SAML 2.0 인증 체계 - SSO 설정
목차
casso128kkr
HID_saml2-auth-sso
목차
SSO 설정에서는 서비스 공급자에서 SSO(싱글 사인온)가 처리되는 방식을 구성합니다.
페이지의 SSO 섹션에는 다음 설정이 포함되어 있습니다.
- 리디렉션 모드서비스 공급자가 사용자를 대상 리소스로 리디렉션하는 방법을 지정합니다. "302 데이터 없음" 또는 "302 쿠키 데이터"를 선택하는 경우 다른 구성이 필요 없습니다. "서버 리디렉션" 또는 "특성 유지"를 선택하는 경우에는 추가 구성이 필요합니다.
- 302 데이터 없음(기본값)HTTP 302 리디렉션을 사용하여 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다.
- 302 쿠키 데이터HTTP 302 리디렉션을 사용하여 사용자를 리디렉션하며 세션 쿠키와,CA Single Sign-on이 아이덴티티 공급자에서 서비스 공급자에 대해 구성한 추가 쿠키 데이터를 포함합니다.
- casso128kkr서버 리디렉션어설션에서 받은 헤더 및 쿠키 특성 정보를 사용자 지정 대상 응용 프로그램에 전달할 수 있도록 합니다. SAML 2.0 어설션 소비자 서비스 또는 WS-페더레이션 보안 토큰 소비자 서비스는 사용자 자격 증명을 수집한 다음 서버 측 리디렉션을 통해 사용자를 대상 응용 프로그램 URL로 전송합니다. 서버 측 리디렉션은 Java 서블릿 사양의 일부입니다. 모든 표준 호환 서블릿 컨테이너는 서버 측 리디렉션을 지원합니다.이 모드를 사용하려면 다음 요구 사항을 따르십시오.
- 이 모드에 대해 지정하는 URL은 어설션을 소비하는 서블릿의 컨텍스트에 상대적인 URL이어야 하며 일반적으로 /affwebservices/public/입니다. 컨텍스트 루트는 페더레이션 웹 서비스 응용 프로그램의 루트이며 일반적으로 /affwebservices/입니다.모든 대상 응용 프로그램 파일은 응용 프로그램 루트 디렉터리에 있어야 합니다. 이 디렉터리는 다음 중 하나입니다.- 웹 에이전트:web_agent_home\webagent\affwebservices-CA Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- 대상 리소스를 보호하기 위한 영역, 규칙 및 정책을 정의하십시오. 영역은 리소스 필터에 최소한 /affwebservices/ 값을 사용하여 정의해야 합니다.
- 페더레이션 웹 서비스 응용 프로그램을 지원하는 서버에 사용자 지정 Java 또는 JSP 응용 프로그램을 설치하십시오. 페더레이션 웹 서비스는 웹 에이전트 옵션 팩 또는CA Access Gateway와 함께 설치됩니다.Java 서블릿 기술을 사용하면 응용 프로그램이 ServletRequest 인터페이스의 setAttribute 메서드를 사용하여 두 리소스 요청 간에 정보를 전달할 수 있습니다.어설션을 소비하는 서비스는 사용자를 대상으로 리디렉션하기 전에 사용자 특성을 대상 응용 프로그램으로 보냅니다. 이 서비스는 java.util.HashMap 개체를 생성하여 특성을 보냅니다. SAML 특성의 HashMap을 포함하는 특성은 "Netegrity.AttributeInfo"입니다.어설션을 소비하는 서비스는 사용자 지정 응용 프로그램에 다음과 같은 두 개의 다른 Java.lang.String 특성을 전달합니다.—Netegrity.smSessionID는CA Single Sign-on세션 ID를 나타냅니다.—Netegrity.userDN 특성은CA Single Sign-on사용자 DN을 나타냅니다.사용자 지정 대상 응용 프로그램은 HTTP 요청에서 이러한 개체를 읽고 hashmap 개체에서 찾은 데이터를 사용합니다.
