8장 단일 사인 온(SSO) 구성

이 장에서는 단일 사인 온(SSO)을 구성하는 방법을 설명합니다.

단일 사인 온(SSO)에서는 사용자가 한 번만 인증하면 다시 인증할 필요 없이 신뢰할 수 있는 여러 응용 프로그램을 사용할 수 있습니다. Calendar Server와 Messaging Server를 비롯한 Sun Java System 통신 서버는 다음과 같이 SSO를 구현할 수 있습니다.

Identity Server를 통한 SSO 구성

통신 서버 Trusted Circle 기술을 통한 SSO 구성

Identity Server를 통한 SSO 구성

Calendar Server와 Messaging Server를 포함하는 Sun Java Enterprise System 서버에서는 Sun Java System Identity Server(릴리스 6.1 (릴리스 6 2003Q4) 이상)를 사용하여 SSO를 구현할 수 있습니다.

Identity Server는 Sun Java Enterprise System 서버를 위한 SSO 게이트웨이 역할을 합니다. 즉, Identity Server에 로그인한 사용자는 서버에 SSO가 제대로 구성된 경우 다른 Sun Java Enterprise System 서버에 액세스할 수 있습니다.

Identity Server와 Directory Server가 설치 및 구성되어 있는지 확인합니다. 이 제품들의 설치 및 구성에 대한 자세한 내용은 Sun Java Enterprise System 2004Q2 설치 설명서를 참조하십시오.

Calendar Server의 SSO를 구성하려면 표 8-1의 매개 변수를 설정하고 Calendar Server를 다시 시작해야 이 값들이 적용됩니다. 필요하다면 각 매개 변수를 설정할 때 주석 문자(!)를 제거합니다.

주 local.calendar.sso.amnamingurl 매개 변수 설정 시 정규화된 Identity Server 이름을 사용해야 합니다.

Messaging Server에 SSO를 구성하려면 Sun Java System Messaging Server 6 2004Q2 관리 설명서를 참조하십시오.

사용자는 Directory Server LDAP 사용자 아이디 및 비밀번호를 사용하여 Identity Server에 로그인합니다. Calendar Server나 Messaging Server와 같은 다른 서버를 통해 로그인하는 사용자는 SSO를 사용하여 다른 Sun Java Enterprise System 서버에 액세스할 수 없습니다.

로그인한 사용자는 적합한 URL을 사용하여 Calendar Express를 통해 Calendar Server에 액세스할 수 있습니다. 또한 서버에 SSO가 제대로 구성되었다면 Messaging Server와 같은 다른 Sun Java Enterprise System 서버에도 액세스할 수 있습니다.

표 8-1 Identity Server의 SSO를 사용하기 위한 Calendar Server 구성 매개 변수
매개 변수	설명
local.calendar.sso.amnamingurl	Identity Server SSO 이름 지정 서비스의 URL을 지정합니다. 기본값은 "http://IdentityServer:port/amserver/namingservice"입니다. 여기서 IdentityServer는 Identity Server의 정규화된 이름이며 port는 Identity Server 포트 번호입니다.
local.calendar.sso.amcookiename	Identity Server SSO 쿠키의 이름을 지정합니다. 기본값은 "iPlanetDirectoryPro"입니다.
local.calendar.sso.amloglevel	Identity Server SSO의 로그 수준을 지정합니다. 범위는 1(자동)부터 5(세부 정보 표시)입니다. 기본값은 "3"입니다.
local.calendar.sso.logname	Identity Server SSO API 로그 파일의 이름을 지정합니다. 기본값은 "am_sso.log"입니다.
local.calendar.sso.singlesignoff	Calendar Server에서 Identity Server로의 단일 사인 온(SSO)을 사용 가능("yes") 또는 사용 불가능("no")하게 합니다. 사용 가능한 경우, Calendar Server에서 로그아웃한 사용자는 Identity Server에서도 로그아웃되며 Identity Server를 통해 시작했던 다른 모든 세션(Messaging Server webmail 세션 등)도 종료합니다. Identity Server는 인증 게이트웨이이므로 단일 사인 온(SSO)은 항상 Identity Server에서 Calendar Server로 사용 가능하게 설정됩니다. 기본값은 "yes"입니다.

Identity Server의 SSO 사용 시 고려 사항

Identity Server 세션이 유효한 경우에만 달력 세션이 유효합니다. 사용자가 Identity Server에서 로그아웃하면 달력 세션은 자동으로 종료됩니다(단일 사인 오프).

SSO 응용 프로그램은 동일한 도메인에 있어야 합니다.

SSO 응용 프로그램은 Identity Server 인증 URL(이름 지정 서비스)에 액세스할 수 있어야 합니다.

브라우저는 쿠키를 지원해야 합니다.

Sun Java System Portal Server 게이트웨이를 사용하는 경우 다음 Calendar Server 매개 변수를 설정합니다.

service.http.ipsecurity="no"

render.xslonclient.enable="no"

통신 서버 Trusted Circle 기술을 통한 SSO 구성

통신 서버 Trusted Circle 기술을 통해(즉 Identity Server를 거치지 않고) SSO를 구성할 경우 다음 사항을 고려합니다.

신뢰할 수 있는 각 응용 프로그램은 SSO가 구성되어야 합니다.

default.html 페이지가 브라우저의 캐시에 있다면 SSO는 제대로 실행되지 않습니다. SSO를 사용하기 전에 반드시 브라우저에 default.html 페이지를 다시 로드합니다. 예를 들어, Netscape Navigator에서는 Shift 키를 누른 채로 Reload를 누릅니다.

SSO는 기본 URL에 대해서만 실행됩니다. 예를 들어, http://servername에서는 실행되지만 http://servername/command.shtml?view와 같은 URL에 대해서는 실행되지 않습니다.

