양식 인증을 위한 양식 자격 증명 수집기 구성
casso127kkr
HTML 양식 인증 체계로 리소스를 보호하는 에이전트의 양식 자격 증명 수집기 구성 요소를 구성하려면 다음 절차를 수행하십시오.
- IIS 웹 서버 또는 Domino 웹 서버를 사용하는 경우 FCC에 대한 MIME 유형 매핑을 구성합니다.참고에이전트 구성 마법사는 다음 유형의 웹 서버에 대해Single Sign-On자격 증명 수집기에서 사용하는 올바른 MIME 유형을 자동으로 설정합니다.
- Apache 및 Apache 기반 웹 서버
- Oracle iPlanet 웹 서버
- FCC에서 사용할 웹 서버와 에이전트 아이덴티티를 매핑합니다.
- 필요한 경우 다음과 같은 추가 설정을 구성합니다.
- FCC 및 SCC에서 에이전트 이름을 정규화된 호스트 이름으로 사용
- 단일 리소스 대상을 사용하도록 FCC 구성
- 자격 증명 수집기 리디렉션을 위해 상대 대상 사용
- 유효한 대상 도메인 정의
- 유효한 페더레이션 대상 도메인 정의
IIS 및 Domino 웹 서버에서 자격 증명 수집기에 대한 MIME 유형 매핑 구성
IIS 및 Domino 웹 서버의 경우 웹 에이전트 구성에서 FCC 및 SFCC에 대한 MIME 유형 매핑을 구성하려면 FCCExt 및 SFCCExt 에이전트 구성 매개 변수를 지정하십시오. MIME 유형 매핑은 파일 확장명으로 표시됩니다. 기본값을 사용하는 것이 좋습니다.
- FCCExtFCC(양식 자격 증명 수집기)에 대한 MIME 유형 매핑을 지정합니다.기본값:.fcc제한: 올바른 파일 확장명예: .myfcc
- SFCCExtSFCC(SSL 양식 자격 증명 수집기)에 대한 MIME 유형 매핑을 지정합니다.기본값: .sfcc제한: 올바른 파일 확장명예: .mysfcc
참고
기본 확장명을 사용하지 않으려는 경우나 기본값이 이미 사용 중인 경우에는 원하는 확장명을 입력하십시오. 예를 들어 FCC에 대해 FCCExt를 .myfcc로 설정하고 FCC 템플릿 이름을 이 확장명을 사용하는 이름(예: login.myfcc)으로 바꾸면 에이전트는 .myfcc로 끝나는 URL을 HTML 양식 인증 요청으로 인식합니다.FCC 및 SCC에서 에이전트 이름을 정규화된 호스트 이름으로 사용
양식 및 SSL 자격 증명 수집기에서 대상 URL의 정규화된 호스트 이름을 에이전트 이름으로 사용할 수 있게 하려면 AgentNamesAreFQHostNames 구성 매개 변수를 정의해야 합니다.
예를 들어 AgentNamesAreFQHostNames 매개 변수가 Yes로 설정되면 다음 URL 문자열의 www.nete.com 부분이 웹 에이전트 이름으로 사용됩니다.
url?A=1&Target=http://www.nete.com/index.html
다음과 같은 경우 자격 증명 수집기에서 이 매개 변수를 사용합니다.
- 에이전트 이름이 대상 에이전트의 URL에 추가되지 않은 경우. 타사 에이전트를 사용하는 경우가 해당될 수 있습니다.
- AgentName 매개 변수에 에이전트와 호스트 이름 매핑을 구성하지 않은 경우
AgentNamesAreFQHostNames 매개 변수가 No로 설정되는 경우 자격 증명 수집기는 DefaultAgentName 매개 변수 값을 대상 웹 에이전트의 이름으로 사용합니다.
단일 리소스 대상을 사용하도록 FCC 구성
사용자를 단일 리소스로 안내하도록 FCC를 구성하려면 대상을 login.fcc 템플릿 파일에 하드 코드로 작성해야 합니다.
다음 단계를 수행하십시오.
- agent_home/Samples에 있는 login.fcc 파일을 엽니다.
- @target=target_resource를 FCC에 추가합니다.
- 다음 항목을 추가합니다.@smagentname=agent_name_protecting_resource예: @smagentname=mywebagent
- EncryptAgentName 매개 변수를 no로 설정합니다. 에이전트 이름을 파일에 하드 코드로 작성한 후에는 에이전트 이름을 암호화할 수 있는 방법이 없으므로 이 매개 변수가 필요합니다.
- 이 FCC를 사용하는 다른 에이전트에 대해 EncryptAgentName을 no로 설정합니다.
자격 증명 수집기 리디렉션을 위해 상대 대상 사용
필요한 경우 자격 증명 수집기 및 대상 리소스로 요청을 전달할 때 정규화된 URL 대신 상대 URI를 사용하도록 에이전트에 지시할 수 있습니다. 상대 URI를 사용하면 웹 에이전트가 설치된 다른 시스템의 자격 증명 수집기에서 요청을 처리하는 문제를 방지할 수 있습니다.
