연합 관리

5장
연합 관리

이 장에서는 Sun™ ONE Identity Server의 연합 관리 인터페이스 기능에 대해 설명합니다. 연합 관리 인터페이스를 사용하면 인증 도메인 및 공급자에 속하는 메타데이터를 보고, 관리하고, 구성할 수 있습니다.

LIberty Alliance Project 사양 1.0에 설명된 기능은 더 이상 지원되지 않습니다. 그렇더라도 1.0은 실제적으로 배포되지 않기 때문에 심각한 영향을 미치지 않습니다.

이 장은 다음 내용으로 구성되어 있습니다.

인증 도메인 및 공급자 개요

인증 도메인

공급자



주	이 장에서 설명하는 속성 필드에 대한 데이터 예는 다음 기본 위치에서 확인할 수 있습니다. IdentityServer_base/SUNWam/samples/liberty

인증 도메인 및 공급자 개요

연합 관리 모듈은 인증 도메인, 원격 공급자 및 호스트 공급자를 만들고, 수정하고, 삭제하기 위한 인터페이스를 제공합니다. 다음 단계에서는 기본 연합 관리 모델에 대해 설명합니다.

인증 도메인을 만듭니다.

작성된 인증 도메인에 속하는 하나 이상의 호스트 공급자를 만듭니다.

작성된 인증 도메인에 속하는 하나 이상의 원격 공급자를 만듭니다. 원격 공급자에 대한 메타데이터도 포함시켜야 합니다.

공급자 간의 신뢰할 수 있는 관계를 설정합니다. 호스트 공급자는 동일한 인증 도메인에 속하는 일부 공급자(호스트 공급자 또는 원격 공급자)를 신뢰하도록 선택할 수 있습니다.

다음 절에서는 인증 도메인, 원격 공급자 및 호스트 공급자를 만들고 구성하는 방법에 대해 설명합니다.

인증 도메인

이 절에서는 인증 도메인을 작성, 수정 및 삭제하는 방법에 대해 설명합니다.

인증 도메인 만들기

연합 관리 모듈의 보기 메뉴에서 인증 도메인을 선택합니다.

이동 프레임에서 새로 만들기를 누릅니다.

인증 도메인 만들기가 데이터 프레임에 표시됩니다.

인증 도메인 만들기 창에서 인증 도메인의 이름을 입력합니다.

인증 도메인에 대한 설명을 입력합니다.

작성기 서비스 URL의 값을 입력합니다.

작성기 서비스 URL은 공통 도메인의 쿠키를 기록하는 작성기 서비스의 위치를 지정합니다. 예를 들어, example.com이 공통 도메인일 경우 URL은 다음과 같을 것입니다.

http://example.com:8080/liberty/WriterServlet

판독기 서비스 URL의 값을 입력합니다.

판독기 서비스 URL은 공통 도메인에서 쿠키를 읽는 서비스의 위치를 지정합니다.

활성 또는 비활성 상태를 선택합니다.

기본값은 활성입니다. 인증 도메인 수명 도중에 등록 정보 아이콘을 선택하여 언제든지 이 값을 변경할 수 있습니다. 비활성을 선택하면 현재 Identity Server 설치에 대해 인증 도메인 내의 리버티 통신을 사용할 수 없습니다.

만들기를 누릅니다.

새 인증 도메인이 이동 프레임에 표시됩니다.

인증 도메인 수정

수정할 인증 도메인의 옆에 있는 등록 정보 화살표를 누릅니다.

인증 도메인의 등록 정보가 데이터 프레임에 표시됩니다.

인증 도메인의 등록 정보를 수정합니다.

저장을 누릅니다.

인증 도메인 삭제

인증 도메인을 삭제해도 인증 도메인에 속한 공급자는 삭제되지 않습니다. 삭제된 인증 도메인에 속한 공급자는 명시적으로 제거될 때까지 인증 도메인의 일부로 남아 있습니다. 삭제된 인증 도메인에 또 다른 공급자를 추가할 수 없습니다.

연합 관리 모듈의 보기 메뉴에서 인증 도메인을 선택합니다.

작성된 모든 인증 도메인이 이동 프레임에 표시됩니다.

