이전      목차      색인      다음
Sun Java System Access Manager 6 2005Q1 관리 설명서

6장
인증 관리

인증 서비스는 Access Manager 배포 시 설치되는 모든 인증 모듈에 사용할 웹 기반의 사용자 인터페이스를 제공합니다. 이 인터페이스는 액세스 요청한 사용자에게 (호출된 인증 모듈에 따라) 로그인 요구 사항 화면을 표시함으로써 인증 자격 증명을 수집하는 동적/사용자 정의 가능 수단을 제공합니다. 이러한 인터페이스는 (경우에 따라 JATO라고 불리는) Sun Java System™ Application Framework를 사용하여 구축되는데, 이는 개발자들이 기능적 웹 응용 프로그램 구축 시 사용하는 J2EE(Java 2 Enterprise Edition) 표현 프레임워크입니다.

사용자 인터페이스 로그인 URL
인증 유형
인증 구성
계정 잠금
인증 서비스 페일오버
정규화된 도메인 이름(FQDN) 매핑
영구 쿠키
다중 LDAP 인증 모듈 구성
세션 업그레이드
플러그 인 인터페이스 검증
JAAS 공유 상태

---

사용자 인터페이스 로그인 URL

인증 서비스 사용자 인터페이스는 웹 브라우저의 위치 표시줄에 로그인 URL을 입력하는 방법으로 액세스할 수 있습니다. 다음과 같이 URL을 입력합니다.

http://identity_server_host.domain_name:port/service_deploy_uri/UI/Login

주	설치 도중 service_deploy_uri가 amserver로 구성됩니다. 이러한 기본 서비스 배포 URI은 이 설명서 전반에 걸쳐 사용됩니다.

사용자 인터페이스 로그인 URL에 로그인 URL 매개 변수가 추가되어 특정 인증 방법이나 성공 또는 실패한 인증 리디렉션 URL을 정의합니다. 리디렉션 URL에 대한 자세한 내용은 인증 유형을 참조하십시오.

로그인 URL 매개 변수

URL 매개 변수는 URL의 끝에 추가되는 이름/값 쌍입니다. 이 매개 변수는 물음표(?)로 시작되며 name=value의 형식을 갖습니다. 다음과 같이 여러 개의 매개 변수를 하나의 로그인 URL로 조합할 수 있습니다.

http://server_name.domain_name:port/amserver/UI/Login?module=LDAP&locale=ja&goto=http://www.sun.com

매개 변수가 둘 이상 있을 때는 앰퍼샌드(&) 기호로 구분됩니다. 그러나 매개 변수 조합은 다음 지침을 지켜야 합니다.

각 매개 변수는 하나의 URL에서 한 번만 사용되어야 합니다. 예를 들어 module=LDAP&module=NT는 사용할 수 없습니다.
org 매개 변수와 domain 매개 변수는 모두 로그인 조직을 결정합니다. 이 경우에는 로그인 URL에서 두 매개 변수 중 하나만 사용해야 합니다. 두 매개 변수를 모두 사용하면서 우선 순위를 지정하지 않으면 하나만 적용됩니다.
user, role, service, module 및 authlevel 매개 변수는 각각의 기준에 따라 인증 모듈을 정의하는 매개 변수입니다. 따라서 로그인 URL에는 이들 중 하나만 사용해야 합니다. 매개 변수를 두 개 이상 사용하면서 우선 순위를 지정하지 않으면 하나만 적용됩니다.

다음 절에서는 사용자 인터페이스 로그인 URL에 붙고 웹 브라우저의 위치 표시줄에 입력될 때 여러 가지 인증 기능을 수행하는 매개 변수를 설명합니다.

팁	전사적으로 배포할 인증 URL 및 매개 변수를 간소화하기 위해 관리자는 간단한 URL을 사용하여 HTML 페이지를 구성할 수 있는데, 이 페이지에는 구성된 모든 인증 방법에서 사용할 복잡한 로그인 URL 링크가 포함됩니다.

goto 매개 변수

goto=successful_authentication_URL 매개 변수는 인증 구성 서비스의 로그인 성공 URL에 정의된 값 대신 사용됩니다. 이 매개 변수는 인증이 성공하면 지정된 URL로 연결됩니다. 마찬가지로 goto=logout_URL 매개 변수는 사용자 로그아웃 시 지정된 URL로 연결하기 위해 사용합니다. 성공적인 인증 URL의 예는 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?goto=http://www.sun.com/homepage.html

goto 로그아웃 URL의 예는 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Logout?goto=http://www.sun.com/logout.html

주	Access Manager에서 성공적인 인증 리디렉션 URL을 찾을 때 적용하는 우선 순위가 있습니다. 이러한 리디렉션 URL과 그 순서는 인증 방법에 따라 다르므로 이 순서(및 관련 정보)에 대한 자세한 내용은 인증 유형을 참조하십시오.

gotoOnFail 매개 변수

gotoOnFail=failed_authentication_URL 매개 변수는 인증 구성 서비스의 로그인 실패 URL에 정의된 값 대신 사용됩니다. 이 매개 변수는 사용자 인증 실패 시 지정된 URL로 연결됩니다. gotoOnFail URL의 예로 http://server_name.domain_name:port/amserver/UI/Login?gotoOnFail=http://www.sun.com/auth_fail.html이 있습니다.

주	Access Manager에서 실패한 인증 리디렉션 URL을 찾을 때 적용하는 우선 순위가 있습니다. 이러한 리디렉션 URL과 그 순서는 인증 방법에 따라 다르므로 이 순서(및 관련 정보)에 대한 자세한 내용은 인증 유형을 참조하십시오.

org 매개 변수

org=orgName 매개 변수를 사용하면 사용자가 지정된 조직의 사용자로서 인증할 수 있습니다.

팁	아직 지정된 조직의 구성원이 아닌 사용자가 org 매개 변수를 사용하여 인증하려고 하면 오류 메시지가 나타납니다. 그러나 다음 사항이 모두 해당되면 Directory Server에서 사용자 프로필을 동적으로 작성할 수 있습니다. 핵심 인증 서비스의 사용자 프로필 속성은 Dynamic 또는 Dynamic with User Alias로 설정되어야 합니다. 사용자는 필수 모듈에 성공적으로 인증해야 합니다. 사용자가 아직 Directory Server에 프로필이 없습니다.

이 매개 변수를 통해 (조직 및 로켈 설정에 따라) 정확한 로그인 페이지가 표시됩니다. 이 매개 변수를 설정하지 않은 경우 기본값은 최상위 조직입니다. 예를 들어, 다음은 org URL이 될 수 있습니다.

http://server_name.domain_name:port/amserver/UI/Login?org=sun

user 매개 변수

user=userName 매개 변수는 사용자 프로필의 사용자 인증 구성 속성에 구성된 모듈에 따라 인증을 강제 설정합니다. 예를 들어, 한 사용자의 프로필은 인증 모듈을 사용하여 인증하도록 구성하는 반면 다른 사용자는 LDAP 모듈을 사용하여 인증하도록 구성할 수 있습니다. 이 매개 변수를 추가하면 사용자의 조직에 구성된 방법이 아닌 사용자 자신이 구성한 인증 프로세스를 따르게 됩니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?user=jsmith

role 매개 변수

role=roleName 매개 변수는 지정된 역할을 위해 구성된 인증 프로세스를 따르게 합니다. 아직 지정된 역할의 구성원이 아닌 사용자가 이 매개 변수를 사용하여 인증하려고 하면 오류 메시지가 나타납니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?role=manager

locale 매개 변수

Access Manager에는 콘솔 자체는 물론 인증 프로세스에서도 현지화된 화면(영어가 아닌 다른 언어로 번역된 화면)을 표시하는 기능이 있습니다. locale=localeName 매개 변수를 사용하면 지정된 로켈이 다른 정의된 로켈보다 우선하여 적용됩니다. 로그인 로켈은 다음 위치에서 순서에 따라 구성을 검색한 후 클라이언트에 표시됩니다.

로그인 URL에서 locale 매개 변수의 값

locale=localeName 매개 변수의 값은 정의된 다른 로켈보다 우선하여 적용됩니다.

사용자 프로필에 정의된 로켈

URL 매개 변수가 없을 때는 사용자 프로필의 사용자 기본 언어 속성에 설정된 값에 따라 로켈이 표시됩니다.

HTTP 헤더에 정의된 로켈

이 로켈은 웹 브라우저에서 설정합니다.

핵심 인증 서비스에 정의된 로켈

이 로켈은 핵심 인증 모듈의 기본 인증 로켈 속성의 값입니다.

플랫폼 서비스에 정의된 로켈

이 로켈은 플랫폼 서비스에서 플랫폼 로켈 속성의 값입니다.

