WS-페더레이션 엔터티 구성
casso128kkr
HID_wsfed-entity
다음 설정 중 대부분은 로컬 및 원격 WS-페더레이션 엔터티에 공통적으로 사용됩니다.
- 엔터티 ID파트너에 페더레이션 엔터티를 식별시킵니다. 엔터티 ID는 도메인 이름과 같은 유니버설 식별자입니다. 엔터티 ID가원격 파트너를 나타내는 경우 이 값은 고유해야 합니다. 엔터티 ID가로컬 파트너를 나타내는 경우에는 동일한 시스템에서 재사용될 수 있습니다. 예를 들어 엔터티 ID가 로컬 어설션 당사자를 나타내는 경우 둘 이상의 파트너 관계에서 이 동일한 ID를 사용할 수 있습니다.원격 파트너를 나타내는 엔터티 ID는 단일 활성 파트너 관계에만 속할 수 있습니다.값:URI(URL 권장)다음 지침에 주의하십시오.
- 엔터티 ID는 URI여야 하지만 절대 URL을 사용하는 것이 좋습니다.
- 엔터티 ID가 URL인 경우:
- URL의 호스트 부분은 조직의 기본 DNS 도메인을 루트로 하는 이름이어야 합니다.
- URL에는 포트 번호, 쿼리 문자열 또는 조각 식별자를 포함할 수 없습니다.
- 앰퍼샌드(&)는 별도의 쿼리 매개 변수로 인식되므로 엔터티 ID에 사용하지 마십시오.
- URN을 지정하지 마십시오.
- 페더레이션 내부 및 페더레이션 간 이름 충돌을 방지하기 위해 원격 파트너의 엔터티 ID는 전역적으로 고유해야 합니다.올바른 엔터티 ID의 예
- CompanyA:portal1
- https://idp_name.example.edu/sp잘못된 엔터티 ID의 예
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto(이 URL은 작동 가능하지만 이 구문을 사용하지 않는 것이 좋음)
- 엔터티 이름
정책 저장소에 있는 엔터티 개체의 이름을 지정합니다. 엔터티 이름은 고유한 값이어야 합니다.
CA Single Sign-on
은 엔터티 이름을 내부적으로 사용하여 특정 사이트에서 엔터티를 구별합니다. 이 값은 외부에서 사용되지 않으며 원격 파트너는 이 값을 알지 못합니다."엔터티 이름"이 "엔터티 ID"와 동일한 값일 수 있지만 사이트의 다른 엔터티와 값이 공유되지는 않습니다.
값:
영숫자 문자열예:
Partner1- 설명
엔터티를 설명하는 추가 정보를 지정합니다.
값:
최대 1024자의 영숫자 문자열- 기준 URL
페더레이션의 대상 사용자에게 표시되는 서버의 기본 위치를 지정합니다. 이 서버는 일반적으로
CA Single Sign-on
이 설치된 서버입니다. 또한 페더레이션 서비스를 호스트하는 서버의 URL일 수도 있습니다. 기준 URL을 사용하면 CA Single Sign-on
이 구성의 다른 부분에서 상대 URL을 생성하여 구성의 효율성을 높일 수 있습니다.기준 URL은 편집할 수 있습니다. 예를 들어
CA Single Sign-on
시스템에 대한 가상 호스트를 구성할 수 있습니다. 하나의 가상 호스트는 관리 UI 통신을 처리하고, 다른 가상 호스트는 포함된 Apache 웹 서버가 처리한 사용자 트래픽을 처리한다고 가정합니다. 이 경우 Apache 웹 서버의 HTTP 포트 및 서버만 가리키도록 기준 URL을 편집할 수 있습니다.값:
유효한 URL이 필드를 수정할 때 주의해야 할 중요 지침은 다음과 같습니다.
- 기준 URL을 수정할 경우 기준 URL 끝에 슬래시를 넣지 마십시오. 마지막에 슬래시를 넣으면 이 기준 URL을 사용하는 다른 URL에 두 개의 슬래시가 추가됩니다.
- 장애 조치 지원을 위해 이 필드의 값은 다른 시스템에 대한 장애 조치를 관리하는 시스템의 호스트 이름 및 포트입니다. 이 시스템은 부하 분산 장치나 프록시 서버일 수 있습니다.