삭제할 인증 도메인 이름 옆에 있는 상자를 선택합니다.

선택 항목 삭제를 누릅니다.



주	삭제를 수행할 때 경고 메시지가 나타나지 않습니다.

공급자

이 절에서는 원격 및 호스트 공급자를 만들고, 수정하고, 삭제하는 방법에 대해 설명합니다.

원격 공급자 만들기

원격 공급자는 시스템과 상호 작용하는 조직 또는 개인인 기본으로부터 메타데이터를 수신하는 엔티티입니다. 원격 공급자를 만들려면 다음 작업을 수행합니다.

연합 관리 모듈의 보기 메뉴에서 원격 공급자를 선택합니다.

기본적으로 공급자를 만들 때 공급자는 서비스 공급자가 됩니다. 단계 15에 설명된 옵션을 선택하여 원격 공급자를 Identity 공급자로 만들 수도 있습니다.

새로 만들기를 누릅니다. 원격 공급자 만들기 창이 표시됩니다.

공급자 아이디의 값을 입력합니다.

공급자 아이디는 공급자의 URL 식별자를 지정해야 하며 모든 원격 및 호스트 공급자에서 고유해야 합니다.

원격 공급자에 대한 설명을 입력합니다.

보안 키를 입력합니다.

보안 키는 보안 인증서 별칭을 정의합니다. 인증서는 별칭에 대한 JKS 키 저장소에 저장됩니다. 이 별칭(보안 키)은 필요한 인증서를 가져오는 데 사용됩니다.

SOAP 종점 URL을 입력합니다.

이 필드는 SOAP 요청 수신기의 위치를 지정합니다. SOAP를 통해 백 채널(비 브라우저 통신)에서 통신하는 데 사용됩니다.

단일 로그아웃 서비스 URL을 입력합니다.

단일 로그아웃 서비스 URL은 로그아웃 요청을 주고 받기 위해 서비스 공급자나 Identity 공급자가 사용합니다.

단일 로그아웃 반환 URL을 입력합니다.

이 필드는 로그아웃 요청이 처리 후에 리디렉션되는 URL을 지정합니다.

연합 종료 서비스 URL을 입력합니다.

이 필드는 연합 종료 요청이 보내지는 URL을 지정합니다.

연합 종료 반환 URL의 값을 입력합니다.

이 필드는 연합 종료 요청이 처리 후에 리디렉션되는 URL을 지정합니다.

단일 사인 온(SSO) 서비스 URL을 정의합니다.

이 필드는 서비스 공급자가 연합 및 SSO 도중에 요청을 보내는 Identity 공급자 URL을 정의합니다. Identity 공급자 옵션이 사용 가능한 경우에만 이 필드를 정의해야 합니다.

이름 등록 서비스 URL을 입력합니다.

이 필드는 서비스 공급자가 Identity 공급자와 통신하는 동안 고유한 이름 식별자를 등록하기 위해 사용하는 이름 등록 프로토콜을 사용합니다. 등록은 연합 세션이 설정된 이후에만 발생합니다. 이 필드는 서비스 공급자가 Identity 공급자에 새 식별자를 등록하기 위해 사용하는 서비스 URL을 정의합니다.

이름 등록 반환 URL을 입력합니다.

이 필드는 서비스 공급자가 Identity 공급자와 통신하는 동안 고유한 이름 식별자를 등록하기 위해 사용하는 이름 등록 프로토콜을 사용합니다. 등록은 연합 세션이 설정된 이후에만 발생합니다. 이름 등록 반환 URL은 Identity 공급자가 등록 상태를 보내는 URL입니다.

명제 사용자 URL을 입력합니다.

이 필드는 Identity 공급자가 SAML 명제를 보내는 서비스 공급자 종점을 정의합니다.

원격 공급자가 Identity 공급자로 정의되는지 여부를 지정합니다. 기본적으로 모든 공급자는 서비스 공급자입니다. Identity 공급자 옵션을 선택한 경우 원격 공급자가 Identity 공급자로 추가로 정의됩니다.

만들기를 누릅니다.

새 공급자가 이동 프레임에 표시됩니다.

원격 공급자 수정

원격 호스트를 만든 경우 언제든지 수정할 수 있습니다. 이렇게 하려면 다음 작업을 수행합니다.