운영 체제 로켈

여기서 파생된 로켈은 사용자의 세션 토큰에 저장되며 Access Manager에서는 현지화된 인증 모듈을 로드할 때만 이를 사용합니다. 인증이 성공적으로 수행되면 사용자 프로필의 기본 언어 속성에 정의된 로켈이 사용됩니다. 아무 것도 설정되어 있지 않을 때는 인증에 사용된 로켈이 적용됩니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?locale=ja

주	화면 텍스트와 오류 메시지를 현지화하는 방법에 대한 자세한 내용은 Access Manager Developer’s Guide를 참조하십시오.

module 매개 변수

module=moduleName 매개 변수를 사용하면 지정된 인증 모듈을 통해 인증할 수 있습니다. 모든 인증 모듈은 먼저 사용자가 속한 조직에서 등록되고 핵심 인증 모듈에서 해당 조직의 인증 모듈 중 하나로 선택되어야 지정될 수 있습니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?module=Unix

주	URL 매개 변수에서 사용되는 인증 모듈 이름은 대소문자를 구분합니다.

service 매개 변수

service=serviceName 매개 변수를 사용하면 서비스의 구성된 인증 스키마를 통해 인증할 수 있습니다. 인증 구성 서비스를 사용하여 서비스마다 인증 스키마를 달리 구성할 수 있습니다. 예를 들어, 조직의 직원 디렉토리 응용 프로그램은 LDAP 인증 모듈만 필요한 반면 온라인 급여 응용 프로그램은 더 안전한 인증서 인증 모듈을 사용하여 인증해야 합니다. 이러한 서비스마다 인증 스키마를 구성하고 이름을 지정할 수 있습니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?service=sv1

주	인증 구성 서비스는 서비스 기반의 인증을 위한 스키마 정의에 사용됩니다.

arg 매개 변수

arg=newsession 매개 변수는 사용자의 현재 세션을 끝내고 새 세션을 시작할 때 사용됩니다. 인증 서비스는 하나의 요청으로 사용자의 기존 세션 토큰을 삭제하고 새 로그인을 수행합니다. 이 옵션은 일반적으로 익명 인증 모듈에서 사용됩니다. 사용자는 먼저 익명 세션으로 인증한 다음 등록이나 로그인 링크를 누릅니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?arg=newsession

authlevel 매개 변수

authlevel=value 매개 변수는 인증 수준이 인증 서비스에게 지정된 인증 수준 값보다 크거나 같은 모듈을 호출하도록 명령합니다. 각 인증 모듈은 고정된 정수 인증 수준으로 정의됩니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?authlevel=1

주	인증 수준은 모듈별 프로필에 설정되어 있습니다. 이 모듈에 대한 자세한 내용은 Sun Java System Access Manager 관리 설명서를 참조하십시오.

domain 매개 변수

이 매개 변수를 사용하면 지정된 도메인으로 식별된 조직에 로그인할 수 있습니다. 지정된 도메인은 조직 프로필의 도메인 이름 속성에 정의된 값과 일치해야 합니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?domain=sun.com

팁	아직 지정된 도메인/조직의 구성원이 아닌 사용자는 org 매개 변수를 사용하여 인증하려고 하는 경우 오류 메시지가 나타납니다. 그러나 다음 사항이 모두 해당되면 Directory Server에서 사용자 프로필을 동적으로 작성할 수 있습니다. 핵심 인증 서비스의 사용자 프로필 속성은 Dynamic 또는 Dynamic With User Alias.로 설정되어야 합니다. 사용자는 필수 모듈에 성공적으로 인증해야 합니다. 사용자가 아직 Directory Server에 프로필이 없습니다.

iPSPCookie 매개 변수

iPSPCookie=yes 매개 변수를 사용하면 영구 쿠키를 사용하여 로그인할 수 있습니다. 영구 쿠키는 브라우저 창을 닫은 후에도 계속 존재하는 쿠키를 말합니다. 이 매개 변수를 사용하기 위해서는 사용자가 로그인한 조직의 영구 쿠키가 핵심 인증 모듈에서 활성화되어 있어야 합니다. 사용자가 인증하고 브라우저를 닫은 후에는 다시 인증할 필요 없이 새 브라우저 세션으로 로그인할 수 있고 콘솔로 직접 이동합니다. 이러한 작업은 핵심 서비스에 지정된 영구 쿠키 최대 시간의 값이 경과할 때까지 가능합니다. 예를 들면 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?org=example&iPSPCookie=yes

IDTokenN 매개 변수

이 매개 변수 옵션을 사용하면 URL 또는 HTML 형식으로 인증 자격 증명을 통과할 수 있습니다. IDTokenN=value 매개 변수를 사용하는 경우 인증 서비스 사용자 인터페이스에 액세스하지 않고도 인증할 수 있습니다. 이러한 프로세스를 0페이지 로그인이라고 합니다. 0페이지 로그인은 하나의 로그인 페이지를 사용하는 인증 모듈에서만 작동합니다. IDToken0, IDToken1, ..., IDTokenN 값은 인증 모듈의 로그인 페이지에 있는 필드에 매핑됩니다. 예를 들어 LDAP 인증 모듈은 userID 정보에 IDToken1을 사용하고 비밀번호 정보에 IDToken2를 사용할 수 있습니다. 이 경우 LDAP 모듈 IDTokenN URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?module=LDAP&IDToken1=userID&IDToken2=password

LDAP가 기본 인증 모듈인 경우 module=LDAP는 생략될 수 있습니다.

익명 인증의 경우 로그인 URL 매개 변수는 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?module=Anonymous&IDToken1=anonymousUserID

주	(이전 릴리스에서 사용하던)토큰 이름 Login.Token0, Login.Token1, ..., Login.TokenN은 아직 지원되고 있지만, 향후 릴리스에서는 지원되지 않을 것입니다. 새로 제공되는 IDTokenN 매개 변수를 사용하는 것이 좋습니다.

---

인증 유형

인증 서비스는 여러 가지 인증 적용 방법을 제공합니다. 이러한 여러 가지 인증 방법은 로그인 URL 매개 변수를 지정하거나 인증 프로그래밍 인터페이스를 통해 적용할 수 있습니다. 인증 모듈을 구성하기 전에 특정 인증 모듈 이름을 포함하도록 핵심 인증 서비스 속성인 조직 인증 모듈을 수정해야 합니다.

인증 구성 서비스는 다음 인증 유형에 대한 인증 모듈을 정의하는 데 사용됩니다.

조직 기반 인증
역할 기반 인증
서비스 기반 인증
사용자 기반 인증
인증 수준 기반 인증
모듈 기반 인증

이러한 인증 유형 중 하나에 대해 인증 모듈을 정의한 경우, 인증 프로세스의 성공 또는 실패 여부에 따라 사후 처리 Java 클래스 사양뿐만 아니라 리디렉션 URL을 제공하도록 해당 모듈을 구성할 수 있습니다.

인증 유형에 따른 액세스 결정 방법

이러한 방법마다 사용자 인증이 성공하기도하고, 실패하기도 합니다. 그러나 방법이 결정된 다음에는 다음 절차를 따르게 됩니다. 단계 1부터단계 3까지는 인증 성공 후, 단계 4는 인증 성공 및 실패 후에 모두 나타납니다.

Access Manager에서는 인증된 사용자가 Directory Server 데이터 저장소에 정의되었는지 그리고 프로필이 활성 상태인지를 확인합니다.

핵심 인증 모듈의 사용자 프로필 속성은 Required, Dynamic, Dynamic with User Alias 또는 Ignored 중 하나로 정의될 수 있습니다. 성공적인 인증에 따라 Access Manager는 인증된 사용자가 Directory Server 데이터 저장소에 정의되어 있는지를 확인하고 사용자 프로필 값이 Required인 경우에는 해당 프로필이 활성 상태인지 확인합니다(기본적인 경우). 사용자 프로필이 Dynamically Configured인 경우에는 인증 서비스에서 Directory Server 데이터 저장소에 사용자 프로필을 작성합니다. 사용자 프로필이 Ignore로 설정되어 있으면 사용자 검증이 수행되지 않습니다.

인증 사후 처리 SPI의 실행이 완료되었습니다.

핵심 인증 모듈에는 인증 사후 처리 클래스 이름이 그 값으로서 포함되는 인증 사후 처리 클래스 속성이 들어 있습니다. AMPostAuthProcessInterface는 사후 처리 인터페이스로서 인증 성공/실패 시 또는 로그아웃 시 실행될 수 있습니다.

다음 등록 정보가 세션 토큰에 추가되거나 세션 토큰에서 업데이트된 후 사용자의 세션이 활성화됩니다.

Organization. 사용자가 속한 조직의 DN입니다.

Principal. 사용자의 DN입니다.

Principals. 사용자가 인증한 이름의 목록입니다(둘 이상의 값이 세로줄(|)로 구분된 목록 포함 가능).

UserId. 모듈에서 반환하는 사용자의 DN이거나 LDAP 또는 구성원 이외의 모듈의 경우 사용자 이름입니다. 모든 Principal은 같은 사용자로 매핑되어야 합니다. UserID는 Principal이 매핑되는 사용자 DN입니다.

주	이 등록 정보는 DN이 아닌 값이 될 수 있습니다.

UserToken. 사용자 이름입니다. 모든 Principal은 같은 사용자로 매핑되어야 합니다. UserToken은 Principal이 매핑된 사용자 이름입니다.

Host. 클라이언트의 호스트 이름이나 IP 주소입니다.

authLevel. 사용자의 최고 인증 수준입니다.

AuthType. 사용자가 인증한 인증 모듈을 세로줄(|)로 구분한 목록(예: module1|module2|module3)입니다.

clientType. 클라이언트 브라우저의 장치 유형입니다.

Locale. 클라이언트의 로켈입니다.

CharSet. 클라이언트에 대해 결정된 문자 집합입니다.

Role. 역할 기반의 인증에만 적용될 수 있으며 사용자가 속한 역할입니다.

Service. 서비스 기반의 인증에만 적용될 수 있으며 사용자가 속한 서비스입니다.

loginURL. 클라이언트의 로그인 URL입니다.

Access Manager에서는 인증 성공 또는 실패 후 사용자를 리디렉션할 위치에 대한 정보를 찾습니다.

