샘플 네트워크에 대한 아이덴티티 공급자 설정

목차
casso127kkr
목차
2
다음 섹션에서는 아이덴티티 공급자에서 레거시 페더레이션을 배포하기 위한 태스크를 자세히 설명합니다. 각 단원의 항목은 기본 구성에 대해 제공된 샘플 데이터를 반영합니다.
참고:
이러한 절차에서는 필수 구성 요소를 이미 설치했다고 가정합니다.
IdP 사용자 저장소 설정
아이덴티티 공급자에서 사용자가 정의되어 있는 사용자 저장소가 필요합니다. 아이덴티티 공급자가 이러한 사용자에 대한 어설션을 생성할 수 있습니다. 이 배포에서는 Sun ONE LDAP 사용자 디렉터리가 사용자 저장소입니다. Sun ONE 서버 콘솔이 이 사용자 저장소에 사용자를 추가하는 데 사용됩니다.
사용자 저장소를 구성하려면
  1. 다음 사용자를 추가합니다.
    • user1
    • user2
  2. 다음과 같이 user1과 user2에 대한 특성을 입력합니다.
    중요!
    전자 메일 주소는 동일한 사용자의 서비스 공급자 사용자 저장소에 있는 것과 동일해야 합니다.
정책 서버를 IdP LDAP 정책 저장소에 연결
이 배포에서는 LDAP 정책 저장소가 사용됩니다. 정책 서버가 LDAP 정책 저장소를 가리키고 있는지 확인하십시오.
참고:
이 절차에서는 배포의 사용자 저장소에 사용자를 추가하는 방법을 알고 있다고 가정합니다.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 엽니다.
  2. "데이터" 탭을 선택합니다.
  3. 다음 필드를 작성하십시오.
    • 데이터베이스
      정책 저장소
    • 저장소
      LDAP
    • IP 주소(LDAP 디렉터리)
      www.idp.demo:389
    • 루트 DN
      o=idp.demo
    • 관리자 사용자 이름
      cn=Directory Manager
    • 암호
      password
    • 암호 확인
      password
  4. "확인"을 클릭하여 변경 내용을 저장하고 콘솔을 종료합니다.
IdP에서 정책 서버 추적 로깅이 사용되도록 설정
아이덴티티 공급자에서 정책 서버에 대한 로깅이 사용되도록 설정하십시오. 로그 파일 smtracedefault.log를 살펴보면 싱글 사인온과 싱글 로그아웃에 대한 추적 메시지를 검사할 수 있습니다. 이 로그 파일은
policy_server_home
/siteminder/log 디렉터리에 있습니다.
다음 단계를 수행하십시오.
  1. 정책 서버 관리 콘솔을 엽니다.
  2. "프로파일러" 탭을 클릭하고 추적 로그 콘텐츠를 사용자 지정합니다.
    참고:
    페더레이션 추적 메시지를 보려면 Fed_Server 구성 요소를 로그에 포함하십시오.
    정책 서버에서 정책 서버 관리 콘솔을 사용하여 추적 로깅을 구성할 수 있습니다.
  3. IdP 웹 에이전트를 설치합니다.
웹 에이전트 옵션 팩이 있는 웹 서버 구성
샘플 배포용 FWS(페더레이션 웹 서비스) 응용 프로그램을 구성하십시오.
FWS를 설정하려면
페더레이션 웹 서비스용 JDK 설치
웹 에이전트 옵션 팩을 사용하려면 페더레이션 웹 서비스 응용 프로그램을 실행할 JDK가 필요합니다.
올바른 JDK 버전을 보려면 기술 지원 사이트로 이동하고 "
Single Sign-On
Platform Support Matrix"(CA Single Sign-On 플랫폼 지원표)에서 릴리스를 검색하십시오.
