SAML 1.x 인증 체계 속성
목차
casso127kkr
목차
인증 체계--SAML 아티팩트 템플릿
SAML 1.x에 대한 SAML 아티팩트 인증 체계를 구성할 수 있습니다. 체계를 구성한 후 영역에 할당할 수 있습니다.
casso127kkr
인증 체계 대화 상자의 일반 및 "체계 일반 설정" 섹션에는 다음 필드가 포함되어 있습니다.
- 이름인증 체계의 이름을 지정합니다.참고:ADAM(Active Directory Application Mode)을 정책 저장소로 사용하는 경우 인증 체계 이름의 최대 길이는 22자입니다.
- 설명인증 체계에 대한 설명을 제공합니다.
체계 일반 설정에서 인증 체계를 식별합니다. 일반 섹션의 이 부분에는 다음 필드가 포함되어 있습니다.
- 인증 체계 유형인증 체계에 사용하려는 템플릿을 지정합니다.
- 보호 수준동일한 정책 도메인 내에서 보호 수준이 같거나 낮은 인증 체계에 대해 Single Sign-On을 허용합니다. 또한 보호 수준 체계가 높은 리소스에 액세스하려면 보호 수준에 대한 추가 인증이 필요합니다.제한:1 및 1000.인증 체계에는 기본 보호 수준이 있으며, 이 수준은 변경할 수 있습니다. 중요한 리소스에는 높은 보호 수준을 사용하고 일반적으로 액세스 가능한 리소스에는 낮은 수준 체계를 사용하십시오.
- 이 인증 체계에 대해 활성화된 암호 정책구성된 암호 정책이 인증 체계와 관련되어 있음을 나타냅니다.
대화 상자의 체계 설정 섹션에서 체계에 대한 상세 정보를 구성합니다.
인증 체계--SAML POST 템플릿
SAML 1.x POST 프로필에 대한 SAML POST 인증 체계를 구성할 수 있습니다. 인증 체계를 구성한 후 영역에 할당하십시오.
casso127kkr
인증 체계 대화 상자의 일반 및 "체계 일반 설정" 섹션에는 다음 필드가 포함되어 있습니다.
- 이름인증 체계의 이름을 지정합니다.참고:ADAM(Active Directory Application Mode)을 정책 저장소로 사용하는 경우 인증 체계 이름의 최대 길이는 22자입니다.
- 설명인증 체계에 대한 설명을 제공합니다.
체계 일반 설정에서 인증 체계를 식별합니다. 일반 섹션의 이 부분에는 다음 필드가 포함되어 있습니다.
- 인증 체계 유형인증 체계에 사용하려는 템플릿을 지정합니다.
- 보호 수준동일한 정책 도메인 내에서 보호 수준이 같거나 낮은 인증 체계에 대해 Single Sign-On을 허용합니다. 또한 보호 수준 체계가 높은 리소스에 액세스하려면 보호 수준에 대한 추가 인증이 필요합니다.제한:1 및 1000.인증 체계에는 기본 보호 수준이 있으며, 이 수준은 변경할 수 있습니다. 중요한 리소스에는 높은 보호 수준을 사용하고 일반적으로 액세스 가능한 리소스에는 낮은 수준 체계를 사용하십시오.
- 이 인증 체계에 대해 활성화된 암호 정책구성된 암호 정책이 인증 체계와 관련되어 있음을 나타냅니다.
대화 상자의 체계 설정 섹션에서 체계에 대한 상세 정보를 구성합니다.
인증 체계--SAML 아티팩트 템플릿--체계 설정
SAML 1.x 아티팩트 인증 체계의 "체계 설정" 섹션에서는 다음을 지정할 수 있습니다.
- 소비자가 생산자와 통신하여 어설션을 검색하는 방법
- 사용자를 어설션으로 인증하는 방법
- 사용자를 대상 리소스에 전달하는 방법
체계 설정 섹션의 필드는 다음과 같습니다.
- 가맹 이름소비자의 이름을 지정합니다. 영문자 문자열(예: CompanyA)을 입력합니다.입력하는 이름은 생산자의 관련 가맹 개체에 대한 "이름" 필드 값과 일치해야 합니다.중요!SAML 아티팩트 프로필의 경우 생산자는 보호된 백 채널을 통해 어설션을 소비자에게 보냅니다. 기본 또는 클라이언트 인증서 인증을 사용하여 백 채널을 보호합니다.HTTP-아티팩트 Single Sign-On의 경우 이 필드에 다음과 같은 구성 지침이 적용됩니다.
