SAML 서비스 공급자--일반 설정

이 대화 상자의 설정은 아이덴티티 공급자가 생성하는 어설션과 관련된 서비스 공급자를 식별합니다.
casso128kkr
HID_service-provider-general
이 대화 상자의 설정은 아이덴티티 공급자가 생성하는 어설션과 관련된 서비스 공급자를 식별합니다.
일반 설정
"일반" 설정에서는 서비스 공급자에 대한 일반 정보를 지정할 수 있습니다.
이 탭의 설정은 다음과 같습니다.
  • 이름
    서비스 공급자의 이름을 지정합니다. 이 이름은 모든 가맹 도메인에서 고유해야 합니다.
  • SP ID
    서비스 공급자를 고유하게 식별하는 URI(예: sp.example.com)를 지정합니다.
  • 인증 URL
    페더레이션이 사용자를 인증하고 보호된 리소스가 요청될 때 세션을 생성하는 데 사용하는 보호된 URL을 지정합니다. 인증 모드가 로컬로 설정되어 있고 사용자가 어설션 당사자에서 로그인하지 않은 경우 사용자는 이 URL로 리디렉션됩니다. 보안 URL 사용 확인란을 선택하지 않은 경우 이 URL은 redirect.jsp 파일을 가리켜야 합니다. 
    예: http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp 
    myserver
    는 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이가 있는 웹 서버를 나타냅니다. redirect.jsp 파일은 어설션 당사자에 설치된 웹 에이전트 옵션 팩 또는 SPS 페더레이션 게이트웨이에 포함되어 있습니다.
    중요!
    액세스 제어 정책을 사용하여 인증 URL을 보호하십시오. 또한 해당 정책에 대해 인증 체계, 영역 및 규칙을 구성하십시오. 어설션에 세션 저장소 특성을 추가하려면 인증 체계의 설정인 "인증 세션 변수 유지" 확인란을 선택하십시오.
  • casso128kkr
    활성
    레거시 페더레이션 구성이 특정 파트너 관계에서 사용 중인지 여부를 나타냅니다. 정책 서버가 레거시 페더레이션 구성을 사용하고 있는 경우 이 확인란이 선택되어 있는지 확인하십시오. 원본 IDߙ등의 아이덴티티 설정에 유사한 값을 사용하여 페더레이션된 파트너 관계를 다시 생성했을 경우 페더레이션된 파트너 관계를 활성화하기 전에 이 확인란의 선택을 취소하십시오.
    Single Sign-On
    에서는 동일한 아이덴티티 값을 사용하는 레거시 및 파트너 관계 구성을 사용할 수 없습니다. 이 경우 이름 충돌이 발생합니다.
  • 사용
    서비스 공급자 리소스에 대한 인증을 지원하기 위해 정책 서버 및 페더레이션 웹 서비스가 사용되도록 설정합니다.
  • 차이 시간
    현재의 클록 시간을 기준으로 더하거나 차감한 시간(초)을 양의 정수로 지정합니다. 이 조정은 클록이 아이덴티티 공급자와 동기화되지 않은 서비스 공급자를 처리하기 위한 것입니다. 차이 시간 및 "유효 기간"에 따라 정책 서버가 어설션이 유효한 총 시간을 계산하는 방식이 결정됩니다.
    어설션 유효성을 결정하려면 어설션 생성 시간(IssueInstant)에서 차이 시간을 차감한 NotBefore 시간을 구합니다. 그런 다음 차이 시간을 유효 기간과 IssueInstant에 더하여 NotOnOrAfter 시간을 구합니다. 다음 공식은 차이 시간이 사용되는 방법을 보여 줍니다.
    • NotBefore = IssueInstant - 차이 시간
    • NotOnOrAfter = 유효 기간 + 차이 시간 + IssueInstant
    시간은 GMT를 기준으로 합니다.
  • SAML 버전
    SAML 버전을 지정합니다(사용 안 함. 기본값은 2.0으로, 이 SP ID에 전송된 어설션이 SAML 버전 2.0과 호환되어야 함을 나타냄).
  • 설명
    서비스 공급자에 대한 간략한 설명(선택 사항)입니다.
  • IdP ID
    아이덴티티 공급자를 고유하게 식별하는 URI(예: idp.ca.com)를 지정합니다. 이 URI 값은 어설션의 "발급자" 필드 값이 됩니다.
  • 응용 프로그램 URL
    (선택 사항) 싱글 사인온 서비스에 사용자 특성을 제공하는 데 사용되는 사용자 지정 웹 응용 프로그램의 보호된 URL을 식별합니다. 이 응용 프로그램은 사용자 네트워크의 호스트에 있을 수 있습니다.
