SAML 2.0 Remote IdP Entity Configuration(SAML 2.0 원격 IdP 엔터티 구성)
목차
casso128kkr
HID_remote-idp-entity-configuration
목차
"엔터티 구성" 단계에는 페더레이션 엔터티에 대한 구성 상세 정보가 포함됩니다.
Configure SAML 2.0 Remote IdP Entity(SAML 2.0 원격 IdP 엔터티 구성)
"Configure SAML 2.0 Remote IdP Entity"(SAML 2.0 원격 IdP 엔터티 구성) 섹션에서는 엔터티를 식별합니다. 다음 필드는 자동으로 채워지지 않습니다.
- casso128kkr엔터티 ID파트너에 페더레이션 엔터티를 식별시킵니다. 엔터티 ID는 도메인 이름과 같은 유니버설 식별자입니다. 엔터티 ID가원격 파트너를 나타내는 경우 이 값은 고유해야 합니다. 엔터티 ID가로컬 파트너를 나타내는 경우에는 동일한 시스템에서 재사용될 수 있습니다. 예를 들어 엔터티 ID가 로컬 어설션 당사자를 나타내는 경우 둘 이상의 파트너 관계에서 이 동일한 ID를 사용할 수 있습니다.원격 파트너를 나타내는 엔터티 ID는 단일 활성 파트너 관계에만 속할 수 있습니다.값:URI(URL 권장)다음 지침에 주의하십시오.
- 엔터티 ID는 URI여야 하지만 절대 URL을 사용하는 것이 좋습니다.
- 엔터티 ID가 URL인 경우:
- URL의 호스트 부분은 조직의 기본 DNS 도메인을 루트로 하는 이름이어야 합니다.
- URL에는 포트 번호, 쿼리 문자열 또는 조각 식별자를 포함할 수 없습니다.
- 앰퍼샌드(&)는 별도의 쿼리 매개 변수로 인식되므로 엔터티 ID에 사용하지 마십시오.
- URN을 지정하지 마십시오.
- 페더레이션 내부 및 페더레이션 간 이름 충돌을 방지하기 위해 원격 파트너의 엔터티 ID는 전역적으로 고유해야 합니다.
올바른 엔터티 ID의 예- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
잘못된 엔터티 ID의 예엔터티 이름정책 저장소에 있는 엔터티 개체의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다. Federation은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다.참고:엔터티 이름은 엔터티 ID와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.값:영숫자 문자열예:Partner1설명엔터티를 설명하는 추가 정보를 지정합니다.값:최대 1024자의 영숫자 문자열기준 URL페더레이션의 대상 사용자에게 표시되는 서버의 기본 위치를 지정합니다. 이 서버는 일반적으로CA Single Sign-on이 설치된 서버입니다. 그러나 서버는 싱글 사인온 서비스와 같은 페더레이션 서비스를 호스트하는 서버의 URL일 수 있습니다. 기준 URL을 사용하면CA Single Sign-on이 구성의 다른 부분에서 상대 URL을 생성하여 구성의 효율성을 높일 수 있습니다.기준 URL은 편집할 수 있습니다. 예를 들어CA Single Sign-on시스템에 대한 가상 호스트를 구성할 수 있습니다. 한 가상 호스트는 UI 통신을 처리하고, 다른 가상 호스트는 포함된 Apache 웹 서버가 처리하는 사용자 트래픽을 처리한다고 가정합니다. Apache 웹 서버의 HTTP 포트 및 서버만 가리키도록 기준 URL을 편집할 수 있습니다.값:유효한 URL예:https://fedserver.ca.com:5555이 필드를 수정할 때 주의해야 할 중요 지침은 다음과 같습니다.기준 URL을 수정할 경우 기준 URL 끝에 슬래시를 넣지 마십시오. 마지막에 슬래시를 넣으면 이 기준 URL을 사용하는 다른 URL에 두 개의 슬래시가 추가됩니다.장애 조치 지원을 위해 둘 이상의CA Single Sign-on를 사용하고 있는 경우 이 필드에서 다른 시스템의 장애 조치를 관리하는 시스템의 호스트 이름 및 포트를 설정하십시오. 이 시스템은 부하 분산 장치나 프록시 서버일 수 있습니다. - 엔터티 이름정책 저장소에 있는 엔터티의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다. Federation은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다.참고:엔터티 이름은 엔터티 ID와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.값:영숫자 문자열예:Partner1
- 원격 SSO 서비스 URL이 원격 IdP에서 싱글 사인온 서비스를 식별합니다. 테이블에 항목을 포함하려면 "행 추가"를 클릭합니다.중요!하나 이상의 SSO 서비스를 정의하십시오.이 테이블에는 다음 열이 포함되어 있습니다.