- 암호소비자가 생산자에 자신을 확인시키는 데 사용하는 암호를 정의합니다.이 암호는 생산자 사이트에서 소비자에 대해 입력한 암호와 일치해야 합니다.
- 회사 원본 ID생산자의 원본 ID를 지정합니다. SAML 사양 표준에서는 생산자를 식별하는 20 바이트 바이너리 16진수 인코딩 숫자로 원본 ID를 정의합니다. 소비자는 이 ID를 사용하여 어설션 발급자를 식별합니다.생산자가 대역 외 통신에서 제공하는 ID를 입력합니다.CA Single Sign-on이 생산자인 경우 원본 ID는policy_server_home/config/properties 디렉터리에 있는 SAML 1.x 어설션 생성자 속성 파일인 AMAssertionGenerator.properties에 있습니다.기본 "회사 원본 ID" 값은 b818452610a0ea431bff69dd346aeeff83128b6a입니다.참고:AMAssertionGenerator.properties는 SAML 1.x 프로필에만 사용됩니다.
- 어설션 검색 URL소비자가 SAML 어설션을 검색하는 생산자의 서비스 URL을 정의합니다. 특히, 이 URL은 어설션 검색 서비스의 위치를 식별하며 이 위치는 SSL 연결을 통해 액세스되는 URL이어야 합니다.생산자의 어설션 검색 서비스가 SSL을 통한 기본 인증 체계의 일부인 경우 기준 URL은 다음과 같습니다.https://idp_server:port/affwebservices/assertionretriever생산자의 어설션 검색 서비스가 X.509 클라이언트 인증서 인증 체계를 사용하는 영역의 일부인 경우 기준 URL은 다음과 같습니다.https://idp_server:port/affwebservices/certassertionretrieveridp_server:port웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이를 호스트하는 웹 서버와 포트를 식별합니다.
- 대상자(선택 사항) SAML 어설션의 대상자를 정의합니다."대상자"는 생산자와 소비자 간의 비즈니스 계약 조건을 설명하는 문서의 위치를 식별합니다. 관리자가 생산자 사이트의 대상자를 결정합니다. 이 필드의 값은 생산자에 지정된 대상자와 일치해야 합니다. 대상자 값은 1K를 넘지 않아야 합니다.대상자를 지정하려면 URL을 입력합니다. 이 요소는 대/소문자를 구분합니다. 예를 들면 다음과 같습니다.http://www.companya.com/SampleAudience
- D-서명 별칭소비자가 어설션의 디지털 서명을 확인하는 데 사용하는 인증서 데이터 저장소의 인증서 별칭을 지정합니다. 이 별칭은 인증서에 해당합니다. 확인에 사용되는 인증서 유형은 CertificateEntry 또는 KeyEntry 인증서입니다.
- 인증어설션 검색 서비스를 포함하는 생산자의 영역에 대한 인증 방법을 지정합니다. 이 필드 값은 소비자의 SAML 자격 증명 수집기가 제공해야 하는 자격 증명의 유형을 결정합니다. 이러한 자격 증명을 사용하여 소비자는 어설션 검색 서비스에 액세스하고 SAML 어설션을 검색할 수 있습니다.어설션 검색 서비스는 생산자의 정책 서버에서 어설션을 가져온 다음 SSL 백 채널을 통해 소비자로 보냅니다. 어설션 검색 서비스를 보호하는 것이 좋습니다.다음 옵션 중 하나를 선택하십시오.
- 기본 인증기본 또는 SSL을 통한 기본 인증 체계에 의해 보호되는 영역의 일부인 어설션 검색 서비스에 사용됩니다."기본 인증"을 선택하는 경우 생산자 또는 소비자에 추가 구성이 필요하지 않습니다. 단, SSL 연결을 설정한 인증 기관 인증서가 소비자의 인증서 데이터 저장소에 없는 경우에는 예외입니다. 데이터 저장소에 적절한 인증서가 없는 경우 인증서를 가져오십시오.
