신뢰 당사자 구성 요소 설정
목차
casso127kkr
목차
2
신뢰 당사자의 여러 정책 서버 및 웹 에이전트 설정 단계는 다음 예외를 제외하고 어설션 당사자의 경우와 유사합니다.
- 소비자, 서비스 공급자 또는 리소스 파트너를 구성하지 않습니다.
- 정책 서버에서 SAML 또는 WS-페더레이션 인증 체계를 구성합니다.
다음 그림에서는 SAML 1.x 소비자, SAML 2.0 서비스 공급자 또는 WS-페더레이션 리소스 파트너에 필요한 태스크를 보여 줍니다.
참고:
이 절차에서는 대상 리소스가 신뢰 당사자 웹 사이트에 있다고 가정합니다.신뢰 당사자 정책 서버 설치
신뢰 당사자 사이트에 정책 서버를 설치하십시오. 정책 서버는 페더레이션 인증 체계, 어설션 생성기 등의 기능을 제공합니다.
신뢰 당사자 측에서 다음을 수행하십시오.
- 정책 서버를 설치합니다.
- 정책 저장소를 설정합니다.중요!새 정책 저장소를 초기화하면 정책 서버 설치 관리자가 ampolicy.smdif 파일에 있는 가맹 개체를 자동으로 가져옵니다. 이러한 개체는 페더레이션에 필요합니다. 기존 정책 저장소를 사용하는 경우 가맹 개체를 수동으로 가져오십시오. 가져오기가 성공했는지 확인하려면 관리 UI에 로그인하고 "정책", "도메인", "도메인"으로 이동하십시오. 가져오기가 성공한 경우 목록에서 FederationWebServices 도메인 개체를 볼 수 있습니다.
- 사용자 저장소를 설정하고 대상 리소스에 액세스하도록 허용된 사용자를 추가합니다.
SAML 또는 WS-페더레이션 인증 체계 구성
신뢰 당사자 정책 서버에서 각 어설션 당사자의 인증 체계(아티팩트, POST 프로필, SAML 2.0, WS-페더레이션)를 구성하십시오.
중요!
인증 체계에 대해 지정하는 파트너 이름은 어설션 당사자 측에서 지정하는 신뢰 당사자 이름과 일치해야 합니다.구체적인 사항은 다음과 같습니다.
- SAML 1.x 인증 체계의 경우 체계 구성의 "가맹 이름" 필드는 생산자 사이트에 있는 가맹 개체의 가맹 이름과 일치해야 합니다.
- SAML 2.0의 경우 해당 필드인 "SP ID"는 아이덴티티 공급자의 SP ID와 일치해야 합니다.
- WS-페더레이션의 경우 체계 구성에 대한 리소스 파트너 ID는 계정 파트너의 리소스 파트너 ID와 일치해야 합니다.
신뢰 당사자 측에서 대상 리소스 보호
SAML 또는 WS-페더레이션 인증 체계를 생성한 후 해당 체계를 고유 영역이나 단일 사용자 지정 영역에 할당하십시오. 영역은 신뢰 당사자 측에서 사용자 액세스용 어설션이 필요한 대상 리소스를 수집한 것입니다. 신뢰 당사자는 다음 방법 중 하나로 대상 리소스를 식별합니다.
- 사이트 간 전송 URL의 TARGET 변수(SAML 1.x)
- AuthnRequest URL(SAML 2.0 및 WS-페더레이션)
- 인증 체계 구성(SAML 2.0 및 WS-페더레이션)
영역을 생성하여 SAML 또는 WS-페더레이션 인증 체계를 할당한 후 영역에 대한 규칙을 생성하고 리소스를 보호하는 정책에 규칙을 추가하십시오.
웹 에이전트 또는
CA Access Gateway
(신뢰 당사자)를 설치합니다.웹 에이전트는
Single Sign-On
레거시 페더레이션 네트워크의 필수 구성 요소입니다. 웹 서버에 웹 에이전트를 설치하거나 포함된 웹 에이전트가 있는 CA Access Gateway
를 설치할 수 있습니다.신뢰 당사자 측에서 다음 구성 요소를 설정하십시오.
- 다음 구성 요소 중 하나를 설치합니다.
- 웹 서버
- CA Access Gateway
- 웹 에이전트 또는CA Access Gateway를 구성합니다.
웹 에이전트 옵션 팩용 웹 또는 응용 프로그램 서버 설치(신뢰 당사자)
웹 에이전트 및 웹 에이전트 옵션 팩은 있고
CA Access Gateway
는 없는 레거시 페더레이션을 구현하고 있는 경우 웹 에이전트 옵션 팩을 설치하십시오. 웹 또는 응용 프로그램 서버에 이 구성 요소를 설치하십시오.신뢰 당사자 측에서 다음을 수행하십시오.
- 웹 에이전트 옵션 팩과 함께 설치된 응용 프로그램인 페더레이션 웹 서비스를 실행하려면 다음 서버 중 하나를 설치합니다.
