SAML 2.0 Remote IdP Entity Configuration(SAML 2.0 원격 IdP 엔터티 구성)

목차
casso128kkr
HID_remote-idp-entity-configuration
목차
"엔터티 구성" 단계에는 페더레이션 엔터티에 대한 구성 상세 정보가 포함됩니다.
Configure SAML 2.0 Remote IdP Entity(SAML 2.0 원격 IdP 엔터티 구성)
"Configure SAML 2.0 Remote IdP Entity"(SAML 2.0 원격 IdP 엔터티 구성) 섹션에서는 엔터티를 식별합니다. 다음 필드는 자동으로 채워지지 않습니다.
  • casso128kkr
    엔터티 ID
    파트너에 페더레이션 엔터티를 식별시킵니다. 엔터티 ID는 도메인 이름과 같은 유니버설 식별자입니다. 엔터티 ID가
    원격 파트너
    를 나타내는 경우 이 값은 고유해야 합니다. 엔터티 ID가
    로컬 파트너
    를 나타내는 경우에는 동일한 시스템에서 재사용될 수 있습니다. 예를 들어 엔터티 ID가 로컬 어설션 당사자를 나타내는 경우 둘 이상의 파트너 관계에서 이 동일한 ID를 사용할 수 있습니다.
     원격 파트너를 나타내는 엔터티 ID는 단일 활성 파트너 관계에만 속할 수 있습니다.
    값:
    URI(URL 권장)
    다음 지침에 주의하십시오.
    • 엔터티 ID는 URI여야 하지만 절대 URL을 사용하는 것이 좋습니다.
    • 엔터티 ID가 URL인 경우:
      • URL의 호스트 부분은 조직의 기본 DNS 도메인을 루트로 하는 이름이어야 합니다.
      • URL에는 포트 번호, 쿼리 문자열 또는 조각 식별자를 포함할 수 없습니다.
    • 앰퍼샌드(&)는 별도의 쿼리 매개 변수로 인식되므로 엔터티 ID에 사용하지 마십시오.
    • URN을 지정하지 마십시오.
    • 페더레이션 내부 및 페더레이션 간 이름 충돌을 방지하기 위해 원격 파트너의 엔터티 ID는 전역적으로 고유해야 합니다.
    올바른 엔터티 ID의 예
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    잘못된 엔터티 ID의 예
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto(이 URL은 작동 가능하지만 이 구문을 사용하지 않는 것이 좋음)
    엔터티 이름
    정책 저장소에 있는 엔터티 개체의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다. Federation은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다.
    참고:
    엔터티 이름은 엔터티 ID와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.
    값:
    영숫자 문자열
    예:
    Partner1
    설명
    엔터티를 설명하는 추가 정보를 지정합니다.
    값:
    최대 1024자의 영숫자 문자열
    기준 URL
    페더레이션의 대상 사용자에게 표시되는 서버의 기본 위치를 지정합니다. 이 서버는 일반적으로
    CA Single Sign-on
    이 설치된 서버입니다. 그러나 서버는 싱글 사인온 서비스와 같은 페더레이션 서비스를 호스트하는 서버의 URL일 수 있습니다. 기준 URL을 사용하면
    CA Single Sign-on
    이 구성의 다른 부분에서 상대 URL을 생성하여 구성의 효율성을 높일 수 있습니다.
    기준 URL은 편집할 수 있습니다. 예를 들어
    CA Single Sign-on
    시스템에 대한 가상 호스트를 구성할 수 있습니다. 한 가상 호스트는 UI 통신을 처리하고, 다른 가상 호스트는 포함된 Apache 웹 서버가 처리하는 사용자 트래픽을 처리한다고 가정합니다. Apache 웹 서버의 HTTP 포트 및 서버만 가리키도록 기준 URL을 편집할 수 있습니다.
    값:
    유효한 URL
    예:
    https://fedserver.ca.com:5555
    이 필드를 수정할 때 주의해야 할 중요 지침은 다음과 같습니다.
    기준 URL을 수정할 경우 기준 URL 끝에 슬래시를 넣지 마십시오. 마지막에 슬래시를 넣으면 이 기준 URL을 사용하는 다른 URL에 두 개의 슬래시가 추가됩니다.
    장애 조치 지원을 위해 둘 이상의
    CA Single Sign-on
    를 사용하고 있는 경우 이 필드에서 다른 시스템의 장애 조치를 관리하는 시스템의 호스트 이름 및 포트를 설정하십시오. 이 시스템은 부하 분산 장치나 프록시 서버일 수 있습니다.