ServletExec를 설치하고 IdP의 FWS와 함께 작동하도록 구성
FWS 작동을 위해 ServletExec 또는 지원되는 모든 응용 프로그램 서버를 설치할 수 있습니다. 이 샘플 네트워크의 경우 IIS 6.0 웹 서버에서 ServletExec를 사용합니다.
casso127kkr
참고:
Single Sign-On
12.52는 라이선스 키 파일 ServletExec_AS_6_license_key.txt와 함께 제공됩니다. 이 라이선스 키가 없으면 CA 기술 지원 팀에 문의하십시오. 이 라이선스 파일에서 라이선스 키를 복사하여 ServletExec Administration(관리) 콘솔의 "ServletExec License"(ServletExec 라이선스) 대화 상자에 입력합니다. ServletExec 라이선스에 대한 자세한 내용은 웹 사이트에 있는 ServletExec 설명서를 참조하십시오.
사용 중인 ServletExec의 지원되는 버전에 대한 최신 핫픽스를 적용해야 합니다. 페더레이션 웹 서비스가 ServletExec와 함께 작동하려면 핫픽스가 필요합니다. 핫픽스를 구하려면 New Atlanta 웹 사이트로 이동하여 ServletExec를 찾으십시오.
ServletExec를 설정하려면
  1. ServletExec를 설치합니다. 자세한 내용은 New Atlanta 설명서를 참조하십시오.
  2. ServletExec Administration(관리) 콘솔을 엽니다.
  3. "Web Applications"(웹 응용 프로그램)에서 "manage"(관리)를 선택합니다.
    "Manage Web Applications"(웹 응용 프로그램 관리) 대화 상자가 열립니다.
  4. "Add a Web Application"(웹 응용 프로그램 추가)을 클릭합니다.
  5. 다음 정보를 입력합니다.
    • Application Name(응용 프로그램 이름)
      affwebservices
    • URL Context Path(URL 컨텍스트 경로)
      /affwebservices/
    • 위치
      C:\program files\ca\webagent\affwebservices
    참고:
    설정 중인 affwebservices의 위치가 다를 수 있습니다. 올바른 위치를 입력합니다.
  6. 제출을 클릭합니다.
  7. ServletExec 콘솔을 종료합니다.
  8. IIS 기본 사용자 계정에 대한 디렉터리 보안 설정을 수정합니다.
중요!
IIS 사용자 계정에 적절한 권한이 있어야 IIS에서 플러그 인이 파일 시스템에 쓰도록 허용할 수 있습니다. 따라서 페더레이션 웹 서비스가 ServletExec와 함께 작동하려면 IIS 기본 사용자 계정에 대한 디렉터리 보안 설정을 수정하십시오.
ServletExec가 IIS 파일 시스템에 쓸 수 있도록 설정
casso127kkr
플러그 인이 IIS 파일 시스템에 쓸 수 있게 하려면 IIS에 대한 적절한 권한이 IIS 서버 사용자 계정에 있어야 합니다. 예를 들어 ServletExec가 페더레이션 로그 파일에 쓸 수 있게 하려면 ServletExec와 연결된 익명 사용자 계정에 파일 시스템에 대한 쓰기 권한이 있어야 합니다.
다음 단계를 수행하십시오.
  1. ServletExec가 설치된 시스템에서 IIS 인터넷 정보 서비스 관리자를 엽니다.
  2. "웹 사이트", "기본 웹 사이트"를 탐색합니다.
    오른쪽 창에 응용 프로그램 집합이 표시됩니다.
  3. "ServletExec"를 선택하고 "속성"을 마우스 오른쪽 단추로 클릭합니다.
  4. "속성" 대화 상자에서 "디렉터리 보안" 탭을 선택합니다.
  5. "인증 및 액세스 제어" 섹션에서 "편집"을 클릭합니다.
    "인증 방법" 대화 상자가 열립니다.
  6. 다음과 같이 컨트롤을 설정합니다.
    1. "익명 액세스 가능"을 선택합니다.
