SAML 2.0 Remote SP Entity Configuration(SAML 2.0 원격 SP 엔터티 구성)
casso128kkr
HID_remote-sp-entity-config
"엔터티 구성" 단계에는 페더레이션 엔터티에 대한 구성 상세 정보가 포함됩니다.
Configure SAML 2.0 Remote SP Entity(SAML 2.0 원격 IdP 엔터티 구성)
"Configure SAML 2.0 Remote SP Entity"(SAML 2.0 원격 SP 엔터티 구성) 섹션에서는 엔터티를 식별할 수 있습니다.
- 엔터티 ID파트너에 페더레이션 엔터티를 식별시킵니다. 엔터티 ID는 도메인 이름과 같은 유니버설 식별자입니다. 엔터티 ID가원격 파트너를 나타내는 경우 이 값은 고유해야 합니다. 엔터티 ID가로컬 파트너를 나타내는 경우에는 동일한 시스템에서 재사용될 수 있습니다. 예를 들어 엔터티 ID가 로컬 IdP를 나타내는 경우 둘 이상의 IdP-SP 파트너 관계에서 이 동일한 ID를 사용할 수 있습니다.
- 원격 파트너를 나타내는 엔터티 ID는 단일 활성 파트너 관계에만 속할 수 있습니다.값:URI(URL 권장)다음 지침에 주의하십시오.
- 엔터티 ID는 URI여야 하지만 절대 URL을 사용하는 것이 좋습니다.
- 엔터티 ID가 URL인 경우:
- URL의 호스트 부분은 조직의 기본 DNS 도메인을 루트로 하는 이름이어야 합니다.
- URL에는 포트 번호, 쿼리 문자열 또는 조각 식별자를 포함할 수 없습니다.
- 앰퍼샌드(&)는 별도의 쿼리 매개 변수로 인식되므로 엔터티 ID에 사용하지 마십시오.
- URN을 지정하지 마십시오.
- 페더레이션 내부 및 페더레이션 간 이름 충돌을 방지하기 위해 원격 파트너의 엔터티 ID는 전역적으로 고유해야 합니다.
올바른 엔터티 ID의 예- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
잘못된 엔터티 ID의 예- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto(이 URL은 작동 가능하지만 이 구문을 사용하지 않는 것이 좋음)
- 엔터티 이름데이터베이스에 있는 엔터티 개체의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다. 시스템은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다. 엔터티 이름은 엔터티 ID와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.값:영숫자 문자열예:Partner1
- 설명엔터티를 설명하는 추가 정보를 지정합니다.값:최대 1024자의 영숫자 문자열
어설션 소비자 서비스 URL
"어설션 소비자 서비스 URL" 섹션에서는 어설션을 소비하는 이 원격 SP의 서비스를 지정합니다. 테이블에 항목을 추가하려면 "행 추가"를 클릭하십시오.
중요!
어설션 소비자 서비스 항목을 하나 이상 정의해야 합니다.이 테이블에는 다음 열이 포함되어 있습니다.
- 인덱스어설션 소비자 서비스 URL과 연결된 인덱스 번호를 지정합니다.기본값:0값: 0~99999 사이의 고유한 정수
- 바인딩이 끝점이 Single Sign-On에 사용하는 바인딩을 지정합니다.IdP는 원치 않는 요청으로 Single Sign-On을 시작할 수 있습니다. 요청에 ProtocolBinding 쿼리 매개 변수가 포함되어 있는 경우 쿼리 매개 변수에 지정된 바인딩이 이 필드에서 선택한 값을 재정의합니다.옵션:HTTP-아티팩트, HTTP-POST, SOAP
- URL어설션 소비자 서비스의 URL을 지정합니다. 이 서비스에 대해 SSL이 사용되도록 설정한 경우 URL은https://로 시작해야 합니다.
- 기본값선택한 어설션 소비자 서비스 항목이 어설션을 소비하기 위한 기준 URL로 사용됨을 나타냅니다. 한 항목만 기본값으로 설정할 수 있습니다.
SLO 서비스 URL
(선택 사항) 이 섹션에서는 이 원격 SP의 싱글 로그아웃 서비스를 식별합니다. 테이블에 항목을 추가하려면 "행 추가"를 클릭하십시오.
이 테이블에는 다음 열이 포함되어 있습니다.
- 바인딩이 엔터티에서 SLO에 사용하는 바인딩을 지정합니다.기본값:HTTP-리디렉션옵션:HTTP-리디렉션, SOAP
- 위치 URL이 원격 SP의 싱글 로그아웃 서비스 URL을 지정합니다.
- Single Sign-On의 경우 이 값은 다음과 같습니다.http://sp_server:port/affwebservices/public/saml2slosp_server:port는Single Sign-On을 호스트하는 SP의 서버 및 포트 번호입니다.
- 타사 공급업체의 경우 이 URL은 싱글 로그아웃 서비스를 나타냅니다.
- 응답 위치 URL(선택 사항) 이 원격 SP의 싱글 로그아웃 서비스 URL을 지정합니다. 싱글 로그아웃 요청에 대한 서비스와 싱글 로그아웃 응답에 대한 서비스가 하나씩 있는 경우에 응답 위치 URL이 유용합니다.
