핵심 인증 속성

핵심 인증 서비스는 모든 기본 인증 서비스뿐만 아니라 인증 SPI로 만든 모든 사용자 정의 인증 서비스에 대한 기본 서비스입니다. 핵심 인증은 모든 형태의 인증을 사용하려는 각 조직에 대해 서비스로 구성되어야 합니다. 핵심 인증 속성은 전역 속성과 조직 속성으로 구성됩니다. 전역 속성에 적용되는 값은 Sun ONE Identity Server 구성 전체에 걸쳐 적용되어 구성된 모든 조직이 상속합니다. (전역 속성의 목표는 Identity Server 응용 프로그램을 사용자 정의하는 것이므로 이러한 값은 역할이나 조직에 직접 적용할 수 없습니다.) 서비스 구성에서 조직 속성에 적용되는 값이 핵심 인증 템플리트의 기본값이 됩니다. 조직의 서비스를 등록한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 등록 후 변경할 수 있습니다. 조직의 항목은 조직 속성을 상속하지 않습니다. 핵심 인증 속성은 다음과 같이 구분됩니다.

전역 속성

플러그 가능 인증 모듈 클래스

이 필드는 Identity Server 플랫폼 내에서 구성된 모든 조직에서 사용할 수 있는 인증 모듈의 Java 클래스를 지정합니다. 기본적으로 여기에는 LDAP, SafeWord, SecurID, 응용 프로그램, 익명, HTTP 기본, 구성원, Unix, 인증서, NT 및 RADIUS가 포함됩니다. 또한 Identity Server에는 다른 인증 서비스를 추가하는 데 사용할 수 있는 공용 SPI가 포함되어 있습니다. 새 서비스를 정의하려면 새로운 각 인증 서비스의 전체 클래스 이름(패키지 이름 포함)을 지정하는 텍스트 문자열을 이 필드에 입력해야 합니다.

클라이언트에 대해 지원되는 인증 모듈

이 속성은 특정 클라이언트에 대해 지원되는 인증 모듈 목록을 지정합니다. 형식은 다음과 같습니다.

이 속성은 클라이언트 검색이 사용 가능한 경우에 적용됩니다.

LDAP 연결 풀 크기

이 속성은 특정 서버와 포트에서 사용되는 최소 및 최대 연결 풀을 지정합니다. 이 속성은 LDAP 및 구성원 인증 서비스에만 사용됩니다. 형식은 다음과 같습니다.

LDAP 연결 기본 풀 크기


주	이 연결 풀은 serverconfig.xml에 구성된 SDK 연결 풀과 다릅니다.

이 속성은 모든 LDAP 인증 모듈 구성과 함께 사용되는 기본 최소 및 최대 연결 풀을 설정합니다. 호스트와 포트에 대한 항목이 LDAP 연결 풀 크기 속성에 존재할 경우 LDAP 연결 기본 풀 크기의 최소 및 최대 설정이 사용됩니다.

조직 속성

조직 인증 모듈

이 목록은 조직에서 사용할 수 있는 인증 모듈을 지정합니다. 각 관리자는 각 특정 조직에 대한 인증 유형을 선택할 수 있습니다. 여러 인증 모듈이 유연성을 제공하지만 사용자는 자신의 로그인 설정이 선택된 인증 모듈에 적합한지 확인해야 합니다. 기본 인증은 LDAP입니다. Identity Server에 포함된 인증 서비스는 다음과 같습니다.

사용자 프로필

이 옵션을 사용하면 사용자 프로필의 옵션을 지정할 수 있습니다.

관리자 인증자

편집 링크를 클릭하면 관리자에 대해서만 인증 서비스를 정의할 수 있습니다. 관리자는 Identity Server 콘솔에 대한 액세스 권한이 필요한 사용자입니다. 관리자의 인증 모듈이 최종 사용자의 모듈과 달라야 하는 경우 이 속성을 사용할 수 있습니다. 이 속성에 구성된 모듈은 Identity Server 콘솔에 액세스할 때 선택됩니다.