- 특성 유지HTTP 302 리디렉션을 사용하여 사용자를 리디렉션하며, 세션 쿠키는 포함하지만 다른 데이터는 제외됩니다. 또한 이 모드는 정책 서버가 어설션에서 추출된 특성을 세션 저장소에 저장하도록 지시합니다. 그러면 해당 특성이 HTTP 헤더 변수로 제공될 수 있습니다. 추가 구성은 SAML 특성을 HTTP 헤더로 사용하는 방법에 대한 지침을 참조하십시오.중요!이 옵션을 보려면CA Single Sign-on정책 서버 관리 콘솔을 이용하여 세션 저장소가 사용되도록 설정하십시오.casso128kkr참고:"특성 유지"를 선택하고 어설션에 비어 있는 특성이 포함되는 경우 세션 저장소에 NULL 값이 기록됩니다. 이 값은 빈 특성에 대한 자리 표시자로 작동합니다. 해당 특성을 사용하는 응용 프로그램에 값이 전달됩니다.
- SSO 서비스아이덴티티 공급자의 싱글 사인온 서비스 URI를 지정합니다. 이 URI는 AuthnRequest 서비스가 서비스 공급자 ID를 포함하는 authnrequest 메시지를 리디렉션하는 위치입니다. 기준 URL은 다음과 같습니다.http://idp_host:port/affwebservices/public/saml2sso
- 대상자SAML 어설션의 대상자를 지정합니다. 대상자는 아이덴티티 공급자와 서비스 공급자 간의 비즈니스 계약 조건을 설명하는 문서의 위치를 식별하는 URL입니다. 아이덴티티 공급자 사이트의 관리자는 서비스 공급자의 대상자와 일치하는 대상자를 결정합니다.대상자 값은 1K를 넘지 않아야 하며 대/소문자를 구분합니다. 예를 들면 다음과 같습니다.http://www.ca.com/SampleAudience
- 대상(선택 사항) 대상 서비스 공급자 사이트의 대상 리소스 URI를 지정합니다.서비스 공급자는 기본 대상을 사용하지 않아도 됩니다. Single Sign-On을 시작하는 링크에는 대상을 지정하는 쿼리 매개 변수가 포함될 수 있습니다.
- IdP가 새 사용자 식별자를 만들도록 허용서비스 공급자가 아이덴티티 공급자에 AuthnRequest 메시지를 전송하여 어설션을 가져오는 경우 이 확인란을 선택하면 AuthnRequest 메시지의 AllowCreate 특성이 true로 설정됩니다. AllowCreate 특성은 아이덴티티 공급자가 NameID 값을 새로 생성하도록 합니다. 아이덴티티 공급자에서 AllowCreate 기능이 사용하도록 설정됩니다. 이 새로운 NameID 값은 어설션에 포함됩니다.
- 향상된 클라이언트 및 프록시 프로필SAML 2.0 ECP(향상된 클라이언트 및 프록시) 프로필을 사용하여 요청을 처리할 수 있게 합니다.
- 인증 요청 서명서비스 공급자의 정책 서버가 생성된 AuthnRequest에 서명하도록 지시합니다. 아이덴티티 공급자에 서명된 AuthnRequest가 필요한 경우 이 확인란이 필요합니다. AuthnRequest 서비스는 서명된 AuthnRequest를 싱글 사인온 서비스 URL로 리디렉션합니다.
- 릴레이 상태가 대상 무시(선택 사항) "대상" 필드에 지정된 값을 SP 시작 또는 IdP 시작 싱글 사인온에 대한 릴레이 상태 쿼리 매개 변수 값으로 대체합니다. 릴레이 상태 쿼리 매개 변수를 사용하면 대상을 동적으로 정의할 수 있으므로 이 확인란을 사용하여 대상을 더 세부적으로 제어할 수 있습니다.
바인딩
SAML 2.0 인증 체계--바인딩--아티팩트
바인딩 - 아티팩트
서비스 공급자가 아티팩트 바인딩을 지원하는 경우 이 섹션의 설정을 구성하십시오. SAML 2.0 아티팩트 싱글 사인온의 경우 설정은 다음과 같습니다.
