신뢰 당사자의 사용자 프로비저닝
목차
casso127kkr
목차
2
페더레이션된 네트워크에서 신뢰 당사자는 다른 어설션 당사자에서 페더레이션되는 사용자에 대한 계정을 설정할 수 있습니다. 동적 프로비저닝은 데이터 및 응용 프로그램에 액세스하기 위해 필요한 계정 권한 및 액세스 권한을 가진 클라이언트 계정을 만드는 프로세스를 지원합니다.
원격 프로비저닝
원격 프로비저닝은 타사 프로비저닝 응용 프로그램을 사용하여 사용자 계정을 생성합니다. 그런 다음 응용 프로그램은
Single Sign-On
Federation이 있는 페더레이션 시스템의 정책 서버로 필요한 정보를 다시 전달합니다. 정책 서버는 데이터를 사용하여 사용자 자격 증명을 생성합니다.원격 프로비저닝은 신뢰 당사자 측에서 수행됩니다. 다음 그림에서는 원격 프로비저닝 설정을 보여 줍니다.

상위 수준 프로비저닝 프로세스는 다음과 같습니다.
- 신뢰 당사자의 정책 서버는 어설션과 함께 리소스에 대한 요청을 수신합니다. 하지만 사용자 디렉터리에서 사용자를 찾을 수 없습니다.
- 프로비저닝이 사용되는 경우 정책 서버는 어설션 데이터가 포함된 활성 응답을 처리하고 어설션 데이터가 포함된 쿠키를 생성합니다. 또한 상태를 유지하는 쿠키가 생성되어 프로비저닝 요청이 수행되었음을 나타냅니다.
- 브라우저는 개방 형식 쿠키 또는 헤더와 함께 프로비저닝 응용 프로그램으로 리디렉션됩니다.
- 일반적으로 프로비저닝 응용 프로그램은 사용자에게 로그인하라는 메시지를 표시합니다. 사용자가 로그인하면 응용 프로그램은 쿠키나 헤더를 읽습니다. 응용 프로그램은 어설션 데이터와 로그인 자격 증명을 사용하여 사용자 계정을 설정합니다.프로비저닝 응용 프로그램은Single Sign-OnFederation Java 또는 .NET SDK를 사용하여 개방 형식 쿠키를 소비할 수 있습니다.
- 계정이 프로비저닝되면 브라우저는 사용자를 신뢰 당사자의 어설션 소비자 서비스로 다시 리디렉션합니다. 프로비저닝에 대한 상태 정보를 유지 관리하는 쿠키가 검사되어 사용자가 프로비저닝되었음이 확인됩니다. 자격 증명이 생성되어 인증 체계로 전달됩니다.참고:프로비저닝 응용 프로그램은 신뢰 당사자에 있는 어설션 소비자 서비스의 URI를 알아야 합니다. 예를 들어 신뢰 당사자Single Sign-On의 SAML 2.0 URI는 https://sp_server:port/affwebservices/public/saml2assertionconsumer입니다.
- 정책 서버는 사용자 명확성 확인 과정을 두 번째 시도합니다. 프로비저닝에 성공하면 사용자가 인증되고 쿠키 또는 헤더가 대상 응용 프로그램으로 전송됩니다.대상 응용 프로그램에 대해 선택한 리디렉션 모드에 따라 대상 응용 프로그램으로의 데이터 전달 방법이 결정됩니다.
- 사용자가 대상 리소스로 리디렉션됩니다.
프로비저닝 응용 프로그램으로 사용자 데이터 전송
Single Sign-On
은 원격 프로비저닝을 수행하기 위해 브라우저를 사용자 데이터와 함께 프로비저닝 응용 프로그램으로 리디렉션합니다.페더레이션 시스템은 다음 방법 중 하나를 사용하여 사용자 데이터를 전달할 수 있습니다.
개방 형식 쿠키
SAML 어설션 또는 OAuth 사용자 정보를 개방 형식 쿠키로 전송합니다. 쿠키에는 사용자 데이터에 기반한 로그인 ID가 포함됩니다.
참고:
개방 형식 쿠키를 사용하는 경우에는 Single Sign-On
시스템과 원격 프로비저닝 시스템이 동일한 도메인에 있어야 합니다.쿠키는 다음 두 가지 방법 중 하나로 만들 수 있습니다.