    이 필드에 지정된 웹 응용 프로그램의 특성은 어설션 생성자에서 사용할 수 있게 된 다음 어설션 생성기 플러그 인에 의해 SAML 어설션에 배치됩니다. 플러그 인을 생성하여
    CA Single Sign-on
    에 통합합니다.
    페더레이션 웹 서비스 응용 프로그램에서는 사용자 웹 응용 프로그램의 기반으로 사용할 수 있는 샘플 웹 응용 프로그램을 제공합니다. 해당 샘플은 다음과 같습니다.
    http://
    idp_server:port
    /affwebservices/public/sample_application.jsp
    http://
    idp_server:port
    /affwebservices/public/unsolicited_application.jsp
    idp_server:port
    웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이를 호스트하는 웹 서버와 포트를 식별합니다.
  • 보안 URL 사용
    이 설정을 사용하면 Single Sign-On 서비스가 SMPORTALURL 쿼리 매개 변수만 암호화하게 됩니다. 암호화된 SMPORTALURL은 악의적인 사용자가 값을 수정하고 인증된 사용자를 악의적인 웹 사이트로 리디렉션하지 못하게 합니다. 브라우저가 사용자를 리디렉션하여 세션을 설정하기 전에 인증 URL에 SMPORTALURL이 추가됩니다. 사용자가 인증된 후에는 브라우저가 사용자를 SMPORTALURL 쿼리 매개 변수에 지정된 대상으로 다시 리디렉션합니다.
    "보안 URL 사용" 확인란을 선택한 경우 다음 단계를 수행하십시오.
    1. "인증 URL" 필드를 다음 URL로 설정합니다. http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. 정책을 사용하여 secureredirect 웹 서비스를 보호합니다.
    어설션 당사자가 둘 이상의 신뢰 파트너에게 서비스를 제공하는 경우 어설션 당사자는 이러한 파트너별로 각기 다른 사용자를 인증할 수 있습니다. 따라서 secureredirect 서비스를 사용하는 각 인증 URL에 대해 이 웹 서비스를 각 파트너의 서로 다른 영역에 포함하십시오.
    secureredirect 서비스를 서로 다른 영역에 연결하려면 web.xml 파일을 수정하고 여러 리소스 매핑을 생성하십시오. secureredirect 웹 서비스를 서버의 여러 위치로 복사하지 마십시오.
    web_agent_home
    /affwebservices/WEB-INF 디렉터리에서 web.xml 파일을 찾으십시오. 여기서
    web_agent_home
    은 웹 에이전트가 설치된 위치입니다.
  • 인증 URL
    페더레이션이 사용자를 인증하고 보호된 리소스가 요청될 때 세션을 생성하는 데 사용하는 보호된 URL을 지정합니다. 인증 모드가 로컬로 설정되어 있고 사용자가 어설션 당사자에서 로그인하지 않은 경우 사용자는 이 URL로 리디렉션됩니다. 보안 URL 사용 확인란을 선택하지 않은 경우 이 URL은 redirect.jsp 파일을 가리켜야 합니다. 
    예: http:///siteminderagent/redirectjsp/redirect.jsp 
    myserver
    는 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이가 있는 웹 서버를 나타냅니다. redirect.jsp 파일은 어설션 당사자에 설치된 웹 에이전트 옵션 팩 또는 SPS 페더레이션 게이트웨이에 포함되어 있습니다.
    중요!
    액세스 제어 정책을 사용하여 인증 URL을 보호하십시오. 또한 해당 정책에 대해 인증 체계, 영역 및 규칙을 구성하십시오. 어설션에 세션 저장소 특성을 추가하려면 인증 체계의 설정인 "인증 세션 변수 유지" 확인란을 선택하십시오.
     
     
"일반" 설정에는 다음 섹션도 포함되어 있습니다.
  • 제한
    서비스 공급자의 어설션 생성 정책에서 IP 주소 및 시간 제한을 구성할 수 있습니다.
    • 시간
    • 설정
      리소스 파트너의 가용성을 구성할 수 있는 "시간" 대화 상자를 엽니다. 시간 제한을 추가하는 경우 서비스 공급자는 지정된 기간 동안에만 작동합니다.
    • 지우기
    • IP 주소
    서비스 공급자 리소스에 대한 정책에 대해 구성된 제한된 IP 주소를 나열합니다. 웹 서버의 IP 주소, IP 주소 범위 또는 서비스 마스크를 지정할 수 있습니다. 해당 웹 서버에서 브라우저가 실행되고 있어야만 사용자가 서비스 공급자에 액세스할 수 있습니다.
