4.x 유형 에이전트와 최신 유형 에이전트 간에 자격 증명 수집기 사용
이전 버전의 에이전트 개체는 공유 암호를 특징으로 하는 보안 모델을 사용했습니다. 공유 암호는 정책 서버 및 WebAgent.conf 파일에 저장됩니다. 이러한 에이전트를 4.x 유형 에이전트라고 합니다. 관리 UI에서 에이전트 개체를 생성할 때 4.x 에이전트 기능에 대한 지원을 지정할 수 있습니다. 최신 버전은 공유 암호 보안 모델 대신 정책 서버의 트러스트된 호스트 개체를 사용합니다.
casso127kkr
이전 버전의
Single Sign-On
에이전트 개체는 공유 암호를 특징으로 하는 보안 모델을 사용했습니다. 공유 암호는 정책 서버 및 WebAgent.conf 파일에 저장됩니다. 이러한 에이전트를 4.x 유형 에이전트라고 합니다. 관리 UI에서 에이전트 개체를 생성할 때 4.x 에이전트 기능에 대한 지원을 지정할 수 있습니다. 최신 버전은 공유 암호 보안 모델 대신 정책 서버의 트러스트된 호스트 개체를 사용합니다.4.x 유형 에이전트와 이후 에이전트 간에 자격 증명 수집기를 사용할 수 있습니다. 이런 식의 자격 증명 수집기 사용을 혼합 모드라고 합니다. 혼합 모드 배포에는 추가 구성 단계가 필요합니다.
혼합 환경에서 자격 증명 수집기 구성
r6.x부터 현재 제품 릴리스까지의 자격 증명 수집기는 이전 4.x 유형 자격 증명 수집기와는 다르게 작동합니다. 4.x 유형의 자격 증명 수집기는 쿠키를 사용자의 브라우저에 두고 사용자를 원래 에이전트로 다시 리디렉션했습니다.
최신 버전의 자격 증명 수집기는 요청된 리소스를 보호하는 에이전트 대신 사용자를 정책 서버에 로그인하도록 합니다. 쿠키는 사용되지
않습니다
.사용자가 로그인하려면 자격 증명 수집기에 다음과 같은 정보가 필요합니다.
- 요청된 리소스를 보호하는 에이전트의 이름
- 사용자가 제공한 자격 증명
자격 증명 수집기는 다음 과정을 수행하여 에이전트 이름을 확인합니다.
- 자격 증명 수집기로 리디렉션할 때 원래 에이전트가 URL의 쿼리 문자열에 추가하는 SMAGENTNAME 쿼리 매개 변수를 사용합니다.
- 에이전트 이름이 URL에 추가되지 않았으면 자격 증명 수집기와 연결되어 있는 AgentName 구성 매개 변수에 정의된 매핑을 사용합니다.AgentName 매개 변수의 각 매핑은 보호된 리소스에 대해 해당 수집기를 사용하는 호스트의 이름 및 IP 주소를 지정합니다.
- 에이전트 이름 매핑이 구성되지 않았으면 대상 URL의 정규화된 호스트 이름을 에이전트 이름으로 사용합니다. 이 동작은 AgentNamesAreFQHostNames 구성 매개 변수를 사용하여 결정됩니다.기본적으로 이 매개 변수는 사용하지 않도록 설정되어 있으므로 자격 증명 수집기는 DefaultAgentName 매개 변수의 값을 에이전트 이름으로 사용합니다.
혼합 환경에서 자격 증명 수집기를 구성하기 전에 이러한 내용을 고려하십시오.
혼합 환경에서 FCC 및 NTC 사용
FCC와 NTC는 요청된 리소스를 보호하는 웹 에이전트의 이름 및 사용자 자격 증명을 사용하여 요청을 처리합니다. 그러나 FCC와 NTC에 포스트하는 타사 에이전트 및 4.x 에이전트는 URL을 전송할 때 에이전트 이름을 전달하지 않습니다.
FCC 호환성 모드
FCC 호환성 모드를 사용하면 FCC와 NTC가 4.x 웹 에이전트와 함께 작동할 수 있습니다.
