WS-페더레이션 인증 체계--SAML 프로필

이 페이지에는 다음과 같은 필드가 있습니다.
casso128kkr
HID_wsfed-auth-scheme-saml-profiles
"SAML 프로필" 대화 상자에서는 리소스 파트너가 싱글 사인온 및 사인아웃 통신을 처리하는 방법을 정의합니다.
이 페이지에는 다음과 같은 필드가 있습니다.
  • 리디렉션 모드
    리소스 파트너가 사용자를 대상 리소스로 리디렉션하는 방법을 나타냅니다. "302 데이터 없음" 또는 "302 쿠키 데이터"를 선택하는 경우 다른 구성이 필요 없습니다. "서버 리디렉션" 또는 "특성 유지"를 선택하는 경우에는 추가 구성이 필요합니다.
    • 302 데이터 없음
      (기본값). HTTP 302가 세션 쿠키는 포함하지만 다른 데이터를 제외하여 사용자를 대상으로 전송함을 나타냅니다.
    • 302 쿠키 데이터
      HTTP 302가 세션 쿠키 및 리소스 파트너에 대한 추가 쿠키 데이터를 포함하여 사용자를 대상으로 전송함을 나타냅니다.
    • casso128kkr
      서버 리디렉션
      어설션에서 받은 헤더 및 쿠키 특성 정보를 사용자 지정 대상 응용 프로그램에 전달할 수 있도록 합니다. SAML 2.0 어설션 소비자 서비스 또는 WS-페더레이션 보안 토큰 소비자 서비스는 사용자 자격 증명을 수집한 다음 서버 측 리디렉션을 통해 사용자를 대상 응용 프로그램 URL로 전송합니다. 서버 측 리디렉션은 Java 서블릿 사양의 일부입니다. 모든 표준 호환 서블릿 컨테이너는 서버 측 리디렉션을 지원합니다.
      이 모드를 사용하려면 다음 요구 사항을 따르십시오.
      • 이 모드에 대해 지정하는 URL은 어설션을 소비하는 서블릿의 컨텍스트에 상대적인 URL이어야 하며 일반적으로 /affwebservices/public/입니다. 컨텍스트 루트는 페더레이션 웹 서비스 응용 프로그램의 루트이며 일반적으로 /affwebservices/입니다.
        모든 대상 응용 프로그램 파일은 응용 프로그램 루트 디렉터리에 있어야 합니다. 이 디렉터리는 다음 중 하나입니다.
        - 웹 에이전트:
        web_agent_home
        \webagent\affwebservices
        -
        CA Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • 대상 리소스를 보호하기 위한 영역, 규칙 및 정책을 정의하십시오. 영역은 리소스 필터에 최소한 /affwebservices/ 값을 사용하여 정의해야 합니다.
      • 페더레이션 웹 서비스 응용 프로그램을 지원하는 서버에 사용자 지정 Java 또는 JSP 응용 프로그램을 설치하십시오. 페더레이션 웹 서비스는 웹 에이전트 옵션 팩 또는
        CA Access Gateway
        와 함께 설치됩니다.
        Java 서블릿 기술을 사용하면 응용 프로그램이 ServletRequest 인터페이스의 setAttribute 메서드를 사용하여 두 리소스 요청 간에 정보를 전달할 수 있습니다.
        어설션을 소비하는 서비스는 사용자를 대상으로 리디렉션하기 전에 사용자 특성을 대상 응용 프로그램으로 보냅니다. 이 서비스는 java.util.HashMap 개체를 생성하여 특성을 보냅니다. SAML 특성의 HashMap을 포함하는 특성은 "Netegrity.AttributeInfo"입니다.
        어설션을 소비하는 서비스는 사용자 지정 응용 프로그램에 다음과 같은 두 개의 다른 Java.lang.String 특성을 전달합니다.
        —Netegrity.smSessionID는
        CA Single Sign-on
        세션 ID를 나타냅니다.
        —Netegrity.userDN 특성은
        CA Single Sign-on
        사용자 DN을 나타냅니다.
        사용자 지정 대상 응용 프로그램은 HTTP 요청에서 이러한 개체를 읽고 hashmap 개체에서 찾은 데이터를 사용합니다.