- 명확성 ID(로컬 IP 및 RP 엔터티)동일한 IP와 RP 사이에 여러 파트너 관계가 있는 경우 이 ID만 설정하십시오. 조직의 여러 사업부가 원격 파트너와 자체 관계가 있지만 각 사업부가 공유 페더레이션 인프라에 의존하는 경우 명확성 ID가 유용합니다.동일한 IP 또는 RP ID를 사용한 여러 파트너 관계를 가질 수 없습니다. 원격 파트너가 단일 RP ID를 사용하는 경우CA Single Sign-on은 싱글 사인온 요청을 구별할 수 있어야 합니다. 명확성 ID는 시스템이 페더레이션 서비스 URL(예: SSO 서비스)에 대한 고유 논리 경로 접미사를 사용하여 파트너 관계를 구분할 수 있게 해 줍니다.예를 들어 영업부와 재무부가 ForwardInc.com과의 파트너 관계를 원할 수 있습니다. 두 파트너 관계에는 ForwardInc.com의 동일한 RP ID가 사용됩니다. 각 파트너 관계의 로컬 엔터티에 대해 각각 "sales" 및 "finance"의 명확성 ID를 추가하십시오.예제 SSO URL:http://server:port/affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.com이 URL은 다른 두 파트너 관계에서 다음 URL이 됩니다.http://server:port/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.comhttp://server:port/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.com단 하나의 SSO 서비스만 있지만 접미사와 RP ID가 고유 파트너 관계 조회 키를 생성합니다.두 개의 파트너 관계가 있으면 RP가 제공한 어설션 소비자 URL에도 영향을 줍니다. 다음 방법 중 하나로 이 URL의 구성을 처리하십시오.
- 두 파트너 관계 모두에서 동일한 IP ID를 사용합니다. 하나의 로컬 IP는 여러 원격 RP에 바인딩될 수 있습니다. 이 구성의 경우 RP는 어설션 대상인 테넌트를 알 수 있도록 두 개의 서로 다른 어설션 소비자 URL을 제공해야 합니다. 예:https://casales.salesforce.com/public/wsfedConsumerhttps://cafinance.salesforce.com/public/wsfedConsumer
- 각 파트너 관계에 다른 IP ID를 사용합니다. 이렇게 하면 IP ID가 어설션을 보낸 사람을 구분하므로 RP는 동일한 어설션 소비자 URL을 제공할 수 있습니다.
값:영숫자 문자열을 입력하되 특수 문자는 사용하지 마십시오.
- 원격 피동 요청자 서비스 URL(원격 IP)원격 IP의 피동 요청자 서비스 URL을 식별합니다. 피동 요청자는 HTTP 프로토콜을 지원하는 웹 브라우저 또는 응용 프로그램입니다. 이 서비스는 클레임된 요청자가 유효한지 확인하는 보안 토큰을 제공합니다.
- 사인아웃 확인 URL(로컬 IP)사인아웃을 수행하는 아이덴티티 공급자의 URL을 지정합니다.기본값:http://ip_server:port/affwebservices/signoutconfirmurl.jspip_server:port아이덴티티 공급자 시스템의 서버 및 포트 번호를 지정합니다. 시스템은 페더레이션 네트워크에 설치된 구성 요소에 따라 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이를 호스트하고 있습니다.signoutconfirmurl.jsp는 웹 에이전트 옵션 팩이나 SPS 페더레이션 게이트웨이에 포함되어 있습니다. 이 페이지를 기본 디렉터리에서 페더레이션 웹 서비스의 서블릿 엔진이 페이지에 액세스할 수 있는 위치로 이동하여 배치하십시오.
- 원격 사인아웃 URL(원격 RP)원격 RP 사인아웃 서비스의 URL을 지정합니다. 기준 URL은 다음과 같습니다.https://rp_service:port/affwebservices/public/wsfeddispatcher참고:WSFedDispatcher 서비스는 모든 수신 WS-페더레이션 메시지를 받고 쿼리 매개 변수 데이터를 기반으로 적절한 서비스에 요청 처리를 전달합니다. wsfedsignout 서비스가 있더라도 사인아웃 URL에 wsfeddispatcher URL을 사용하십시오.