URL 리디렉션은 Access Manager 페이지나 URL로 수행할 수 있습니다. 리디렉션은 Access Manager가 인증 방법을 기준으로 찾은 리디렉션의 우선 순위 순서와 해당 인증이 성공 또는 실패했는지 여부에 따라 달라집니다. 이러한 순서는 다음 인증 방법 절에서 URL 리디렉션 부분에 자세히 설명되어 있습니다.

URL 리디렉션

인증 구성 서비스에서 성공적인 인증 또는 실패한 인증에 대한 URL 리디렉션을 할당할 수 있습니다. URL은 이 서비스의 로그인 성공 URL 및 로그인 실패 URL 속성에 자동으로 정의됩니다. URL 리디렉션을 사용 가능하게 하려면 조직에 인증 구성 서비스를 추가하여 해당 서비스를 역할, 조직 또는 사용자에 대해 구성 가능하게 만들어야 합니다. 인증 구성 서비스를 추가할 경우 LDAP - 필수와 같은 인증 모듈을 추가해야 합니다. 세부 사항에 대해서는 인증 구성을 참조하십시오.

조직 기반 인증

이 인증 방법을 사용하면 조직 또는 하위 조직에 인증할 수 있습니다. 이는 Access Manager의 기본 인증 방법입니다. 조직 인증 방법은 핵심 인증 모듈을 조직에 등록하고 조직 인증 구성 속성을 정의함으로써 설정됩니다.

조직 기반 인증 로그인 URL

인증 조직은 사용자 인터페이스 로그인 URL에서 org 매개 변수나 domain 매개 변수를 정의하는 방법으로 지정할 수 있습니다. 인증 요청 조직은 (여기에 표시된 순서대로) 다음 매개 변수/속성에 의해 결정됩니다.

domain 매개 변수
org 매개 변수
관리 서비스의 DNS Alias Names(조직 별칭 이름) 속성

조직을 정확하게 호출한 다음에는 사용자가 인증할 인증 모듈을 핵심 인증 서비스의 조직 인증 구성 속성에서 검색합니다. 조직 기반 인증을 지정하고 초기화하는 데 사용되는 URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login

http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name

http://server_name.domain_name:port/amserver/UI/Login?org=org_name

정의된 매개 변수가 없을 때는 로그인 URL에 지정된 서버 호스트와 도메인으로부터 조직이 결정됩니다.

조직 기반 인증 리디렉션 URL

조직 기반 인증이 성공/실패했다면 Access Manager는 사용자를 리디렉션할 위치 정보를 찾습니다. 응용 프로그램에서 이러한 정보를 찾는 순서는 다음과 같습니다.

성공한 조직 기반 인증 리디렉션 URL

성공한 조직 기반 인증의 리디렉션 URL은 다음 정보를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자의 역할 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-success-url 속성에 대해 전역 기본값으로 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-success-url 속성에 설정된 URL

실패한 조직 기반 인증 리디렉션 URL

실패한 조직 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
gotoOnFail 로그인 URL 매개 변수에서 설정한 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-failure-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
iplanet-am-auth-login-failure-url 속성에서 전역 기본값으로서 설정된 URL

조직 기반 인증 구성

먼저 핵심 인증 서비스를 조직에 추가하여 조직에 인증 모듈을 설정합니다.

조직의 인증 속성을 구성하려면 다음을 수행합니다.

인증 속성을 구성할 조직으로 이동합니다.
보기 메뉴에서 서비스를 선택합니다.
서비스 목록에서 핵심 등록 정보 화살표를 누릅니다.

핵심 인증 속성이 데이터 창에 표시됩니다.

관리자 인증자 속성 옆에 있는 편집을 누릅니다. 여기서는 관리자에 대해서만 인증 서비스를 정의할 수 있습니다. 관리자의 인증 모듈이 최종 사용자의 모듈과 달라야 하는 경우 이 속성을 사용할 수 있습니다. 기본 인증 모듈은 LDAP입니다.

인증 서비스를 정의했으면 저장을 눌러 변경 내용을 저장한 다음 닫기를 눌러 조직의 핵심 인증 속성으로 돌아갑니다.

조직 인증 구성 속성 옆에 있는 편집 링크를 누릅니다. 여기서는 조직 내의 모든 사용자에 대한 인증 모듈을 정의할 수 있습니다. 기본 인증 모듈은 LDAP입니다.
인증 서비스를 정의했으면 저장을 눌러 변경 내용을 저장한 다음 닫기를 눌러 조직의 핵심 인증 속성으로 돌아갑니다.

역할 기반 인증

이 인증 방법을 사용하면 조직이나 하위 조직 내의 (정적 또는 필터링된) 역할에 인증할 수 있습니다.

주	인증 구성 서비스를 역할의 인스턴스로 등록하기 전에 먼저 조직에 등록해야 합니다.

인증이 성공하려면 사용자는 해당 역할에 속하고 이 역할에 구성된 인증 구성 서비스 인스턴스에 정의된 모듈마다 인증해야 합니다. 역할 기반 인증의 인스턴스마다 다음 속성을 지정할 수 있습니다.

충돌 해결 수준. 같은 사용자의 서로 다른 역할에 정의된 인증 구성 서비스 인스턴스에 대해 우선 순위 수준을 설정합니다. 예를 들어, User1이 Role1 및 Role2에 모두 지정되고 Role1에 더 높은 충돌 해결 수준이 설정될 경우 사용자가 인증을 시도할 때 성공 또는 실패 리디렉션과 인증 사후 프로세스에 대해 Role1에 더 높은 우선 순위가 적용됩니다.

인증 구성. 역할의 인증 프로세스에 구성된 인증 모듈을 정의합니다.

로그인 성공 URL. 성공한 인증에서 사용자가 리디렉션될 URL을 정의합니다.

로그인 실패 URL. 실패한 인증에서 사용자가 리디렉션될 URL을 정의합니다.

인증 사후 처리 클래스. 인증 사후 인터페이스를 정의합니다.

역할 기반 인증 로그인 URL

역할 기반 인증은 role 매개 변수를 정의하는 방법으로 사용자 인터페이스 로그인 URL에서 지정할 수 있습니다. 역할을 정확하게 호출한 다음에는 사용자가 인증할 인증 모듈을 해당 역할에 대해 정의된 인증 구성 서비스 인스턴스에서 검색합니다.

이 역할 기반 인증을 지정하고 초기화하는 데 사용되는 URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?role=role_name

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&role=role_name

org 매개 변수가 구성되어 있지 않은 경우, 역할이 속한 조직은 로그인 URL 자체에 지정된 서버 호스트와 도메인으로 결정됩니다.

역할 기반 인증 리디렉션 URL

역할 기반 인증 성공/실패 시 Access Manager에서 사용자를 리디렉션할 위치에 대한 정보를 찾습니다. 응용 프로그램에서 이러한 정보를 찾는 순서는 다음과 같습니다.

성공한 역할 기반 인증 리디렉션 URL

성공한 역할 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자가 인증한 역할의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
인증된 사용자의 다른 역할 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL(이전 리디렉션 URL이 실패할 경우 이 옵션은 폴백임)
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-success-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 설정된 URL
사용자가 인증한 역할의 iplanet-am-auth-login-success-url 속성에 설정된 URL
인증된 사용자의 다른 역할 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL(이전 리디렉션 URL이 실패할 경우 이 옵션은 폴백임)
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-success-url 속성에 설정된 URL

실패한 역할 기반 인증 리디렉션 URL

실패한 역할 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자가 인증한 역할의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
인증된 사용자의 다른 역할 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL(이전 리디렉션 URL이 실패할 경우 이 옵션은 폴백임)
사용자 조직 항목의 iplanet-am-auth-login-failure-url에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-failure-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-failure-url 속성에 설정된 URL
사용자가 인증한 역할의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
인증된 사용자의 다른 역할 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL(이전 리디렉션 URL이 실패할 경우 이 옵션은 폴백임)
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-failure-url 속성에 설정된 URL

역할 기본 인증 구성

인증 구성 서비스를 역할 수준에서 추가한 다음 역할에 대한 인증 모듈을 설정합니다.

인증 속성을 구성할 조직으로 이동합니다.
보기 메뉴에서 역할을 선택합니다.
인증 구성을 설정할 역할을 선택하고 등록 정보 화살표를 누릅니다.

역할의 등록 정보가 데이터 창에 표시됩니다.

데이터 창의 보기 메뉴에서 서비스를 선택합니다.
필요한 경우 인증 구성 속성을 수정.합니다. 이러한 속성에 대한 설명은 33장, "인증 구성 서비스 속성"에서 확인하거나 콘솔의 오른쪽 위 모서리에 있는 도움말 링크를 눌러 확인할 수 있습니다.
저장을 누릅니다.

주	새 역할을 만들 경우 인증 구성 서비스가 해당 역할에 자동으로 할당되지 않습니다. 새 역할을 만들기 전에 역할 프로필 페이지의 위쪽에 있는 인증 구성 서비스 옵션을 선택하십시오. 역할 기반 인증이 사용 가능한 경우 구성원을 구성할 필요가 없으므로 LDAP 인증 모듈을 기본값으로 그대로 사용할 수 있습니다.

서비스 기반 인증

이 인증 방법을 사용하면 조직 또는 하위 조직에 등록된 특정 서비스나 응용 프로그램에 인증할 수 있습니다. 이러한 서비스는 인증 구성 서비스 내에 서비스 인스턴스로 구성되고 인스턴스 이름과 연관됩니다. 인증이 성공하려면 사용자는 해당 서비스에 구성된 인증 구성 서비스 인스턴스에 정의된 모듈마다 인증해야 합니다. 서비스 기반 인증의 인스턴스마다 다음 속성을 지정할 수 있습니다.