- ServletExec를 실행하는 웹 서버
- WebLogic 응용 프로그램 서버
- WebSphere Application Server
- JBoss 응용 프로그램 서버
- Tomcat 응용 프로그램 서버
- 이러한 시스템에 페더레이션 웹 서비스를 배포합니다.
신뢰 당사자 측에서 웹 에이전트 옵션 팩 설치
웹 에이전트 옵션 팩은 레거시 페더레이션의 필수 구성 요소인 페더레이션 웹 서비스 응용 프로그램을 제공합니다.
신뢰 당사자 측에서 다음을 수행하십시오.
- 웹 에이전트 옵션 팩을 설치합니다.
- JDK를 설치하는지 확인합니다. 웹 에이전트 옵션 팩에는 이 JDK가 필요합니다.필요한 JDK 버전을 확인하려면 기술 지원 사이트로 이동하고 "Single Sign-OnPlatform Matrix"(CA Single Sign-On 플랫폼 지원표)를 검색합니다.
참고:
CA Access Gateway
가 페더레이션 웹 서비스 응용 프로그램 기능을 제공하기 위해 웹 에이전트 및 웹 에이전트 옵션 팩을 대체할 수 있습니다.신뢰 당사자 측에서 페더레이션 웹 서비스 구성
이러한 단계를 수행하면 페더레이션 웹 서비스 응용 프로그램을 설정할 수 있습니다. 페더레이션 웹 서비스 응용 프로그램은 웹 에이전트 옵션 팩이나
CA Access Gateway
와 함께 설치됩니다.신뢰 당사자 측에서 페더레이션 웹 서비스를 구성하려면
- 웹 에이전트 옵션 팩을 사용하도록 지원되는 응용 프로그램 서버 중 하나를 구성합니다. 웹 에이전트 옵션 팩 배포 지침을 참조하십시오.CA Access Gateway를 사용하고 있는 경우 페더레이션 웹 서비스 응용 프로그램이 이미 배포되어 있습니다.
- AffWebServices.properties 파일에 있는 AgentConfigLocation 매개 변수를 WebAgent.conf 파일의 전체 경로로 설정합니다. 구문이 올바르고 경로가 파일에 한 줄로 나타나는지 확인합니다.AffWebServices.properties 파일에는 페더레이션 웹 서비스에 대한 초기화 매개 변수가 포함되어 있습니다. 이 파일은 다음 디렉터리 중 하나에 있습니다.
- web_agent_home/affwebservices/WEB-INF/classes
- sps_home/secure-proxy/Tomcat/webapps/affwebservices/WEB-INF/classes
- web_agent_home웹 에이전트가 설치된 위치를 나타냅니다.
- sps_homeCA Access Gateway가 설치된 위치를 나타냅니다.
- 페더레이션 웹 서비스 응용 프로그램에 대해 오류 및 추적 로깅이 사용되도록 설정합니다. 로깅은 LoggerConfig.properties 파일에서 사용되도록 설정됩니다. 로그를 통해 어설션 당사자와 신뢰 당사자 간의 통신을 볼 수 있습니다.
- 오류 로깅은 기본 오류 로그 파일인 affwebserv.log 파일에 기록됩니다.
- 추적 로깅은 기본 추적 로그 파일인 FWSTrace.log 파일에 기록됩니다.
- 웹 브라우저를 열고 다음 링크를 입력하여 페더레이션 웹 서비스를 테스트합니다.http://fqhn:port_number/affwebservices/assertionretriever
- fqhn정규화된 호스트 이름을 정의합니다.
- port_number페더레이션 웹 서비스 응용 프로그램이 설치된 서버의 포트 번호를 정의합니다.
예를 들면 다음과 같습니다.http://myhost.ca.com:81/affwebservices/assertionretriever페더레이션 웹 서비스가 올바로 작동하고 있으면 다음 메시지가 표시됩니다.Assertion Retrieval Service has been successfully initialized. The requested servlet accepts only HTTP POST requests.이 메시지는 페더레이션 웹 서비스가 데이터 작업을 수신 대기하고 있음을 나타냅니다. 페더레이션 웹 서비스가 올바로 작동하고 있지 않으면 어설션 검색 서비스가 실패했다는 메시지가 표시됩니다. 테스트가 실패한 경우 페더레이션 웹 서비스 로그를 살펴보십시오.
페더레이션 웹 서비스에 대한 액세스 허용(어설션 당사자)
casso127kkr
정책 서버를 설치하면
Single Sign-On
이 FWS(페더레이션 웹 서비스) 응용 프로그램에 대한 정책을 생성합니다. FWS 응용 프로그램은 웹 에이전트 옵션 팩과 함께 설치됩니다. 일부 페더레이션 기능의 경우 신뢰 당사자에게 보호된 FWS 서비스에 액세스할 수 있는 권한이 있어야 합니다. 정책에 신뢰 파트너를 추가하는 태스크는 어설션 당사자 측에서만 수행됩니다.예를 들어 싱글 사인온에 대한 HTTP-아티팩트 바인딩의 경우
Single Sign-On
이 어설션을 검색하는 서비스가 정책으로 보호됩니다. Single Sign-On
이 특정 신뢰 파트너에 대한 어설션을 검색하려면 해당 파트너가 서비스를 보호하는 정책에 사용자로 추가되어 있어야 합니다.페더레이션 파트너 관계에 대해 구성된 기능에 적용되는 특정 FWS 정책에 대한 액세스 권한을 부여하십시오.