사용자 프로필 동적 작성 기본 역할


주	관리자가 핵심 및 인증 모듈 템플리트를 작성하고 작성된 조직에서 이러한 사실을 알려야만 해당 조직이 제대로 작동합니다.

이 필드는 "사용자 프로필" 기능을 통해 동적 작성을 선택한 경우 프로필이 작성되는 새 사용자에게 할당되는 역할을 지정합니다. 기본값은 없습니다. 관리자는 새 사용자에게 할당할 역할의 DN을 지정해야 합니다.

영구 쿠키 모드


주	지정된 역할은 인증이 구성되고 있는 조직 아래에 있어야 합니다.

이 옵션은 사용자가 브라우저를 다시 시작하고 자신의 인증된 세션으로 돌아갈 수 있는지 여부를 결정합니다. 영구 쿠키 모드를 사용 가능하게 하여 사용자 세션을 유지할 수 있습니다. 영구 쿠키 모드가 사용 가능하면 영구 쿠키가 만료되거나 사용자가 명시적으로 로그아웃할 때까지 사용자 세션이 만료되지 않습니다. 만료 시간은 영구 쿠키 최대 시간(초)에 지정됩니다. 기본값은 영구 쿠키 모드가 사용 가능하지 않고 인증 서비스가 메모리 쿠키만 사용하는 것입니다.

영구 쿠키 최대 시간(초)


주	로그인 URL에서 iPSPCookie=yes 매개 변수를 사용하여 클라이언트가 영구 쿠키를 명시적으로 요청해야 합니다.

이 필드는 그 이후에 영구 쿠키가 만료되는 간격을 지정합니다. (해당 확인란을 선택하여 영구 쿠키 모드를 사용 가능하게 해야 합니다.) 이 간격은 사용자의 세션이 성공적으로 인증되었을 때 시작됩니다. 기본값은 2147483(초)입니다. 이 필드는 0에서 2147483 사이의 모든 정수 값을 가집니다.

모든 사용자를 위한 사용자 컨테이너

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 필드의 값은 프로필을 검색하는 위치를 지정합니다. 일반적으로 이 값은 기본 사용자 컨테이너의 DN이 됩니다. 조직에 추가되는 모든 사용자 항목은 조직의 기본 사용자 컨테이너에 자동으로 추가됩니다. 기본값은 ou=People이며 일반적으로 조직 이름과 루트 접두어로 완성됩니다. 이 필드는 모든 조직 구성 단위의 유효한 DN을 가집니다.

별칭 검색 속성 이름


주	인증은 다음 작업을 차례로 수행하여 사용자 프로필을 검색합니다. 기본 사용자 컨테이너에서 검색 기본 조직에서 검색 별칭 검색 속성 이름 속성을 사용하여 기본 조직에서 사용자 검색 최종 검색은 인증에 사용되는 아이디가 프로필의 이름 지정 속성이 아닐 수 있는 SSO 경우에 대한 것입니다. 예를 들어, 사용자는 jn10191의 Safeword 아이디를 사용하여 인증할 수 있지만 해당 프로필은 uid=jamie일 수 있습니다.

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 필드는 "아이디 지정 속성"에 지정된 첫 번째 LDAP 속성에 대한 검색에서 일치하는 사용자 프로필을 찾지 못한 경우 검색할 두 번째 LDAP 속성을 지정합니다. 주로 이 속성은 인증 모듈에서 반환된 사용자 아이디가 아이디 지정 속성에 지정된 것과 다를 경우에 사용됩니다. 예를 들어, RADIUS 서버는 abc1234를 반환하지만 아이디는 abc일 수 있습니다. 이 필드에는 기본값이 없으며 유효한 모든 LDAP 속성(예: cn)이 사용될 수 있습니다.

아이디 지정 속성

사용자별로 인증이 성공한 후 사용자의 프로필이 검색됩니다. 이 속성 값은 검색에 사용할 LDAP 속성을 지정합니다. 기본적으로 Identity Server는 사용자 항목이 uid 속성에 의해 식별된다고 가정합니다. Directory Server가 다른 속성(예: givenname)을 사용할 경우 이 필드에 속성 이름을 지정합니다.