이동 프레임의 보기 메뉴에서 원격 공급자를 선택합니다.

수정할 공급자 프로필을 선택한 다음 편집 화살표를 누릅니다.

기본적으로 일반 보기가 이동 프레임에 표시됩니다. 일반 보기에 표시되는 대부분의 필드는 원격 공급자 작성 도중에 입력한 데이터를 포함합니다. 다음 추가 필드를 수정할 수 있습니다.

공급자 축약형 아이디. 이 필드는 Identity 공급자에 대해 서비스 공급자를 고유하게 식별합니다.

축약형 아이디는 인코딩된 SHA1 문자열이어야 합니다. 공급자 아이디 문자열이 고유성을 보장하므로 이 문자열을 인코딩 값으로 사용해야 합니다. SHA1 인코딩을 생성하려면 다음 OpenSSL 명령줄 도구 구문을 사용합니다.

$ echo providerID | openssl sha1

필드를 수정한 경우 저장을 눌러 변경 내용을 저장합니다.

상태. 활성 상태가 되면 원격 공급자가 연합과 SSO에 참여할 수 있습니다. 비활성 상태에서는 원격 공급자를 사용할 수 없으며 어떠한 요청에도 응답하지 않습니다.

서비스 공급자 필드를 수정하려면 보기 메뉴에서 서비스 공급자를 선택합니다.

명제 사용자 URL 필드는 원격 공급자 작성 도중 입력된 데이터를 포함합니다. 다음과 같은 추가 필드를 수정할 수 있습니다.

연합 후 이름 등록. 이 옵션을 사용 가능하게 할 경우 서비스 공급자는 연합된 후에 이름 등록에 참가할 수 있습니다. 이름 등록은 Identity 공급자가 서비스 공급자와 통신할 때 사용하는 사용자의 이름 식별자를 서비스 공급자가 지정하는 데 기준이 되는 프로필입니다.

서명한 인증 요청. 이 옵션을 사용 가능하게 하면 원격 공급자가 서명된 인증 및 연합 요청을 보내도록 지정됩니다. Identity 공급자는 서비스 공급자의 서명되지 않은 요청을 처리하지 않습니다.

명제 사용자 URL. 이 필드는 Identity 공급자가 SAML 명제를 보내는 공급자 종점을 정의합니다.

연합 종료 프로필. SOAP 또는 HTTP/리디렉션을 선택할 수 있습니다. 이 필드는 SOAP 또는 HTTP/리디렉션 프로필이 연합 종료를 알리는 데 사용되는지 여부를 지정합니다. 공급자 수명 도중에 언제든지 이 필드를 변경할 수 있습니다.

단일 로그아웃 프로필. SOAP 또는 HTTP 리디렉션을 선택할 수 있습니다. 이 필드는 SOAP 또는 HTTP 리디렉션이 로그아웃 이벤트를 알리는 데 사용되는지 여부를 지정합니다. 공급자 수명 도중에 언제든지 이 필드를 변경할 수 있습니다.

이름 등록 프로필. SOAP 또는 HTTP/리디렉션을 선택할 수 있습니다. 이 필드는 SOAP 또는 HTTP/리디렉션 프로필이 이름 등록에 사용되는지 여부를 지정합니다. 공급자 수명 도중에 언제든지 이 필드를 변경할 수 있습니다.

저장을 누릅니다.

원격 공급자가 작성 도중 Identity 공급자로 정의된 경우 보기 메뉴에서 Identity 공급자를 선택하여 다음 필드를 수정할 수 있습니다.

Identity 공급자. 이 필드는 원격 공급자가 Identity 공급자로 정의되는지 여부를 지정합니다. 기본적으로 모든 공급자는 서비스 공급자입니다. Identity 공급자 옵션을 선택한 경우 원격 공급자가 Identity 공급자로 추가로 정의됩니다.

SSO 동안 이름 등록. 이 옵션을 사용 가능하게 할 경우 Identity 공급자는 SSO 동안 이름 등록에 참가할 수 있습니다 이름 등록은 Identity 공급자가 서비스 공급자와 통신할 때 사용하는 사용자의 이름 식별자를 서비스 공급자가 지정하는 데 기준이 되는 프로필입니다.