아티팩트 싱글 사인온을 위한 인증서 데이터 저장소 수정(선택 사항)
인증서 데이터 저장소에는 암호화, 암호 해독, 서명, 확인, 클라이언트 인증 등의 PKI 작업을 위한 키와 인증서가 저장됩니다.
아티팩트 싱글 사인온을 구현하고 있는 경우 어설션 당사자의 인증서 데이터 저장소에는 SSL 연결 설정을 위한 인증 기관 인증서가 저장됩니다. 이 SSL 연결은 신뢰 당사자와 어설션 당사자 간에 설정됩니다. 이 SSL 연결은 아티팩트 싱글 사인온을 위해 어설션을 보내는 데 사용되는 백 채널을 안전하게 보호합니다.
일반 루트 CA 집합이 인증서 데이터 저장소에서 제공됩니다. 데이터 저장소에
없는
웹 서버에 대해 루트 CA를 사용하려면 이러한 루트 CA를 가져오십시오.싱글 사인온을 시작하기 위한 링크 만들기(선택 사항)
SAML 2.0 및 WS-페더레이션의 경우 사용자가 어설션 당사자를 방문하기 전에 신뢰 당사자를 방문하면 하드 코드된 링크를 설정하십시오. 사용자가 하드 코드된 링크를 클릭하면 인증 컨텍스트를 가져오기 위해 어설션 당사자로 리디렉션됩니다. 이 인증 컨텍스트는 신뢰 당사자가 사용자 인증 방법을 이해하는 데 사용되는 특징으로 구성됩니다.
SP에서 SAML 2.0 싱글 사인온 시작(선택 사항)
사용자가 아이덴티티 공급자를 방문하기 전에 서비스 공급자를 방문하는 경우 서비스 공급자는 사용자를 아이덴티티 공급자로 리디렉션해야 합니다. 서비스 공급자에서 AuthnRequest 서비스에 대한 하드 코드된 링크가 포함된 HTML 페이지를 생성하십시오. 그러면 AuthnRequest 서비스가 인증 컨텍스트를 가져오기 위해 사용자를 아이덴티티 공급자로 리디렉션합니다.
참고
HTML 페이지는 보호되지 않은 영역에 있어야 합니다.사용자가 서비스 공급자에서 클릭하는 하드 코드된 링크에는 특정 쿼리 매개 변수가 포함되어 있어야 합니다. 이러한 매개 변수는 AuthnRequest 서비스에 대한 HTTP GET 요청의 일부가 됩니다. AuthnRequest 서비스는 서비스 공급자의 정책 서버에 있습니다.
SAML 2.0(아티팩트 또는 프로필)의 경우 링크 구문은 다음과 같습니다.
http://
sp_server:port
/affwebservices/public/saml2authnrequest?ProviderID=IdP_ID
sp_server:port
웹 에이전트 옵션 팩이나
CA Access Gateway
를 호스트하는 서비스 공급자의 서버 및 포트 번호를 지정합니다.IdP_ID
아이덴티티 공급자 ID를 지정합니다.
사용되도록 설정된 바인딩에 따라 이 링크에 ProtocolBinding 쿼리 매개 변수를 추가할 수 있습니다. 서비스 공급자의 링크 구성에 대한 자세한 내용은 싱글 사인온을 시작하도록 IdP 또는 SP의 링크 설정을 참조하십시오.
참고:
쿼리 매개 변수를 HTTP-인코딩할 필요는 없습니다.아이덴티티 공급자에서 링크를 생성할 수도 있습니다.
리소스 파트너에서 WS-페더레이션 싱글 사인온 시작
사용자가 계정 파트너를 방문하기 전에 리소스 파트너를 방문하는 경우 리소스 파트너는 사용자를 계정 파트너로 리디렉션해야 합니다. 인증하는 데 사용할 계정 파트너에 대한 링크가 포함된 사이트 선택 페이지 등의 HTML 페이지를 생성하십시오. 사용자가 링크를 선택하면 계정 파트너의 싱글 사인온 서비스에 연결됩니다.
참고
사이트 선택 페이지는 보호되지 않은 영역에 있어야 합니다.사용자가 리소스 파트너에서 클릭하는 하드 코드된 링크에는 특정 쿼리 매개 변수가 포함되어 있어야 합니다. 이러한 매개 변수는 계정 파트너의 정책 서버에서 싱글 사인온 서비스에 대한 HTTP GET 요청의 일부입니다.
링크 구문은 다음과 같습니다.
https://
host:port
/affwebservices/public/wsfedsso?wa=wsignin1.0&wtrealm=RP_ID
- host:port싱글 사인온 서비스가 있는 서버 및 포트 번호를 나타냅니다.
- RP_ID리소스 파트너 아이덴티티를 지정합니다.
참고:
쿼리 매개 변수를 HTTP-인코딩할 필요는 없습니다.