(선택 사항) 백 채널에 대해 클라이언트 인증서 인증이 사용되도록 설정(SAML 2.0)
목차
casso127kkr
목차
2
이 절차는 아티팩트 바인딩을 사용하는 싱글 사인온에만 적용됩니다.
어설션 소비자 서비스가 아이덴티티 공급자에서 어설션을 검색하기 위해 인증 체계에서 인증 정보를 수집합니다. 인증 체계가 어설션 소비자 서비스에 어설션을 검색하기 위해 아이덴티티 공급자에게 제공할 자격 증명 유형을 알려 줍니다. 어설션이 검색된 후 아이덴티티 공급자가 보안 백 채널을 통해 어설션을 서비스 공급자에게 보냅니다. 클라이언트 인증서 인증을 사용하여 백 채널의 보안을 유지할 수 있습니다.
백 채널에 대한 인증서 인증은 선택 사항입니다. 대신 기본 인증을 사용할 수 있습니다.
백 채널에 대한 클라이언트 인증서 인증을 사용하려면
- 백 채널에 대한 클라이언트 인증서 인증을 선택합니다. 이 체계는 인증서가 서비스 공급자에 대한 자격 증명 역할을 함을 나타냅니다.정책 서버가 FIPS 전용 모드로 작동하고 있는 경우에도 비 FIPS 140으로 암호화된 인증서를 사용하여 백 채널의 보안을 유지할 수 있습니다. 하지만 엄격한 FIPS 전용 설치의 경우 FIPS 140 호환 알고리즘으로 암호화된 인증서만 사용하십시오.
어설션 측 정책 서버의 관리자가 어설션 검색 서비스를 보호하도록 정책을 구성해야 합니다. 이 정책에 대한 영역이 X.509 클라이언트 인증서 인증 체계를 사용해야 합니다.
인증서 데이터 저장소에 클라이언트 인증서 추가
인증 기관으로부터 받은 개인 키/인증서 쌍이 있어야 합니다. 관리 UI를 사용하여 개인 키/인증서 쌍을 인증서 데이터 저장소에 추가하십시오. 키/인증서 쌍이 데이터 저장소에 이미 있는 경우 이 단계를 건너뛰십시오.
키/인증서 쌍을 가져오는 경우 할당하는 별칭은 인증 체계 설정에 있는 "이름" 필드와 동일한 값이어야 합니다. 또한 인증서에 있는 "주체"의 CN 특성도 "이름" 필드와 일치해야 합니다. 예를 들어 "이름"이 CompanyA인 경우를 가정합니다. 이 경우 별칭은 Company A이고 "주체"에 대한 CN 값은 CN=CompanyA, OU=Development, O=CA, L=Islandia, ST=NY, C=US여야 합니다.
중요!
인증 체계에 있는 "이름" 필드는 아이덴티티 공급자의 서비스 공급자 개체에 할당된 이름과 일치해야 합니다. Single Sign-On
이 아이덴티티 공급자인 경우 인증 체계에 있는 "이름"은 개체의 "일반" 설정에 있는 "이름" 필드와 일치해야 합니다.백 채널에 대한 클라이언트 인증서 옵션 구성
백 채널에 대해 클라이언트 인증서 인증이 사용되도록 설정하면 인증서가 자격 증명 역할을 합니다.
클라이언트 인증서를 자격 증명으로 제공하려면
- SAML 2.0 인증 체계로 이동합니다.
- "SAML 2.0 구성", "SSO"를 차례로 선택합니다."SSO" 페이지가 표시됩니다.
- "바인딩" 섹션에서 "HTTP-아티팩트"를 선택합니다.
- "확인"을 클릭합니다.
- "암호화 및 서명" 페이지로 이동합니다.
- "백 채널" 섹션에서 "Client Cert for the Authentication"(인증용 클라이언트 인증서) 필드를 선택합니다.
- "SP 이름"에 대한 값을 입력합니다.
- "확인"을 클릭합니다.