인증 구성. 서비스의 프로세스에 구성된 인증 모듈을 정의합니다.

로그인 성공 URL. 성공한 인증에서 사용자가 리디렉션될 URL을 정의합니다.

로그인 실패 URL. 실패한 인증에서 사용자가 리디렉션될 URL을 정의합니다.

인증 사후 처리 클래스. 인증 사후 인터페이스를 정의합니다.

서비스 기반 인증 로그인 URL

서비스 기반 인증은 service 매개 변수를 정의하는 방법으로 사용자 인터페이스 로그인 URL에서 지정할 수 있습니다. 서비스를 호출한 다음에는 해당 서비스에 대해 정의된 인증 구성 서비스로부터 사용자가 인증할 인증 모듈을 검색합니다.

서비스 기반 인증을 지정하고 초기화하는 데 사용되는 URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?service=service_name

및

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&service=service_name

org 매개 변수를 지정하지 않은 경우에는 로그인 URL 자체에 지정된 서버 호스트와 도메인으로부터 조직이 결정됩니다.

서비스 기반 인증 리디렉션 URL

서비스 기반 인증 성공/실패 시 Access Manager에서 사용자를 리디렉션할 위치에 대한 정보를 찾습니다. 응용 프로그램에서 이 정보를 찾는 순서는 다음과 같습니다.

성공한 서비스 기반 인증 리디렉션 URL

성공한 서비스 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자가 인증한 서비스의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-success-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 설정된 URL
사용자가 인증한 서비스의 iplanet-am-auth-login-success-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-success-url 속성에 설정된 URL

실패한 서비스 기반 인증 리디렉션 URL

실패한 서비스 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자가 인증한 서비스의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-failure-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-failure-url 속성에 설정된 URL
사용자가 인증한 서비스의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-failure-url 속성에 설정된 URL

서비스 기반 인증을 구성하려면

인증 구성 서비스를 추가한 다음 서비스에 대한 인증 모듈을 설정합니다. 수행 방법은 다음과 같습니다.

Identity 관리 모듈의 보기 메뉴에서 서비스를 선택합니다.

추가된 서비스 목록이 표시됩니다. 인증 구성 서비스가 추가되지 않으면 아래 단계를 계속합니다. 서비스가 추가되면 단계 4로 이동합니다.

이동 창에서 추가를 누릅니다.

사용 가능한 서비스 목록이 데이터 창에 표시됩니다.

인증 구성 확인란을 선택하고 추가를 누릅니다.

인증 구성 서비스가 이동 창에 표시되며 관리자는 이를 통해 해당 서비스가 추가되었음을 확인할 수 있습니다.

인증 구성 등록 정보 화살표를 누릅니다.

서비스 인스턴스 목록이 데이터 창에 표시됩니다.

인증 모듈을 구성할 서비스 인스턴스를 누릅니다.
인증 구성 속성을 수정하고 저장을 누릅니다. 이러한 속성에 대한 설명은 33장, "인증 구성 서비스 속성"에서 확인하거나 콘솔의 오른쪽 위 모서리에 있는 도움말 링크를 눌러 확인할 수 있습니다.

사용자 기반 인증

이 인증 방법을 사용하면 사용자에 대해 특별히 구성된 인증 프로세스를 인증할 수 있습니다. 이 프로세스는 사용자 프로필의 사용자 인증 구성 속성 값으로 구성됩니다. 인증이 성공하려면 정의된 모듈마다 인증해야 합니다.

사용자 기반 인증 로그인 URL

사용자 기반 인증은 사용자 인터페이스 로그인 URL에서 user 매개 변수를 정의하는 방법으로 지정할 수 있습니다. 사용자를 정확하게 호출한 다음에는 사용자가 인증할 인증 모듈을 정의된 사용자 인증 구성 인스턴스에서 검색합니다.

이 사용자 기반 인증을 지정하고 초기화하는 데 사용되는 URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?user=user_name

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&user=user_name

org 매개 변수를 지정하지 않은 경우, 역할이 속한 조직은 로그인 URL 자체에 지정된 서버 호스트와 도메인에서 결정됩니다.

사용자 별칭 목록 속성

사용자 기반 인증에 대한 요청을 받으면 인증 서비스에서는 먼저 사용자가 유효한 사용자인지 확인하고 그에 대한 인증 구성 데이터를 검색합니다. 사용자 로그인 URL 매개 변수 값과 관련하여 유효한 사용자 프로필이 둘 이상 있는 경우에는 모든 프로필이 지정된 사용자에 매핑되어야 합니다. 사용자 프로필의 사용자 별칭 속성(iplanet-am-user-alias-list)은 해당 사용자에 속한 다른 프로필을 정의할 수 있는 위치입니다. 매핑이 실패하면 사용자는 유효한 세션에서 거부됩니다. 사용자 중 하나가 최상위 관리자이기 때문에 사용자 매핑 검증이 수행되지 않고 사용자가 수퍼 관리자 권한을 가진 경우는 예외가 될 수 있습니다.

사용자 기반 인증 리디렉션 URL

사용자 기반 인증 성공/실패 시 Access Manager에서 사용자를 리디렉션할 위치에 대한 정보를 찾습니다. 응용 프로그램에서 이 정보를 찾는 순서는 다음과 같습니다.

성공한 사용자 기반 인증 리디렉션 URL

성공한 사용자 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자의 역할 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-success-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
잔역 기본값으로서 iplanet-am-auth-login-success-url 속성에 설정된 URL

실패한 사용자 기반 인증 리디렉션 URL

실패한 사용자 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
gotoOnFail 로그인 URL 매개 변수에서 설정한 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-failure-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-failure-url 속성에 설정된 URL

사용자 기반 인증을 구성하려면

Identity 관리 모듈의 보기 메뉴에서 사용자를 선택합니다.

사용자 목록이 이동 창에 표시됩니다.

수정할 사용자를 선택하고 등록 정보 화살표를 누릅니다.

사용자 프로필이 데이터 창에 표시됩니다.

.

주	새 사용자를 만들 경우 인증 구성 서비스가 사용자에 자동으로 할당되지 않습니다. 사용자를 만들기 전에 사용자 프로필 페이지의 위쪽에 있는 인증 구성 서비스 옵션을 선택하십시오. 이 옵션을 선택하지 않으면 사용자가 해당 역할에 대해 정의된 인증 구성을 상속하지 못합니다.

인증 구성 서비스가 사용자에게 할당되게 하려면 보기 메뉴에서 서비스를 선택합니다. 사용자에게 할당되면 인증 구성 서비스가 할당된 서비스로 나열됩니다.
데이터 창의 보기 메뉴에서 사용자를 선택합니다.
사용자 인증 구성 속성 옆에 있는 편집 링크를 눌러 사용자에 대한 인증 모듈을 정의합니다.
저장을 누릅니다.

인증 수준 기반 인증

각 인증 모듈에 해당 인증 수준에 대한 정수 값을 연결할 수 있습니다. 서비스 구성에서 인증 모듈의 등록 정보 화살표를 누르고 모듈의 인증 수준 속성에 해당하는 값을 변경하여 인증 수준을 할당할 수 있습니다. 높은 인증 수준은 사용자가 하나 또는 여러 인증 모듈에 인증을 얻은 후에 사용자에 높은 신뢰도를 정의합니다.

인증 수준은 사용자가 모듈에 성공적으로 인증한 후 사용자의 SSO 토큰에 설정됩니다. 사용자가 여러 인증 모듈에 성공적으로 인증되어야 하는 경우 가장 높은 인증 수준 값이 사용자의 SSO 토큰에 설정됩니다.

사용자가 서비스에 액세스하려고 시도하면 해당 서비스는 사용자의 SSO 토큰에서 인증 수준을 확인하여 사용자에게 액세스를 허용할지 여부를 결정할 수 있습니다. 그런 다음 설정된 인증 수준을 사용하여 인증 모듈을 통해 이동하도록 사용자를 리디렉션합니다.

사용자는 특정 인증 수준을 사용하여 인증 모듈에 액세스할 수도 있습니다. 예를 들어, 다음 구문을 사용하여 로그인을 수행합니다.

http://hostname:port/deploy_URI/UI/Login?authlevel=auth_level_value

인증 수준이 auth_level_value보다 크거나 같은 모든 모듈은 사용자가 선택할 인증 메뉴로 표시됩니다. 일치하는 모듈이 하나이면 이 인증 모듈에 대한 인증 페이지가 직접 표시됩니다.

이 인증 방법을 사용하면 관리자가 ID로 인증할 수 있는 모듈의 보안 수준을 지정할 수 있습니다. 인증 모듈마다 별도의 인증 수준 속성이 있고 이 속성의 값은 유효한 정수로 정의될 수 있습니다. 인증 수준 기반 인증을 사용하면 인증 서비스에서 인증 모듈을 포함하는 메뉴가 있는 모듈 로그인 페이지를 표시하는데, 이 인증 모듈의 인증 수준은 로그인 URL 매개 변수에서 지정한 값보다 크거나 같습니다. 사용자는 제시된 목록에서 모듈을 선택할 수 있습니다. 모듈을 선택하면 나머지 프로세스는 모듈 기반 인증에 따라 진행됩니다.