- 클라이언트 인증서X.509 클라이언트 인증서 인증 체계에 의해 보호되는 영역의 일부인 어설션 검색 서비스에 사용됩니다. 이 옵션을 선택하는 경우 클라이언트 인증서를 사용하여 어설션 검색 서비스에 대한 액세스를 구성하십시오."클라이언트 인증서"를 선택하는 경우 클라이언트 인증서로 어설션 검색 서비스에 액세스할 수 있도록 소비자 및 생산자에서 구성 단계를 완료하십시오.정책 서버가 FIPS 전용 모드로 작동하고 있는 경우에도 비 FIPS 140으로 암호화된 인증서를 사용하여 백 채널의 보안을 유지할 수 있습니다. 그러나 FIPS 전용 설치의 경우 FIPS 140 호환 알고리즘으로 암호화된 인증서만 사용하십시오.
- 암호 확인"암호" 필드에 지정된 암호를 확인합니다.
- SAML 버전어설션을 생성할 때 사용되는 SAML 사양의 버전을 지정합니다. 선택 항목은 1.0 또는 1.1입니다. SAML 1.1이 기본값입니다.생산자나 소비자가 사용하는 SAML 프로토콜 및 어설션 버전은 일치해야 합니다. 예를 들어 SAML 1.1을 사용하는 생산자가 SAML 1.0 요청을 받으면 오류를 반환합니다. SAML 1.1을 사용하는 소비자가 SAML 1.1 프로토콜 요소에 포함된 SAML 1.0 어설션을 받으면 오류를 반환합니다.
- 리디렉션 모드SAML 자격 증명 수집기가 사용자를 대상 리소스에 리디렉션하는 방법을 나타냅니다. "302 데이터 없음" 또는 "302 쿠키 데이터"를 선택하는 경우 다른 구성이 필요 없습니다. "서버 리디렉션" 또는 "특성 유지"를 선택하는 경우에는 추가 구성이 필요합니다.
- 302 데이터 없음(기본값)HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
- 302 쿠키 데이터HTTP 302 리디렉션을 통해 사용자를 리디렉션하며 세션 쿠키와, 어설션을 생성한 사이트에서 구성된 추가 쿠키 데이터를 포함합니다.
- casso127kkr서버 리디렉션SAML 어설션의 일부로 수신하는 헤더 및 쿠키 특성 정보를 사용자 지정 대상 응용 프로그램에 전달할 수 있도록 합니다. SAML 자격 증명 수집기는 서버 측 리디렉션 기술을 사용하여 사용자를 대상 응용 프로그램 URL로 전송합니다. 서버 측 리디렉션은 Java 서블릿 사양의 일부입니다. 모든 표준 호환 서블릿 컨테이너에서는 서버 측 리디렉션을 지원합니다.서버 리디렉션 모드를 사용하려면 다음 요구 사항을 따르십시오.
- 어설션을 소비하는 서블릿(대개 /affwebservices/public/)의 컨텍스트에 상대적인 이 모드의 URL을 지정하십시오. 컨텍스트 루트는 페더레이션 웹 서비스 응용 프로그램의 루트이며 일반적으로 /affwebservices/입니다.모든 대상 응용 프로그램 파일은 응용 프로그램의 루트 디렉터리에 있어야 합니다. 이 디렉터리는 다음 중 하나입니다.
- 웹 에이전트:web_agent_home\webagent\affwebservices
- SPS 페더레이션 게이트웨이:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- 대상 리소스를 보호하기 위한 영역, 규칙 및 정책을 정의하십시오. 영역은 리소스 필터에 최소한 /affwebservices/ 값을 사용하여 정의해야 합니다.
- 페더레이션 웹 서비스 응용 프로그램을 실행하는 서버에 사용자 지정 Java 또는 JSP 응용 프로그램을 설치하십시오. 이러한 응용 프로그램은 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이와 함께 설치됩니다.Java 서블릿 기술을 사용하면 응용 프로그램이 ServletRequest 인터페이스의 setAttribute 메서드를 사용하여 두 리소스 요청 간에 정보를 전달할 수 있습니다.어설션을 소비하는 서비스는 사용자 특성을 대상 응용 프로그램으로 보냅니다. 서비스에서 사용자를 대상 응용 프로그램으로 리디렉션하기 전에 요청 개체의 여러 가지 특성 개체가 설정됩니다.서비스에서는 두 개의 java.util.HashMap 개체를 생성합니다. 하나는 모든 헤더 특성을 저장하고 다른 하나는 모든 쿠키 특성을 저장합니다. 서비스에서는 고유 특성 이름을 사용하여 각 hashmap 개체를 나타냅니다.