    • 추가
      IP 주소 제한을 생성할 수 있는 "IP 주소 추가" 대화 상자를 엽니다.
  • "고급" 섹션에서는 다음 기능을 구성할 수 있습니다.
    • 어설션 생성기 플러그 인
      어설션 생성기 플러그 인 API를 사용하여 개발된 사용자 지정 개발 어설션 생성기 플러그 인을 식별합니다. 어설션 생성기 플러그 인은 선택적 기능입니다.
    • 프록시
      해당되는 경우 페더레이션 웹 서비스가 실행 중인 시스템과 클라이언트 간의 프록시 서버를 식별합니다.
    • HTTP 상태 오류에 대한 사용자 지정 리디렉션 URL을 지정합니다.
      CA Single Sign-on
      은 추가 작업을 위해 사용자 지정 오류 페이지로 사용자를 리디렉션할 수 있습니다. 사용자 지정 URL은 선택 사항입니다.
SAML 서비스 공급자 - 고급 설정
어설션 생성기 플러그 인 설정
"어설션 생성기 플러그 인" 영역에는 다음 설정이 포함되어 있습니다.
  • 전체 Java 클래스 이름
    어설션 생성기 플러그 인의 정규화된 Java 클래스 이름을 지정합니다.
  • 매개 변수
    "전체 Java 클래스 이름" 필드에 값을 입력한 경우
    CA Single Sign-on
    이 지정된 플러그 인에 전달하는 매개 변수 문자열을 지정합니다.
  • 프록시 서버
    사용자 네트워크에 클라이언트와
    eTrust SiteMinder FSS
    운영 환경 간의 프록시 서버가 있는 경우
    protocol
    :
    authority
    와 같이 URL의 체계 및 기관 부분을 지정하십시오. 체계는 http: 또는 https:이고, 기관은 // 또는 //입니다. 예: http://example.ca.com
참고:
페더레이션 웹 서비스는 웹 에이전트 옵션 팩 또는 SPS 페더레이션 게이트웨이가 있는 시스템에서 사용할 수 있습니다.
SAML 서비스 공급자--고급 SSO 구성
"고급 SSO 구성" 섹션에서는 다음 기능을 구성할 수 있습니다.
  • 요청된 인증 컨텍스트
  • 어설션의 일회 사용
  • 오류 처리를 위한 리디렉션 URL
  • SAML 어설션의 SessionNotOnOrOAfter 특성 사용
이 대화 상자에는 다음 설정이 포함되어 있습니다.
  • 요청된 AuthnContext 무시
    어설션을 요청할 때 SP가 <RequestedAuthnContext> 요소를 AuthnRequest 메시지에 포함하는 경우 트랜잭션이 처리되는 방법을 결정합니다.
    인증 컨텍스트
    라는 용어는 IdP에서 사용자가 인증되는 방식을 설명합니다. 이 요소는 IdP가 어설션 응답에서 반환해야 하는 AuthnContext 문에 대한 요구 사항을 나타내는 SP의 요청입니다.
    확인란을 선택하는 경우 IdP가 SP로부터 받는 AuthnRequest 메시지의 <RequestedAuthnContext> 요소를 무시하도록 지시합니다. 레거시 페더레이션은 AuthnRequest에 <RequestedAuthnContext> 요소를 사용하는 것을 지원하지 않지만 이 확인란을 선택하면 트랜잭션이 실패하지 않습니다.
    이 확인란이 선택되어 있지 않고(기본값) 수신 AuthnRequest에 <RequestedAuthnContext> 요소가 있는 경우 트랜잭션이 실패합니다.
  • OneTimeUse 조건 설정
    SP가 어설션을 즉시 사용하고 나중에 사용하기 위해 유지하지 않도록 지시합니다. 어설션이 일회용으로만 사용됩니다. 어설션의 정보는 변경되거나 만료될 수 있지만 SP는 최신 정보가 포함된 어설션을 사용하므로 OneTimeUse 조건은 유용합니다. SP는 어설션을 다시 사용하지 않고 IdP에서 새 어설션을 요청해야 합니다.
  • 서버 오류 URL 사용
    서버 오류 리디렉션이 사용되도록 설정합니다.
    • 서버 오류 리디렉션 URL
    HTTP 500 서버 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 예기치 않은 조건으로 인해 웹 서버가 클라이언트 요청을 이행하지 못하게 되기 때문에 사용자에게 500 오류가 발생할 수 있습니다. 이러한 유형의 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.