      익명 액세스의 경우 Windows 파일 시스템에 대한 권한이 있는 사용자 계정의 이름과 암호를 입력합니다. 사용자 계정에 이 권한을 부여하려면 Windows 설명서를 참조하십시오. 예를 들어 IUSR 인터넷 게스트 계정을 익명 액세스에 사용할 수 있습니다.
    2. "기본 인증"의 선택을 취소합니다.
    3. "Windows 통합 인증"의 선택을 취소합니다.
  7. 메시지가 나타나면 웹 서버의 모든 자식 구성 요소에 보안 변경 내용을 적용합니다.
  8. 웹 서버를 다시 시작합니다.
이제 ServletExec와 연결된 사용자 계정으로 IIS 파일 시스템에 쓸 수 있습니다.
다음 단계를 수행하십시오.
  1. "제어판", "관리 도구", "로컬 보안 정책", "로컬 정책", "사용자 권한 할당"을 엽니다.
    "로컬 보안 설정" 대화 상자가 나타납니다.
  2. "운영 체제의 일부로 작동"을 두 번 클릭합니다.
    "운영 체제의 일부로 작동 속성" 대화 상자가 열립니다.
  3. "로컬 보안 설정" 대화 상자에 익명 사용자 계정을 추가합니다.
  4. "확인"을 클릭합니다.
  5. 제어판을 종료합니다.
(선택 사항) IIS 웹 서버를 보호하는 웹 에이전트에 대한 에이전트 구성 개체를 검토하는 것이 좋습니다. 이 개체는 SetRemoteUser 매개 변수가 yes로 설정되어 있는지 확인하여 익명 사용자가 파일 시스템에 쓸 수 없도록 합니다.
IdP에서 FWS 속성 파일 구성
AffWebServices.properties 파일에는 페더레이션 웹 서비스에 대한 모든 초기화 매개 변수가 포함되어 있습니다. 이 파일의 설정을 하나 이상 수정하십시오.
affwebservices.properties 파일을 수정하려면
  1. 웹 에이전트 옵션 팩이 설치된 IdP 시스템에서 C:\Program Files\ca\webagent\affwebservices\WEB-INF\classes 디렉터리로 이동합니다.
  2. AgentConfigLocation 매개 변수를 WebAgent.conf 파일의 위치로 설정합니다. 이 매개 변수에는 값이 있어야 합니다.
    이 배포의 경우 IIS 웹 서버가 FWS 응용 프로그램을 호스트합니다. 따라서 WebAgent.conf 파일의 경로는 다음과 같습니다.
    C:\\Program Files\\ca\\webagent\\bin\\IIS\\WebAgent.conf
    참고:
    페더레이션 웹 서비스는 Java 구성 요소이므로 Windows 경로에 이중 백슬래시를 포함해야 합니다. 이 형식은 Windows에만 적용됩니다.
    이 경로가 한 줄로 입력되었는지 확인합니다.
  3. 파일을 저장한 후 닫습니다.
IdP에서 페더레이션 웹 서비스 테스트
페더레이션 웹 서비스를 설정한 후 응용 프로그램이 올바로 작동하고 있는지 확인하십시오.
다음 단계를 수행하십시오.
  1. 웹 브라우저를 열고 다음 링크를 입력합니다.
    http://<
    fqhn
    >:<
    port_number
    >/affwebservices/assertionretriever
    • fqhn
      정규화된 호스트 이름을 정의합니다.
    • port_number
      웹 에이전트와 웹 에이전트 옵션 팩이 설치된 서버의 포트 번호를 정의합니다.
    이 배포의 경우 다음과 같이 입력합니다.
    http://www.idp.demo:80/affwebservices/assertionretriever
    페더레이션 웹 서비스가 올바로 작동하고 있으면 다음 메시지가 표시됩니다.
    Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.
    이 메시지는 페더레이션 웹 서비스가 데이터 작업을 수신 대기하고 있음을 나타냅니다. 페더레이션 웹 서비스가 올바로 작동하고 있지 않으면 어설션 검색 서비스가 실패했다는 메시지가 표시됩니다. 어설션 검색 서비스가 실패하면 페더레이션 웹 서비스 로그를 검사합니다.