- Single Sign-OnFederation SDK를 사용하여 개방 형식 쿠키를 만듭니다.FIPS 알고리즘 중 하나(AES 알고리즘)를 선택하는 경우 Federation SDK를 사용하여 쿠키를 생성하십시오. .NET SDK를 사용하려는 경우에는 AES128/CBC/PKCS5Padding 암호화 알고리즘만 사용하십시오. 프로비저닝 응용 프로그램이 .NET을 사용하는 경우 프로비저닝 서버의 .NET SDK가 개방 형식 쿠키를 읽습니다.프로비저닝 응용 프로그램은 쿠키를 만들기 위해 사용 중인 SDK와 동일한 언어를 사용해야 합니다. Federation Java SDK를 사용하는 경우 응용 프로그램은 Java로 작성되어야 합니다. .NET SDK를 사용하는 경우 응용 프로그램이 .NET을 지원해야 합니다.
- 개방 형식 쿠키를 수동으로 만듭니다.Federation SDK를 사용하지 않고 개방 형식 쿠키를 만들려면 원하는 프로그래밍 언어를 사용하십시오. 개방 형식 쿠키의 내용에 대한 자세한 내용을 참조하십시오.쿠키를 작성하는 언어는 UTF-8 인코딩 및 관리 UI에서 선택할 수 있는PBE암호화 알고리즘 중 하나를 지원해야 합니다.쿠키를 암호화하기 위해 FIPS 호환(AES) 알고리즘을 선택하는 경우 프로비저닝 응용 프로그램은 SDK를 사용하여 개방 형식 쿠키를 읽어야 합니다.브라우저에서 개방 형식 쿠키가 설정되었는지 확인하십시오.
개방 형식 쿠키 게시
개방 형식 쿠키 게시는 개방 형식 쿠키와 유사하지만 HTTP-POST 요청 형식으로 데이터를 보냅니다. 쿠키 데이터 제한으로 인해 데이터가 손실될 것을 우려하는 경우 이 옵션을 사용하십시오.
HTTP 헤더
어설션 정보를 HTTP 헤더로 전달할 수도 있습니다. HTTP 헤더를 사용하는 경우
Single Sign-On
시스템 및 원격 프로비저닝 시스템이 서로 다른 도메인에 있을 수 있습니다. HTTP 헤더를 사용하여 어설션 데이터를 전달하는 방법과 헤더를 보호하는 방법에 대한 자세한 내용을 참조하십시오.전송 옵션은 파트너 관계 마법사의 "응용 프로그램 통합" 단계에서 구성할 수 있습니다.
사용자가 프로비저닝 응용 프로그램으로 리디렉션된 후에는 페더레이션 시스템에 더 이상 프로세스 제어권이 없습니다. 사용자 계정 프로비저닝이 시간이 많이 걸리는 프로세스인 경우 프로비저닝 응용 프로그램에서 이 상황을 처리해야 합니다. 예를 들어 이 응용 프로그램은 사용자에게 프로비저닝이 진행 중임을 알리는 메시지를 보낼 수 있습니다. 이 정보를 통해 사용자는 사용자 계정을 사용할 수 있을 때까지 로그인을 시도하지 않아야 한다는 점을 알 수 있습니다.
원격 프로비저닝 구성
원격 프로비저닝을 구성하려면 어설션 데이터에 대한 전송 옵션을 확인하고 프로비저닝 서버의 URL을 제공하십시오.
원격 프로비저닝 구성 이외에도 "IDP가 사용자 식별자를 만들도록 허용" 옵션을 선택할 수 있습니다. 이 옵션을 선택하면 사용자에 대한 식별자가 없는 경우 IdP가 영구 식별자를 생성할 수 있습니다. 이 "허용/만들기" 기능은 로컬 방법에서는 필수지만 로컬 계정 연결을 사용한 프로비저닝에만 사용되는 것은 아닙니다.
IdP가 다른 특성과 함께 전송되는 사용자 식별자를 생성하도록 하려면 원격 프로비저닝과 함께 "허용/만들기" 기능이 사용되도록 설정할 수 있습니다. 생성된 식별자를 사용하는 방법은 원격 프로비저닝 서버의 응용 프로그램에서 결정합니다. 응용 프로그램은 로컬 계정 연결을 수행할 수 있지만
Single Sign-On
로컬 계정 연결은 수행할 수 없습니다.원격 프로비저닝을 구성하려면
- 파트너 관계 마법사의 "응용 프로그램 통합" 단계에서 시작합니다.
- "사용자 프로비저닝" 섹션에서 프로비저닝 유형을 선택합니다.
- 프로비저닝 유형으로 "원격"을 선택한 경우에는 표시되는 추가적인 필드에 데이터를 입력합니다.필드의 설명을 보려면 "도움말"을 클릭하십시오.
- "확인" 단계를 선택하고 "마침"을 클릭하여 변경 내용을 저장합니다.
원격 프로비저닝 구성을 완료했습니다.