인증 컨텍스트 템플릿 구성
목차
casso128kkr
목차
2
인증 컨텍스트 템플릿은 파트너가 지원하는 특정 SAML 2.0 AuthnContext URI를 정의합니다. URI 각각은 특정 컨텍스트 클래스를 나타냅니다. 파트너 관계 단위로 템플릿을 선택할 수 있으며 여러 파트너 관계가 하나의 템플릿을 사용할 수 있습니다.
템플릿은 일반적인 기능 이외에 각 파트너에서 다음과 같은 고유한 기능을 수행합니다.
IdP에서
인증 컨텍스트 템플릿은 SP 요청에서 인증 컨텍스트를 자동으로 감지하도록 IdP가 구성된 경우 IdP에서 필요합니다.템플릿은 URI를 사용자 세션과 관련된 보호 수준에 매핑합니다. 보호 수준은 1부터 1000까지 정책 서버에서 인증 체계의 강도를 나타내며 1000이 가장 강력한 강도입니다. 관리자는 사용자를 인증하고 사용자 세션을 설정하는 인증 체계를 구성할 때 보호 수준을 할당합니다.
SP에서
인증 요청을 통해 전달되는 인증 컨텍스트를 생성하려면 SP의 인증 컨텍스트 템플릿이 필요합니다. SP는 요청을 생성한 후 IdP에 전송합니다. 수신한 어설션이 요청된 인증 컨텍스트를 충족하는지 SP에서 유효성을 검사하는 데도 템플릿이 필요합니다.
인증 컨텍스트 기능을 구성하기 전에 최소한 다음과 같은 지식이 있는지 확인하십시오.
- 인증 컨텍스트 처리와 관련한 SAML 2.0 표준
- 페더레이션 구성 개체
- 관리 UI에 액세스하여 사용하는 방법
다음 그림에서는 각 파트너의 구성 프로세스를 보여 줍니다.
Single Sign-On
은 각 사이트에 설치되어 있지 않아도 됩니다.
인증 컨텍스트와 강도 수준 결정
요청된 리소스에 대한 액세스를 허용하려면 SP에 특정 인증 컨텍스트 클래스와 강도 수준이 설정되어 있어야 합니다. SP에서 리소스의 가치에 따라 SP에서는 IdP로부터 받는 어설션을 신뢰할 수 있어야 합니다.
IdP와 SP의 관리자들은 지원되는 인증 컨텍스트와 각 클래스의 상대적인 강도에 대한 지침을 마련해야 합니다. IdP에서 클래스의 순서와 각 클래스의 상대적인 강도 수준에 따라 SP에 대한 응답이 달라집니다.
예를 들어 SP에서 강도 수준이 3인 인증 컨텍스트 클래스 X.509 인증서를 요청한다고 가정해 보겠습니다. IdP에서는 요청하는 사용자를 적절한 강도 수준에서 인증해야 합니다. 인증 컨텍스트에 대한 평가는 SP에서 보낸 요청의 비교 값에 따라 정의되며, IdP에서 제공하는 인증 컨텍스트는 이 비교가 나타내는 요구 사항을 충족해야 합니다. 강도는 정확히 일치하거나, 최소 또는 최대 수준이거나, 보다 높은 강도 수준입니다.
인증 컨텍스트 템플릿 설정
인증 컨텍스트 처리를 구현하는 데 필요한 인증 컨텍스트 템플릿을 설정하십시오. 이 절차는 아이덴티티 공급자와 서비스 공급자에서 동일합니다.
다음 단계를 수행하십시오.
- 관리 UI에 로그인합니다.
- "페더레이션", "파트너 관계 페더레이션", "인증 컨텍스트 템플릿"을 선택합니다."인증 컨텍스트 템플릿 보기" 창이 열립니다.
- "템플릿 만들기"를 선택합니다. 첫 번째 단계의 템플릿 마법사가 열립니다.
- 템플릿의 이름을 입력합니다.
- 다음 작업 중하나를 수행하십시오.URI를 수동으로 입력하고 "URI 추가"를 클릭합니다."기본 URI 로드"를 클릭하고 미리 정의된 목록에서 URI를 선택합니다. URI를 "사용 가능한 URI"에서 "선택한 URI" 목록으로 이동합니다.