FCCCompatMode
에이전트 구성 매개 변수를 사용하도록 설정(FCCCompatMode="Yes")하여 r5.x, r6.x 또는 현재 버전의 FCC/NTC가 4.x 에이전트 또는 타사 응용 프로그램으로 보호되는 리소스에 대한 양식을 제공할 수 있도록 설정하십시오.참고:
이전 릴리스에서는 FCCCompatMode를 4xCompatMode라고 했습니다. 4xCompatMode는 이전 버전과의 호환성을 위해 여전히 지원됩니다.호환성 모드에서 에이전트는 4.x 에이전트와 같은 방식으로 양식 및 NTLM 자격 증명 수집을 처리할 수 있습니다. 양식 또는 NTLM 자격 증명 쿠키는 브라우저에 기록되며 브라우저는 로그인 전의 에이전트로 다시 리디렉션됩니다. 이 구성은 에이전트를 상호 운용할 수 있도록 합니다.
참고:
FCC 호환성 모드를 사용하는 경우 사용자 자격 증명이 암호화된 다음 브라우저로 다시 전송됩니다. 브라우저는 사용자를 즉시 인증하지 않고 웹 에이전트에 자격 증명을 전달합니다.기존 웹 에이전트의 경우 FCCCompatMode 매개 변수는 기본적으로 사용되도록 설정됩니다. 프레임워크 에이전트의 FCCCompatMode 매개 변수는 기본적으로 사용되지 않도록 설정됩니다.
FCCCompatMode 매개 변수가 No로 설정되면 4.x 에이전트와의 호환성 기능을 사용할 수 없습니다. 제품 버전이 동일한 환경에서는 이 매개 변수의 값을 no로 설정하십시오.
- 에이전트 이름 매핑 지정 - FCC만 해당. 이전 버전과의 호환성을 비활성화한 경우에는 보호된 리소스에 대해 해당 FCC를 사용하는 각 호스트의 이름 및 IP 주소와 AgentName 매개 변수의 매핑을 지정합니다. FCC 구성 설정에 이러한 매핑을 설정하십시오.예:myagent, 123.1.12.1myagent, www.sitea.com
- 호스트 이름을 에이전트 이름으로 사용 - FCC만 해당.처음 두 옵션을 적용할 수 없는 경우에는 AgentNamesAreFQHostNames 매개 변수의 값을 yes로 설정할 수 있습니다. 이렇게 하면 FCC에서 대상 URL의 정규화된 호스트 이름을 에이전트 이름으로 사용할 수 있습니다. 예를 들어 대상 URL 문자열에 다음이 포함되었다고 가정합니다.url?A=1&Target=http://www.nete.com/index.html이 문자열의 www.nete.com 부분은 에이전트 이름으로 사용됩니다.기본적으로 이 매개 변수는 no로 설정되어 있습니다. 결과적으로 DefaultAgentName 매개 변수의 값이 에이전트 이름으로 사용됩니다.
다음 표에서는 r5.x, r6.x 또는 현재 버전의 4.x FCC 및 NTC를 구성하기 위한 지침을 제공합니다. 또한 혼합 환경에서 각각의 작동 방식을 설명합니다. 다음 사항에 주의하십시오.
- NTC(NTLM credential collector)는 IIS가 아닌 웹 서버에서 IIS 웹 서버로 사용자를 리디렉션할 수 있습니다.
- 프레임워크 웹 에이전트의 경우 FCC 호환성 모드가 사용되지 않는 상황의 지침만 참조하십시오.
