DeviceDNA™를 사용한 고급 세션 보증 구성

목차
casso127kkr
목차
2
DeviceDNA™를 사용한 고급 세션 보증은 권한 없는 사용자가 훔친 쿠키를 사용하여 적법한 세션을 가로채는 것을 방지하는 데 도움을 줍니다. 세션 클라이언트는 제품이 사용자 시스템에서 수집하는 고유 DeviceDNA™를 사용하여 유효성이 검사됩니다. 이러한 유효성 검사를 통해 세션을 시작한 클라이언트가 액세스를 요청하는 클라이언트와 동일한지 확인됩니다. 올바른 DeviceDNA™가 없는 사용자는 보호되는 리소스에 대한 액세스가 거부되며 다음 오류가 발생합니다.
Server Error. The server was unable to process your request.
다음 그림은 DeviceDNA™를 사용한 고급 세션 보증을 구성하는 방법을 설명합니다.
enhanced session assurance configuration
기능 제한 사항 검토
DeviceDNA™를 사용한 고급 세션 보증은 다음 항목을 지원하지
않습니다
.
  • Web 2.0 클라이언트
    Web 2.0 응용 프로그램은
    CA Access Gateway
    로 리디렉션할 수 없는 웹 요청을 생성하는 AJAX 등의 기술에 기반하여 구축됩니다. Web 2.0 클라이언트에는 비 브라우저 기반 클라이언트(예: 모바일 장치의 Flickr 클라이언트)가 포함되어 있습니다. 두 경우 모두 요청이 발생할 수 있으며 이러한 요청은 인증 흐름 응용 프로그램을 호스트하는
    CA Access Gateway
    인스턴스로 리디렉션될 수 없습니다. 따라서 DeviceDNA™를 사용한 고급 세션 보증은 Web 2.0 클라이언트를 지원하지 않습니다. DeviceDNA™를 사용한 고급 세션 보증으로 Web 2.0 응용 프로그램의 로그인 페이지는 보호할 수 있지만 AJAX와 관련된 요청을 비롯한 일부 요청은 보호할 수 없습니다.
  • 사용자 지정 에이전트
    Single Sign-On
    SDK로 생성한 에이전트는 DeviceDNA™를 사용한 고급 세션 보증을 지원하지 않습니다.
  • JavaScript 및 쿠키를 지원하지 않는 클라이언트
    CA Access Gateway
    의 DeviceDNA™ 스크립트는 웹 클라이언트와 관련된 정보를 추출하는 JavaScript입니다. 이 클라이언트 정보는 세션을 장치 또는 클라이언트와 연결합니다. JavaScript에 대한 지원 없이는 DeviceDNA™를 수집할 수 없으므로 DeviceDNA™를 사용한 고급 세션 보증이 세션을 장치 또는 클라이언트와 연결할 수 없습니다. DeviceDNA™를 사용한 고급 세션 보증은 텔넷 또는 Lynx 같은 클라이언트에서 지원되지 않습니다.
  • 공유 워크스테이션
    공유 워크스테이션에서는 모든 사용자의 DeviceDNA™ 서명이 동일합니다. 예를 들어 한 사용자가 공유 워크스테이션의 다른 사용자로부터 유효한 SMSESSION 쿠키를 하이재킹한다고 가정합니다. 하이재커가 훔친 SMSESSION 쿠키를
    동일한
    공유 워크스테이션에서 재생하는 경우 차이점이 감지되지
    않습니다
    . DeviceDNA™를 사용한 고급 세션 보증은 하이재커가 훔친 SMSESSION 쿠키를
    다른
    장치에서 재생하려고 할 때 보호 기능을 제공합니다.
  • 인증 및 권한 부여 웹 서비스
    웹 서비스 클라이언트 응용 프로그램은 에이전트 API 호출에서 받은 리디렉션 또는 응답을 푸시하는 인증 및 권한 부여 웹 서비스를 처리합니다. 하지만 호출하는 클라이언트는 DeviceDNA™를 사용한 고급 세션 보증 흐름과 관련된 리디렉션을 처리할 수
    없습니다
    .
  • CA Federation
    다음 구성은 DeviceDNA™를 사용한 고급 세션 보증을 지원하지
    않습니다
    .
    • SAML 2.0, SAML 1.1 및 WS-페더레이션의 SP 측
  • ACO 매개 변수
    다음 ACO 매개 변수는 이 기능을 지원하지
    않습니다
    .
    • SSOTrustedZone 
참고:
세션 보증 기능은 SMSESSION 하이재킹을 방지하고 가장 인증 체계는 SMSESSION 바꾸기를 허용합니다. 두 기능을 동시에 모두 사용할 경우 세션 보증 기능이 SMSESSION의 변경 사항을 사용할 수 없습니다. 세션 보증과 가장 인증 체계는 서로 상반된 기능이므로 둘 중 하나만 사용해야 합니다.
CA Access Gateway
구성
DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면
CA Access Gateway
가 작동해야 합니다.