    • PersistAttributes
      HTTP 302가 세션 쿠키는 포함하지만 다른 데이터를 제외하여 사용자를 대상으로 전송함을 나타냅니다. 또한 이 모드는 정책 서버가 어설션에서 추출된 특성을 세션 저장소에 저장하도록 지시합니다. 그러면 해당 특성이 HTTP 헤더 변수로 제공될 수 있습니다. 추가 구성은 SAML 특성을 HTTP 헤더로 사용하는 방법에 대한 지침을 참조하십시오.
      casso128kkr
      참고:
      "특성 유지"를 선택하고 어설션에 비어 있는 특성이 포함되는 경우 세션 저장소에 NULL 값이 기록됩니다. 이 값은 빈 특성에 대한 자리 표시자로 작동합니다. 해당 특성을 사용하는 응용 프로그램에 값이 전달됩니다.
  • 대상
    서비스 공급자 대상 사이트의 대상 리소스 URI를 지정합니다.
  • 단일 사용 정책 적용
    정책의 일회 사용을 적용합니다. 이 옵션을 선택하면 리소스 파트너에서 두 번째 세션을 설정하는 데 어설션이 재사용되지 않습니다.
"사인아웃" 섹션에서는 리소스 파트너가 사인아웃 요청에 응답하는 방법을 구성할 수 있습니다.
이 섹션의 설정은 다음과 같습니다.
  • SignoutJava.lang.String 특성 사용
    WS-페더레이션 사인아웃이 사용되도록 설정합니다.
  • 사인아웃 URL
    계정 파트너의 사인아웃 서블릿 URL을 지정합니다. 기준 URL로 권장되는 항목은 다음과 같습니다.
    https://<ap_service:port>/affwebservices/public/wsfeddispatcher
    참고:
    WSFedDispatcher 서비스는 모든 수신 WS-페더레이션 메시지를 받고 쿼리 매개 변수 데이터를 기반으로 적절한 서비스에 요청 처리를 전달합니다. wsfedsignout 서비스가 있더라도 사인아웃 URL에 wsfeddispatcher URL을 사용하십시오.
"사용자 명확성" 섹션에서는 수신 <RequestSecurityTokenResponse> 메시지의 어설션에서 사용자 정보를 가져오는 방법을 정의합니다.
이 탭에는 다음과 같은 필드와 컨트롤이 있습니다.
사용자 명확성
  • XPath 쿼리
    XPath 쿼리를 지정합니다. XPath 쿼리는 나중에 사용자 로그인 ID로 사용되는 특정 항목을 어설션에서 찾을 위치를 인증 체계에 알려 줍니다. 쿼리가 가져오는 값은 사용자 저장소 항목을 조회하는 검색 사양의 일부가 됩니다.
    아무것도 구성하지 않은 경우 사용되는 기본 XPath 쿼리는 다음과 같습니다.
    /Assertion/Subject/NameID/text()
    Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    The valid Xpath query is:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    인증을 위해 어설션에서 "FirstName" 특성을 가져오기 위한 XPath 쿼리는 다음과 같습니다.
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
  • 사용자 조회
    사용자 디렉터리에서 사용자 레코드를 찾기 위한 검색 사양을 입력할 수 있는 네임스페이스 유형을 표시합니다. 나열되지 않는 네임스페이스의 경우 "사용자 지정" 필드를 사용합니다.
    사용하고 있는 사용자 저장소 유형에 대한 검색 사양을 입력합니다. 검색 사양에서는 사용자 저장소 특성과 Xpath 쿼리가 식별하는 값을 결합합니다. 인증 체계에서는 검색 사양을 사용하여 사용자 저장소에서 사용자 레코드를 찾습니다.
    로그인 ID 값을 나타내려면 %s를 사용합니다.
    예를 들어 로그인 ID가 user1이라고 가정합니다. "검색 사양" 필드에서 "Username=%s"를 지정하는 경우 결과 문자열은 Username=user1입니다. 이 문자열을 사용자 디렉터리의 레코드와 비교하여 인증을 위해 올바른 레코드를 찾습니다.
    여러 %s 변수를 사용하여 필터를 지정할 수도 있습니다. 예를 들면 다음과 같습니다.
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    결과는 다음과 같습니다.
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)