- 선택한 URI를 강도 수준별로 정렬합니다. 강도 수준은 내림차순이며, 가장 강한 URI가 맨 위쪽에 있고 가장 약한 URI가 맨 아래쪽에 있습니다.
- "Next"(다음)를 클릭합니다.
- (선택 사항) 같은 강도 수준으로 지정해야 하는 URI를 연속으로 배치하여 그룹화합니다. "Change Grouping"(그룹화 변경) 화살표를 사용하여 URI를 그룹 내부로 또는 외부로 이동합니다.
- "보호 수준 사용"을 클릭합니다.보호 수준을 인증 체계에서 URI로 매핑합니다. 보호 수준은 1부터 1000까지 인증 체계의 강도를 나타내며 1000이 가장 강력한 강도입니다. 개별 URI는 고유한 보호 수준을 가질 수 있지만 URI를 그룹화하면 해당 그룹 내의 URI가 동일한 강도 수준을 공유합니다.보호 수준은 내림차순으로 할당하십시오. 가장 강력한 컨텍스트를 맨 위에 나열하고 가장 약한 컨텍스트를 맨 아래에 나열하십시오. 최대 보호 수준을 수정할 수 있으며 그렇게 하면 시스템이 최소값을 계산합니다. 관리 UI는 수준 범위에 빈 간격이 없는지 확인하여 각 보호 수준마다 연결된 URI가 있도록 합니다.보호 수준 할당에 대한 자세한 내용을 참조하십시오.
- "마침"을 선택하여 구성을 완료합니다.
템플릿이 완료되었습니다.
인증 컨텍스트 템플릿에 대한 보호 수준 할당
보호 수준은 인증 강도를 보증합니다. 보호 수준을 선택된 각 인증 URI에 할당하십시오. 목록의 각 URI에 대해 최대 수준을 지정하십시오. 최소 보호 수준은 목록에 나오는 URI의 최대 수준을 기반으로 자동으로 계산됩니다. 이 범위는 보호 수준을 반영합니다.
보호 수준 할당은 구성된 정책 서버 인증 체계의 보호 수준을 반영해야 합니다. 예를 들어 정책 서버에서 보호 수준 20의 X.509 인증 체계가 구성된 경우, 템플릿에 지정된 범위에 20이 포함되어야 합니다. 마지막으로, 정책 서버는 이 보호 수준을 기준으로 URI 강도 수준을 생성합니다.
보호 수준 예
정책 서버에 설정된 인증 체계
| 보호 수준
|
urn:oasis:names:tc:SAML:2.0:ac:classes:X509 | 20 |
urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract | 15 |
urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocol | 10 |
urn:oasis:names:tc:SAML:2.0:ac:classes:Password | 5 |
각 URI에 대해 정책 서버는 보호 수준을 URI 강도 수준에 매핑합니다. 이러한 범위는 인증 체계의 보호 수준을 포함합니다. 예를 들면 다음과 같습니다.
- X509 체계는 16에서 1000까지의 보호 수준 포함
- MobileTwoFactorContract는 11에서 15까지의 보호 수준 포함
- Internet Protocol은 6에서 10까지의 보호 수준 포함
- Password는 1에서 5까지의 보호 수준 포함
각 보호 수준은 표에서처럼 URI 강도 수준에 매핑됩니다.
URI
| 보호 수준 최대
| URI 강도
|
urn:oasis:names:tc:SAML:2.0:ac:classes:X509 | 1000 | 4 |
urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract | 15 | 3 |
urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocol | 10 | 2 |
urn:oasis:names:tc:SAML:2.0:ac:classes:Password | 5 | 1 |
몇 개의 URI를 그룹화하면 그룹화를 통해 서로 다른 보호 수준의 URI가 동일한 URI 강도를 갖게 됩니다. 아래의 수정된 표에서는 그룹을 보여 줍니다.
URI
| 보호 수준 최대
| URI 강도
| |
urn:oasis:names:tc:SAML:2.0:ac:classes:X509 | 1000 | 3 | |
urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract | 800 | 3 | |
urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocol | 700 | 2 | |
urn:oasis:names:tc:SAML:2.0:ac:classes:Password | 200 | 1 | |
강도 수준의 범위는 목록에 있는 총 그룹 수를 반영합니다. 예를 들어 세 개의 그룹이 있는 경우 강도 수준의 범위는 1부터 총 그룹 수인 3까지입니다.