  • 엔터티 이름
    정책 저장소에 있는 엔터티의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다. Federation은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다.
    참고:
    엔터티 이름은 엔터티 ID와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.
    값:
    영숫자 문자열
    예:
    Partner1
  • 원격 SSO 서비스 URL
    이 원격 IdP에서 싱글 사인온 서비스를 식별합니다. 테이블에 항목을 포함하려면 "행 추가"를 클릭합니다.
    중요!
    하나 이상의 SSO 서비스를 정의하십시오.
    이 테이블에는 다음 열이 포함되어 있습니다.
    • 바인딩
      이 엔터티에서 싱글 사인온에 사용하는 바인딩을 지정합니다.
      기본값:
      HTTP-리디렉션
      제한:
      HTTP-리디렉션, SOAP
    • URL
      IdP의 싱글 사인온 서비스 URL을 식별합니다.
      값:
      유효한 URL
      Single Sign-On
      이 생산자인 경우의 예:
      http://
      federation_server
      :8054/affwebservices/public/saml2sso
    • 삭제
      테이블에서 항목을 제거합니다.
  • 원격 SOAP 아티팩트 레졸루션 URL
    (HTTP-아티팩트에만 필요) 원격 IdP에서 아티팩트 레졸루션 서비스를 식별합니다.
    URL 항목에는 다음 설정이 포함되어 있습니다.
    • 인덱스
      IdP의 아티팩트 레졸루션 서비스 URL을 식별하는 인덱스 번호를 지정합니다. 이 인덱스는 아티팩트 레졸루션 서비스 URL이 둘 이상 정의되어 있는 경우 각 URL이 시도되는 순서를 결정합니다.
      기본값:
      0
      값:
      0~99999 사이의 고유한 정수
    • URL
      아티팩트 레졸루션 서비스 URL을 지정합니다. 이 서비스에 대해 SSL이 사용되도록 설정한 경우 URL은
      https://
      로 시작해야 합니다.
  • 원격 SLO 서비스 URL
    (선택 사항) 원격 IdP에서 싱글 로그아웃 서비스를 식별합니다. 이 테이블에는 다음 열이 포함되어 있습니다.
    • 바인딩
      이 엔터티에서 SLO에 사용하는 바인딩을 지정합니다.
      기본값:
      HTTP-리디렉션
      옵션:
      HTTP-리디렉션, SOAP
    • 위치 URL
      이 원격 IdP의 싱글 로그아웃 서비스 URL을 지정합니다.
      • URL: http:/
        server:port
        /affwebservices/public/saml2slo
        server:port
        Single Sign-On
        이 설치된 서버입니다.
      • 타사 공급업체의 경우 URL은 싱글 로그아웃 응답을 처리하는 서비스를 나타냅니다.
    • 응답 위치 URL
      (선택 사항) 이 원격 IdP의 싱글 로그아웃 서비스 URL을 지정합니다. 싱글 로그아웃 요청에 대한 서비스와 싱글 로그아웃 응답에 대한 서비스가 하나씩 있는 구성에서 응답 위치 URL이 유용합니다.
      • Single Sign-On
        에서 이 값은 항상 다음 SLO 위치 URL과 동일합니다.
        http://
        server:port
        /affwebservices/public/saml2slo
        server:port
        Single Sign-On
        이 설치된 서버입니다.
      • 타사 공급업체의 경우 URL은 싱글 로그아웃 응답을 처리하는 서비스를 나타냅니다.
이름 ID 관리 서비스 URL
(선택 사항) 원격 Id에서 이름 ID 관리 서비스를 식별합니다. 테이블에 항목을 추가하려면 "행 추가"를 클릭하십시오.
이 테이블에는 다음 열이 포함되어 있습니다.
  • 바인딩
    이 엔터티에서 이름 ID 관리 서비스에 사용되는 바인딩을 지정합니다.
    기본값:
    SOAP
    옵션:
    HTTP-리디렉션, HTTP-POST(읽음, 그러나 사용되지 않음)
  • 위치 URL
    이 원격 IdP의 이름 ID 관리 서비스 URL을 지정합니다.
    Single Sign-On
    의 경우 이 값은 다음과 같습니다.
    http://
    sp_server:port
    /affwebservices/public/saml2nidsoap
    sp_server:port
    Single Sign-On
    을 호스트하는 SP의 서버 및 포트 번호입니다
    .
  • 응답 위치 URL
    (선택 사항) 응답 요청 URL을 지정합니다. 응답 요청 URL은 요청에 대한 서비스와 응답에 대한 서비스가 하나씩 있는 경우 유용합니다. 이 설정은 SOAP 바인딩에는 적용되지 않습니다.
