SAML 1.1 Remote Producer Entity(SAML 1.1 원격 생산자 엔터티)

casso128kkr
HID_remote-saml1-producer-entity
목차
Configure SAML 1.1 Remote Producer Entity(SAML 1.1 원격 생산자 엔터티 구성)
"Configure Remote SAML 1.1 Producer Entity"(원격 SAML 1.1 생산자 엔터티 구성) 섹션에서는 엔터티를 식별할 수 있습니다. 설정은 다음과 같습니다.
  • casso128kkr
    엔터티 ID
    파트너에 페더레이션 엔터티를 식별시킵니다. 엔터티 ID는 도메인 이름과 같은 유니버설 식별자입니다. 엔터티 ID가
    원격 파트너
    를 나타내는 경우 이 값은 고유해야 합니다. 엔터티 ID가
    로컬 파트너
    를 나타내는 경우에는 동일한 시스템에서 재사용될 수 있습니다. 예를 들어 엔터티 ID가 로컬 어설션 당사자를 나타내는 경우 둘 이상의 파트너 관계에서 이 동일한 ID를 사용할 수 있습니다.
     원격 파트너를 나타내는 엔터티 ID는 단일 활성 파트너 관계에만 속할 수 있습니다.
    값:
    URI(URL 권장)
    다음 지침에 주의하십시오.
      • 엔터티 ID는 URI여야 하지만 절대 URL을 사용하는 것이 좋습니다.
      • 엔터티 ID가 URL인 경우:
        • URL의 호스트 부분은 조직의 기본 DNS 도메인을 루트로 하는 이름이어야 합니다.
        • URL에는 포트 번호, 쿼리 문자열 또는 조각 식별자를 포함할 수 없습니다.
      • 앰퍼샌드(&)는 별도의 쿼리 매개 변수로 인식되므로 엔터티 ID에 사용하지 마십시오.
      • URN을 지정하지 마십시오.
      • 페더레이션 내부 및 페더레이션 간 이름 충돌을 방지하기 위해 원격 파트너의 엔터티 ID는 전역적으로 고유해야 합니다.
    올바른 엔터티 ID의 예
    잘못된 엔터티 ID의 예
    엔터티 이름
    정책 저장소에 있는 엔터티 개체의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다.
    CA Single Sign-on
    은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다.
    참고:
    "엔터티 이름"이 "엔터티 ID"와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.
    값:
    영숫자 문자열
    예:
    Partner1
    설명
    엔터티를 설명하는 추가 정보를 지정합니다.
    값:
    최대 1024자의 영숫자 문자열
    원본 ID
    (SAML 1.1 HTTP-아티팩트에만 해당) 생산자를 식별하는 SAML 아티팩트의 고유 ID를 지정합니다. 소비자는 이 ID를 사용하여 어설션 발급자를 식별합니다.
    SAML 사양에서는 생산자를 식별하는 20바이트 바이너리 16진수 인코딩 숫자로 원본 ID를 정의합니다. 지정하는 원본 ID 값은 해당 값의 40바이트 16진수 표현이어야 합니다.
    엔터티 ID의 SHA1 해시를 원본 ID 값으로 지정하는 것이 좋습니다. 이 매개 변수 값을 입력하지 않는 경우 제품은 기본적으로 이 값을 사용합니다.
    기본값:
    엔터티 ID의 SHA1 해시
    기준 URL
    페더레이션의 대상 사용자에게 표시되는 서버의 기본 위치를 지정합니다. 이 서버는 일반적으로
    CA Single Sign-on
    이 설치된 서버입니다. 또한 페더레이션 서비스를 호스트하는 서버의 URL일 수도 있습니다. 기준 URL을 사용하면
    CA Single Sign-on
    이 구성의 다른 부분에서 상대 URL을 생성하여 구성의 효율성을 높일 수 있습니다.
    기준 URL은 편집할 수 있습니다. 예를 들어
    CA Single Sign-on
    시스템에 대한 가상 호스트를 구성할 수 있습니다. 하나의 가상 호스트는 관리 UI 통신을 처리하고, 다른 가상 호스트는 포함된 Apache 웹 서버가 처리한 사용자 트래픽을 처리한다고 가정합니다. 이 경우 Apache 웹 서버의 HTTP 포트 및 서버만 가리키도록 기준 URL을 편집할 수 있습니다.