인증 수준 기반 인증 로그인 URL

인증 수준 기반 인증은 authlevel 매개 변수를 정의하는 방법으로 사용자 인터페이스 로그인 URL에서 지정할 수 있습니다. 관련된 모듈 목록이 있는 로그인 화면을 호출한 후 사용자는 인증할 모듈을 하나 선택해야 합니다. 인증 수준 기반 인증을 지정하고 초기화하는 데 사용되는 URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

및

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&authlevel=authentication_level

org 매개 변수를 지정하지 않은 경우, 사용자가 속한 조직은 로그인 URL 자체에 지정된 서버 호스트와 도메인으로부터 결정됩니다.

인증 수준 기반 인증 리디렉션 URL

인증 수준 기반 인증 성공/실패 시 Access Manager에서 사용자를 리디렉션할 위치에 대한 정보를 찾습니다. 응용 프로그램에서 이 정보를 찾는 순서는 다음과 같습니다.

성공한 인증 수준 기반 인증 리디렉션 URL

성공한 인증 수준 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-success-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-success-url 속성에 설정된 URL

실패한 인증 수준 인증 리디렉션 URL

실패한 인증 수준 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
gotoOnFail 로그인 URL 매개 변수에서 설정한 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-failure-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-failure-url 속성에 설정된 URL

모듈 기반 인증

다음 구문을 사용하여 특정 인증 모듈에 액세스할 수 있습니다.

http://hostname:port/deploy_URI/UI/Login?module=module_name

인증 모듈에 액세스하기 전에 인증 모듈 이름을 포함하도록 핵심 인증 서비스 속성인 조직 인증 모듈을 수정해야 합니다. 인증 모듈 이름이 이 속성에 없으면 사용자가 인증하려고 시도할 때 "인증 모듈이 거부되었습니다"라는 페이지가 표시됩니다.

이 인증 방법을 사용하면 사용자가 인증할 모듈을 지정할 수 있습니다. 지정된 모듈은 사용자가 액세스하는 조직 또는 하위 조직에 등록되어야 합니다. 이는 조직의 핵심 인증 서비스의 조직 인증 모듈 속성에서 구성됩니다. 이러한 모듈 기반 인증 요청을 받으면 인증 서비스에서 모듈이 정확하게 구성되었는지 확인하고 모듈이 정의되지 않은 경우에는 사용자 액세스가 거부됩니다.

주	Access Manager 콘솔을 사용하여 인증 모듈을 등록하는 방법에 대한 자세한 내용은 7장, "인증 옵션"을 참조하십시오.

모듈 기반 인증 로그인 URL

모듈 기반 인증은 사용자 인터페이스 로그인 URL에서 module 매개 변수를 정의하는 방법으로 지정할 수 있습니다. 모듈 기반 인증을 지정하고 초기화하는 데 사용되는 URL은 다음과 같습니다.

http://server_name.domain_name:port/amserver/UI/Login?module=authentication_module_name

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&module=authentication_module_name

org 매개 변수를 지정하지 않은 경우, 사용자가 속한 조직은 로그인 URL 자체에 지정된 서버 호스트와 도메인으로부터 결정됩니다.

모듈 기반 인증 리디렉션 URL

모듈 기반 인증 성공/실패 시 Access Manager에서 사용자를 리디렉션할 위치에 대한 정보를 찾습니다. 응용 프로그램에서 이 정보를 찾는 순서는 다음과 같습니다.

성공한 모듈 기반 인증 리디렉션 URL

성공한 모듈 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
goto 로그인 URL 매개 변수에서 설정한 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자의 역할 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-success-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 프로필(amUser.xml)의 iplanet-am-user-success-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-success-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-success-url 속성에 설정된 URL

실패한 모듈 기반 인증 리디렉션 URL

실패한 모듈 기반 인증의 리디렉션 URL은 다음 장소를 순서대로 확인하여 결정합니다.

인증 모듈에서 설정한 URL
gotoOnFail 로그인 URL 매개 변수에서 설정한 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 대해 clientType 사용자 정의 파일에서 설정된 URL
iplanet-am-auth-login-failure-url 속성에 대해 전역 기본값으로서 clientType 사용자 정의 파일에서 설정된 URL
사용자 항목(amUser.xml)의 iplanet-am-user-failure-url 속성에 설정된 URL
사용자 역할 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
사용자 조직 항목의 iplanet-am-auth-login-failure-url 속성에 설정된 URL
전역 기본값으로서 iplanet-am-auth-login-failure-url 속성에 설정된 URL

---

인증 구성

인증 구성 서비스는 다음 인증 유형에 대한 인증 모듈을 정의하는 데 사용됩니다.

조직
역할
서비스
사용자

이러한 인증 유형 중 하나에 대해 인증 모듈을 정의한 경우, 인증 프로세스의 성공 또는 실패 여부에 따라 사후 처리 Java 클래스 사양뿐만 아니라 리디렉션 URL을 제공하도록 해당 모듈을 구성할 수 있습니다.

인증 모듈을 구성하기 전에 특정 인증 모듈 이름을 포함하도록 핵심 인증 서비스 속성인 조직 인증 모듈을 수정해야 합니다.

인증 구성 사용자 인터페이스

인증 구성 서비스를 사용하면 사용자가 Access Manager 내의 콘솔이나 보호된 자원에 액세스하기 전에 통과해야 하는 하나 이상의 인증 서비스 또는 모듈을 정의할 수 있습니다. 조직, 역할, 서비스 및 사용자 기반 인증에서는 공통 사용자 인터페이스를 사용하여 인증 모듈을 정의합니다. 특정 객체 유형에 대한 인증 구성 인터페이스 액세스 지침은 이후의 절에 설명되어 있습니다.

객체의 인증 구성 속성 옆에 있는 편집 링크를 눌러 모듈 목록 창을 표시합니다.
이 창에는 객체에 할당된 인증 모듈이 나열됩니다. 모듈이 없는 경우 추가를 눌러 모듈 추가 창을 표시합니다.

모듈 추가 창에는 정의할 다음과 같은 세 파일이 포함되어 있습니다.

모듈 이름. 이 풀다운 목록을 사용하면 핵심 인증 모듈의 조직 인증 모듈 속성에서 활성화된 인증 모듈(추가한 사용자 정의 모듈 포함)을 선택할 수 있습니다.

플래그. 이 풀다운 메뉴를 사용하면 인증 모듈 요구 사항을 다음 중 하나로 지정할 수 있습니다.

필수 - 인증 모듈이 성공적이어야 합니다. 성공 또는 실패한 경우 인증 모듈 목록의 그 다음 항목에 대해 인증이 계속 진행됩니다.
필요 - 인증 모듈이 성공적이어야 합니다. 성공한 경우 인증 모듈 목록의 그 다음 항목에 대해 인증이 계속됩니다. 실패한 경우 컨트롤이 응용 프로그램에 반환됩니다(인증 모듈 목록의 그 다음 항목에 대해 인증이 진행되지 않음).
충분 - 인증 모듈이 반드시 성공적이지 않아도 됩니다. 성공한 경우 컨트롤이 즉시 응용 프로그램에 반환됩니다(인증 모듈 목록의 그 다음 항목에 대해 인증이 진행되지 않음). 실패한 경우 목록의 그 다음 항목에 대해 인증이 계속됩니다.
옵션 - 인증 모듈이 반드시 성공적이지 않아도 됩니다. 성공 또는 실패한 경우 목록의 그 다음 항목에 대해 인증이 계속됩니다.

이러한 플래그는 플래그가 정의된 인증 모듈에 대한 적용 기준을 설정하며 필수가 가장 높고 옵션이 가장 낮은 단계입니다.

예를 들어, 관리자가 필수 플래그로 LDAP 모듈을 정의하면 사용자의 인증서는 주어진 자원에 액세스하기 위해 LDAP 인증 요구 사항을 통과해야 합니다.

여러 인증 모듈을 추가하고 각 모듈에 대해 플래그를 필수로 설정한 경우 사용자는 모든 인증 요구 사항을 통과해야만 액세스가 허가됩니다.

플래그 정의에 대한 자세한 내용은 다음 위치에 있는 JAAS(Java Authentication and Authorization Service)를 참조하십시오.

http://java.sun.com/security/jaas/doc/module.html

옵션. 키=값 쌍으로 모듈에 대한 추가 옵션을 허용합니다. 여러 옵션을 사용할 경우 공백으로 구분합니다.

그림 6-1
사용자에 대한 모듈 목록 추가 창



필드를 선택했으면 확인을 눌러 모듈 목록 창으로 돌아갑니다. 정의한 인증 모듈이 이 창에 나열됩니다. 저장을 누릅니다.

이 목록에 원하는 수의 인증 모듈을 추가할 수 있습니다. 여러 인증 모듈을 추가하는 것을 인증 체이닝이라고 합니다. 인증 모듈을 체이닝할 경우 모듈이 나열되는 순서에 따라 적용 계층의 순서가 정의된다는 점에 유의하십시오. 인증 체이닝에 대한 자세한 내용은 인증 모듈 체이닝을 참조하십시오.

인증 모듈의 순서를 변경하려면 다음을 수행합니다.

다시 정렬 버튼을 누릅니다.
다시 정렬할 모듈을 선택합니다.
위로 및 아래로 버튼을 사용하여 모듈을 원하는 위치에 놓습니다.

목록에서 인증 모듈을 제거하려면 인증 모듈 옆에 있는 확인란을 선택한 다음 삭제를 누릅니다.

주	체인의 모듈에 amadmin 인증서를 입력하면 amadmin 프로필을 받게 됩니다. 인증에서는 이 경우에 매핑하는 별칭을 검사하지 않고, 체인에서 모듈을 검사하지도 않습니다.