    Single Sign-On
    에서 이 값은 항상 다음 위치 URL과 동일합니다.
    http://
    stmndr_server:port
    /affwebservices/public/saml2nidsoap
    stmndr_server:port
    Single Sign-On
    이 설치된 SP의 서버입니다.
  • 원격 특성 서비스 URL
    (선택 사항) 이 IdP의 다양한 특성 서비스 URL을 나열합니다. SP의 특성 쿼리를 지원할 수 있는 특성 서비스의 URL을 입력하십시오. 테이블에 행을 추가하여 여러 항목을 추가할 수 있습니다.
    예:
    http://host.forwardinc.com/affwebservices/public/saml2attrsvc
서명 및 암호화 옵션
"서명 및 암호화 옵션" 섹션에서는 페더레이션된 트랜잭션에 대한 서명 및 암호화 동작을 정의할 수 있습니다. 이 섹션에는 다음과 같은 필드가 있습니다.
  • 확인 인증서 별칭
    (선택 사항) 인증서 데이터 저장소의 특정 인증서와 연결된 별칭을 지정합니다. 제공하는 별칭은 서명된 어설션 및 SLO 요청을 확인하는 데 사용할 인증서를 정책 서버에 알려 줍니다.
    풀다운 메뉴 목록에서 별칭을 선택하십시오. 인증서 데이터 저장소에 인증서가 없는 경우 "가져오기"를 클릭하여 인증서를 가져오십시오.
     
    인증서 데이터 저장소에 인증서가 있어야만 이 필드에 관련 별칭을 지정할 수 있습니다.
    값:
    드롭다운 목록의 선택 항목
  • 보조 확인 인증서 별칭
    (선택 사항) 인증서 데이터 저장소의 인증서에 대한 보조 확인 인증서 별칭을 지정합니다. 구성된 확인 인증서 별칭을 사용하여 요청 또는 응답의 서명을 확인하지 못할 경우 로컬 SP는 이 보조 인증서 별칭을 사용합니다. 원격 IdP는 메타데이터나 다른 수단을 사용하여 트랜잭션이 발생하기 전에 확인 인증서를 SP에 보냅니다. 보조 별칭을 지정하면 IdP가 자체 서명 인증서를 롤오버하는 경우에 유용합니다. 롤오버는 인증서가 만료되거나 개인 키가 손상되거나 개인 키 크기가 변경되는 등의 이유로 발생할 수 있습니다.인증서 데이터 저장소에 키가 아직 없는 경우
    가져오기
    를 클릭하여 키를 가져오십시오.
    값:
    드롭다운 목록의 선택 항목 
  • 서명된 인증 요청 필요
    AuthnRequest 메시지에 서명됨을 나타냅니다. 그렇지 않으면 IdP는 메시지를 수락하지 않습니다.
지원되는 이름 ID 형식 및 특성(SAML 2.0)
casso128kkr
casso128kkr
"지원되는 이름 ID 형식 및 특성" 섹션에서는 엔터티가 지원하는 이름 ID 형식을 지정할 수 있습니다. 또한 아이덴티티 공급자의 경우 어설션에 추가할 특성을 나타냅니다.
이름 식별자는 어설션에서 사용자를 고유하게 명명하고 어설션에 포함할 특성을 지정합니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 사용자 DN인 경우 콘텐츠는 uid일 수 있습니다.
어설션에 추가되는 특성은 사용자를 추가로 식별할 수 있으며 어설션을 사용하는 응용 프로그램을 각 사용자에 맞게 사용자 지정하는 데 사용할 수 있습니다.
  • 지원되는 이름 ID 형식
    엔터티가 지원하는 이름 ID 형식을 모두 나열합니다. 적용되는 형식을 모두 선택합니다.
    각 형식에 대한 설명은
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0(OASIS SAML(Security Assertion Markup Language) V2.0에 대한 어설션 및 프로토콜)
    사양을 참조하십시오.
  • 지원되는 어설션 특성(로컬 및 원격 IdP)
    어설션 당사자가 어설션에 포함하는 특성을 지정합니다. 이 테이블에는 다음 열이 포함되어 있습니다.
    • 어설션 특성
      어설션에 포함되는 특정 사용자 디렉터리 특성을 나타냅니다.
      값:
      유효한 사용자 디렉터리 특성의 이름
    • 지원되는 형식
      특성의 형식을 지정합니다.
      옵션:
      지정되지 않음, 기본, URI