- Netegrity.HeaderAttributeInfo 특성은 헤더 특성을 포함하는 hashmap을 나타냅니다.
- Netegrity.CookieAttributeInfo 특성은 쿠키 특성을 포함하는 hashmap을 나타냅니다.
사용자 아이덴티티를 사용자 지정 응용 프로그램에 전달하기 위해 서비스를 소비하는 어설션에서 두 개의 다른 Java.lang.String 특성이 설정됩니다.- Netegrity.smSessionID 특성은 세션 ID를 나타냅니다.
- Netegrity.userDN 특성은 사용자 DN을 나타냅니다.
소비자 사이트의 사용자 지정 대상 응용 프로그램은 HTTP 요청 개체에서 이러한 개체를 읽을 수 있으며 hashmap 개체에 있는 데이터를 사용합니다. - 특성 유지HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다. 또한 이 모드에서는 정책 서버가 어설션에서 추출하는 특성을 세션 저장소에 저장하도록 지시합니다. 그러면 이 특성을 HTTP 헤더 변수로 제공할 수 있습니다. 추가 구성은 SAML 특성을 HTTP 헤더로 사용하는 방법에 대한 지침을 참조하십시오.casso127kkr참고:"특성 유지"를 선택하고 어설션에 비어 있는 특성이 포함되는 경우 세션 저장소에 NULL 값이 기록됩니다. 이 값은 빈 특성에 대한 자리 표시자로 작동합니다. 해당 특성을 사용하는 응용 프로그램에 값이 전달됩니다.
- 발급자소비자에 대한 어설션을 발급하는 생산자를 식별합니다. 이 요소는 대/소문자를 구분합니다.소비자는 이 발급자의 어설션만 수락합니다. 생산자의 관리자가 발급자를 결정합니다.참고:발급자에 대해 입력하는 값은 생산자의 AssertionIssuerID 값과 일치해야 합니다. 이 값은siteminder_home/Config/properties/AMAssertionGenerator.properties에 있는 AMAssertionGenerator.properties 파일에 지정합니다.
- 데이터 XPATH 검색XPath 쿼리는 나중에 사용자 로그인 ID로 사용되는 특정 항목을 어설션에서 찾을 위치를 인증 체계에 알려 줍니다. 쿼리가 가져오는 값은 사용자 저장소 항목을 조회하는 네임스페이스 사양의 일부가 됩니다.casso127kkrXpath 쿼리에는 네임스페이스 접두사를 포함할 수 없습니다. 다음은Xpath 쿼리의 예입니다.잘못된/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()유효한 Xpath 쿼리는 다음과 같습니다.//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()예를 들면 다음과 같습니다.다음 쿼리는 어설션에서 사용자 이름 특성의 텍스트를 추출합니다."/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""/Username/text()"는 약식 구문을 사용하여 SAML 어설션에서 첫 번째 사용자 이름 요소의 텍스트를 추출합니다.다른 예:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"이 쿼리 문자열은 생산자 사이트에 나열되는 첫 번째 특성으로 구성된 "uid"라는 헤더 특성 텍스트를 추출합니다.다음과 같은 약식 구문을 사용하면 uid라는 헤더 특성 텍스트가 추출됩니다."substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- 인증 세션 변수 유지(선택 사항) 인증 컨텍스트 데이터가 세션 저장소에 세션 변수로 저장되도록 지정합니다. 정책 서버는 이러한 변수에 액세스하여 인증 결정에 사용할 수 있습니다. 예를 들어 활성 응답이나 정책 식에 인증 컨텍스트 변수를 포함할 수 있습니다.
- casso127kkr활성레거시 페더레이션 구성이 특정 파트너 관계에서 사용 중인지 여부를 나타냅니다. 정책 서버가 레거시 페더레이션 구성을 사용하고 있는 경우 이 확인란이 선택되어 있는지 확인하십시오. 원본 IDߙ등의 아이덴티티 설정에 유사한 값을 사용하여 페더레이션된 파트너 관계를 다시 생성했을 경우 페더레이션된 파트너 관계를 활성화하기 전에 이 확인란의 선택을 취소하십시오.Single Sign-On에서는 동일한 아이덴티티 값을 사용하는 레거시 및 파트너 관계 구성을 사용할 수 없습니다. 이 경우 이름 충돌이 발생합니다.