- 바인딩이 엔터티에서 싱글 사인온에 사용하는 바인딩을 지정합니다.기본값:HTTP-리디렉션제한:HTTP-리디렉션, SOAP
- URLIdP의 싱글 사인온 서비스 URL을 식별합니다.값:유효한 URLhttp://Single Sign-On이 생산자인 경우의 예:federation_server:8054/affwebservices/public/saml2sso
- 삭제테이블에서 항목을 제거합니다.
- 원격 SOAP 아티팩트 레졸루션 URL(HTTP-아티팩트에만 필요) 원격 IdP에서 아티팩트 레졸루션 서비스를 식별합니다.URL 항목에는 다음 설정이 포함되어 있습니다.
- 인덱스IdP의 아티팩트 레졸루션 서비스 URL을 식별하는 인덱스 번호를 지정합니다. 이 인덱스는 아티팩트 레졸루션 서비스 URL이 둘 이상 정의되어 있는 경우 각 URL이 시도되는 순서를 결정합니다.기본값:0값:0~99999 사이의 고유한 정수
- URL아티팩트 레졸루션 서비스 URL을 지정합니다. 이 서비스에 대해 SSL이 사용되도록 설정한 경우 URL은https://로 시작해야 합니다.
- 원격 SLO 서비스 URL(선택 사항) 원격 IdP에서 싱글 로그아웃 서비스를 식별합니다. 이 테이블에는 다음 열이 포함되어 있습니다.
- 바인딩이 엔터티에서 SLO에 사용하는 바인딩을 지정합니다.기본값:HTTP-리디렉션옵션:HTTP-리디렉션, SOAP
- 위치 URL이 원격 IdP의 싱글 로그아웃 서비스 URL을 지정합니다.
- URL: http:/server:port/affwebservices/public/saml2sloserver:port는Single Sign-On이 설치된 서버입니다.
- 타사 공급업체의 경우 URL은 싱글 로그아웃 응답을 처리하는 서비스를 나타냅니다.
- 응답 위치 URL(선택 사항) 이 원격 IdP의 싱글 로그아웃 서비스 URL을 지정합니다. 싱글 로그아웃 요청에 대한 서비스와 싱글 로그아웃 응답에 대한 서비스가 하나씩 있는 구성에서 응답 위치 URL이 유용합니다.
- Single Sign-On에서 이 값은 항상 다음 SLO 위치 URL과 동일합니다.http://server:port/affwebservices/public/saml2sloserver:port는Single Sign-On이 설치된 서버입니다.
- 타사 공급업체의 경우 URL은 싱글 로그아웃 응답을 처리하는 서비스를 나타냅니다.
이름 ID 관리 서비스 URL
(선택 사항) 원격 Id에서 이름 ID 관리 서비스를 식별합니다. 테이블에 항목을 추가하려면 "행 추가"를 클릭하십시오.
이 테이블에는 다음 열이 포함되어 있습니다.
- 바인딩이 엔터티에서 이름 ID 관리 서비스에 사용되는 바인딩을 지정합니다.기본값:SOAP옵션:HTTP-리디렉션, HTTP-POST(읽음, 그러나 사용되지 않음)
- 위치 URL이 원격 IdP의 이름 ID 관리 서비스 URL을 지정합니다.Single Sign-On의 경우 이 값은 다음과 같습니다.http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:port는Single Sign-On을 호스트하는 SP의 서버 및 포트 번호입니다.