기본 인증 로켈

이 필드는 인증 서비스에 사용되는 기본 언어 서브 타입을 지정합니다. 기본값은 en_US입니다. 유효한 언어 서브 타입 목록은 표 19-1에서 확인할 수 있습니다.


	다른 로켈을 사용하려면 해당 로켈에 대한 모든 인증 템플리트를 먼저 만들어야 합니다. 그런 다음 이러한 템플리트에 대해 새 디렉토리를 만들어야 합니다. 자세한 내용은 Sun ONE Identity Server Customization and API Guide의 "Chapter 3: Authentication Service"를 참조하십시오.

표 19-1 지원되는 언어 로켈
언어 태그	언어
af	아프리칸스어
be	벨로루시어
bg	불가리아어
ca	카탈로니아어
cs	체코어
da	덴마크어
de	독일어
el	그리스어
en	영어
es	스페인어
eu	바스크어
fi	핀란드어
fo	페로어
fr	프랑스어
ga	아일랜드어
gl	갈리시아어
hr	크로아티아어
hu	헝가리어
id	인도네시아어
is	아이슬란드어
it	이탈리아어
ja	일본어
ko	한국어
nl	네덜란드어
no	노르웨이어
pl	폴란드어
pt	포르투갈어
ro	루마니아어
ru	러시아어
sk	슬로바키아어
sl	슬로베니아어
sq	알바니아어
sr	세르비아어
sv	스웨덴어
tr	터키어
uk	우크라이나어
zh	중국어

조직 인증 구성

이 속성은 조직의 인증 모듈을 설정합니다. 기본 인증 모듈은 LDAP입니다. 편집 링크를 눌러 하나 이상의 인증 모듈을 선택할 수 있습니다. 여러 모듈을 선택할 경우 사용자는 선택된 모든 모듈 체인을 통과해야 합니다.

이 속성에 구성된 모듈은 사용자가 /server_deploy_uri/UL/Login 형식을 사용하여 인증 모듈에 액세스할 때 인증을 위해 사용됩니다. 자세한 내용은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

로그인 실패 잠금 모드

이 기능은 첫 번째 인증이 실패할 경우 사용자가 두 번째 인증을 시도할 수 있는지 여부를 지정합니다. 이 속성을 선택하면 잠금이 사용 가능하고 사용자는 한 번만 인증할 수 있습니다. 기본적으로 잠금 기능은 사용 불가능으로 설정되어 있습니다. 이 속성은 잠금 관련 및 알림 속성과 함께 사용됩니다.

로그인 실패 잠금 수

이 속성은 사용자가 잠기기 전에 로그인 실패 잠금 간격(분)에 정의된 시간 간격 내에서 사용자가 인증을 시도할 수 있는 횟수를 정의합니다.

로그인 실패 잠금 간격(분)

이 속성은 실패한 두 로그인 시도 사이의 간격(분)을 정의합니다. 로그인에 실패한 다음 잠금 간격 내에 다시 로그인에 실패할 경우 잠금 개수가 증가됩니다. 그렇지 않으면 잠금 개수가 재설정됩니다.

잠금 알림을 보낼 전자 메일 주소

이 속성은 사용자 잠금이 발생한 경우 알림을 받게 될 전자 메일 주소를 지정합니다. 여러 주소로 전자 메일 알림을 보내려면 각 전자 메일 주소를 공백으로 구분합니다.

N회 실패 후 사용자에게 경고

이 속성은 사용자가 잠길 것이라는 경고 메시지를 Identity Server가 보내기 전에 발생할 수 있는 인증 실패 수를 지정합니다.

로그인 실패 잠금 기간(분)

이 속성은 메모리 잠금을 사용 가능하게 합니다. 기본적으로 잠금 메커니즘은 잠금 속성 이름에 정의된 사용자 프로필(로그인 실패 이후)을 비활성화합니다. 로그인 실패 잠금 기간 값이 0보다 큰 경우 메모리 잠금과 해당 사용자 계정이 지정된 기간(분) 동안 잠깁니다.