- 원격 보안 토큰 소비자 서비스 URL(원격 RP)원격 리소스 파트너의 토큰 서비스 URL을 지정합니다. 이 서비스는 보안 토큰 응답 메시지를 수신하고 어설션을 추출합니다. 서비스의 기본 위치는 다음과 같습니다.https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:port웹 에이전트 옵션 팩 또는 SPS 페더레이션 게이트웨이를 호스트하는 리소스 파트너의 웹 서버와 포트를 식별합니다. 이러한 구성 요소는 페더레이션 웹 서비스 응용 프로그램을 제공합니다.참고:WSFedDispatcher 서비스는 모든 수신 WS-페더레이션 메시지를 받고 쿼리 매개 변수 데이터를 기반으로 적절한 서비스에 요청 처리를 전달합니다. wsfedsecuritytokenconsumer 서비스가 있지만 이 필드의 항목으로는 wsfeddispatcher 서비스를 사용하는 것이 좋습니다.
서명 설정
"서명 옵션"은 싱글 사인온에 대한 서명 동작을 정의합니다. 이 섹션에는 엔터티에 따라 다른 설정이 포함되어 있습니다.
- 서명 개인 키 별칭(로컬 IP에만 해당)(선택 사항) 인증서 데이터 저장소의 특정 개인 키와 연결된 별칭을 지정합니다. 이 필드에 데이터를 입력하면 어설션 당사자가 어설션에 서명하는 데 사용할 개인 키가 지정됩니다.사용할 키가 인증서 데이터 저장소에 없는 경우 계속하기 전에 "가져오기"를 클릭하여 가져올 수 있습니다.참고:인증서 데이터 저장소에 개인 키가 이미 있어야만 이 필드에 연결된 별칭을 지정할 수 있습니다.값:드롭다운 목록에서 선택합니다.
- 확인 인증서 별칭(원격 IP 및 RP)(선택 사항) 인증서 데이터 저장소의 특정 인증서(공개 키)와 연결된 별칭을 지정합니다. 제공하는 별칭은 서명된 어설션을 확인하는 데 사용할 인증서를 정책 서버에 알려 줍니다.원하는 키를 사용할 수 없는 경우 인증서를 가져오려면 "가져오기"를 클릭하거나 풀다운 목록에서 별칭을 선택하십시오.참고:인증서 데이터 저장소에 인증서가 있어야만 연결된 별칭을 지정할 수 있습니다.값:드롭다운 목록에서 선택합니다.
지원되는 이름 ID 형식 및 특성
casso128kkr
"지원되는 이름 ID 형식 및 특성" 섹션에는 두 가지 기능이 있습니다.
- 엔터티가 지원하는 이름 ID 형식을 지정합니다.이름 식별자는 어설션에서 사용자를 고유하게 명명하고 어설션에 포함할 특성을 지정합니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식이 사용자 DN인 경우 콘텐츠는 uid일 수 있습니다.
- 어설션 당사자의 경우 어설션에 포함할 특성을 지정하십시오.어설션에 추가되는 특성은 사용자를 추가로 식별할 수 있으며 어설션을 사용하는 응용 프로그램을 각 사용자에 맞게 사용자 지정하는 데 사용할 수 있습니다.
지원되는 이름 ID 형식 및 특성
옵션 목록에서 적용되는 형식을 모두 선택하십시오. 모든 형식을 선택하려면 "이름 ID 형식 선택"을 선택하십시오.
각 형식에 대한 설명은 SAML 또는 WS-페더레이션 프로필에 대한 사양을 참조하십시오.
- 지원되는 어설션 특성생산자가 어설션에 포함하는 특성을 지정합니다. 테이블에 특성을 포함하려면 "추가"를 클릭하십시오. 이 테이블에는 다음 열이 포함되어 있습니다.
- 어설션 특성어설션의 특정 특성을 나타냅니다.값:유효한 어설션 특성의 이름
- 네임스페이스이름을 고유하게 식별하는 모음을 지정합니다.값:임의의 네임스페이스 이름
- 삭제이 아이콘을 클릭하면 테이블에서 항목이 제거됩니다.