단일 사인 온(SSO) 서비스 URL. 이 필드는 서비스 공급자가 연합 및 SSO 도중에 요청을 보내는 Identity 공급자 URL을 정의합니다. Identity 공급자 옵션이 사용 가능한 경우에만 이 필드를 정의해야 합니다.

보기 메뉴에서 인증 도메인을 선택하여 원격 공급자가 속할 인증 도메인을 편집합니다.

방향 화살표를 사용하여 선택된 인증 도메인을 사용 가능 목록으로 이동합니다. 저장을 누릅니다. 이렇게 하면 공급자가 인증 도메인에 할당됩니다. 공급자는 하나 이상의 인증 도메인에 속할 수 있지만 지정된 인증 도메인이 없는 공급자는 리버티 통신에 참가할 수 없습니다. 저장을 누릅니다.

호스트 공급자 만들기

호스트 공급자는 기본의 Identity 정보를 작성, 유지 및 관리하고 인증 도메인 내의 다른 서비스 공급자에게 기본 인증을 제공하는 엔티티입니다. 호스트 공급자를 만들려면 다음 작업을 수행합니다.

연합 관리 모듈의 보기 메뉴에서 호스트 공급자를 선택합니다.

기본적으로 공급자를 만들 때 공급자는 서비스 공급자가 됩니다. 단계 6에 설명된 옵션을 선택하여 원격 공급자를 Identity 공급자로 만들 수도 있습니다.

새로 만들기를 누릅니다. 호스트 공급자 만들기 창이 표시됩니다.

공급자 아이디의 값을 입력합니다.

공급자 아이디는 공급자의 URL 식별자를 지정하며 모든 원격 및 호스트 공급자에서 고유해야 합니다.

호스트 공급자에 대한 설명을 입력합니다.

공급자의 별칭을 입력합니다.

각 호스트 공급자에 대해 이 필드에 제공된 별칭이 메타 별칭이라는 문자열에 추가됩니다. 그런 다음 이 문자열은 호스트 공급자의 자동으로 채워진 URL에 추가됩니다. 이러한 URL을 메타데이터 URL이라고 합니다. 다음 예에서 sunAlias는 공급자의 별칭입니다.

연합 종료 서비스 URL

http://www.example.com:58080/amserver/ProcessTermination/metaAlias/sunAlias

SOAP 종점 URL

http://www.example.com:58080/amserver/SOAPReceiver/metaAlias/sunAlias

보안 키를 입력합니다.

공급자 URL을 입력합니다.

이 필드는 메타데이터를 보내는 URL을 지정합니다.

호스트 공급자가 Identity 공급자로 정의되는지 여부를 결정합니다. 기본적으로 모든 공급자는 서비스 공급자입니다. Identity 공급자 옵션을 선택한 경우 호스트 공급자가 Identity 공급자로 추가로 정의됩니다.

만들기를 누릅니다.

새 공급자가 이동 프레임에 표시됩니다.

호스트 공급자 수정

수정할 공급자 프로필을 선택한 다음 편집 화살표를 누릅니다.

기본적으로 일반 보기가 이동 프레임에 표시됩니다. 일반 보기에 표시되는 대부분의 필드는 호스트 공급자 작성 도중에 입력된 데이터를 포함합니다. 다음 추가 필드를 수정할 수 있습니다.

SOAP 종점 URL. 이 필드는 SOAP 요청 수신기의 위치를 지정합니다. SOAP를 통해 백 채널(비 브라우저 통신)에서 통신하는 데 사용됩니다.

단일 로그아웃 서비스 URL. 단일 로그아웃 서비스 URL은 로그아웃 요청을 주고 받기 위해 서비스 공급자나 Identity 공급자가 사용합니다.

단일 로그아웃 반환 URL. 이 필드는 로그아웃 요청이 처리 후에 리디렉션되는 URL을 지정합니다.

연합 종료 서비스 URL. 이 필드는 연합 종료 요청이 보내지는 URL을 지정합니다.

연합 종료 반환 URL. 이 필드는 연합 종료 요청이 처리 후에 리디렉션되는 URL을 지정합니다.

