구성원 인증 속성

구성원 인증 속성은 조직 속성입니다. 서비스 구성에서 이러한 속성에 적용되는 값이 구성원 인증 템플리트의 기본값이 됩니다. 조직의 서비스를 등록한 후 서비스 템플리트를 만들어야 합니다. 기본값은 조직의 관리자가 등록 후 변경할 수 있습니다. 조직의 하위 트리에 있는 항목은 조직 속성을 상속하지 않습니다. 구성원 인증 속성은 다음과 같습니다.

최소 비밀번호 길이

이 필드는 자가 등록 동안 비밀번호 집합에 필요한 최소 문자 수를 지정합니다. 기본값은 8입니다.

이 값이 변경되면 다음 파일의 등록 및 오류 텍스트에서도 값을 변경해야 합니다.

IdentitySever_base/locale/amAuthMembership.properties (PasswdMinChars entry)

기본 사용자 역할

이 필드는 자가 등록을 통해 프로필이 만들어지는 새 사용자에 할당되는 역할을 지정합니다. 기본값은 없습니다. 관리자는 새 사용자에게 할당할 역할의 DN을 지정해야 합니다.



주	지정된 역할은 인증이 구성되고 있는 조직 아래에 있어야 합니다. 사용자에게 할당될 수 있는 역할만 자동 등록 중에 추가됩니다. 다른 DN은 모두 무시됩니다.

등록 후 사용자 상태

이 메뉴는 자가 등록한 사용자가 서비스를 즉시 사용할 수 있는지 여부를 지정합니다. 기본값은 활성이며 이 경우 새 사용자가 서비스를 사용할 수 있습니다. 관리자는 비활성을 선택하여 새 사용자가 서비스를 사용할 수 없게 만들 수 있습니다.

주 LDAP 서버 및 포트

이 필드는 Identity Server 설치 도중 지정된 주 LDAP 서버의 호스트 이름과 포트 번호를 지정합니다. 이 LDAP 서버는 LDAP 인증을 위해 연결되는 첫 번째 서버입니다. 형식은 hostname:port입니다. (포트 번호가 없을 경우 포트 번호를 389라고 가정합니다.)

Identity Server를 여러 도메인으로 배포한 경우 Identity Server의 특정 인스턴스와 Directory Server의 특정 인스턴스 간의 통신 링크를 다음 형식으로 지정할 수 있습니다(여러 항목에서 로컬 서버 이름을 접두어로 사용해야 함).

예를 들어, Identity Server의 서로 다른 인스턴스(L1-machine1-DS 및 L2-machine2-DS)와 통신하는 두 Identity Server를 서로 다른 위치(L1-machine1-IS 및 L2- machine2-IS)에 배포한 경우 형식은 다음과 같습니다.

L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389

보조 LDAP 서버 및 포트

이 필드는 Identity Server 플랫폼에 사용할 수 있는 보조 LDAP 서버의 호스트 이름과 포트 번호를 지정합니다. 주 LDAP 서버가 인증 요청에 응답하지 않을 경우 이 서버에 연결됩니다. 주 서버가 실행 중인 경우 Identity Server는 주 서버로 다시 전환합니다. 형식은 hostname:port입니다. 여러 항목이 있을 경우 로컬 서버 이름을 접두어로 지정해야 합니다.



주의	Identity Server 엔터프라이즈와 떨어져 있는 원격 Directory Server에서 사용자를 인증하는 경우 주 LDAP 서버 포트와 보조 LDAP 서버 포트 모두에 값이 있어야 합니다. 하나의 Directory Server 위치에 대한 값을 두 필드 모두에 사용할 수 있습니다.

사용자 검색을 시작할 DN

이 필드는 사용자 검색이 시작되는 노드의 DN을 지정합니다. (성능상의 이유 때문에 이 DN은 가능한 구체적이어야 합니다.) 기본값은 디렉토리 트리의 루트입니다. 유효한 모든 DN이 인식됩니다. 여러 항목을 사용할 경우 로컬 서버 이름을 접두어로 지정해야 합니다.



주	동일한 검색에서 여러 사용자가 일치할 경우 인증에 실패합니다.

