DeviceDNA™를 사용한 고급 세션 보증은 텔넷 또는 Lynx 같은 클라이언트에서 지원되지 않습니다.
- 공유 워크스테이션공유 워크스테이션에서는 모든 사용자의 DeviceDNA™ 서명이 동일합니다. 예를 들어 한 사용자가 공유 워크스테이션의 다른 사용자로부터 유효한 SMSESSION 쿠키를 하이재킹한다고 가정합니다. 하이재커가 훔친 SMSESSION 쿠키를동일한공유 워크스테이션에서 재생하는 경우 차이점이 감지되지않습니다. DeviceDNA™를 사용한 고급 세션 보증은 하이재커가 훔친 SMSESSION 쿠키를다른장치에서 재생하려고 할 때 보호 기능을 제공합니다.
- 인증 및 권한 부여 웹 서비스웹 서비스 클라이언트 응용 프로그램은 에이전트 API 호출에서 받은 리디렉션 또는 응답을 푸시하는 인증 및 권한 부여 웹 서비스를 처리합니다. 하지만 호출하는 클라이언트는 DeviceDNA™를 사용한 고급 세션 보증 흐름과 관련된 리디렉션을 처리할 수없습니다.
- CA Federation다음 구성은 DeviceDNA™를 사용한 고급 세션 보증을 지원하지않습니다.
- SAML 2.0, SAML 1.1 및 WS-페더레이션의 SP 측
- ACO 매개 변수다음 ACO 매개 변수는 이 기능을 지원하지않습니다.
- SSOTrustedZone
참고:
세션 보증 기능은 SMSESSION 하이재킹을 방지하고 가장 인증 체계는 SMSESSION 바꾸기를 허용합니다. 두 기능을 동시에 모두 사용할 경우 세션 보증 기능이 SMSESSION의 변경 사항을 사용할 수 없습니다. 세션 보증과 가장 인증 체계는 서로 상반된 기능이므로 둘 중 하나만 사용해야 합니다.CA Access Gateway
구성DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면
CA Access Gateway
가 작동해야 합니다.CA Access Gateway
를 설정하려면 다음 단계를 수행하십시오.- CA Access Gateway를 설치합니다.
- SSL 연결을 사용하도록CA Access Gateway를 구성합니다.
- 여러 쿠키 도메인을 사용하는 Single Sign-On 환경의 경우 쿠키 공급자 도메인의 FQDN(정규화된 도메인 이름)을 확인합니다. 구성 마법사를 실행할 때ServerName설정에 이 이름을 지정합니다. 예를 들어 쿠키 도메인이 sso.example.com일 경우CA Access Gateway구성 마법사에서 ServerName의 값을 sso.example.com으로 설정합니다.
- SACExt에이전트 구성 매개 변수가 사용되도록 설정되어 있고 3자로 된 확장명을 포함하는지 확인합니다. 기본적으로 이 확장명 값은.sac입니다.
- IgnoreExt구성 매개 변수가SACExt에 대해 지정된 값을 포함하는지 확인합니다.참고:이 절차에서.sac확장명을 3자로 된 다른 확장명으로 바꿀 수 있습니다.
Single Sign-On
구성CA Single Sign-On 환경에서 DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면 정책 서버를 12.6 이상으로 설치하거나 업그레이드해야 합니다. 별도의 컴퓨터에 정책 서버와
CA Access Gateway
를 설치하십시오.DeviceDNA™를 사용한 고급 세션 보증 끝점 만들기
DeviceDNA™를 사용한 고급 세션 보증은 DeviceDNA™ 정보를 수집하기 위해
CA Access Gateway
에서 호스트되는 세션 보증 응용 프로그램 끝점으로 사용자를 리디렉션합니다. 이러한 DeviceDNA™ 정보는 사용자 세션의 유효성을 검사합니다.성능상의 이유로 인해 조직에서 각 지역마다 하나의 끝점을 만들 것을 권장합니다. 예를 들어, 뉴욕과 시카고에 사무소가 있는 경우 각 사무소마다 하나의 끝점을 만드십시오.
정책 또는 응용 프로그램에 DeviceDNA™를 사용한 고급 세션 보증을 추가하기 전에
Single Sign-On
사용자 인터페이스에서 이러한 끝점을 구성하십시오.다음 단계를 수행하십시오.
- 관리 UI에서 "정책", "전역", "세션 보증 끝점"을 클릭합니다.
- "세션 보증 끝점 생성"을 클릭합니다.
- 구체적인 이름과 설명(선택 사항)을 입력합니다.
- 다음 필드를 작성하십시오.
- 웹 서버 이름사용자를 인증하기 위해 DeviceDNA™를 수집하는CA Access Gateway서버의 이름을 지정합니다.
- 포트CA Access Gateway가 리디렉션을 위해 수신 대기하는 포트 번호를 지정합니다. 보안 연결(SSL 사용)을 사용하도록 이 포트를 구성하십시오.기본값:443
- 대상사용자가 자동으로 리디렉션되는 대상CA Access Gateway의 URL을 지정합니다. 이 서버는 사용자의 DeviceDNA™를 수집합니다. 제품은 이 DeviceDNA™를 사용하여 사용자와 관련된 세션의 유효성을 검사합니다.