이름 등록 서비스 URL. 이 필드는 서비스 공급자가 Identity 공급자와 통신하는 동안 고유한 이름 식별자를 등록하기 위해 사용하는 이름 등록 프로토콜을 사용합니다. 등록은 연합 세션이 설정된 이후에만 발생합니다. 이 필드는 서비스 공급자가 Identity 공급자에 새 식별자를 등록하기 위해 사용하는 서비스 URL을 정의합니다.

이름 등록 반환 URL. 이 필드는 서비스 공급자가 Identity 공급자와 통신하는 동안 고유한 이름 식별자를 등록하기 위해 사용하는 이름 등록 프로토콜을 사용합니다. 등록은 연합 세션이 설정된 이후에만 발생합니다. 이름 등록 반환 URL은 Identity 공급자가 등록 상태를 보내는 URL입니다.

필드를 수정한 경우 저장을 누릅니다.

서비스 공급자 필드를 수정하려면 보기 메뉴에서 서비스 공급자를 선택합니다.

명제 사용자 URL 필드는 원격 공급자 작성 도중 입력된 데이터를 포함합니다. 다음 추가 필드를 수정할 수 있습니다.

서명한 인증 요청. 이 옵션을 사용 가능하게 하면 호스트 공급자가 서명된 인증 및 연합 요청을 보내도록 지정됩니다. Identity 공급자는 서비스 공급자의 서명되지 않은 요청을 처리하지 않습니다.

인증 컨텍스트. 이 필드를 사용하면 사용할 인증 컨텍스트에 대한 인증 수준을 지정할 수 있습니다.

필드를 수정한 경우 저장을 누릅니다.

호스트 공급자가 작성 도중 Identity 공급자로 정의된 경우 보기 메뉴에서 Identity 공급자를 선택하여 필드를 수정할 수 있습니다. 이러한 필드에 포함된 데이터는 대부분 작성 시 입력된 것입니다. 다음 필드를 수정할 수 있습니다.

SSO 동안 이름 등록. 이 옵션을 사용 가능하게 할 경우 Identity 공급자는 SSO 동안 이름 등록에 참가할 수 있습니다. 이름 등록은 Identity 공급자가 서비스 공급자와 통신할 때 사용하는 사용자의 이름 식별자를 서비스 공급자가 지정하는 데 기준이 되는 프로필입니다.

지원. Identity 공급자가 인증 컨텍스트를 지원하는지 여부를 지정합니다. Identity 공급자는 최소한 하나 이상의 인증 컨텍스트를 지원해야 합니다.

컨텍스트 참조. 인증 컨텍스트의 이름을 정의합니다. 리버티 프로토콜에 정의된 10개의 컨텍스트가 존재합니다.

키. 이 필드는 /UI/Login (Identity Server 인증 서브릿)에 보내진 쿼리 문자열에 사용될 인증 체계를 식별하는 키-값 쌍이 포함됩니다. 가능한 키 값은 다음과 같습니다.

모듈

수준

역할

서비스

사용자

값. 인증 체계에 대한 키-값 쌍의 값을 정의합니다.

우선 순위. 리버티 정의 인증 컨텍스트에 대해 Identity 공급자가 지정하는 순서를 나타냅니다. Identity 공급자는 인증 요청 도중 서비스 공급자가 요청한 인증 컨텍스트를 지원하지 않을 경우 동일하거나 더 높은 우선 순위 수준에서 다른 인증 컨텍스트를 사용할 수 있습니다.

저장을 눌러 변경 내용을 저장합니다.

보기 메뉴에서 인증 도메인을 선택하여 원격 공급자가 속할 인증 도메인을 편집합니다.

방향 화살표를 사용하여 선택된 인증 도메인을 사용 가능 목록으로 이동합니다. 저장을 누릅니다. 이렇게 하면 공급자가 인증 도메인에 할당됩니다. 공급자는 하나 이상의 인증 도메인에 속할 수 있지만 지정된 인증 도메인이 없는 공급자는 리버티 통신에 참가할 수 없습니다.

보기 메뉴에서 신뢰할 수 있는 공급자를 선택합니다.

