SAML 2.0 인증 체계 고급 설정

프록시
casso128kkr
HID_saml2-auth-advanced
casso128kkr
고급 대화 상자에서는 메시지 확장 소비자 API에 대한 고급 구성을 지정합니다. 또한 이 대화 상자에서 인증 시 오류를 처리하는 어설션을 위한 선택적 리디렉션 URL을 구성합니다.
이 대화 상자에는 다음 설정이 포함되어 있습니다.
메시지 소비자 플러그 인
전체 Java 클래스 이름
(선택 사항) 인증 체계의 메시지 소비자 플러그 인 인터페이스를 구현하는 클래스의 정규화된 Java 클래스 이름을 지정합니다.
  • 매개 변수
전체 Java 클래스 이름 필드에 값을 입력하면 API가 이 필드의 매개 변수 문자열을 지정된 플러그 인에 전달합니다.
상태 리디렉션 URL 및 모드
어설션을 소비하는 사이트에서 어설션 기반 인증이 여러 이유로 실패할 수 있습니다. 인증이 실패하는 경우 Federation Security Services는 추가 처리를 위해 사용자를 다른 응용 프로그램(URL)으로 리디렉션하는 기능을 제공합니다. 예를 들어 사용자 명확성이 실패하는 경우
CA Single Sign-on
은 사용자를 프로비저닝 시스템으로 리디렉션할 수 있습니다. 프로비저닝 시스템은 SAML 어설션에서 찾은 정보를 기반으로 하는 사용자 계정을 생성할 수 있습니다.
참고:
오류 리디렉션은 시스템이 요청을 성공적으로 구문 분석하고 어설션 및 신뢰 당사자를 식별하기 위해 필요한 정보를 가져올 수 있는 경우에만 발생합니다.
다음 옵션은 실패가 발생하게 된 조건에 따라 사용자를 구성된 URL로 리디렉션합니다.
사용자를 찾을 수 없음 URL
(선택 사항) 사용자를 찾을 수 없는 경우
CA Single Sign-on
이 사용자를 리디렉션하는 URL을 식별합니다. 이 상태는 싱글 사인온 메시지에 LoginID가 없거나 사용자 디렉터리에 LoginID가 포함되어 있지 않은 경우에 적용됩니다.
  • 잘못된 SSO 메시지 URL
    (선택 사항) 다음 조건 중 하나에 해당하는 경우
    CA Single Sign-on
    이 사용자를 리디렉션하는 URL을 식별합니다.
    • 싱글 사인온 메시지가 SAML 스키마에 나열된 규칙에 맞지 않고 잘못 지정되었습니다.
    • 소비자에게 암호화된 어설션이 필요하지만 Single Sign-On 메시지에 암호화된 어설션이 포함되어 있지 않음
  • 수락되지 않은 사용자 자격 증명(SSO 메시지) URL
    (선택 사항) 사용자를 찾을 수 없음 또는 싱글 사인온 메시지가 잘못된 경우 외의 다른 모든 오류 조건에 대한 리디렉션 URL을 식별합니다. 어설션이 유효하더라도 다음과 같은 특정 이유로 인해
    CA Single Sign-on
    이 메시지를 수락하지 않습니다.
    • XML 디지털 서명 유효성 검사가 실패합니다.
    • XML 암호 해독 작업이 실패합니다.
    • 만료된 메시지 또는 대상자 불일치 등과 같이 조건에 대한 XML 유효성 검사가 실패합니다.
    • SSO 메시지의 어설션에 인증 문이 포함되어 있지 않습니다.
Mode
CA Single Sign-on
이 사용자를 리디렉션 URL로 리디렉션하는 방법을 지정합니다. 옵션은 다음과 같습니다.
  • 302 데이터 없음(기본값)
    HTTP 302 리디렉션을 통해 사용자를 리디렉션하며, 이때 세션 쿠키를 함께 포함하고 다른 데이터는 제외합니다.
  • HTTP Post
    HTTP Post 프로토콜을 사용하여 사용자를 리디렉션합니다.
프록시
    • 서버
      웹 에이전트 옵션 팩이 있는 운영 환경 앞에 배치되는 프록시 서버 또는 웹 서버에 대한 URL의 프로토콜 및 기관 부분을 지정합니다. "서버" 값은 SAML 응답이 올바른 대상으로 전달되도록 합니다.
      "서버" 값 구문은
      protocol:authority
      입니다. 여기서
      protocol
      은 http: 또는 https:이고,
      authority
      는 //host.domain.com 또는 //host.domain.com:port입니다.
      예: http://myproxy.ca.com
      CA Single Sign-on
      은 또한 "서버" 값을 사용하여 XML 메시지의 URL 유효성을 검사합니다. SAML 2.0 메시지의 Destination 특성을 예로 들 수 있습니다.
      다음과 같은 경우 "서버" 설정을 구성하십시오.
      • 프록시 서버가 페더레이션 웹 서비스가 실행 중인 운영 환경과 클라이언트 사이에 있는 경우. 페더레이션 웹 서비스는 웹 에이전트 옵션 팩과 함께 설치됩니다.
      • CA Access Gateway
        가 페더레이션 게이트웨이인데도
        CA Single Sign-on
        CA Access Gateway
        가 사용자 환경에 있는 경우
      • 웹 에이전트 옵션 팩이 설치된 운영 환경 앞에 있는 웹 서버