인증 모듈 체이닝

인증을 하나 이상 구성할 수 있으므로 사용자는 모든 인증에 인증 자격 증명을 전달해야 합니다. 이를 인증 체이닝이라고 합니다. Access Manager의 인증 체이닝은 인증 서비스에 통합된 JAAS 프레임워크를 사용하여 수행됩니다. 모듈 체이닝은 인증 구성 서비스 아래에 구성되어 있습니다. 등록된 각 모듈에는 다음 네 가지 값 중 하나가 할당됩니다.

필수
필요
충분
옵션

플래그에 따라 정의된 대로 모듈 인증이 연쇄적으로 성공하면 (JAAS 프레임워크에서) 인증에 사용한 모든 사용자 아이디를 검증하고 이를 한 사용자에게 매핑하는 인증 서비스로 제어가 반환됩니다. 매핑은 사용자 프로필의 User Alias List 속성을 구성하는 방법으로 수행됩니다. 유효한 세션 토큰은 모든 매핑이 정확히 이루어질 경우에만 실행되며, 이러한 매핑이 정확하지 않으면 사용자는 유효한 세션 토큰이 거부됩니다. 다음 등록 정보는 다른 사용자가 별칭으로 표시되는 단일 인증된 사용자를 나타냅니다.

Principal(사용자가 하나만 갖고 있는 경우 해당 사용자의 DN 포함)
UserToken
UserId

모든 사용자 아이디가 동일한 사용자로 매핑되지 않고 사용자 아이디 중 하나가 로컬 디렉토리 서버에 있는 경우 동적 프로필 작성을 가능하게 하면 다른 사용자 아이디가 기존 사용자의 사용자 별칭 목록 속성에 추가됩니다.

주	인증 체이닝에서 모든 사용자 아이디가 단일 사용자로 매핑되지 않으면 마지막으로 실패한 인증 모듈에서 실패 리디렉션 URL이 선택됩니다. 또한 개별 모듈이 서로 다른 사용자 아이디를 사용하여 모두 성공하는 경우 아무 것도 선택되지 않습니다. 사용자 기반 인증의 경우에는 인증 페이지에 어떤 사용자 아이디가 제공되든지 관계 없이 항상 로그인 URL의 사용자 매개 변수에서 실패 리디렉션 URL이 선택됩니다. 모든 사용자 아이디가 동일한 사용자로 매핑되지 않고 사용자 아이디 중 하나가 로컬 디렉토리 서버에 있는 경우 동적 프로필 작성을 가능하게 하면 다른 사용자 아이디가 기존 사용자의 사용자 별칭 목록 속성에 추가됩니다.

조직에 대한 인증 구성

먼저 핵심 인증 서비스를 조직에 추가하여 조직에 인증 모듈을 설정합니다.

조직의 인증 속성을 구성하려면 다음을 수행합니다.

인증 속성을 구성할 조직으로 이동합니다.
보기 메뉴에서 서비스를 선택합니다.
서비스 목록에서 핵심 등록 정보 화살표를 누릅니다.

핵심 인증 속성이 데이터 창에 표시됩니다.

관리자 인증자 속성 옆에 있는 편집 링크를 누릅니다. 여기서는 관리자에 대해서만 인증 서비스를 정의할 수 있습니다. 관리자의 인증 모듈이 최종 사용자의 모듈과 달라야 하는 경우 이 속성을 사용할 수 있습니다. 기본 인증 모듈은 LDAP입니다.

인증 서비스를 정의했으면 저장을 눌러 변경 내용을 저장한 다음 닫기를 눌러 조직의 핵심 인증 속성으로 돌아갑니다.

조직 인증 구성 속성 옆에 있는 편집 링크를 누릅니다. 여기서는 조직 내의 모든 사용자에 대한 인증 모듈을 정의할 수 있습니다. 기본 인증 모듈은 LDAP입니다.
인증 서비스를 정의했으면 저장을 눌러 변경 내용을 저장한 다음 닫기를 눌러 조직의 핵심 인증 속성으로 돌아갑니다.

역할에 대한 인증 구성

인증 구성 서비스를 역할 수준에서 추가한 다음 역할에 대한 인증 모듈을 설정합니다.

인증 속성을 구성할 조직으로 이동합니다.
보기 메뉴에서 역할을 선택합니다.
인증 구성을 설정할 역할을 선택하고 등록 정보 화살표를 누릅니다.

역할의 등록 정보가 데이터 창에 표시됩니다.

데이터 창의 보기 메뉴에서 서비스를 선택합니다.
필요한 경우 인증 구성 속성을 수정합니다. 이러한 속성에 대한 설명은 33장, "인증 구성 서비스 속성"에서 확인하거나 콘솔의 오른쪽 위 모서리에 있는 도움말 링크를 눌러 확인할 수 있습니다.
저장을 누릅니다.

주	새 역할을 만들 경우 인증 구성 서비스가 해당 역할에 자동으로 할당되지 않습니다. 새 역할을 만들기 전에 역할 프로필 페이지의 위쪽에 있는 인증 구성 서비스 옵션을 선택하십시오. 역할 기반 인증이 사용 가능한 경우 구성원을 구성할 필요가 없으므로 LDAP 인증 모듈을 기본값으로 그대로 사용할 수 있습니다.

서비스에 대한 인증 구성

인증 구성 서비스를 추가한 다음 서비스에 대한 인증 모듈을 설정합니다. 수행 방법은 다음과 같습니다.

Identity 관리 모듈의 보기 메뉴에서 서비스를 선택합니다.

추가된 서비스 목록이 표시됩니다. 인증 구성 서비스가 추가되지 않으면 아래 단계를 계속합니다. 서비스가 추가되면 단계 4로 이동합니다.

이동 창에서 추가를 누릅니다.

사용 가능한 서비스 목록이 데이터 창에 표시됩니다.

인증 구성 확인란을 선택하고 추가를 누릅니다.

인증 구성 서비스가 이동 창에 표시되며 관리자는 이를 통해 해당 서비스가 추가되었음을 확인할 수 있습니다.

인증 구성 등록 정보 화살표를 누릅니다.

서비스 인스턴스 목록이 데이터 창에 표시됩니다.

인증 모듈을 구성할 서비스 인스턴스를 누릅니다.
인증 구성 속성을 수정하고 저장을 누릅니다. 이러한 속성에 대한 설명은 33장, "인증 구성 서비스 속성"에서 확인하거나 콘솔의 오른쪽 위 모서리에 있는 도움말 링크를 눌러 확인할 수 있습니다.

사용자에 대한 인증 구성

Identity 관리 모듈의 보기 메뉴에서 사용자를 선택합니다.

사용자 목록이 이동 창에 표시됩니다.

수정할 사용자를 선택하고 등록 정보 화살표를 누릅니다.

사용자 프로필이 데이터 창에 표시됩니다.

.

주	새 사용자를 만들 경우 인증 구성 서비스가 사용자에 자동으로 할당되지 않습니다. 사용자를 만들기 전에 사용자 프로필 페이지의 위쪽에 있는 인증 구성 서비스 옵션을 선택하십시오. 이 옵션을 선택하지 않으면 사용자가 해당 역할에 대해 정의된 인증 구성을 상속하지 못합니다.

인증 구성 서비스가 사용자에게 할당되게 하려면 보기 메뉴에서 서비스를 선택합니다. 사용자에게 할당되면 인증 구성 서비스가 할당된 서비스로 나열됩니다.
데이터 창의 보기 메뉴에서 사용자를 선택합니다.
사용자 인증 구성 속성 옆에 있는 편집 링크를 눌러 사용자에 대한 인증 모듈을 정의합니다.
저장을 누릅니다.

---

계정 잠금

인증 서비스는 사용자 인증이 n회 실패하면 사용자 인증을 잠금하는 기능을 제공합니다. 이 기능은 기본적으로 꺼져 있지만 Access Manager 콘솔을 사용하여 활성화할 수 있습니다.

주	잘못된 비밀번호 예외가 발생하는 모듈만 계정 잠금 기능을 사용할 수 있습니다.

핵심 인증 서비스에는 다음을 포함하여 이 기능을 활성화/사용자 정의하는 속성이 들어 있습니다.

로그인 실패 잠금 모드 계정 잠금을 활성화합니다.
로그인 실패 잠금 수 사용자가 잠기기 전에 인증을 시도할 수 있는 횟수를 정의합니다. 이 값은 사용자 아이디에 대해서만 적용됩니다. 동일한 사용자 아이디가 지정된 횟수만큼 실패하면 그 사용자 아이디는 잠겨집니다.
로그인 실패 잠금 간격 사용자 잠금이 적용되기 전 얼마 동안 로그인 실패 잠금 수의 값이 완료되어야 하는지 분 단위로 정의합니다.
잠금 알림을 보낼 전자 메일 주소 사용자 잠금 알림을 보낼 전자 메일 주소를 지정합니다.
N회 실패 후 사용자에게 경고 몇 차례 인증이 실패하면 경고 메시지가 사용자에게 표시되는지 지정합니다. 관리자는 사용자에게 잠금이 임박했음을 경고한 이후의 추가 로그인 시도를 설정할 수 있습니다.
로그인 실패 잠금 기간 잠금 후 얼마나 대기한 후 다시 인증을 시도할 수 있는지 분 단위로 정의합니다.
잠금 속성 이름 물리적 잠금에 대해 사용자 프로필 중 어떤 LDAP 속성이 inactive로 설정될 것인지 정의합니다.
잠금 속성 값 잠금 속성 이름에 지정된 LDAP 속성 중 어떤 속성이 inactive 또는 active로 설정될 것인지 정의합니다.