체계 설정 구성의 다른 섹션은 다음과 같습니다.
인증 체계--SAML POST 템플릿--체계 설정
"체계 설정" 섹션에서는 다음 정보를 지정합니다.
- 소비자가 생산자와 통신하여 어설션을 검색하는 방법
- 해당 어설션을 기반으로 하는 사용자를 인증하는 방법
- 사용자를 대상 리소스에 전달하는 방법
SAML POST 인증 템플릿의 필드는 다음과 같습니다.
- 가맹 이름소비자의 이름을 지정합니다. 영문자 문자열(예: CompanyA)을 입력합니다.입력하는 이름은 생산자 사이트의 가맹 도메인에 있는 소비자의 이름과 일치해야 합니다.
- 대상자SAML 어설션의 대상자를 정의합니다.생산자와 소비자 간의 비즈니스 계약 조건을 설명하는 문서의 위치를 식별합니다. 관리자가 생산자 사이트의 대상자를 결정합니다. 이 값은 생산자 사이트의 소비자에 대한 대상자와도 일치해야 합니다.대상자를 지정하려면 URL을 입력합니다. 이 요소는 대/소문자를 구분합니다. 대상자 값은 1K를 넘지 않아야 합니다.예: http://www.ca.com/SampleAudience
- 어설션 소비자 URL어설션 소비자(SAML 자격 증명 수집기와 동의어)의 URL을 지정합니다. 이 URL은 브라우저가 생성된 어설션을 포스트해야 하는 위치입니다. 기준 URL은 다음과 같습니다.http://consumer_server:port/affwebservices/public/samlccconsumer_server:port웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이를 호스트하는 웹 서버와 포트를 식별합니다.예: http://www.discounts.com:85/affwebservices/public/samlcchttp://www.discounts.com:85/affwebservices/public/samlcc
- Dsig 발급자 DNSAML POST 응답에 서명하는 인증서 발급자의 고유 이름을 지정합니다. 생산자는 POST 응답에 서명해야 합니다. 소비자는 응답을 받으면 이 매개 변수와 일련 번호 매개 변수의 데이터를 사용하여 서명을 확인합니다. 이러한 두 매개 변수는 응답에 서명한 인증서의 발급자를 나타냅니다.서명을 확인하는 인증서는 인증서 데이터 저장소에 있어야 합니다.
- 데이터 XPATH 검색XPath 쿼리는 나중에 사용자 로그인 ID로 사용되는 특정 항목을 어설션에서 찾을 위치를 인증 체계에 알려 줍니다. 쿼리가 가져오는 값은 사용자 저장소 항목을 조회하는 네임스페이스 사양의 일부가 됩니다. Xpath 쿼리에는 네임스페이스 접두사를 포함할 수 없습니다.다음은 잘못된 Xpath 쿼리의 예입니다./saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()유효한 Xpath 쿼리는 다음과 같습니다.//Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()예다음 쿼리는 어설션에서 사용자 이름 특성의 텍스트를 추출합니다."/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()"는 약식 구문을 사용하여 SAML 어설션에서 첫 번째 사용자 이름 요소의 텍스트를 추출합니다.다른 예:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"이 쿼리는 생산자 사이트에서 가맹 개체의 첫 번째 특성으로 구성된 "uid"라는 헤더 특성의 텍스트를 추출합니다.문자열 "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"는 "uid"라는 헤더 특성의 텍스트를 추출합니다. 이 특성은 약식 구문을 사용하여 생사자 사이트의 가맹 개체에 대해 구성된 첫 번째 특성입니다.
- SAML 버전SAML 버전을 지정합니다(비활성. 기본값은 1.1로, POST 프로필 어설션이 SAML 버전 1.1 규격임을 나타냄).SAML 생산자와 소비자는 동일한 버전인 어설션과 응답을 생성하고 소비해야 합니다.
- 리디렉션 모드SAML 자격 증명 수집기 서블릿이 사용자를 대상 리소스에 리디렉션하는 방법을 지정합니다. "302 데이터 없음" 또는 "302 쿠키 데이터"를 선택하는 경우 다른 구성이 필요 없습니다. "서버 리디렉션" 또는 "특성 유지"를 선택하는 경우에는 추가 구성이 필요합니다.