잠금 속성 이름

이 속성은 잠금에 대해 설정할 LDAP 속성을 지정합니다. 잠금 속성 값에서 값을 변경하여 이 속성 이름에 대해 잠금을 사용 가능하게 할 수도 있습니다. 기본적으로 잠금 속성 이름은 Identity Server 콘솔에서 비어 있습니다. 기본 구현 값은 사용자가 잠기고 로그인 실패 잠금 기간이 0으로 설정되어 있는 경우 inetuserstatus(LDAP 속성) 및 inactive입니다.

잠금 속성 값

이 속성은 잠금 속성 이름에 정의된 속성에 대해 잠금이 사용 가능한지 사용 불가능한지 여부를 지정합니다. 기본적으로 inetuserstatus에 대해 값이 0으로 설정됩니다.

기본 성공 로그인 URL

이 필드는 인증 성공 후 사용자가 리디렉션되는 URL을 지정합니다. 이 필드는 모든 유효한 URL을 가집니다. 성공 로그인 URL이 remote-auth.dtd의 LoginStatus 요소에 설정됩니다. 자세한 내용은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

기본 실패 로그인 URL

이 필드는 인증이 실패한 경우 사용자가 리디렉션되는 URL을 지정합니다. 이 필드는 모든 유효한 URL을 가집니다. 실패 로그인 URL이 remote-auth.dtd의 LoginStatus 요소에 설정됩니다. 자세한 내용은 Sun ONE Identity Server Customization and API Guide를 참조하십시오.

인증 사후 처리 클래스

이 필드는 성공 또는 실패 로그인에 대한 인증 사후 프로세스를 사용자 정의하는 데 사용되는 Java 클래스의 이름을 지정합니다. 예를 들면 다음과 같습니다.

Java 클래스는 다음과 같은 Java 인터페이스를 구현해야 합니다.

또한, Web Server의 Java Classpath 속성에 클래스를 찾을 경로를 추가해야 합니다.

아이디 생성기 모드

이 속성은 구성원 인증 모듈에 사용됩니다. 이 속성 필드가 사용 가능하면 구성원 모듈은 사용자 아이디가 이미 존재할 경우 자동 등록 프로세스 중에 특정 사용자에 대한 사용자 아이디를 생성할 수 있습니다. 사용자 아이디는 플러그 가능 아이디 생성기 클래스에 지정된 Java 클래스로부터 생성됩니다.

플러그 가능 아이디 생성기 클래스

이 필드는 아이디 생성기 모드가 사용 가능한 경우 사용자 아이디를 생성하는 데 사용되는 Java 클래스의 이름을 지정합니다.

기본 인증 수준

이 인증 수준 값은 인증을 어느 정도 신뢰할 수 있는지를 나타냅니다. 사용자가 인증되고 나면 해당 세션의 SSO 토큰에 이 값이 저장됩니다. 사용자가 액세스하려는 응용 프로그램에 이 SSO 토큰이 제공되면 응용 프로그램은 저장된 값을 사용하여 해당 수준이 사용자에게 액세스를 허가할 만큼 충분한지 여부를 확인합니다. SSO 토큰에 저장된 인증 수준이 필요한 최소값을 충족하지 않을 경우 응용 프로그램은 더 높은 인증 수준을 가진 서비스를 통해 다시 인증을 받으라는 메시지를 사용자에게 표시할 수 있습니다.

인증 수준은 조직의 특정 인증 템플리트 내에서 설정해야 합니다. 여기에 설명된 기본 인증 수준 값은 특정 조직의 인증 템플리트에 대한 인증 수준 필드에 인증 수준이 지정되지 않을 경우에만 적용됩니다. 기본 인증 수준의 기본값은 0입니다(이 속성 값은 Identity Server에서 사용되는 것이 아니라 이 값을 사용하도록 선택한 모든 외부 응용 프로그램에서 사용됨).

19장 핵심 인증 속성