- 아티팩트
HTTP-아티팩트 프로필 구성을 정의합니다.
HTTP 아티팩트
아티팩트 바인딩이 사용되도록 설정합니다. 사용하도록 설정하는 경우 다음과 같은 관련 컨트롤이 활성화됩니다.
- ArtifactResolve 서명아티팩트 확인 메시지에 서명이 필요함을 나타냅니다. 요청은 서비스 공급자에서 원래 SAML 메시지를 검색합니다.이 확인란을 선택하는 경우 아이덴티티 공급자가 서명된 아티팩트 확인 메시지를 요구하도록 구성됩니다.참고:아티팩트 확인 메시지에 서명하려면 디지털 서명 처리가 사용되도록 설정합니다.
- 시스템 생성 IdP 원본 ID 무시관련 필드에 IdP 원본 ID를 지정할 수 있습니다. 기본값은 IdP ID의 SHA-1 해시입니다. 이 값은 40 자리 16진수 숫자여야 합니다.
- 서명된 ArtifactResponse 필요서비스 공급자가 서명이 필요한 아티팩트 응답만 수락함을 나타냅니다.이 확인란을 선택하는 경우 아이덴티티 공급자는 아티팩트 응답에 서명하도록 구성됩니다.참고:디지털 서명 처리가 서명된 응답을 처리하도록 설정됩니다.
- 인덱스"HTTP-아티팩트" 확인란을 선택하면 사용하도록 설정되는 이 필드는 아티팩트 바인딩에 대해 AssertionConsumerServiceIndex 매개 변수를 할당합니다. 페더레이션된 네트워크에 여러 끝점이 있는 경우 어설션 소비자 서비스에 대해 인덱스를 할당하십시오. 인덱스 값은 응답을 보낼 위치를 아이덴티티 공급자에 알려 줍니다. 0~65535 범위의 정수를 입력합니다.
- 레졸루션 서비스아이덴티티 공급자의 아티팩트 레졸루션 서비스 URL을 지정합니다. 기준 URL은 다음과 같습니다.http://host:port/affwebservices/saml2artifactresolution
- 원본 ID아이덴티티 공급자의 원본 ID를 정의합니다.SAML 사양 표준에서는 어설션을 발급하는 당사자를 식별하는 20바이트 바이너리 16진수 인코딩 숫자로 원본 ID를 정의합니다. 서비스 공급자는 이 ID를 사용하여 어설션 발급자를 식별합니다.원본 ID은 인증 체계의 "일반" 설정에 있는 IdP ID 값을 기준으로 자동으로 생성됩니다. "시스템 생성 IdP 원본 ID 무시"를 선택하는 경우 아이덴티티 공급자가 대역 외 통신에서 제공하는 값을 입력합니다.
SAML 2.0 인증 체계--바인딩--POST
바인딩 - POST
서비스 공급자가 Post 바인딩을 지원하는 경우 이 섹션의 설정을 구성하십시오. SAML 2.0 POST의 경우 설정은 다음과 같습니다.
- Post
- HTTP Post아이덴티티 공급자에 대해 Post 바인딩이 사용되도록 설정됨을 나타냅니다.
- 단일 사용 정책 적용단일 사용 정책을 적용하므로 서비스 공급자에서 두 번째 세션을 설정하는 데 SAML 2.0 어설션이 재사용되지 않도록 합니다.
- 인덱스"HTTP-Post" 확인란을 선택하면 사용하도록 설정되는 이 필드는 아티팩트 바인딩에 대해 AssertionConsumerServiceIndex 매개 변수를 할당합니다. 페더레이션된 네트워크에 여러 끝점이 있는 경우 어설션 소비자 서비스에 대해 인덱스를 할당하십시오. 인덱스 값은 응답을 보낼 위치를 아이덴티티 공급자에 알려 줍니다.값:0~65535