- 응답 위치 URL(선택 사항) 응답 요청 URL을 지정합니다. 응답 요청 URL은 요청에 대한 서비스와 응답에 대한 서비스가 하나씩 있는 경우 유용합니다. 이 설정은 SOAP 바인딩에는 적용되지 않습니다.Single Sign-On에서 이 값은 항상 다음 위치 URL과 동일합니다.http://stmndr_server:port/affwebservices/public/saml2nidsoapstmndr_server:port는이 설치된 SP의 서버입니다.Single Sign-On
- 원격 특성 서비스 URL(선택 사항) 이 IdP의 다양한 특성 서비스 URL을 나열합니다. SP의 특성 쿼리를 지원할 수 있는 특성 서비스의 URL을 입력하십시오. 테이블에 행을 추가하여 여러 항목을 추가할 수 있습니다.예:http://host.forwardinc.com/affwebservices/public/saml2attrsvc
서명 및 암호화 옵션
"서명 및 암호화 옵션" 섹션에서는 페더레이션된 트랜잭션에 대한 서명 및 암호화 동작을 정의할 수 있습니다. 이 섹션에는 다음과 같은 필드가 있습니다.
- 확인 인증서 별칭(선택 사항) 인증서 데이터 저장소의 특정 인증서와 연결된 별칭을 지정합니다. 제공하는 별칭은 서명된 어설션 및 SLO 요청을 확인하는 데 사용할 인증서를 정책 서버에 알려 줍니다.풀다운 메뉴 목록에서 별칭을 선택하십시오. 인증서 데이터 저장소에 인증서가 없는 경우 "가져오기"를 클릭하여 인증서를 가져오십시오.인증서 데이터 저장소에 인증서가 있어야만 이 필드에 관련 별칭을 지정할 수 있습니다.값:드롭다운 목록의 선택 항목
- 보조 확인 인증서 별칭(선택 사항) 인증서 데이터 저장소의 인증서에 대한 보조 확인 인증서 별칭을 지정합니다. 구성된 확인 인증서 별칭을 사용하여 요청 또는 응답의 서명을 확인하지 못할 경우 로컬 SP는 이 보조 인증서 별칭을 사용합니다. 원격 IdP는 메타데이터나 다른 수단을 사용하여 트랜잭션이 발생하기 전에 확인 인증서를 SP에 보냅니다. 보조 별칭을 지정하면 IdP가 자체 서명 인증서를 롤오버하는 경우에 유용합니다. 롤오버는 인증서가 만료되거나 개인 키가 손상되거나 개인 키 크기가 변경되는 등의 이유로 발생할 수 있습니다.인증서 데이터 저장소에 키가 아직 없는 경우가져오기를 클릭하여 키를 가져오십시오.값:드롭다운 목록의 선택 항목
- 서명된 인증 요청 필요AuthnRequest 메시지에 서명됨을 나타냅니다. 그렇지 않으면 IdP는 메시지를 수락하지 않습니다.
지원되는 이름 ID 형식 및 특성(SAML 2.0)
casso128kkr
casso128kkr
"지원되는 이름 ID 형식 및 특성" 섹션에서는 엔터티가 지원하는 이름 ID 형식을 지정할 수 있습니다. 또한 아이덴티티 공급자의 경우 어설션에 추가할 특성을 나타냅니다.
이름 식별자는 어설션에서 사용자를 고유하게 명명하고 어설션에 포함할 특성을 지정합니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 사용자 DN인 경우 콘텐츠는 uid일 수 있습니다.
어설션에 추가되는 특성은 사용자를 추가로 식별할 수 있으며 어설션을 사용하는 응용 프로그램을 각 사용자에 맞게 사용자 지정하는 데 사용할 수 있습니다.
- 지원되는 이름 ID 형식엔터티가 지원하는 이름 ID 형식을 모두 나열합니다. 적용되는 형식을 모두 선택합니다.각 형식에 대한 설명은Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0(OASIS SAML(Security Assertion Markup Language) V2.0에 대한 어설션 및 프로토콜)사양을 참조하십시오.
- 지원되는 어설션 특성(로컬 및 원격 IdP)어설션 당사자가 어설션에 포함하는 특성을 지정합니다. 이 테이블에는 다음 열이 포함되어 있습니다.
- 어설션 특성어설션에 포함되는 특정 사용자 디렉터리 특성을 나타냅니다.값:유효한 사용자 디렉터리 특성의 이름
- 지원되는 형식특성의 형식을 지정합니다.옵션:지정되지 않음, 기본, URI