루트 사용자 바인드용 DN

이 필드는 관리자로서 주 LDAP 서버 및 포트 필드에 지정된 Directory Server에 바인딩하는 데 사용되는 사용자의 DN을 지정합니다. 사용자 로그인 아이디에 기초하여 일치하는 사용자 DN을 검색하려면 인증 서비스가 이 DN으로 바인드되어야 합니다. 기본값은 amldapuser입니다. 유효한 모든 DN이 인식됩니다.

루트 사용자 바인드용 비밀번호

이 필드는 루트 사용자 바인드용 DN 필드에 지정된 관리자 프로필의 비밀번호를 포함합니다. 기본값은 없습니다. 관리자의 유효한 LDAP 비밀번호만 인식됩니다.

루트 사용자 바인드용 비밀번호(확인)

아이디 지정 속성

이 필드는 사용자 항목의 이름 지정 규칙에 사용되는 속성을 지정합니다. 기본적으로 Identity Server는 사용자 항목이 uid 속성에 의해 식별된다고 가정합니다. Directory Server가 다른 속성(예: givenname)을 사용할 경우 이 필드에 속성 이름을 지정합니다.

사용자 항목 검색 속성

이 필드는 인증될 사용자에 대한 검색 필터를 구성하는 데 사용되는 속성을 나열하며 사용자가 사용자 항목의 여러 속성으로 인증될 수 있게 합니다. 예를 들어, 이 필드를 uid, employeenumber 및 mail로 설정한 경우 이러한 이름 중 하나로 사용자가 인증될 수 있습니다.

사용자 검색 필터

이 필드는 사용자 검색을 시작할 DN 필드에서 사용자를 찾는 데 사용될 속성을 지정하며 아이디 지정 속성과 함께 작동합니다. 기본값은 없습니다. 유효한 모든 사용자 항목 속성이 인식됩니다.

검색 범위

이 메뉴는 일치하는 사용자 프로필을 검색할 Directory Server의 수준 수를 나타냅니다. 검색은 "사용자 검색을 시작할 DN" 속성에 지정된 노드에서 시작됩니다. 기본값은 하위 트리입니다. 다음 항목 중 하나를 목록에서 선택할 수 있습니다.

객체 - 지정된 노드만 검색합니다.

한 수준 - 지정된 노드 수준과 한 수준 아래에서 검색합니다.

하위 트리 - 지정된 노드와 그 아래 수준에 있는 모든 항목을 검색합니다.

LDAP 서버에 SSL 사용

이 옵션은 주 LDAP 서버 및 보조 LDAP 서버, 포트 필드에 지정된 Directory Server에 대한 SSL 액세스를 사용 가능하게 합니다. 기본적으로 이 상자는 선택되어 있지 않으므로 Directory Server에 액세스하는 데 SSL 프로토콜이 사용되지 않습니다.

인증에 사용자 DN 반환

Identity Server 디렉토리가 LDAP용으로 구성된 디렉토리와 동일한 경우 이 옵션을 사용 가능하게 할 수 있습니다. 이 옵션을 사용 가능하게 한 경우 LDAP 인증 모듈은 userId 대신 DN을 반환할 수 있으며 검색이 필요하지 않습니다. 일반적으로 인증 모듈은 userId만 반환하며 인증 서비스는 로컬 Identity Server LDAP에서 사용자를 검색합니다. 외부 LDAP 디렉토리가 사용될 경우 일반적으로 이 옵션은 사용 가능하지 않습니다.

인증 수준

인증 수준은 각 인증 방법에 대해 별도로 설정됩니다. 이 값은 인증을 어느 정도 신뢰할 수 있는지 나타냅니다. 사용자가 인증되고 나면 해당 세션의 SSO 토큰에 이 값이 저장됩니다. 사용자가 액세스하려는 응용 프로그램에 이 SSO 토큰이 제공되면 응용 프로그램은 저장된 값을 사용하여 해당 수준이 사용자에게 액세스를 허가할 만큼 충분한지 여부를 확인합니다. SSO 토큰에 저장된 인증 수준이 필요한 최소값을 충족하지 않을 경우 응용 프로그램은 더 높은 인증 수준을 가진 서비스를 통해 다시 인증을 받으라는 메시지를 사용자에게 표시할 수 있습니다. 기본값은 0입니다.



주	지정된 인증 수준이 없을 경우 SSO 토큰은 핵심 인증 속성인 기본 인증 수준에 지정된 값을 저장합니다. 자세한 내용은 "기본 인증 수준"을 참조하십시오.

22장 구성원 인증 속성