- Single Sign-On에서 이 값은 항상 다음 SLO 위치 URL과 동일합니다.http://sp_server:port/affwebservices/public/saml2slosp_server:port는Single Sign-On이 설치된 SP의 서버입니다.
- 타사 공급업체의 경우 URL은 싱글 로그아웃 응답을 처리하는 서비스를 나타냅니다.
이름 ID 관리 서비스 URL
(선택 사항) 원격 SP에서 이름 ID 관리 서비스를 식별합니다. 테이블에 항목을 추가하려면 "행 추가"를 클릭하십시오.
이 테이블에는 다음 열이 포함되어 있습니다.
- 바인딩이 엔터티에서 이름 ID 관리 서비스에 사용되는 바인딩을 지정합니다.기본값:SOAP옵션:HTTP-리디렉션, HTTP-POST(읽음, 그러나 사용되지 않음)
- 위치 URL이 원격 SP에서 이름 ID 관리 서비스의 URL을 지정합니다.
- Single Sign-On의 경우 이 값은 다음과 같습니다.http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:port는CA Single Sign-on를 호스트하는 SP의 서버 및 포트 번호를 지정합니다.
- 응답 위치 URL(선택 사항) 응답 요청 URL을 지정합니다. 응답 요청 URL은 요청에 대한 서비스와 응답에 대한 서비스가 하나씩 있는 경우 유용합니다. SOAP 바인딩에는 적용되지 않습니다.
- Single Sign-On에서 이 값은 항상 다음 위치 URL과 동일합니다.http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:port는Single Sign-On이 설치된 SP의 서버입니다.
서명 및 암호화 옵션
"서명 및 암호화 옵션"에서는 페더레이션된 트랜잭션에 대한 서명 및 암호화 동작을 정의합니다. 이 섹션에는 다음 설정이 포함되어 있습니다.
- 확인 인증서 별칭(선택 사항) 인증서 데이터 저장소의 특정 인증서와 연결된 별칭을 지정합니다. 제공하는 별칭은 서명된 어설션 및 SLO 요청을 확인하는 데 사용할 인증서를 정책 서버에 알려 줍니다.풀다운 메뉴 목록에서 별칭을 선택하십시오. 인증서를 사용할 수 없는 경우가져오기를 클릭하여 가져오십시오. 인증서 데이터 저장소에 인증서가 있어야만 이 필드에 관련 별칭을 지정할 수 있습니다.값:드롭다운 목록의 선택 항목
- 보조 확인 인증서 별칭(선택 사항) 인증서 데이터 저장소의 보조 확인 인증서 별칭을 지정합니다. 확인 인증서 별칭을 사용하여 요청 또는 응답의 서명을 확인하지 못할 경우 IdP는 이 보조 확인 별칭을 사용하여 서명을 확인합니다. 원격 SP는 메타데이터나 다른 수단을 사용하여 트랜잭션이 발생하기 전에 확인 인증서를 IdP에 보냅니다. 보조 별칭을 지정하면 SP가 자체 서명 인증서를 롤오버하는 경우에 유용합니다. 롤오버는 인증서가 만료되거나 개인 키가 손상되거나 개인 키 크기가 변경되는 등의 이유로 발생할 수 있습니다. 인증서 데이터 저장소에 키가 아직 없는 경우가져오기를 클릭하여 키를 가져오십시오.값:드롭다운 목록의 선택 항목
- 암호화 인증서 별칭(선택 사항) 인증서 데이터 저장소의 특정 인증서와 연결된 별칭을 지정합니다. 이 필드를 작성하면 원격 SP가 IdP에 제공하는 인증서 및 IdP가 암호화에 사용하는 인증서가 지정됩니다. SP는 개인 키로 암호 해독을 수행합니다.풀다운 목록에서 별칭을 선택하거나 원하는 키가 없는 경우 "가져오기"를 클릭하여 인증서를 가져오십시오. 인증서 데이터 저장소에 인증서가 있어야만 이 필드에 관련 별칭을 지정할 수 있습니다.값:드롭다운 목록의 선택 항목
- 인증 요청 서명SP가 보내는 AuthnRequest 메시지에 서명이 필요함을 나타냅니다. 요청에 서명하면 파트너 관계의 양 당사자 간 트러스트가 보장됩니다.
지원되는 이름 ID 형식
casso128kkr
"지원되는 이름 ID 형식" 섹션에서는 엔터티가 지원하는 이름 ID 형식을 지정할 수 있습니다.
이름 식별자는 어설션에서 사용자를 고유하게 명명하고 어설션에 포함할 특성을 지정합니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 사용자 DN인 경우 콘텐츠는 uid일 수 있습니다.
- 지원되는 이름 ID 형식엔터티가 지원하는 이름 ID 형식을 모두 나열합니다. 적용되는 형식을 모두 선택합니다.각 형식에 대한 설명은Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0(OASIS SAML(Security Assertion Markup Language) V2.0에 대한 어설션 및 프로토콜) 사양을 참조하십시오.