- 302 데이터 없음(기본값). HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
- 302 쿠키 데이터HTTP 302 리디렉션을 통해 사용자를 리디렉션하며 세션 쿠키와, 어설션을 생성한 사이트에서 구성된 추가 쿠키 데이터를 포함합니다.
- casso127kkr서버 리디렉션SAML 어설션의 일부로 수신하는 헤더 및 쿠키 특성 정보를 사용자 지정 대상 응용 프로그램에 전달할 수 있도록 합니다. SAML 자격 증명 수집기는 서버 측 리디렉션 기술을 사용하여 사용자를 대상 응용 프로그램 URL로 전송합니다. 서버 측 리디렉션은 Java 서블릿 사양의 일부입니다. 모든 표준 호환 서블릿 컨테이너에서는 서버 측 리디렉션을 지원합니다.서버 리디렉션 모드를 사용하려면 다음 요구 사항을 따르십시오.
- 어설션을 소비하는 서블릿(대개 /affwebservices/public/)의 컨텍스트에 상대적인 이 모드의 URL을 지정하십시오. 컨텍스트 루트는 페더레이션 웹 서비스 응용 프로그램의 루트이며 일반적으로 /affwebservices/입니다.모든 대상 응용 프로그램 파일은 응용 프로그램의 루트 디렉터리에 있어야 합니다. 이 디렉터리는 다음 중 하나입니다.
- 웹 에이전트:web_agent_home\webagent\affwebservices
- SPS 페더레이션 게이트웨이:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- 대상 리소스를 보호하기 위한 영역, 규칙 및 정책을 정의하십시오. 영역은 리소스 필터에 최소한 /affwebservices/ 값을 사용하여 정의해야 합니다.
- 페더레이션 웹 서비스 응용 프로그램을 실행하는 서버에 사용자 지정 Java 또는 JSP 응용 프로그램을 설치하십시오. 이러한 응용 프로그램은 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이와 함께 설치됩니다.Java 서블릿 기술을 사용하면 응용 프로그램이 ServletRequest 인터페이스의 setAttribute 메서드를 사용하여 두 리소스 요청 간에 정보를 전달할 수 있습니다.어설션을 소비하는 서비스는 사용자 특성을 대상 응용 프로그램으로 보냅니다. 서비스에서 사용자를 대상 응용 프로그램으로 리디렉션하기 전에 요청 개체의 여러 가지 특성 개체가 설정됩니다.서비스에서는 두 개의 java.util.HashMap 개체를 생성합니다. 하나는 모든 헤더 특성을 저장하고 다른 하나는 모든 쿠키 특성을 저장합니다. 서비스에서는 고유 특성 이름을 사용하여 각 hashmap 개체를 나타냅니다.
- Netegrity.HeaderAttributeInfo 특성은 헤더 특성을 포함하는 hashmap을 나타냅니다.
- Netegrity.CookieAttributeInfo 특성은 쿠키 특성을 포함하는 hashmap을 나타냅니다.
사용자 아이덴티티를 사용자 지정 응용 프로그램에 전달하기 위해 서비스를 소비하는 어설션에서 두 개의 다른 Java.lang.String 특성이 설정됩니다.- Netegrity.smSessionID 특성은 세션 ID를 나타냅니다.
- Netegrity.userDN 특성은 사용자 DN을 나타냅니다.
소비자 사이트의 사용자 지정 대상 응용 프로그램은 HTTP 요청 개체에서 이러한 개체를 읽을 수 있으며 hashmap 개체에 있는 데이터를 사용합니다. - 특성 유지HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다. 또한 이 모드에서는 정책 서버가 어설션의 특성을 세션 저장소에 저장하여 이 특성이 HTTP 헤더 변수로 제공될 수 있게 합니다. 추가 구성은 SAML 특성을 HTTP 헤더로 사용하는 방법에 대한 지침을 참조하십시오.casso127kkr참고:"특성 유지"를 선택하고 어설션에 비어 있는 특성이 포함되는 경우 세션 저장소에 NULL 값이 기록됩니다. 이 값은 빈 특성에 대한 자리 표시자로 작동합니다. 해당 특성을 사용하는 응용 프로그램에 값이 전달됩니다.