IdP에서 웹 에이전트 옵션 팩 로깅이 사용되도록 설정
IdP에서 웹 에이전트 옵션 팩이 있는 시스템에 대해 로깅이 사용되도록 설정하십시오. 다음 로그를 확인해야 하는 경우가 있습니다.
  • affwebservices.log
  • FWSTrace.log
다음 단계를 수행하십시오.
  1. LoggerConfig.properties 파일을 설정하여 affwebservices.log를 구성합니다.
  2. FWS 추적 로깅을 구성합니다.
  3. IdP 정책 서버에 대한 사용자 저장소를 지정합니다.
IdP 정책 서버에 대한 사용자 저장소 지정
IdP 사용자 디렉터리는 아이덴티티 공급자가 어설션을 생성하는 사용자 레코드로 구성됩니다.
다음 단계에서는 관리 UI에서 사용자 디렉터리를 구성하는 방법을 지정합니다. IdP LDAP 디렉터리는 user1 및 user2가 포함된 Sun ONE LDAP 디렉터리입니다.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "인프라", "디렉터리", "사용자 디렉터리"를 차례로 클릭합니다.
  3. "사용자 디렉터리 만들기"를 클릭합니다.
  4. 다음 필드를 작성하십시오.
    • 이름
      IdP LDAP
    • 네임스페이스
      LDAP
    • 서버
      www.idp.demo:42088
  5. "LDAP 설정" 섹션의 다음 필드에 데이터를 입력합니다.
    • 루트
      dc=idp,dc=demo
      다른 값의 경우 기본값을 적용합니다.
    "LDAP 사용자 DN 조회"의 다음 필드에 데이터를 입력합니다.
    • Start(시작)
      uid=
    • ,ou=People,dc=idp,dc=demo
  6. "콘텐츠 보기"를 클릭하여 디렉터리 콘텐츠를 볼 수 있는지 확인합니다.
  7. 제출을 클릭합니다.
  8. IdP에서 가맹 도메인을 설정합니다.
IdP에서 가맹 도메인 설정
아이덴티티 공급자에 대해 서비스 공급자를 식별하려면 가맹 도메인을 생성하고 sp.demo에 대한 서비스 공급자 개체를 추가하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에 로그인합니다.
  2. "페더레이션", "레거시 페더레이션", "가맹 도메인"을 차례로 클릭합니다.
  3. "가맹 도메인 만들기"를 클릭합니다.
  4. 다음 필드를 작성하십시오.
    • 이름
      Federation Sample Partners(페더레이션 샘플 파트너)
    • 설명
      Domain for sp.demo(sp.demo에 대한 도메인)
IdP의 가맹 도메인에 사용자 디렉터리 추가
사용자 디렉터리를 가맹 도메인과 연결하십시오.
다음 단계를 수행하십시오.
  1. "가맹 도메인" 대화 상자의 "사용자 디렉터리" 섹션에 데이터를 입력합니다.
  2. IdP LDAP 디렉터리를 추가합니다.
    사용 중인 네트워크의 경우 IdP에서 설정한 사용자 저장소를 선택합니다.
  3. "확인"을 클릭합니다.
IdP의 가맹 도메인에 서비스 공급자 추가
sp.demo라는 서비스 공급자를 가맹 도메인에 추가하십시오.
다음 단계를 수행하십시오.
  1. 관리 UI에서 "페더레이션", "레거시 페더레이션", "SAML 서비스 공급자"로 이동합니다.
  2. "SAML 서비스 공급자 만들기"를 선택합니다.
  3. 구성 마법사를 따릅니다.
  4. "Federation Sample Partners"(페더레이션 샘플 파트너)를 도메인으로 선택하고 "다음"을 클릭합니다.
  5. "일반" 단계의 다음 필드에 데이터를 입력합니다.