계정 잠금에 관하여 전자 메일 알림이 관리자에게 보내집니다(계정 잠금 활동도 기록). 계정 잠금 속성에 대한 자세한 내용은 20장, "핵심 인증 속성"을 참조하십시오.

주	Microsoft Windows 2000 운영 체제에서의 이 기능 사용에 대한 자세한 내용은 Access Manager Developer’s Guide의 부록 A "AMConfig.properties File"에서 "Simple Mail Transfer Protocol(SMTP)"을 참조하십시오.

Access Manager에서는 다음 절에서 정의하는 물리적 잠금과 메모리 잠금의 두 가지 계정 잠금 유형을 지원합니다.

물리적 잠금

이 잠금은 Access Manager의 기본 잠금 동작입니다. 사용자 프로필에서 LDAP 속성의 상태를 inactive로 바꾸면 이 잠금이 초기화됩니다. Lockout Attribute Name은 잠금 목적에 따라 사용되는 LDAP 속성을 정의합니다. 물리적 잠금을 구성하는 방법에 대한 자세한 내용은 Sun Java System Access Manager 관리 설명서를 참조하십시오.

주	별칭 사용자는 LDAP 프로필에서 사용자 별칭 목록 속성(iplanet-am-user-alias-list in amUser.xml)을 구성하는 방법으로 기존의 LDAP 사용자 프로필에 매핑된 사용자입니다. 별칭 사용자는 핵심 인증 서비스의 별칭 검색 속성 이름 필드에 iplanet-am-user-alias-list를 추가함으로써 검증할 수 있습니다. 즉 별칭 사용자가 잠긴 경우 해당 사용자가 별칭 처리된 실제 LDAP 프로필도 잠기게 됩니다. 이는 LDAP 및 구성원이 아닌 인증 모듈을 사용하는 물리적 잠금에만 적용됩니다.

메모리 잠금

메모리 잠금은 Login Failure Lockout Duration 속성을 0보다 큰 값으로 변경하는 방법으로 사용할 수 있습니다. 그러면 사용자 계정은 지정된 분 수 동안 메모리에서 잠깁니다. 시간이 모두 경과한 후에는 계정의 잠금이 해제됩니다. 메모리 잠금 기능을 사용할 때는 몇 가지 사항에 특별히 주의해야 합니다.

Access Manager가 다시 시작하는 경우에는 메모리에서 잠긴 모든 계정이 잠금 해제됩니다.
사용자 계정이 메모리에서 잠겨 있고 관리자가 (잠금 기간을 0으로 되돌려) 계정 잠금 기법을 물리적 잠금으로 변경할 경우 사용자 계정이 메모리에서 잠금 해제되고 잠금 수가 다시 설정됩니다.
메모리 잠금 후 LDAP 및 구성원이 아닌 인증 모듈을 사용할 때 사용자가 정확한 비밀번호로 로그인하려고 하면 사용자가 활성 상태가 아닙니다 오류 대신 사용자에게 이 조직 프로필이 없습니다 오류 메시지가 반환됩니다.

주	실패 URL 속성이 사용자 프로필에 설정되어 있는 경우에는 사용자 계정이 잠겨 있다는 메시지나 잠금 경고 메시지가 표시되지 않으며 사용자는 정의된 URL로 리디렉션됩니다.

---

인증 서비스 페일오버

인증 서비스 페일오버는 하드웨어나 소프트웨어 문제 때문에 주 서버에 장애가 발생하거나 서버가 일시적으로 다운될 경우 자동으로 인증 요청을 보조 서버로 리디렉션합니다.

인증 서비스를 사용할 수 있는 Access Manager 인스턴스에서 인증 컨텍스트가 먼저 생성되어야 합니다. 이 Access Manager 인스턴스를 사용할 수 없는 경우 인증 페일오버를 통해 다른 Access Manager 인스턴스에서 인증 컨텍스트를 생성할 수 있습니다. 인증 컨텍스트는 다음 순서로 서버 가용성을 확인합니다.

인증 서비스 URL이 AuthContext API로 전달됩니다. 예를 들면 다음과 같습니다.

AuthContext(orgName, url)

이 API가 사용될 경우 URL에 의해 참조되는 서버만 사용합니다. 해당 서버에서 인증 서비스를 사용할 수 있는 경우라도 페일오버는 이루어지지 않습니다.

인증 컨텍스트는 AMConfig.properties 파일의 com.iplanet.am.server* 속성에 정의된 서버를 검사합니다.
단계 2가 실패할 경우 인증 컨텍스트는 이름 지정 서비스를 사용할 수 있는 서버에서 플랫폼 목록을 조회합니다. 이 플랫폼 목록은 하나의 Directory Server 인스턴스를 공유하는 다수의 Access Manager 인스턴스(일반적으로 페일오버 목적)가 설치될 때 자동으로 작성됩니다.

예를 들어, 플랫폼 목록에 Server1, Server2 및 Server3을 위한 URL이 포함되면 인증 컨텍스트는 그 중 하나에서 인증이 성공할 때까지 Server1, Server2, Server3를 차례로 순환합니다.

플랫폼 목록은 이름 지정 서비스의 가용성에 따라 다르므로 항상 동일한 서버에서 얻어질 수 있는 것은 아닙니다. 더욱이 이름 지정 서비스 페일오버가 먼저 일어날 수도 있습니다. AMConfing.properties의 com.iplanet.am.naming.url property에 다수의 이름 지정 서비스 URL이 지정됩니다. 사용할 수 있는 첫 번째 이름 지정 서비스 URL은 인증 페일오버가 이루어지는 서버 목록이 포함된 서버를 식별하는 데 사용됩니다.

---

정규화된 도메인 이름(FQDN) 매핑

정규화된 도메인 이름(FQDN) 매핑을 사용하면 사용자가 잘못된 URL을 입력하더라도(예: 보호된 자원에 액세스할 때 부분 호스트 이름이나 IP 주소 지정) 인증 서비스에서 수정할 수 있습니다. FQDN 매핑은 AMConfig.properties 파일의 com.sun.identity.server.fqdnMap 속성을 수정하여 활성화합니다. 이 등록 정보를 지정하는 형식은 다음과 같습니다.

com.sun.identity.server.fqdnMapinvalid-name]=valid-name

invalid-name 값은 사용자가 잘못 입력한 FQDN 호스트 이름이 되고 valid-name은 필터에서 사용자를 리디렉션할 실제 호스트 이름이 됩니다. 명시된 요구 사항에 부합한다면 횟수 제한 없이 매핑 지정이 가능합니다(코드 예 1-1 참조). 이 등록 정보를 설정하지 않으면 사용자는 AMConfig.properties 파일에서도 확인 가능한 com.iplanet.am.server.host=server_name 등록 정보에 구성된 기본 서버 이름으로 보내집니다.

:

코드 예 6-1
AMConfig.properties의 FQDN 매핑 속성

com.sun.identity.server.fqdnMap[isserver]=isserver.mydomain.com com.sun.identity.server.fqdnMap[isserver.mydomain]=isserver.mydomain.com com.sun.identity.server.fqdnMap[IP address]=isserver.mydomain.com

FQDN 매핑의 용도

이 등록 정보는 서버에 호스트된 응용 프로그램이 둘 이상의 호스트 이름으로 액세스 가능할 경우 둘 이상의 호스트 이름에 대해 하나의 매핑을 작성하는 데 사용할 수 있습니다. 또한 Access Manager에서 특정 URL에 대해 수정 조치를 취하지 않게 할 때에도 사용할 수 있습니다. 예를 들어, IP 주소를 사용하여 응용 프로그램에 액세스하는 사용자에게 리디렉션이 필요하지 않다면 이 기능은 다음과 같이 매핑 항목을 지정하여 구현할 수 있습니다.

com.sun.identity.server.fqdnMap[IP address]=IP address.

주의	매핑이 둘 이상 정의되어 있을 때는 잘못된 FQDN 이름으로 값이 겹치지 않아야 합니다. 응용 프로그램 액세스가 불가능해질 수도 있습니다.

---

영구 쿠키

영구 쿠키는 웹 브라우저를 닫은 후에도 계속 존재하는 쿠키로서, 사용자가 이 영구 쿠키를 사용하면 다시 인증할 필요 없이 새 브라우저 세션으로 로그인할 수 있습니다. 이 쿠키의 이름은 AMConfig.properties의 com.iplanet.am.pcookie.name 등록 정보에서 정의되며 그 기본값은 DProPCookie입니다. 쿠키 값은 3DES 암호화된 문자열로서 사용자 DN, 조직 이름, 인증 모듈 이름, 최대 세션 시간, 유휴 시간 및 캐시 시간으로 구성됩니다. 영구 쿠키를 활성화하려면 다음을 수행합니다.

핵심 인증 모듈에서 Persistent Cookie Mode를 켭니다.
핵심 인증 모듈에서 Persistent Cookie Maximum Time 속성에 대한 시간 값을 구성합니다.
값이 yes인 iPSPCookie 매개 변수를 사용자 인터페이스 로그인 URL에 추가합니다.

사용자가 이 URL을 사용하여 인증하고 나면 브라우저를 닫아도 다시 인증할 필요 없이 새 브라우저 창을 열 수 있고 콘솔로 리디렉션하게 됩니다. 이러한 작업은 단계 2에서 정의한 시간이 경과할 때까지 가능합니다.

