WS-페더레이션 어설션에 대한 특성 구성(선택 사항)

목차
casso127kkr
목차
2
특성은 리소스 파트너 리소스에 대한 액세스를 요청하는 사용자에 대한 정보를 제공할 수 있습니다. 특성 명령문은 계정 파트너에서 SAML 어설션에 있는 리소스 파트너로 사용자 특성, DN 특성 또는 정적 데이터를 전달합니다. 모든 구성된 특성은 <AttributeStatement> 요소 하나의 어설션에 포함되거나 어설션의 <EncryptedAttribute> 요소에 포함됩니다.
참고:
어설션에는 특성 명령문이 필요하지 않습니다.
서블릿, 웹 응용 프로그램 또는 기타 사용자 지정 응용 프로그램에서는 특성을 사용하여 사용자 지정된 콘텐츠를 표시하거나 다른 사용자 지정 기능이 사용되도록 설정합니다. 웹 응용 프로그램에서 사용되는 경우 특성은 사용자가 리소스 파트너에서 수행하는 작업을 제한하여 세부적인 액세스 제어를 구현할 수 있습니다. 예를 들어 최대 금액(달러)으로 설정된 "Authorized Amount"(권한 부여된 금액)라는 특성 변수를 보낼 수 있습니다. 이 금액은 사용자가 리소스 파트너에서 소비할 수 있는 한도입니다.
특성은 이름/값 쌍의 형식을 사용합니다. 리소스 파트너가 어설션을 받으면 응용 프로그램에 특성 값을 제공합니다.
특성을 HTTP 헤더나 HTTP 쿠키로 제공할 수 있습니다.
casso127kkr
HTTP 헤더와 HTTP 쿠키에는 어설션 특성이 초과할 수 없는 크기 제한이 있습니다. 크기 제한은 다음과 같습니다.
  • HTTP 헤더의 경우
    Single Sign-On
    은 헤더에 대한 웹 서버 크기 제한까지 헤더에 있는 특성을 보낼 수 있습니다. 헤더당 허용되는 어설션 특성은 하나뿐입니다. 헤더 크기 제한을 확인하려면 해당 웹 서버 설명서를 참조하십시오.
  • HTTP 쿠키의 경우
    Single Sign-On
    은 쿠키에 대한 크기 제한까지 쿠키를 보낼 수 있습니다. 각 어설션 특성은 자체 쿠키로 전송됩니다. 쿠키 크기 제한은 브라우저별로 다르고, 해당 제한은 각 특성에만 적용되는 것이 아니라 응용 프로그램에 전달되고 있는 모든 특성에 적용됩니다. 쿠키 크기 제한을 확인하려면 해당 웹 브라우저 설명서를 참조하십시오.
WS-페더레이션에 대한 어설션 특성 구성
어설션 특성을 구성하려면
  1. 구성하고 있는 리소스 파트너 개체에 대한 "특성" 페이지로 이동합니다.
  2. "특성" 섹션에서 "추가"를 클릭합니다.
    "특성 추가" 대화 상자가 나타납니다.
  3. "특성" 드롭다운에서 이름 형식 식별자를 선택합니다. 어설션의 <Attribute> 요소에 있는 <NameFormat> 특성이 식별자를 지정합니다. 이 값은 리소스 파트너가 이름을 해석할 수 있도록 특성 이름을 분류합니다.
    옵션은 다음과 같습니다.
    • EmailAddress
    • UPN
    • CommonName
    • 그룹
    • NameValue
    이러한 옵션에 대한 자세한 내용은 WS-페더레이션 사양을 참조하십시오.
  4. "특성 설정" 섹션에서 다음 옵션 중 하나를 선택합니다.
    • 정적
    • 사용자 특성
    • DN 특성
    다음 중에서 선택하는 옵션에 따라 "특성 필드" 섹션에서 사용할 수 있는 필드가 결정됩니다.
    필드 설명을 보려면 "도움말"을 클릭하십시오.
  5. 선택 사항입니다. 중첩된 그룹이 있는 LDAP 사용자 디렉터리에서 특성을 검색할 수 있습니다. 정책 서버가 중첩된 그룹에서 DN 특성을 검색하도록 하려면 "특성 종류" 섹션에서 "중첩된 그룹 허용" 확인란을 선택합니다.
  6. 필요한 필드에 특성 종류에 대한 데이터를 입력하고 변경 내용을 저장합니다.
어설션 특성의 최대 길이 지정
casso127kkr
사용자 어설션 특성의 최대 길이를 구성할 수 있습니다. 어설션 특성의 최대 길이를 수정하려면 EntitlementGenerator.properties 파일에서 해당 설정을 변경하십시오.
이 파일에 있는 속성 이름은 구성하고 있는 프로토콜에 따라 다릅니다.
다음 단계를 수행하십시오.
  1. 정책 서버가 설치된 시스템에서
    policy_server_home
    \config\properties\EntitlementGenerator.properties로 이동합니다.
  2. 텍스트 편집기에서 파일을 엽니다.
  3. 사용자의 환경에서 사용하고 있는 프로토콜에 맞게 사용자 특성의 최대 길이를 조정합니다. 각 프로토콜에 대한 설정은 다음과 같습니다.
    WS-페더레이션
    속성 이름: com.netegrity.assertiongenerator.wsfed.MaxUserAttributeLength
    속성 유형: 양의 정수 값
    기본값: 1024
    설명: WS-FED 어설션 특성의 최대 특성 길이를 나타냅니다.
    SAML 1.x
    속성 이름: com.netegrity.assertiongenerator.saml1.MaxUserAttributeLength
    속성 유형: 양의 정수 값
    기본값: 1024
    설명: SAML1.1 어설션 특성의 최대 특성 길이를 나타냅니다.
    SAML 2.0
    속성 이름: com.netegrity.assertiongenerator.saml2.MaxUserAttributeLength
    속성 유형: 양의 정수 값
    기본값: 1024
    설명: SAML2.0 어설션 특성의 최대 특성 길이를 나타냅니다.
  4. 이러한 매개 변수를 변경한 후 정책 서버를 다시 시작합니다.
스크립트를 사용하여 새 특성 만들기
casso127kkr
"특성" 대화 상자의 "고급" 섹션에는 "스크립트" 필드가 포함되어 있습니다. 이 필드에는 "특성 설정" 섹션에 입력한 사항을 기반으로
Single Sign-On
이 생성하는 스크립트가 표시됩니다. 이 필드의 내용을 복사하여 다른 응답 특성에 대한 "스크립트" 필드에 붙여 넣을 수 있습니다.
참고:
다른 특성에 대한 "스크립트" 필드의 내용을 복사하여 붙여 넣는 경우 "특성 종류" 섹션에서 적절한 옵션을 선택하십시오.