    • 이름
      sp.demo
    • 설명
      서비스 공급자
    • SP ID
      sp.demo
    • IdP ID
      idp.demo
    • 차이 시간(초)
      기본값을 적용합니다.
    • 인증 URL
      http://www.idp.demo/siteminderagent/redirectjsp/redirect.jsp
      이 redirect.jsp는 아이덴티티 공급자 사이트에 설치된 웹 에이전트 옵션 팩에 포함되어 있습니다. 이 배포에서 해당 서버는 www.idp.demo입니다. 사용자에게
      Single Sign-On
      세션이 없는 경우 IdP의 SSO 서비스는 로그인하기 위해 사용자를 인증 URL로 리디렉션합니다.
      성공적으로 인증한 후 redirect.jsp 응용 프로그램은 어설션 생성을 위해 사용자를 SSO 서비스로 다시 리디렉션합니다.
      Single Sign-On
      정책이 이 URL을 보호해야 합니다.
    • 사용
      이 옵션이 선택되어 있는지 확인합니다. 기본적으로 이 옵션은 선택되어 있습니다.
  6. UI를 열고 IdP가 생성하는 어설션의 대상이 되는 사용자 선택으로 이동합니다.
인증 URL 보호(SAML 2.0)
CA Single Sign-on
정책을 사용하여 인증 URL을 보호해야 합니다. 인증 URL을 보호하면 보호된 페더레이션된 리소스를 요청하는 사용자가 IdP에서
CA Single Sign-on
세션을 가지고 있지 않은 경우 해당 사용자에게 인증 챌린지가 표시됩니다.
다음 단계를 수행하십시오.
  1. "도메인"에서 "Authentication URL Protection Domain"(인증 URL 보호 도메인)이라는 정책 도메인을 생성합니다.
  2. "사용자 디렉터리" 페이지에서 IdP LDAP 사용자 디렉터리를 추가합니다.
  3. "Authentication URL Protection domain"(인증 URL 보호 도메인)에서 다음 필드 항목을 사용하여 영구 영역을 생성합니다.
    • 이름
      Authentication URL Protection Realm(인증 URL 보호 영역)
    • IIS용
      조회 단추를 사용하여 FSS 웹 에이전트 선택
      웹 에이전트 옵션 팩이 있는 서버를 보호하는 웹 에이전트입니다.
    • 리소스 필터
      /siteminderagent/redirectjsp/redirect.jsp
    다른 설정의 경우 기본값을 적용합니다.
    • 세션 탭
      영구 세션 선택
  4. "IDP Authentication URL Protection Realm"(IDP 인증 URL 보호 영역)에서 다음 필드 항목을 사용하여 영역 아래에 규칙을 생성합니다.
    • 이름
      Authentication URL Protection Rule(인증 URL 보호 규칙)
    • 영역
      Authentication URL Protection Realm(인증 URL 보호 영역)
    • 리소스가
      *
    • 웹 에이전트 작업
      Get
    다른 설정의 경우 기본값을 적용합니다.
  5. "Authentication URL Protection domain"(인증 URL 보호 도메인)에서 다음 항목을 사용하여 정책을 생성합니다.
    • 이름
      Authentication URL Protection Policy(인증 URL 보호 정책)
    • 사용자 탭
      IdP LDAP 사용자 디렉터리에서 user1 추가
    • 규칙 탭
      Authentication URL Protection Rule(인증 URL 보호 규칙) 추가
    이제 아이덴티티 공급자에서 인증 URL을 보호하는 정책이 만들어졌습니다.
IdP가 생성하는 어설션의 대상이 되는 사용자 선택
가맹 도메인에서 서비스 공급자를 지정하는 경우 어설션 생성기가 생성하는 SAML 어설션의 대상이 되는 사용자 및 그룹 목록을 포함하십시오. 가맹 도메인에 있는 디렉터리의 사용자 및 그룹만 추가하십시오.
어설션 생성을 위해 사용자를 선택하려면
  1. "사용자" 단계로 이동합니다.