    값:
    유효한 URL
    예:
    https://fedserver.ca.com:5555
    이 필드를 수정할 때 주의해야 할 중요 지침은 다음과 같습니다.
      • 기준 URL을 수정할 경우 기준 URL 끝에 슬래시를 넣지 마십시오. 마지막에 슬래시를 넣으면 이 기준 URL을 사용하는 다른 URL에 두 개의 슬래시가 추가됩니다.
      • 장애 조치 지원을 위해 이 필드의 값은 다른 시스템에 대한 장애 조치를 관리하는 시스템의 호스트 이름 및 포트입니다. 이 시스템은 부하 분산 장치나 프록시 서버일 수 있습니다.
  • 어설션 검색 서비스 URL
    (HTTP-아티팩트에만 필수) 어설션 검색 서비스의 URL을 지정합니다. 싱글 사인온에 HTTP-아티팩트 프로필을 사용하는 경우 소비자에서 생산자로 아티팩트가 전송됩니다. 생산자는 아티팩트를 확인하고 아티팩트와 연결된 어설션을 소비자의 서비스로 리디렉션합니다.
    이 그룹 상자에서는 생산자의 어설션 검색 서비스를 식별합니다. 이 서비스에 대해 SSL이 사용되도록 설정한 경우 URL은
    https://
    로 시작해야 합니다.
    원격 생산자가
    CA Single Sign-on
    을 사용하는 경우 다음 URL을 사용합니다.
    • SSL을 사용하지 않는 경우:
      http://
      producer_server:port
      /affwebservices/assertionretriever
    • SSL을 사용하는 경우:
      https://
      producer_server:ssl_port
      /affwebservices/assertionretriever
  • SSO 서비스 URL
    생산자의 싱글 사인온 서비스 URL을 식별합니다.
    값:
    유효한 URL
    • CA Single Sign-on
      이 생산자인 경우 기본값
      : http://
      producer_server:port
      /affwebservices/public/intersitetransfer
서명 옵션
"서명 옵션"은 페더레이션 통신에 대한 서명 동작을 정의합니다. 이 섹션에는 다음 설정이 포함되어 있습니다.
  • 확인 인증서 별칭
    (선택 사항) 인증서 데이터 저장소의 특정 인증서(공개 키)와 연결된 별칭을 지정합니다. 제공하는 별칭은 서명된 어설션 및 응답을 확인하는 데 사용할 인증서를
    CA Single Sign-on
    에 알려 줍니다.
    풀다운 목록에서 별칭을 선택하거나 원하는 키가 없는 경우 "가져오기"를 클릭하여 인증서를 가져오십시오.
    참고:
    인증서가 키 데이터베이스에 저장되어 있어야만 연관된 별칭을 지정할 수 있습니다.
    값:
    드롭다운 목록의 선택 항목
지원되는 이름 ID 형식 및 특성
casso128kkr
"지원되는 이름 ID 형식 및 특성" 섹션에는 두 가지 기능이 있습니다.
  • 엔터티가 지원하는 이름 ID 형식을 지정합니다.
    이름 식별자는 어설션에서 사용자를 고유하게 명명하고 어설션에 포함할 특성을 지정합니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 사용자 DN인 경우 콘텐츠는 uid일 수 있습니다.
  • 어설션 당사자의 경우 어설션에 포함할 특성을 지정하십시오.
    어설션에 추가되는 특성은 사용자를 추가로 식별할 수 있으며 어설션을 사용하는 응용 프로그램을 각 사용자에 맞게 사용자 지정하는 데 사용할 수 있습니다.
지원되는 이름 ID 형식 및 특성
옵션 목록에서 적용되는 형식을 모두 선택하십시오. 모든 형식을 선택하려면 "이름 ID 형식 선택"을 선택하십시오.
각 형식에 대한 설명은 SAML 또는 WS-페더레이션 프로필에 대한 사양을 참조하십시오.
  • 지원되는 어설션 특성
    생산자가 어설션에 포함하는 특성을 지정합니다. 테이블에 특성을 포함하려면 "추가"를 클릭하십시오. 이 테이블에는 다음 열이 포함되어 있습니다.
  • 어설션 특성
    어설션의 특정 특성을 나타냅니다.
    값:
    유효한 어설션 특성의 이름
  • 네임스페이스
    이름을 고유하게 식별하는 모음을 지정합니다.
    값:
    임의의 네임스페이스 이름
  • 삭제
    이 아이콘을 클릭하면 테이블에서 항목이 제거됩니다.