- DeviceDNA™ 새로 고침 간격사용자와 관련된 DeviceDNA™가 유효한 상태로 유지되는 기간(초)을 지정합니다. 올바른 DeviceDNA™가 없는 사용자는 고급 세션 보증 끝점으로 리디렉션되고, 여기서 서버가 사용자에 대한 현재 DeviceDNA™를 획득합니다.DeviceDNA™ 새로 고침 간격은 DeviceDNA™의 수집을 제어합니다. DeviceDNA ™가 만료 후 발생 하는 모든 요청 새로 고침 간격 다시 DeviceDNA ™를 수집 하는 인증 흐름 응용 프로그램으로 리디렉션될 됩니다.DeviceBinder는 세션과 관련된 사용자를 식별하는 세션 속성입니다. DeviceBinder 및 클라이언트 쪽 장치 ID는 인증 프로세스 중 연결되었습니다. 고유 DeviceHash 및 만료 시간이 이 속성을 구성합니다.기본값: 300초(5분)
- 제출을 클릭합니다.
영역에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 영역에 있는 리소스를 보호하려면 이 영역에 하나의 세션 보증 끝점을 추가하십시오.
참고
: DeviceDNA™를 사용한 고급 세션 보증이 작동하기 위해 세션이 영구적일 필요는 없지만 정책 서버 세션 저장소는 세션 보증을 사용하도록 구성되어 있어야 합니다.다음 단계를 수행하십시오.
- 관리 UI에서 "정책", "도메인", "영역"을 차례로 클릭합니다.
- 원하는 영역의 편집 아이콘을 클릭합니다.
- "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 클릭합니다.
- "끝점 조회"를 클릭합니다.
- 원하는 끝점을 선택합니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다.
- 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 영역에 대해 2 - 6 단계를 반복합니다.
참고:
이 정책 서버 버전에서는 이전 버전인 12.5x의 세션 보증 끝점이 작동하지 않습니다. 세션 보증 끝점으로 사용되는 CA Access Gateway
를 업그레이드해야 합니다.응용 프로그램 구성 요소에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 응용 프로그램의 구성 요소를 보호하려면 고급 세션 보증 끝점
하나
를 관련 응용 프로그램의 구성 요소에 추가하십시오.다음 단계를 수행하십시오.
- 관리 UI에서 정책, 응용 프로그램, 응용 프로그램을 차례로 클릭합니다.응용 프로그램 목록이 나타납니다.
- 원하는 응용 프로그램의 편집 아이콘을 클릭합니다."응용 프로그램 수정:" 대화 상자가 표시됩니다.
- 다음 단계 중하나를 수행합니다.
- 응용 프로그램에 단 하나의 구성 요소만 있는 경우 "고급 설정"을 클릭하십시오.
- 응용 프로그램에 여러 구성 요소가 있는 경우 원하는 구성 요소의 편집 아이콘을 클릭하십시오. "고급 설정"을 클릭하십시오.
- "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 선택합니다.
- "끝점 조회"를 클릭합니다.끝점의 목록이 표시됩니다.
- 원하는 끝점을 선택합니다.
- "확인"을 클릭합니다.
- 제출을 클릭합니다."응용 프로그램 수정" 대화 상자가 닫히고 확인 메시지가 표시됩니다.
- 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 응용 프로그램에 대해 2 - 7 단계를 반복합니다.
페더레이션된 파트너 관계에 대해 DeviceDNA™를 사용한 고급 세션 보증 활성화
Single Sign-On
Federation을 사용하는 경우 다음 파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화할 수도 있습니다.- SP-IdP 파트너 관계의 IdP 측(HTTP-리디렉션 바인딩만 해당)
- 소비자-생산자 파트너 관계의 생산자 측
- RP-AP 파트너 관계의 AP 측
다음 단계를 수행하십시오.
- 관리 UI에서 "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 클릭합니다.
- 원하는 파트너 관계의 왼쪽에 있는 "작업" 단추를 클릭한 다음 "비활성화"를 클릭합니다.
- 동일한 "작업" 단추를 다시 클릭한 다음 "수정"을 선택합니다.
- "SSO 및 SLO" 탭을 클릭합니다.
- 다음 확인란을 클릭합니다.고급 세션 보증영역(정책 도메인 모델) 또는 구성 요소(응용 프로그램 모델)에 지정된 리소스를 보호합니다. 특정 페더레이션 파트너 관계의 인증 요청을 보호할 수도 있습니다. 세션 보증 끝점은 사용자로부터 DeviceDNA™를 수집하여 세션의 유효성을 검사합니다.값: 세션 보증 끝점을 지정합니다.끝점의 목록이 표시됩니다.
- 원하는 끝점의 확인란을 클릭합니다.
- "저장"을 클릭합니다.
- 원하는 다른 파트너 관계에 대해 2 - 7 단계를 반복합니다.
- (로컬 인증 모드만 해당) 인증 URL(redirect.jsp)과 연결되는 영역에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화합니다.
문제 해결용 로그 파일
"DeviceDNA™를 사용한 고급 세션 보증"과 관련된 트랜잭션은 다음 로그 파일에 기록됩니다.
- 정책 서버
- xps-*.audit - 이 기능의 구성 설정에 대한 변경 사항
- smaccesslog4 - 이 기능과 관련된 인증 및 권한 부여 작업 이 기능에 대해 고급 감사를 사용하도록 설정하는 것이 좋습니다.
- CA Access Gateway(세션 보증 응용 프로그램):로그 파일 위치 및 로그 수준은 다음 위치에 있는log4j.properties파일을 통해 설정할 수 있습니다.CA\secure-proxy\Tomcat\webapps\sessionassuranceapp\WEB-INF\classes기본 로그 수준:INFO이 로그 설정은 Access Gateway 서버의 로그 설정으로부터 독립적입니다.