- 발급자소비자에 대한 어설션을 발급하는 생산자를 식별합니다. 이 요소는 대/소문자를 구분합니다.소비자는 이 발급자의 어설션만 수락합니다. 관리자가 생산자의 발급자를 결정합니다.참고:발급자에 대해 입력하는 값은 생산자 사이트의 AssertionIssuerID 값과 일치해야 합니다. 이 값은policy_server_home/Config/properties/AMAssertionGenerator.properties에 있는 AMAssertionGenerator.properties 파일에 지정합니다.
- 일련 번호인증서 데이터 저장소에 있는 소비자 인증서의 일련 번호(16진수 문자열)를 지정합니다. 이 값을 "Dsig 발급자 DN"과 함께 사용하여 SAML POST 응답에 디지털 서명하기 위한 인증서를 찾습니다.
- casso127kkr활성레거시 페더레이션 구성이 특정 파트너 관계에서 사용 중인지 여부를 나타냅니다. 정책 서버가 레거시 페더레이션 구성을 사용하고 있는 경우 이 확인란이 선택되어 있는지 확인하십시오. 원본 IDߙ등의 아이덴티티 설정에 유사한 값을 사용하여 페더레이션된 파트너 관계를 다시 생성했을 경우 페더레이션된 파트너 관계를 활성화하기 전에 이 확인란의 선택을 취소하십시오.Single Sign-On에서는 동일한 아이덴티티 값을 사용하는 레거시 및 파트너 관계 구성을 사용할 수 없습니다. 이 경우 이름 충돌이 발생합니다.
- 인증 세션 변수 유지(선택 사항) 인증 컨텍스트 데이터가 세션 저장소에 세션 변수로 저장되도록 지정합니다. 정책 서버는 이러한 변수에 액세스하여 인증 결정에 사용할 수 있습니다. 예를 들어 활성 응답이나 정책 식에 인증 컨텍스트 변수를 포함할 수 있습니다.
체계 설정 구성의 다른 섹션은 다음과 같습니다.
인증 체계--네임스페이스 사양
"네임스페이스 사양" 섹션에는 네임스페이스 유형 및 관련 검색 사양이 나열됩니다.
CA Single Sign-on
은 이 정보를 사용하여 사용자 저장소에서 사용자를 조회합니다.검색 사양에서는 XPath 쿼리가 어설션에서 검색하여 사용자 저장소 항목의 특성에 매핑하는 데이터를 사용합니다. XPath 쿼리는 사용자 로그인 ID로 사용되는 특정 항목을 어설션에서 찾습니다. 쿼리는 "데이터 XPATH 검색" 필드에 정의합니다.
검색 사양의 일부로 %s를 대체하여 XPath 쿼리가 어설션에서 가져오는 값을 나타낼 수 있습니다. 예를 들어 XPATH 쿼리가 SAML 어설션에서
user1
값을 검색합니다. LDAP 필드에 검색 사양 uid=%s
를 입력하는 경우 결과 문자열은 uid=user1입니다. 올바른 인증 기록을 찾기 위해 이 문자열이 사용자 디렉터리와 비교하여 확인됩니다.여러 %s 변수를 사용하여 필터를 지정할 수도 있습니다. 예를 들면 다음과 같습니다.
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
결과는 다음과 같습니다.
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
사용자 환경의 각 네임스페이스 유형에 대한 검색 사양을 입력합니다.
인증 체계--추가 구성(SAML 1.x 아티팩트, POST)
인증 체계의 "추가 구성" 섹션에서는 메시지 소비자 플러그 인을 구성하고 인증 과정에서 어설션 처리 오류에 대한 URL을 리디렉션할 수 있습니다. 또한 소비자 사이트의 대상 리소스를 지정합니다.
"추가 구성" 섹션에는 다음과 같은 필드가 있습니다.
메시지 소비자 플러그 인전체 Java 클래스 이름
(선택 사항) 인증 체계의 메시지 소비자 플러그 인 인터페이스를 구현하는 클래스의 정규화된 Java 클래스 이름을 지정합니다.
매개 변수
API가 "전체 Java 클래스 이름" 필드에 지정된 플러그 인에 전달하는 매개 변수의 문자열을 지정합니다.
