리소스 파트너 SAML 프로필
"SAML 프로필" 대화 상자에서는 계정 파트너와 리소스 파트너 간의 SSO(싱글 사인온) 및 싱글 사인아웃을 구성합니다.
casso128kkr
HID_wsfed-rp-saml-profiles
"SAML 프로필" 대화 상자에서는 계정 파트너와 리소스 파트너 간의 SSO(싱글 사인온) 및 싱글 사인아웃을 구성합니다.
싱글 사인온 설정은 다음과 같습니다.
- 인증 방법계정 파트너에서 사용자가 인증되는 방법을 나타냅니다. 드롭다운 목록에서 인증 방법을 선택하십시오. 계정 파트너는 어설션에 URI 문자열 형식으로 인증 방법을 포함합니다.이 필드에서 선택하는 값은 인증 URL을 보호하는 인증 체계에 해당해야 합니다. 이 계정 파트너의 "일반" 설정에서 인증 URL을 지정합니다. 예를 들어 인증 URL이 X.509 인증서 인증 체계로 보호되는 경우 이 필드에서 "SSL/TLS 인증서"를 선택하십시오.선택하는 인증 방법은 이 페이지에서 구성하는 인증 수준에도 적합해야 합니다. 예를 들어 인증 URL을 보호하는 인증 체계에 대해 X509 클라이언트 인증서 및 기본 템플릿을 선택한다고 가정합니다. 이 템플릿의 기본 보호 수준은 15입니다. 그러나 리소스 파트너 SSO 구성에 대한 기본 인증 방법은 "암호"입니다. "암호"를 인증 방법으로 유지하는 경우 계정 파트너는 어설션에 다음 URI를 추가합니다.urn:oasis:names:tc:SAML:1.0:am:classes:password
- 보안 토큰 소비자 서비스보안 토큰 응답 메시지를 수신하고 어설션을 추출하는 리소스 파트너 서비스의 URL을 지정합니다.CA Single Sign-on서비스의 기본 위치는 다음과 같습니다.https://rp_server:port/affwebservices/public/wsfeddispatchercasso128kkrrp_server:port웹 에이전트 옵션 팩 또는CA Access Gateway를 호스트하는 리소스 파트너의 웹 서버와 포트를 식별합니다.이러한 구성 요소는 페더레이션 웹 서비스 응용 프로그램을 제공합니다.참고:WSFedDispatcher 서비스는 모든 수신 WS-페더레이션 메시지를 받고 쿼리 매개 변수 데이터를 기반으로 적절한 서비스에 요청 처리를 전달합니다. wsfedsecuritytokenconsumer 서비스가 있지만 이 필드의 항목으로는 wsfeddispatcher 서비스를 사용하는 것이 좋습니다.
- 유효 기간 초어설션이 유효한 시간(초)을 양의 정수로 지정합니다. 기본값은 60초입니다.테스트 환경에서 정책 서버 추적 로그에 다음 메시지가 있는 경우 유효 기간을 60 이상으로 늘리십시오.Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
- 인증 수준 [0-1000]CA Single Sign-on영역에 액세스하기 위해 사용자가 인증되어야 하는 최소 수준을 지정합니다.사용자가 페더레이션된 리소스를 요청하는 경우 사용자에게CA Single Sign-on세션이 있어야 합니다. 사용자에게 세션이 없는 경우CA Single Sign-on은 사용자를 인증 URL로 리디렉션하여 세션을 설정합니다. 사용자에게 세션이 있을 수 있지만 보호 수준이 이 대화 상자에 지정된 인증 수준보다 낮습니다. 이 경우CA Single Sign-on은 사용자를 인증 URL로 리디렉션하여 세션을 다시 설정합니다.인증 URL을 보호하는 인증 체계는 특정 보호 수준으로 구성됩니다. 이 보호 수준은 이 페이지의 "인증 수준" 필드의 수준보다 크거나 같아야 합니다. 사용자가 이 수준에서 인증된 경우 계정 파트너는 사용자의 어설션을 생성합니다. 인증 URL의 보호 수준이 "인증 수준" 필드의 수준보다 낮은 경우CA Single Sign-on은 어설션을 생성하지 않습니다.
"사인아웃" 섹션에서는 WS-페더레이션 사인아웃 기능이 사용되도록 설정할 수 있습니다. 사인아웃은 사용자의 세션이 있는 각 리소스 파트너에서 특정 사용자의 모든 세션을 종료합니다.
사인아웃 설정은 다음과 같습니다.
- 사인아웃 사용리소스 파트너의 WS-페더레이션 사인아웃 기능이 사용되도록 설정합니다.
- 사인아웃 삭제 URL사용자 세션을 종료하기 위해 브라우저가 리디렉션되는 리소스 파트너의 URL을 지정합니다.계정 파트너 및 모든 리소스 파트너 사이트에서 사용자 세션이 제거된 후 페더레이션 웹 서비스는 사용자를 사인아웃 삭제 URL로 리디렉션합니다. 사인아웃이 리소스 파트너에서 시작되는 경우 로그아웃 확인 페이지는 리소스 파트너에서 보호되지 않는 리소스여야 합니다. 사인아웃이 계정 파트너 사이트에서 시작되는 경우 로그아웃 확인 페이지는 계정 파트너 사이트에서 보호되지 않는 리소스여야 합니다.
- 사인아웃 확인 URLCA Single Sign-on가 사인아웃 메시지를 보내는 계정 공급자의 URL을 지정합니다. 이 URL은 리소스 공급자 삭제 위치가 SignoutConfirm JSP 페이지에 post 데이터로 전송되는 위치이기도 합니다. 기준 URL은 다음과 같습니다.http://ap_server:port/affwebservices/public/signoutconfirmurl.jspap_server:port계정 파트너에 있는 시스템의 서버 및 포트 번호를 지정합니다. 시스템은 페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이를 호스트하고 있습니다.signoutconfirmurl.jsp는 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이에 포함되어 있습니다. 이 페이지를 기본 디렉터리에서 이동할 수 있습니다. 이 경우 페더레이션 웹 서비스의 서블릿 엔진이 페이지에 액세스할 수 있는 위치에 놓으십시오.