  2. "사용자 디렉터리" 섹션에서 이전에 구성된 LDAP 사용자 디렉터리에 대해 "구성원 추가"를 선택합니다.
    "사용자/그룹" 대화 상자가 열립니다.
  3. 다음 필드에 데이터를 입력하여 user1 및 user2를 검색합니다.
    • 검색 유형
      특성-값
    • 특성
      uid
    • *
    해당 직원이 IdP LDAP에 나열됩니다.
  4. "확인"을 클릭합니다.
  5. 마법사의 다음 단계로 이동하여 어설션에 대한 이름 ID를 구성합니다.
어설션에 대한 이름 ID 구성
이름 ID는 어설션에서 사용자를 식별하는 고유한 방법입니다. 관리 UI에 입력하는 NameID가 어설션에 포함됩니다.
이름 ID를 구성하려면
  1. "이름 ID" 단계로 이동합니다.
    "이름 ID" 대화 상자가 표시됩니다.
  2. 다음 필드를 작성하십시오.
    • 이름 ID 형식
      전자 메일 주소
      전자 메일 주소 형식 값은 이름 ID가 사용자 디렉터리의 전자 메일 주소를 사용하여 사용자를 식별해야 함을 의미합니다.
    • 이름 ID 유형 섹션
      사용자 특성
    • 이름 ID 필드 - 특성 이름
      메일
  3. UI를 열고 마법사의 다음 단계로 이동합니다.
IdP에서 POST 싱글 사인온 구성
HTTP-POST를 싱글 사인온에 대한 SAML 2.0 바인딩으로 지정하십시오.
다음 단계를 수행하십시오.
  1. "SAML 프로필" 단계로 이동합니다.
  2. 다음 필드를 작성하십시오.
    • 대상자
      sp.demo
    • AuthnContext 클래스 참조
      urn:oasis:names:tc:SAML:2.0:ac:classes:Password(기본값)
    • 어설션 소비자 서비스
      http://www.sp.demo:81/affwebservices/public/ saml2assertionconsumer
      어설션 소비자 서비스의 URL을 지정합니다. 사용 중인 네트워크에 대해 지정하는 서버는 웹 에이전트 옵션 팩이 설치된 SP 웹 서버입니다.
    • 인증 수준
      5(기본값)
    • 유효 기간 초
      60(기본값)
      테스트 환경에서 다음 메시지가 정책 서버 추적 로그에 나타나면 60을 초과하도록 유효 기간 값을 높입니다.
      Assertion rejected(_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2005)
    • HTTP-POST
      이 확인란을 선택합니다.
  3. 나머지 필드는 무시합니다.
  4. 마법사의 다음 단계로 이동합니다.
기본 샘플 배포에 대해 서명 처리가 사용되지 않도록 설정
프로덕션 환경에서는 어설션에 서명하기 위한 서명 처리가 필요합니다. 하지만 기본 샘플 배포의 경우 서명 처리가 사용되지 않도록 설정하십시오.
중요!
SAML 2.0 프로덕션 환경에서는 서명 처리가 반드시 사용되도록 설정하십시오.
다음 단계를 수행하십시오.
  1. "암호화 및 서명" 단계로 이동합니다.
  2. 페이지의 "서명" 섹션에서 "서명 처리 사용 안 함"을 선택합니다.
  3. "다음"을 클릭하여 마법사의 "특성" 단계로 이동합니다.
서비스 공급자 개체 구성 완료
특성은 서비스 공급자 구성의 마지막 단계입니다. 기본 구성의 경우 특성을 구성하지 마십시오. 대신 "마침"을 클릭하여 서비스 공급자 구성을 완료하십시오. 그러면 구성이 제출됩니다. 아이덴티티 공급자에 대한 서비스 공급자 개체를 식별했습니다.
서비스 공급자 구성
아이덴티티 공급자에서 구성을 마치면 서비스 공급자를 설정해야 합니다.