참고:
이 설정은 CCC(쿠키 자격 증명 수집기)를 제외한
모든 자격 증명 수집기에 적용됩니다. CCC에서는 이 매개 변수에 정규화된 도메인 이름을 사용해야 합니다. 상대 URI를 사용하면 구성된 응답이 CCC와 제대로 작동하지 않습니다.일반적으로 정규화된 URL이 자격 증명 수집기 URL에 추가됩니다. 예를 들면 다음과 같습니다.
url?A=1&Target=http://www.nete.com/index.html
상대 URI만 사용하려면 TargetAsRelativeURI 매개 변수를 yes로 설정합니다. 이 매개 변수를 yes로 설정하면 자격 증명 수집기 URL에 추가되는 대상 매개 변수가 상대 대상입니다(예: url?A=1&Target=/index.html). 결국 자격 증명 수집기가 대상 리소스를 보호하는 웹 에이전트로 다시 리디렉션하는 경우 상대 리디렉션이 됩니다. 또한 웹 에이전트는 슬래시(/)로 시작하지 않는 대상을 거부합니다.
이 매개 변수의 기본값은 no이므로 항상 정규화된 URL이 사용됩니다.
유효한 대상 도메인 정의
유해한 웹 사이트로 사용자를 리디렉션할 수 있는 피싱 시도로부터 리소스를 보호하도록
Single Sign-On
에이전트를 구성하려면 다음 구성 매개 변수를 설정하십시오.ValidTargetDomain
자격 증명 수집기가 사용자를 리디렉션할 수 있는 도메인을 지정합니다. URL의 도메인이 이 매개 변수에 설정된 도메인과 일치하지 않으면 리디렉션이 거부됩니다.
기본값:
NoFCC(양식 자격 증명 수집기)를 포함한 모든 고급 인증 체계에서 이 매개 변수를 지원합니다.
ValidTargetDomain 매개 변수는 처리하는 동안 유효한 대상 도메인을 식별합니다. 사용자가 리디렉션되기 전에 에이전트는 리디렉션 URL의 값을 이 매개 변수의 도메인과 비교합니다. 이 매개 변수가 없으면 에이전트는 사용자를 임의의 도메인에 있는 대상으로 리디렉션합니다.
ValidTargetDomain 매개 변수는 유효한 각 도메인에 대해 하나씩 지정되는 여러 개의 값을 포함할 수 있습니다.
로컬 웹 에이전트 구성의 경우 다음과 같이 각 도메인에 대한 항목을 한 행에 하나씩 지정합니다.
validtargetdomain=".xyzcompany.com"validtargetdomain=".abccompany.com"
유효한 페더레이션 대상 도메인 정의
사용자가 SAML 2.0 트랜잭션에 IPD(아이덴티티 공급자 검색) 프로필을 사용하거나 WS-페더레이션 트랜잭션에 wreply URL을 사용할 경우 악의적인 웹 사이트로 리디렉션될 수 있습니다. 이러한 리디렉션을 방지하려면 웹 에이전트에서 ValidFedTargetDomain 매개 변수를 구성하십시오.
ValidFedTargetDomain 매개 변수의 기능은 SAML 2.0의 경우와 WS-페더레이션의 경우에 서로 다릅니다.
SAML 2.0의 ValidFedTargetDomain
ValidFedTargetDomain 매개 변수는 IPD(아이덴티티 공급자 검색)를 구현할 때 페더레이션 환경에 대해 유효한 모든 도메인을 나열합니다.
IPD 서비스는 요청을 받으면 해당 요청에서 IPDTarget 쿼리 매개 변수를 검사합니다. IPDTarget은 검색 서비스가 요청을 처리한 후 브라우저를 리디렉션해야 하는 URL을 정의합니다. IdP의 경우 IPDTarget은 SAML 2.0 Single Sign-On 서비스입니다. SP의 경우 대상은 일반 도메인 쿠키를 사용하려고 요청하는 응용 프로그램입니다.
페더레이션 웹 서비스가 IPDTarget URL의 도메인과 ValidFedTargetDomain 매개 변수에 지정된 도메인 목록을 비교합니다. URL 도메인이 ValidFedTargetDomain 목록에 구성된 도메인 중 하나와 일치하면 IPD 서비스가 사용자를 SP의 IPDTarget URL로 리디렉션합니다.
일치하는 도메인이 없으면 IPD 서비스가 사용자 요청을 거부하며 "403 Forbidden"(금지됨) 오류 메시지가 나타납니다. 오류는 FWS 추적 로그와 affwebservices 로그에 보고됩니다.
이 매개 변수를 구성하지 않으면 유효성 검사가 수행되지 않고 사용자가 대상 URL로 리디렉션됩니다. 로컬 구성 파일을 수정하는 경우에는 각 도메인을 하나씩 추가해야 합니다. 예를 들면 다음과 같습니다.
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"
WS-페더레이션의 ValidFedTargetDomain
ValidFedTargetDomain 매개 변수는 리디렉션이 안전한지 확인하기 위해 wreply URL이 사용해야 하는 페더레이션 환경에 대해 유효한 모든 도메인을 나열합니다.
페더레이션 웹 서비스는 wreply URL의 도메인과 ValidFedTargetDomain 매개 변수에 지정된 도메인 목록을 비교합니다. URL 도메인이 목록에 구성된 도메인 중 하나와 일치하면 페더레이션 웹 서비스가 사용자를 SP의 wreply URL로 리디렉션합니다.
일치하는 도메인이 없으면 페더레이션 웹 서비스가 사용자 요청을 거부하며 "400 Forbidden"(400 잘못된 요청) 오류 메시지가 나타납니다. 오류는 FWS 추적 로그와 affwebservices 로그에 보고됩니다.
이 매개 변수를 구성하지 않으면 유효성 검사가 수행되지 않고 사용자가 대상 URL로 리디렉션됩니다. 로컬 구성 파일을 수정하는 경우에는 각 도메인을 하나씩 추가해야 합니다. 예를 들면 다음과 같습니다.
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"