원격 공급자는 이 공급자 집합에서 보낸 요청만 수락합니다. 다른 공급자가 보낸 요청은 무시됩니다. 신뢰할 수 있는 공급자 목록을 만들려면 사용 가능 필드에서 공급자를 선택하고 추가 버튼을 사용하여 공급자를 선택 필드에 추가합니다. (제거 버튼을 사용하여 공급자를 제거할 수 있습니다.) 저장을 누릅니다.

Identity Server 구성 속성을 선택합니다.

필드는 다음과 같습니다.

인증 유형. 원격/로컬 - 호스트 공급자가 인증 요청을 받았을 때 인증을 위해 Identity 공급자에 연결해야 하는지(원격) 아니면 호스트 공급자 자신이 인증을 수행해야 하는지(로컬) 여부를 지정합니다.

단일 사인 온(SSO)/ 연합 프로필. 인증 요청을 보내기 위해 호스트 공급자가 사용하는 프로필을 지정합니다. Identity Server는 다음 프로토콜을 제공합니다.

브라우저 게시 - 프런트 채널(http POST 기반) 프로토콜을 지정합니다.

브라우저 아티팩트 - 백 채널(비 브라우저) SOAP 기반 프로토콜입니다.

기본 인증 컨텍스트. Identity 공급자가 서비스 공급자 요청의 일부로 인증 컨텍스트를 받지 않은 경우 사용할 인증 컨텍스트를 지정합니다. 또한 알 수 없는 사용자가 보호된 자원에 액세스하려고 시도할 경우 서비스 공급자가 사용하는 인증 컨텍스트를 지정합니다. 기본값은 다음과 같습니다.

이전 세션

시간 동기화 토큰

스마트 카드

MobileUnregistered

스마트 카드 PKI

MobileContract

비밀번호

비밀번호로 보호된 전송

MobileDigitalID

소프트웨어 PKI

Identity 공급자에 강제 인증. 인증 요청을 받았을 때 Identity 공급자가 재인증을 수행해야 하는지(라이브 세션 동안인 경우에도) 여부를 나타냅니다.

Identity 공급자에게 준수 요청. 선택된 경우 이 필드는 Identity 공급자가 기본과 상호 작용하지 않고 사용자와 상호 작용하도록 지정합니다.

조직 DN. 호스트 모델이 되는 여러 다른 조직에서 각 호스트 공급자가 사용자를 관리할 경우 조직의 DN에 대한 저장소 위치를 지정합니다.

리버티 버전 URI. 리버티 사양의 버전을 지정합니다.

이름 식별자 구현. 서비스 공급자가 이름 등록에 참여할 수 있게 합니다. 이름 등록은 Identity 공급자가 서비스 공급자와 통신할 때 사용하는 사용자의 이름 식별자를 서비스 공급자가 지정하는 데 기준이 되는 프로필입니다.

공급자 홈 페이지 URL. 공급자의 홈 페이지를 지정합니다.

단일 사인 온(SSO) 실패 리디렉션 URL. 실패한 SSO에 대한 리디렉션 URL을 지정합니다.

명제 간격. Identity 공급자가 발급하는 명제의 유효 간격을 지정합니다. 명제 간격이 만료할 때까지 Identity 공급자는 기본을 계속 인증합니다.

정리 간격. Identity 공급자에 저장된 명제를 지우는 시간 간격을 지정합니다.

아티팩트 시간 초과. 명제 아티팩트에 대한 Identity 공급자의 시간 초과를 지정합니다.

명제 제한. Identity 공급자에 의해 발급되거나 저장할 수 있는 명제 수를 지정합니다.

저장을 누릅니다.

공급자 삭제

연합 관리의 보기 메뉴에서 공급자를 선택합니다.

작성된 모든 공급자가 이동 프레임에 표시됩니다.

삭제할 공급자의 상자를 선택합니다.

선택 항목 삭제를 누릅니다.



주	삭제를 수행할 때 경고 메시지가 나타나지 않습니다.

이전 목차 색인 다음

5장 연합 관리

인증 도메인 및 공급자 개요

인증 도메인

인증 도메인 만들기

인증 도메인 수정

인증 도메인 삭제

공급자

원격 공급자 만들기

원격 공급자 수정

호스트 공급자 만들기

호스트 공급자 수정

공급자 삭제

5장
연합 관리