CA Access Gateway
를 설정하려면 다음 단계를 수행하십시오.
  1. CA Access Gateway
    를 설치합니다.
  2. SSL 연결을 사용하도록
    CA Access Gateway
    를 구성합니다.
  3. 여러 쿠키 도메인을 사용하는 Single Sign-On 환경의 경우 쿠키 공급자 도메인의 FQDN(정규화된 도메인 이름)을 확인합니다. 구성 마법사를 실행할 때
    ServerName
    설정에 이 이름을 지정합니다. 예를 들어 쿠키 도메인이 sso.example.com일 경우
    CA Access Gateway
     구성 마법사에서 ServerName의 값을 sso.example.com으로 설정합니다.
  4. SACExt
    에이전트 구성 매개 변수가 사용되도록 설정되어 있고 3자로 된 확장명을 포함하는지 확인합니다. 기본적으로 이 확장명 값은
    .sac
    입니다.
  5. IgnoreExt
    구성 매개 변수가
    SACExt
    에 대해 지정된 값을 포함하는지 확인합니다. 
    참고:
    이 절차에서
    .sac
    확장명을 3자로 된 다른 확장명으로 바꿀 수 있습니다.
Single Sign-On
 구성
CA Single Sign-On 환경에서 DeviceDNA™를 사용한 고급 세션 보증 기능을 사용하려면 정책 서버를 12.6 이상으로 설치하거나 업그레이드해야 합니다. 별도의 컴퓨터에 정책 서버와
CA Access Gateway
를 설치하십시오.
DeviceDNA™를 사용한 고급 세션 보증 끝점 만들기
DeviceDNA™를 사용한 고급 세션 보증은 DeviceDNA™ 정보를 수집하기 위해
CA Access Gateway
에서 호스트되는 세션 보증 응용 프로그램 끝점으로 사용자를 리디렉션합니다. 이러한 DeviceDNA™ 정보는 사용자 세션의 유효성을 검사합니다.
성능상의 이유로 인해 조직에서 각 지역마다 하나의 끝점을 만들 것을 권장합니다. 예를 들어, 뉴욕과 시카고에 사무소가 있는 경우 각 사무소마다 하나의 끝점을 만드십시오.
정책 또는 응용 프로그램에 DeviceDNA™를 사용한 고급 세션 보증을 추가하기 전에
Single Sign-On
사용자 인터페이스에서 이러한 끝점을 구성하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "전역", "세션 보증 끝점"을 클릭합니다.
  2. "세션 보증 끝점 생성"을 클릭합니다.
  3. 구체적인 이름과 설명(선택 사항)을 입력합니다.
  4. 다음 필드를 작성하십시오.
    • 웹 서버 이름
      사용자를 인증하기 위해 DeviceDNA™를 수집하는
      CA Access Gateway
      서버의 이름을 지정합니다.
    • 포트
      CA Access Gateway
      가 리디렉션을 위해 수신 대기하는 포트 번호를 지정합니다. 보안 연결(SSL 사용)을 사용하도록 이 포트를 구성하십시오.
      기본값:
      443
    • 대상
      사용자가 자동으로 리디렉션되는 대상
      CA Access Gateway
      의 URL을 지정합니다. 이 서버는 사용자의 DeviceDNA™를 수집합니다. 제품은 이 DeviceDNA™를 사용하여 사용자와 관련된 세션의 유효성을 검사합니다.
    • DeviceDNA™ 새로 고침 간격
      사용자와 관련된 DeviceDNA™가 유효한 상태로 유지되는 기간(초)을 지정합니다. 올바른 DeviceDNA™가 없는 사용자는 고급 세션 보증 끝점으로 리디렉션되고, 여기서 서버가 사용자에 대한 현재 DeviceDNA™를 획득합니다.
      DeviceDNA™ 새로 고침 간격은 DeviceDNA™의 수집을 제어합니다. DeviceDNA ™가 만료 후 발생 하는 모든 요청 새로 고침 간격 다시 DeviceDNA ™를 수집 하는 인증 흐름 응용 프로그램으로 리디렉션될 됩니다.
      DeviceBinder는 세션과 관련된 사용자를 식별하는 세션 속성입니다. DeviceBinder 및 클라이언트 쪽 장치 ID는 인증 프로세스 중 연결되었습니다. 고유 DeviceHash 및 만료 시간이 이 속성을 구성합니다.
      기본값
      : 300초(5분)
  5. 제출을 클릭합니다.
영역에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 영역에 있는 리소스를 보호하려면 이 영역에 하나의 세션 보증 끝점을 추가하십시오.
참고
: DeviceDNA™를 사용한 고급 세션 보증이 작동하기 위해 세션이 영구적일 필요는 없지만 정책 서버 세션 저장소는 세션 보증을 사용하도록 구성되어 있어야 합니다.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "정책", "도메인", "영역"을 차례로 클릭합니다.