    예: http://www.redirectmachine.com/error_pages/server_error.html
  • 잘못된 요청 URL 사용
    잘못된 요청 오류 리디렉션이 사용되도록 설정합니다.
    • 잘못된 요청 리디렉션 URL
    HTTP 400 잘못된 요청 또는 405 메서드 허용 안 함 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 요청 형식이 잘못되었기 때문에 사용자에게 400 오류가 발생할 수 있습니다. 웹 서버에서 특정 메서드 또는 작업의 수행을 허용하지 않기 때문에 405 오류가 발생할 수 있습니다. 이러한 유형의 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.
    예: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • 권한 없는 액세스 URL 사용
    권한 없는 액세스 오류 리디렉션이 사용되도록 설정합니다.
    • 권한 없는 액세스 리디렉션 URL
    HTTP 403 사용 권한 없음 오류가 발생할 때 사용자가 리디렉션되는 URL을 지정합니다. 요청의 URL이 잘못된 대상(예: 파일이 아닌 디렉터리)을 가리키기 때문에 사용자에게 403 오류가 발생할 수 있습니다. 이러한 오류가 발생하면 추가 처리를 위해 지정된 URL로 사용자가 리디렉션됩니다.
    예: http://www.redirectmachine.com/error_pages/unauthorized_error.html
모드 필드
각 URL에 대해 브라우저가 사용자를 리디렉션하는 모드를 선택할 수 있습니다.
302 데이터 없음
HTTP 302 리디렉션을 사용하여 사용자를 리디렉션합니다.
CA Single Sign-on
은 사용자를 세션 쿠키와 함께 전달합니다.
CA Single Sign-on
은 리디렉션 URL에 추가 정보를 추가하지 않습니다.
  • HTTP POST
    HTTP POST 프로토콜을 사용하여 사용자를 리디렉션합니다. 사용자가 사용자 지정 오류 페이지 URL로 리디렉션되면 다음 데이터(사용 가능한 경우)가 리디렉션 URL에 추가된 다음 사용자 지정 오류 페이지에 포스트됩니다.
    • TARGET
    • AUTHREASON
    • CONSUMERURL
    • SAMLRESPONSE
    • IDPID
    • SPID
    • PROTOCOLBINDING
SP 세션 유효 기간
어설션에서 SessionNotOnOrOAfter 특성의 사용을 결정합니다. IdP가 SessionNotOnOrOAfter 특성을 SAML 어설션에 추가하는지 여부를 결정하려면 이 값을 설정하십시오.
이 구성 설정은
CA Single Sign-on
IdP에서만 사용할 수 있습니다.
CA Single Sign-on
은 어설션의 SessionNotOnOrAfter 매개 변수에 대해 설정하는 값을 IdP에 알려 줍니다. 이 설정에서는 SP의 시간 만료 값은 설정하지 않습니다.
중요!
CA Single Sign-on
이 SP로 작동하고 있는 경우 SessionNotOnOrAfter 값이 무시됩니다. 대신
CA Single Sign-on
SP는 영역 시간 만료를 기반으로 하는 세션 시간 만료를 설정합니다. 영역 시간 만료는 대상 리소스를 보호하도록 구성된 SAML 인증 체계에 해당됩니다.
옵션:
어설션 유효성 사용
어설션 유효 기간에 기반하여 SessionNotOnOrAfter 값을 계산합니다.
생략
IdP에게 SessionNotOnOrAfter 매개 변수를 어설션에 포함하지 않도록 지시합니다.
IDP 세션
IdP 세션 시간 만료에 기반한 SessionNotOnOrAfter 값을 계산합니다. 시간 만료는 인증 URL에 대한 IdP 영역에서 구성됩니다. 이 옵션을 사용하면 IdP 및 SP 세션 시간 만료 값을 동기화할 수 있습니다.
사용자 지정
어설션의 SessionNotOnOrAfter 매개 변수에 대한 사용자 지정 값을 지정할 수 있습니다. 이 옵션을 선택한 경우 "사용자 지정 어설션 세션 기간" 필드에 시간을 입력하십시오.
사용자 지정 어설션 세션 기간(분)
어설션의 SessionNotOnOrAfter 매개 변수에 대해 설정된 시간(분)을 지정합니다. 이 특성이 어설션에 있는 경우 이 설정은 사용자와 IdP 간 세션의 기간을 결정합니다. 사용자 환경에 맞는 시간을 지정하십시오.