영구 쿠키 모드는 다음 인증 SPI 방법을 사용하여 켤 수 있습니다.

AMLoginModule.setPersistentCookieOn()

---

다중 LDAP 인증 모듈 구성

페일오버의 한 형식으로 또는 Access Manager 콘솔에 값 필드가 하나만 제공되는 경우 하나의 속성에 여러 값을 구성하기 위해 관리자는 하나의 조직에 여러 LDAP 인증 모듈 구성을 정의할 수 있습니다. 이러한 추가 구성은 콘솔에 표시되지 않더라도 사용자의 인증 요청에 대한 초기 검색이 없는 경우에 기본 구성과 함께 사용됩니다. 예를 들어 한 조직에서 두 가지 서로 다른 도메인에 인증용 LDAP 서버를 통한 검색을 정의하거나 한 도메인에 사용자 이름 지정 속성을 여러 개 구성할 수도 있습니다. 후자는 콘솔에 텍스트 필드를 하나만 갖는 경우이며, 기본 검색 기준을 사용하여 사용자를 찾지 못하면 LDAP 모듈에서 2차 범위를 사용하여 검색하게 됩니다. 다음은 추가 LDAP 구성을 구성하는 단계입니다.

추가 LDAP 구성 추가

2차(또는 3차) LDAP 인증 구성에 필요한 새 값과 전체 속성 세트를 포함하여 XML 파일을 작성합니다.

/etc/opt/SUNWam/config/xml에 있는 amAuthLDAP.xml을 확인하면서 사용 가능한 속성을 참조할 수 있습니다. 그러나 이 단계에서 만든 XML 파일은 amAuthLDAP.xml과 달리 amadmin.dtd 구조를 기반으로 합니다. 이 파일에 대해 속성을 하나 또는 전부 정의할 수 있습니다. 코드 예 1-2는 하위 구성 파일의 예로서 LDAP 인증 구성에 사용할 수 있는 모든 속성의 값이 포함되어 있습니다.

코드 예 6-2
LDAP 하위 구성 파일을 추가하는 샘플 XML 파일 

<?xml version="1.0" encoding="ISO-8859-1"?> <!-- Copyright (c) 2002 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. --> <!DOCTYPE Requests PUBLIC "-//iPlanet//Sun ONE Identity Server 6.0 Admin CLI DTD//EN" "jar://com/iplanet/am/admin/cli/amAdmin.dtd" > <!-- Before adding subConfiguration load the schema with GlobalConfiguration defined and replace corresponding serviceName and subConfigID in this sample file OR load serviceConfigurationRequests.xml before loading this sample --> <Requests> <OrganizationRequests DN="dc=iplanet,dc=com"> <AddSubConfiguration subConfigName = "ssc" subConfigId = "serverconfig" priority = "0" serviceName="iPlanetAMAuthLDAPService">   <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-server"/> <Value>newvalue</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-server"/> <Value>vbrao.red.iplanet.com:389</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-base-dn"/> <Value>dc=iplanet,dc=com</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="planet-am-auth-ldap-bind-dn"/> <Value>cn=amldapuser,ou=DSAME Users,dc=iplanet,dc=com</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-bind-passwd"/> <Value>plain text password</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-user-naming-attribute"/> <Value>uid</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-user-search-attributes"/> <Value>uid</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-search-scope"/> <Value>SUBTREE</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-ssl-enabled"/> <Value>false</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-return-user-dn"/> <Value>true</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-auth-level"/> <Value>0</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-server-check"/> <Value>15</Value> </AttributeValuePair>   </AddSubConfiguration>   </OrganizationRequests> </Requests>

단계 1에서 작성한 XML 파일에서 iplanet-am-auth-ldap-bind-passwd의 값으로서 일반 텍스트 비밀번호를 복사합니다.

이 속성의 값은 코드 예 1-2에 굵은 서식으로 표시되어 있습니다.

amadmin 명령줄 도구를 사용하여 XML 파일을 로드합니다.

./amadmin -u amadmin -w administrator_password -v -t name_of_XML_file

이 2차 LDAP 구성은 Access Manager 콘솔에서 보거나 수정할 수 없습니다.

팁	다중 LDAP 구성에 사용할 수 있는 샘플이 있습니다. /AcessManager-base/SUNWam/samples/admin/cli/bulk-ops/에서 serviceAddMultipleLDAPConfigurationRequests.xml 명령줄 템플리트를 참조하십시오. 지침은 /AcessManager-base/SUNWam/samples/admin/cli/의 Readme.html에서 볼 수 있습니다.

---

세션 업그레이드

인증 서비스를 사용하면 한 조직에서 동일한 사용자가 수행한 2차 인증 성공을 기반으로 유효한 세션 토큰을 업그레이드할 수 있습니다. 유효한 세션 토큰을 가진 사용자가 현재 조직에서 보호한 자원에 인증을 시도하고 이 2차 인증 요청이 성공하면 해당 세션은 새 인증을 기반으로 한 새 등록 정보로 업데이트됩니다. 인증이 실패하면 사용자의 현재 세션이 업그레이드 되지 않은 채 그대로 반환됩니다. 유효한 세션을 가진 사용자가 다른 조직에서 보호한 자원에 인증을 시도하는 경우 새 조직에 인증할 것인지 묻는 메시지를 받게 됩니다. 이때 사용자는 현재 세션을 유지하거나 새 조직에 인증을 시도할 수도 있습니다. 인증이 성공하면 옛 세션이 삭제되고 새 세션이 작성됩니다.

세션 업그레이드 중 로그인 페이지가 시간 초과되면 원래의 성공 URL로 리디렉션됩니다. 시간 초과 값은 다음에 따라 결정됩니다.

각 모듈에 설정한 페이지 시간 초과 값(기본값: 1분)
AMConfig.properties의 com.iplanet.am.invalidMaxSessionTime 등록 정보(기본값: 10분)
iplanet-am-max-session-time(기본값: 120분)

com.iplanet.am.invalidMaxSessionTimeout 값 및 iplanet-am-max-session-time 값은 페이지 시간 초과 값보다 커야 합니다. 그렇지 않으면 세션 업그레이드 중 유효한 세션 정보가 손실되고 이전의 성공 URL에 대한 리디렉션이 실패하게 됩니다.

---

플러그 인 인터페이스 검증

관리자는 조직에 맞게 사용자 이름 또는 비밀번호 검증 논리를 작성하고 이를 인증 서비스에 플러그 인할 수 있습니다(이 기능은 LDAP 및 구성원 인증 모듈에서만 지원됨) 사용자를 인증하거나 비밀번호를 변경하기 전에 Access Manager에서는 이 플러그 인을 호출합니다. 검증이 성공하면 인증이 계속되지만, 실패하면 인증 실패 페이지가 나타납니다. 이 플러그 인은 서비스 관리 SDK의 일부인 com.iplanet.am.sdk.AMUserPasswordValidation 클래스를 확장합니다. 이 SDK에 대한 내용은 Access Manager Javadocs의 com.iplanet.am.sdk 패키지를 참조하십시오. 다음은 Access Manager의 검증 플러그 인을 작성 및 구성하는 단계입니다.

새 플러그 인 클래스는 com.iplanet.am.sdk.AMUserPasswordValidation 클래스를 확장하고 validateUserID() 및 validatePassword() 메소드를 구현합니다. AMException은 검증이 실패할 때 나타납니다.
플러그 인 클래스를 컴파일하고 원하는 위치에 .class 파일을 놓습니다. 런타임 동안 Access Manager에서 액세스할 수 있도록 클래스 경로를 업데이트합니다.
최상위 관리자로서 Access Manager 콘솔에 로그인합니다. 서비스 관리 탭을 누르고 관리 서비스에 대한 속성을 확인하십시오. UserID & Password Validation Plugin Class 필드에 플러그 인 클래스의 이름(패키지 이름 포함)을 입력합니다.
로그아웃했다가 다시 로그인합니다.

---

JAAS 공유 상태

JAAS 공유 상태는 인증 모듈들이 사용자 아이디와 비밀번호를 공유하게 합니다. 다음 인증 모듈에 옵션이 정의되어 있습니다.

조직
사용자
서비스
역할

실패할 때 모듈에는 필수 자격 증명에 대한 메시지가 나타납니다. 인증이 실패하고 나면 모듈의 실행이 중지되거나 로그아웃 공유 상태가 지워집니다.

JAAS 공유 상태 활성화

JAAS 공유 상태를 구성하려면 다음을 수행합니다.

iplanet-am-auth-sharedstate-enabled 옵션을 사용합니다.
공유 상태 옵션은 다음의 경우에 사용됩니다.
iplanet-am-auth-shared-state-enabled=true
이 옵션의 기본값은 true입니다.

실패하면 인증 모듈에는 필수 자격 증명 프롬프트가 JAAS 사양에 제시된 tryFirstPass 옵션 동작에 따라 나타납니다.

JAAS 공유 상태 저장소 옵션

JAAS 공유 상태 저장소 옵션을 구성하려면 다음을 수행합니다.

iplanet-amauth-store-shared-state-enabled 옵션을 사용합니다.
저장소 공유 상태 옵션은 다음과 같은 경우에 사용됩니다.
iplanet-am-auth-shared-state-enabled=true
이 옵션의 기본값은 false입니다.

완결, 중단 또는 로그아웃한 후에는 공유 상태가 지워집니다.

이전      목차      색인      다음

---

부품 번호: 819-1939. Copyright 2005 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.