  2. 원하는 영역의 편집 아이콘을 클릭합니다.
  3. "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 클릭합니다.
  4. "끝점 조회"를 클릭합니다.
  5. 원하는 끝점을 선택합니다.
  6. "확인"을 클릭합니다.
  7. 제출을 클릭합니다.
  8. 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 영역에 대해 2 - 6 단계를 반복합니다.
참고:
이 정책 서버 버전에서는 이전 버전인 12.5x의 세션 보증 끝점이 작동하지 않습니다. 세션 보증 끝점으로 사용되는
CA Access Gateway
를 업그레이드해야 합니다.
응용 프로그램 구성 요소에 끝점 추가
DeviceDNA™를 사용한 고급 세션 보증을 사용하여 응용 프로그램의 구성 요소를 보호하려면 고급 세션 보증 끝점
하나
를 관련 응용 프로그램의 구성 요소에 추가하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 정책, 응용 프로그램, 응용 프로그램을 차례로 클릭합니다.
    응용 프로그램 목록이 나타납니다.
  2. 원하는 응용 프로그램의 편집 아이콘을 클릭합니다.
    "응용 프로그램 수정:" 대화 상자가 표시됩니다.
  3. 다음 단계 중
    하나
    를 수행합니다.
    • 응용 프로그램에 단 하나의 구성 요소만 있는 경우 "고급 설정"을 클릭하십시오.
    • 응용 프로그램에 여러 구성 요소가 있는 경우 원하는 구성 요소의 편집 아이콘을 클릭하십시오. "고급 설정"을 클릭하십시오.
  4. "세션" 아래에서 "고급 세션 보증" 옆의 "사용" 확인란을 선택합니다.
  5. "끝점 조회"를 클릭합니다.
    끝점의 목록이 표시됩니다.
  6. 원하는 끝점을 선택합니다.
  7. "확인"을 클릭합니다.
  8. 제출을 클릭합니다.
    "응용 프로그램 수정" 대화 상자가 닫히고 확인 메시지가 표시됩니다.
  9. 세션 보증 기능을 사용하여 보호할 리소스가 있는 기타 응용 프로그램에 대해 2 - 7 단계를 반복합니다.
페더레이션된 파트너 관계에 대해 DeviceDNA™를 사용한 고급 세션 보증 활성화
Single Sign-On
Federation을 사용하는 경우 다음 파트너 관계에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화할 수도 있습니다.
  • SP-IdP 파트너 관계의 IdP 측(HTTP-리디렉션 바인딩만 해당)
  • 소비자-생산자 파트너 관계의 생산자 측
  • RP-AP 파트너 관계의 AP 측
다음 단계를 수행하십시오.
  1. 관리 UI에서 "페더레이션", "파트너 관계 페더레이션", "파트너 관계"를 클릭합니다.
  2. 원하는 파트너 관계의 왼쪽에 있는 "작업" 단추를 클릭한 다음 "비활성화"를 클릭합니다.
  3. 동일한 "작업" 단추를 다시 클릭한 다음 "수정"을 선택합니다.
  4. "SSO 및 SLO" 탭을 클릭합니다.
  5. 다음 확인란을 클릭합니다.
    고급 세션 보증
    영역(정책 도메인 모델) 또는 구성 요소(응용 프로그램 모델)에 지정된 리소스를 보호합니다. 특정 페더레이션 파트너 관계의 인증 요청을 보호할 수도 있습니다. 세션 보증 끝점은 사용자로부터 DeviceDNA™를 수집하여 세션의 유효성을 검사합니다.
    : 세션 보증 끝점을 지정합니다.
    끝점의 목록이 표시됩니다.
  6. 원하는 끝점의 확인란을 클릭합니다.
  7. "저장"을 클릭합니다.
  8. 원하는 다른 파트너 관계에 대해 2 - 7 단계를 반복합니다.
  9. (로컬 인증 모드만 해당) 인증 URL(redirect.jsp)과 연결되는 영역에서 DeviceDNA™를 사용한 고급 세션 보증을 활성화합니다.
문제 해결용 로그 파일
"DeviceDNA™를 사용한 고급 세션 보증"과 관련된 트랜잭션은 다음 로그 파일에 기록됩니다.
  • 정책 서버
    • xps-*.audit - 이 기능의 구성 설정에 대한 변경 사항
    • smaccesslog4 - 이 기능과 관련된 인증 및 권한 부여 작업 이 기능에 대해 고급 감사를 사용하도록 설정하는 것이 좋습니다.
  • CA Access Gateway
    (세션 보증 응용 프로그램):
    로그 파일 위치 및 로그 수준은 다음 위치에 있는
    log4j.properties
    파일을 통해 설정할 수 있습니다.
    CA\secure-proxy\Tomcat\webapps\sessionassuranceapp\WEB-INF\classes
    기본 로그 수준:
    INFO
    이 로그 설정은 Access Gateway 서버의 로그 설정으로부터 독립적입니다.