상태 리디렉션 URL 및 모드
어설션을 소비하는 사이트에서 어설션 기반 인증이 여러 이유로 실패할 수 있습니다. 인증이 실패하면 추가 처리를 위해 사용자가 다른 응용 프로그램(URL)으로 리디렉션됩니다. 예를 들어 사용자 명확성이 실패하는 경우 정책 서버는 사용자를 프로비저닝 시스템으로 리디렉션합니다. 이 프로비저닝 시스템은 SAML 어설션에서 찾은 정보를 기반으로 하는 사용자 계정을 생성할 수 있습니다.
참고:
오류 리디렉션은 시스템이 요청을 성공적으로 구문 분석하고 어설션 및 신뢰 당사자를 식별하기 위해 필요한 정보를 가져올 수 있는 경우에만 발생합니다.다음 옵션은 실패가 발생하게 된 조건에 따라 사용자를 구성된 URL로 리디렉션합니다.
Redirect URL for the User Not Found status(사용자를 찾을 수 없음 상태에 대한 리디렉션 URL)
(선택 사항) 사용자를 찾을 수 없는 경우 정책 서버가 사용자를 리디렉션하는 URL을 식별합니다. 사용자를 찾을 수 없음 상태는 Single Sign-On 메시지에 LoginID가 없거나 사용자 디렉터리에 LoginID가 포함되어 있지 않은 경우에 적용됩니다.
- Redirect URL for the Invalid SSO Message Status(잘못된 SSO 메시지 상태에 대한 리디렉션 URL)(선택 사항) 다음 조건 중 하나에 해당하는 경우 사용자가 리디렉션되는 URL을 식별합니다.
- Single Sign-On 메시지가 SAML 스키마에서 지정한 규칙에 맞지 않고 잘못되었습니다.
- 소비자에게 암호화된 어설션이 필요하지만 Single Sign-On 메시지에 암호화된 어설션이 포함되어 있지 않음
- Redirect URL for the Unaccepted User Credential (SSO Message) status(수락되지 않은 사용자 자격 증명(SSO 메시지)에 대한 리디렉션 URL)(선택 사항) 사용자를 찾을 수 없음 또는 잘못된 사인온 메시지 외의 오류 조건에 대해 사용자가 리디렉션되는 URL을 식별합니다. 어설션이 유효하더라도 다음과 같은 특정 이유로 인해 정책 서버가 메시지를 수락하지 않습니다.
- XML 디지털 서명 유효성 검사가 실패합니다.
- XML 암호 해독 작업이 실패합니다.
- 만료된 메시지 또는 대상자 불일치 등과 같이 조건에 대한 XML 유효성 검사가 실패합니다.
- SSO 메시지의 어설션에 인증 문이 포함되어 있지 않습니다.
- Mode사용자가 리디렉션 URL로 리디렉션되는 방법을 지정합니다. 옵션은 다음과 같습니다.
- 302 데이터 없음(기본값)HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
- HTTP PostHTTP POST 프로토콜을 사용하여 사용자를 리디렉션합니다.
대상 페이지 구성
대화 상자의 이 섹션에서는 소비자 사이트의 대상 리소스 URL을 지정할 수 있습니다. 쿼리 매개 변수가 있는 경우 정책 서버가 URL을 인증 응답 URL의 TARGET 쿼리 매개 변수 값으로 대체하는지 여부를 결정합니다.
- 기본 대상 URL(선택 사항) 소비자에 있는 대상 리소스의 URL을 지정합니다. 이 대상은 사용자가 요청할 수 있는 보호되는 페더레이션된 리소스입니다.소비자가 기본 대상을 사용하지 않아도 됩니다. Single Sign-On을 시작하는 링크에는 대상을 지정하는 쿼리 매개 변수가 포함될 수 있습니다.
- 쿼리 매개 변수 TARGET은 기본 대상 URL에 우선합니다.(선택 사항) "기본 대상 URL" 필드에 지정된 값을 응답의 TARGET 쿼리 매개 변수 값으로 대체합니다. TARGET 쿼리 매개 변수를 사용하여 대상을 동적으로 정의할 수 있습니다. 각 인증 응답에 따라 대상을 변경할 수 있습니다 유연한 TARGET 쿼리 매개 변수를 통해 대상을 더 세부적으로 제어할 수 있습니다. 반면 "기본 대상 URL" 값은 정적 값입니다.이 확인란은 기본적으로 선택되어 있습니다.