표 8-2에서는 통신 서버 Trusted Circle 기술을 사용하는 SSO를 위한 Calendar Server 구성 매개 변수를 설명합니다.

표 8-2 통신 서버 Trusted Circle 기술을 사용하는 Calendar Server SSO 매개 변수
매개 변수	설명
sso.enable = "1"	SSO를 사용 가능하게 하려면 이 매개 변수는 "1"(기본값)로 설정되어야 합니다. "0"이면 SSO를 사용할 수 없습니다.
sso.appid = "ics50"	이 매개 변수는 특정 Calendar Server 설치의 고유 응용 프로그램 아이디를 지정합니다. 또한 신뢰할 수 있는 각 응용 프로그램은 고유 응용 프로그램 아이디를 가져야 합니다. 기본값은 "ics50"입니다.
sso.appprefix = "ssogrp1"	이 매개 변수는 SSO 쿠키 형식 지정에 사용될 접두어 값을 지정합니다. 신뢰할 수 있는 모든 응용 프로그램에서 동일한 값을 사용해야 합니다. Calendar Server는 이 접두어를 갖는 SSO 쿠키만 인식하기 때문입니다. 기본값은 "ssogrp1"입니다.
sso.cookiedomain = ".sesta.com"	이 매개 변수는 브라우저가 특정 도메인의 서버로만 쿠키를 보내게 합니다. 이 값은 반드시 마침표(.)로 시작해야 합니다.
sso.singlesignoff = "true"	값이 "true"(기본값)이면 클라이언트가 로그아웃할 때 해당 클라이언트 중 sso.appprefix에서 구성한 값과 일치하는 접두어 값을 가진 모든 SSO 쿠키를 지웁니다.
sso.userdomain = "sesta.com"	이 매개 변수는 사용자 SSO 인증의 일부로 도메인을 설정합니다.
sso.appid.url = "verifyurl" 예를 들면 다음과 같습니다. sso.ics50.url = "http://sesta.com:8883/VerifySSO?" sso.msg50.url = "http://sesta.com:8882/VerifySSO?"	이 매개 변수는 Calendar Server 구성에서 피어 SSO 호스트에 대한 확인 URL 값을 설정합니다. 신뢰할 수 있는 각각의 피어 SSO 호스트에 대해 하나의 매개 변수가 필요합니다. 이 매개 변수는 다음을 포함합니다. 응용 프로그램 아이디(appid)는 SSO 쿠키가 받아들여지는 각각의 피어 SSO 호스트를 식별합니다. URL 확인("verifyurl")에는 호스트 URL, 호스트 포트 번호 및 VerifySSO?(끝부분의 ? 포함)가 포함됩니다. 이 예에서 Calendar Server 응용 프로그램 아이디는 ics50, 호스트 URL은 sesta.com, 그리고 포트는 8883입니다. Messenger Express 응용 프로그램 아이디는 msg50, 호스트 URL은 sesta.com, 그리고 포트는 8882입니다.

표 8-3에서는 통신 서버 Trusted Circle 기술을 사용하는 SSO를 위한 Messaging Server SSO 구성 매개 변수를 설명합니다.

표 8-3 통신 서버 Trusted Circle 기술을 사용하는 Messaging Server SSO 매개 변수
매개 변수	설명
local.webmail.sso.enable = 1	SSO를 사용하려면 이 매개 변수가 0이 아닌 값으로 설정되어야 합니다.
local.webmail.sso.prefix = ssogrp1	이 매개 변수는 HTTP 서버가 설정하는 SSO 쿠키의 형식 지정에 사용할 접두어를 지정합니다.
local.webmail.sso.id = msg50	이 매개 변수는 Messaging Server의 고유 응용 프로그램 아이디(msg50)를 지정합니다. 신뢰할 수 있는 각 응용 프로그램도 고유 응용 프로그램 아이디를 가져야 합니다.
local.webmail.sso.cookiedomain = sesta.com	이 매개 변수는 HTTP 서버가 설정하는 모든 SSO 쿠키의 쿠키 도메인 값을 지정합니다.
local.webmail.sso.singlesignoff = 1	값이 0이 아니면 클라이언트가 로그아웃할 때 해당 클라이언트 중 local.webmail.sso.prefix에서 구성한 값과 일치하는 접두어 값을 가진 모든 SSO 쿠키를 지웁니다.
local.sso.appid.url = "verifyurl" 예를 들면 다음과 같습니다. local.sso.ics50.verifyurl = http://sesta.com:8883/VerifySSO? local.sso.msg50.verifyurl = http://sesta.com:8882/VerifySSO?	이 매개 변수는 Messaging Server 구성에서 피어 SSO 호스트의 확인 URL 값을 설정합니다. 신뢰할 수 있는 각각의 피어 SSO 호스트에 대해 하나의 매개 변수가 필요합니다. 이 매개 변수는 다음 항목을 포함합니다. 응용 프로그램 아이디(appid)는 SSO 쿠키가 받아들여지는 각각의 피어 SSO 호스트를 식별합니다. URL 확인("verifyurl")에는 호스트 URL, 호스트 포트 번호 및 VerifySSO?(끝부분의 ? 포함)가 포함됩니다. 이 예에서 Messaging Server 응용 프로그램 아이디는 msg50, 호스트 URL은 sesta.com, 그리고 포트는 8882입니다. Calendar Server 응용 프로그램 아이디는 ics50, 호스트 URL은 sesta.com, 그리고 포트는 8883입니다.

SSO을 위한 Messaging Server 구성에 관한 자세한 내용은 Sun Java System Messaging Server 6 2004Q2 관리 설명서를 참조하십시오.

이전 목차 색인 다음
Sun Java System Calendar Server 관리 설명서