r5.x, r6.x, 12.52 또는 현재 버전의 FCC 지침
웹 서버
| r5.x, r6.x, 12.52 또는 현재 버전의 FCC
(FCC 호환성 모드)
| r5.x, r6.x 또는 현재 버전의 FCC(FCC 호환성 모드 사용 안 함)
|
r5.x, r6.x 또는 12.52 | FCC에서 자격 증명 쿠키를 발급합니다. 인증서 및 양식 인증을 사용할 수 없습니다.인증서 또는 양식 인증을 사용할 수 없습니다. | FCC에서 세션 쿠키를 발급합니다. 인증서 및 양식 인증이 사용됩니다.인증서 또는 양식 인증이 사용됩니다. |
4.x QMR 2/3/4 FCC 지침
웹 서버
| 4.x QMR 2/3/4 FCC
|
4.x QMR 5 또는 4.x QMR 6 | 에이전트에서 자격 증명 쿠키를 발급합니다. 인증서 및 양식 인증을 사용할 수 없습니다. 인증서 또는 양식 인증이 사용됩니다. |
r5.x, r6.x 또는 12.52 | 에이전트에서 자격 증명 쿠키를 발급합니다. 인증서 및 양식 인증을 사용할 수 없습니다. 인증서 또는 양식 인증이 사용됩니다. |
r5.x, r6.x, 12.52 또는 현재 버전 NTC 지침
웹 서버
| r5.x, r6.x 또는 현재 버전의 NTC(FCC 호환성 모드)
| r5.x, r6.x 또는 현재 버전의 NTC(FCC 호환성 모드 사용 안 함)
|
4.x QMR 5 또는 4.x QMR 6 | NTC에서 자격 증명 쿠키를 발급합니다. | NTC에서 세션 쿠키를 발급합니다. |
r5.x, r6.x 또는 12.52 | NTC에서 자격 증명 쿠키를 발급합니다. | NTC에서 세션 쿠키를 발급합니다. |
4.x QMR 2/3/4 NTC 지침
웹 서버
| 4.x QMR 2/3/4 NTC
|
4.x QMR 5, 4.x QMR 6 | 에이전트에서 자격 증명 쿠키를 발급합니다. |
r5.x, r6.x 또는 12.52 | 에이전트에서 자격 증명 쿠키를 발급합니다. |
혼합 환경에서 SCC 사용
4.x 유형의 웹 에이전트와 r5.x, r6.x 또는12.52 SCC를 상호 운용할 수 있게 하려면 다음 태스크 중 하나를 수행하십시오.
- 에이전트 이름 매핑 지정: 보호된 리소스에 대해 해당 SCC를 사용하는 각 호스트의 호스트 이름 및 IP 주소와 AgentName 매개 변수의 매핑을 지정합니다. SCC의 에이전트 구성 매개 변수에 이러한 매핑을 생성하십시오.
- 호스트 이름을 에이전트 이름으로 사용: 에이전트 이름 매핑을 지정하지 않은 경우에는 AgentNamesAreFQHostNames 매개 변수를 Yes로 설정할 수 있습니다. 이렇게 하면 SCC에서 대상 URL의 정규화된 호스트 이름을 에이전트 이름으로 사용할 수 있습니다.예를 들어 URL 문자열이 다음과 같으면url?A=1&Target=http://www.nete.com/index.htmlTarget 문자열의 www.nete.com 부분이 에이전트 이름으로 사용됩니다.기본적으로 이 매개 변수는 no로 설정되어 있습니다. 결과적으로 DefaultAgentName 매개 변수의 값이 에이전트 이름으로 사용됩니다.
다음 표에서는 SCC 역할을 하는 4.x, r5.x, r6.x 또는 12.52 에이전트가 혼합 환경에서 어떤 방식으로 작동하는지 보여 줍니다.
웹 에이전트 버전
| 4.x QMR 2/3/4 SCC
| r5.x, r6.x 또는 현재 버전의 SCC |
4.x QMR 5 또는 4.x QMR 6 | 에이전트에서 SSL 자격 증명 쿠키를 발급합니다. 처음에 SSL을 통해 브라우저에서 서버에 연결한 경우에도 요청을 리디렉션하지 않으면 인증서를 수집할 수 없습니다. | AgentName 매개 변수에서 매핑을 생성하거나 AgentNamesAreFQHostNames를 Yes로 설정합니다. SCC에서 세션 쿠키를 발급합니다. 처음에 SSL을 통해 브라우저에서 서버에 연결한 경우에도 요청을 리디렉션하지 않으면 인증서를 수집할 수 없습니다. |
r5.x, r6.x 또는 12.52 | 에이전트에서 SSL 자격 증명 쿠키를 발급합니다. 요청을 리디렉션하지 않고 인증서를 수집할 수 있습니다. | SCC에서 세션 쿠키를 발급합니다. 요청을 리디렉션하지 않고 인증서를 수집할 수 있습니다. |