SAML 2.0 인증 체계 - 일반 설정

SAML 2.0 인증 체계의 "일반" 설정에서는 서비스 공급자가 아이덴티티 공급자와 통신하여 어설션을 검색하는 방법을 결정합니다.
casso128kkr
HID_sp-authscheme-general
SAML 2.0 인증 체계의 "일반" 설정에서는 서비스 공급자가 아이덴티티 공급자와 통신하여 어설션을 검색하는 방법을 결정합니다.
이 페이지의 필드는 다음과 같습니다.
  • SP ID
    서비스 공급자를 고유하게 식별하는 URI를 지정합니다.
    참고:
    아이덴티티 공급자에서 구성된 해당하는 서비스 공급자 개체에 대해 지정된 ID 값과 일치하는 값을 입력하십시오.
  • SAML 버전
    SAML 버전을 지정합니다(사용 안 함. 기본값은 2.0으로, 이 IdP ID에 전송된 어설션이 SAML 버전 2.0과 호환되어야 함을 나타냄).
  • IdP ID
    이 서비스 공급자의 어설션을 발급한 아이덴티티 공급자를 고유하게 식별하는 URI를 지정합니다.
    서비스 공급자는 이 IdP의 어설션만 수락합니다.
    참고:
    발급자에 대해 입력하는 값은 아이덴티티 공급자 사이트에서 구성된 IdP ID 값과 일치해야 합니다.
  • 차이 시간 초
    현재 시간에서 차감할 시간(초)을 결정합니다. 이 계산에서는 아이덴티티 공급자 역할을 하는 정책 서버와 클록이 동기화되지 않은 서비스 공급자를 고려합니다.
사용자 명확성
"사용자 명확성" 섹션에서는 SAML 2.0 어설션에서 사용자 정보를 가져오는 방법을 구성합니다. 소비자는 이 정보를 사용하여 사용자를 인증합니다.
  • XPath 쿼리
    XPath 쿼리를 지정합니다. XPath 쿼리는 나중에 사용자 로그인 ID로 사용되는 특정 항목을 어설션에서 찾을 위치를 인증 체계에 알려 줍니다. 쿼리가 가져오는 값은 사용자 저장소 항목을 조회하는 검색 사양의 일부가 됩니다.
    쿼리를 지정하지 않을 경우 기본 XPath 쿼리는 다음과 같습니다.
    /Assertion/Subject/NameID/text()
    Xpath 쿼리에는 네임스페이스 접두사를 포함할 수 없습니다. 다음은 잘못된Xpath 쿼리의 예입니다.
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    유효한 Xpath 쿼리는 다음과 같습니다.
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    어설션에서 "FirstName" 특성을 가져오기 위한 XPath 쿼리는 다음과 같습니다.
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/
    AttributeValue/text()
  • casso128kkr
    활성
    레거시 페더레이션 구성이 특정 파트너 관계에서 사용 중인지 여부를 나타냅니다. 정책 서버가 레거시 페더레이션 구성을 사용하고 있는 경우 이 확인란이 선택되어 있는지 확인하십시오. 원본 IDߙ등의 아이덴티티 설정에 유사한 값을 사용하여 페더레이션된 파트너 관계를 다시 생성했을 경우 페더레이션된 파트너 관계를 활성화하기 전에 이 확인란의 선택을 취소하십시오.
    Single Sign-On
    에서는 동일한 아이덴티티 값을 사용하는 레거시 및 파트너 관계 구성을 사용할 수 없습니다. 이 경우 이름 충돌이 발생합니다.
  • 사용자 조회
    사용자 디렉터리에서 사용자 레코드를 찾기 위한 검색 사양을 입력할 수 있는 네임스페이스 유형을 표시합니다.
    사용하고 있는 사용자 저장소 유형에 대한 검색 사양을 입력합니다. 검색 사양에서는 사용자 저장소 특성과 Xpath 쿼리가 식별하는 값을 결합합니다. 인증 체계에서는 검색 사양을 사용하여 사용자 저장소에서 사용자 레코드를 찾습니다.
    로그인 ID 값을 나타내려면 %s를 사용합니다.
    예를 들어 로그인 ID가 user1이라고 가정합니다. "검색 사양" 필드에서 "Username=%s"를 지정하는 경우 결과 문자열은 Username=user1입니다. 이 문자열을 사용자 디렉터리의 레코드와 비교하여 인증을 위해 올바른 레코드를 찾습니다.
    여러 %s 변수를 사용하여 필터를 지정할 수도 있습니다. 예를 들면 다음과 같습니다.
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    결과는 다음과 같습니다.
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)
  • SAML 가맹
    (선택 사항) 아이덴티티 공급자가 조인할 SAML 가맹을 지정합니다. 구성된 SAML 가맹 개체에서 선택합니다. 가맹을 선택하면 나머지 컨트롤이 흐리게 표시되고 가맹 설정이 대신 사용됩니다.