5장 Instant Messaging에 단일 사인온(SSO) 사용

단일 사인온(SSO)은 최종 사용자가 한 번만 인증하여, 즉 사용자 아이디와 비밀번호로 로그인하여 여러 응용 프로그램에 액세스할 수 있는 기능입니다. Sun Java^TM System Access Manager는 Sun Java System 서버의 SSO에 사용되는 공식적인 게이트웨이입니다. 요약하자면 사용자가 Access Manager에 로그인하여 SSO 구성 서버에 액세스해야 합니다.

예를 들어 Access Manager가 제대로 구성된 경우 사용자는 해당 로그인 화면에서 한 번 로그인했으면 다시 로그인하지 않고도 다른 창에서 Instant Messenger에 액세스할 수 있습니다. 마찬가지로 Sun Java System Calendar Server가 제대로 구성된 경우에도 Access Manager 로그인 화면에서 한 번 로그인했으면 다시 로그인하지 않고도 다른 창에서 캘린더에 액세스할 수 있습니다.

Messaging Server와 같은 다른 Communications Suite 서버에서는 두 가지 SSO 배포 방법이 제공됩니다. 즉 하나는 Access Manager를 사용하며, 다른 하나는 트러스트 그룹(trusted circle) 기술을 사용합니다. 트러스트 그룹은 기존의 SSO 구현 방법이지만 Instant Messaging에서는 사용되지 않습니다. 이 방법은 Access Manager SSO에서 사용할 수 없는 몇 가지 기능을 제공하고 있지만 향후 Access Manager와 함께 모두 개발될 것입니다. Access Manager를 통해 Instant Messaging에 SSO를 사용하도록 하기 위해 이 장에 다루는 내용은 다음과 같습니다.

• SSO 제한 및 주의 사항

• Access Manager 기반 SSO 및 정책 지원을 위한 Instant Messaging 구성

• Instant Messaging SSO 문제 해결

SSO 제한 및 주의 사항

• Access Manager 세션이 유효한 동안에만 Instant Messenger 세션이 유효합니다. 따라서 Access Manager에서 로그아웃하면 사용자가 서버에 다른 요청을 보내는 즉시 Instant Messenger 세션이 자동으로 닫힙니다(단일 사인오프).

• 상호 작용하는 SSO 응용프로그램은 동일한 DNS 도메인에 있어야 합니다.

• SSO 응용 프로그램에는 Access Manager 확인 URL(이름 지정 서비스)에 대한 액세스 권한이 있어야 합니다.

• 브라우저에서 쿠키가 사용될 수 있어야 합니다.

Access Manager 기반 SSO 및 정책 지원을 위한 Instant Messaging 구성

두 가지 iim.conf 매개 변수로 Instant Messaging SSO를 지원합니다.

Instant Messaging에 SSO를 사용하려면

1. Access Manager SDK가 Instant Messaging 서버와 동일한 호스트에 설치되었는지 확인합니다.

   자세한 내용은 Sun Java Communications Suite 5 Installation Guide를 참조하십시오.

2. Access Manager 콘솔(amconsole)에서 Instant Messaging 서비스가 조직에 할당되었는지 확인합니다.

   배포에서 다른 Communications Suite 서버 제품(예: Messaging Server)을 사용하는 경우 Instant Messaging에서 Access Manager 기반 서비스를 사용하도록 수동으로 구성해야 할 수도 있습니다.

   자세한 지침은 단일 사인온(SSO) 및 정책 관리 지원을 위해 Access Manager의 하위 조직에 Instant Messaging 및 상태 확인 서비스 추가를 참조하십시오.

3. configure 유틸리티를 실행합니다.

   자세한 지침은 설치 후에 Instant Messaging을 구성하려면을 참조하십시오.

4. SSO에 Access Manager를 사용할지 묻는 메시지가 표시되면 예를 선택합니다.

5. 다음과 같이 iim.policy.module 매개 변수를 identity로 설정합니다.

   1. iim.conf를 열고 iim.policy.module 매개 변수를 찾습니다.

   2. 매개 변수를 설정합니다.

      iim.policy.module = "identity"

6. Instant Messaging 서버를 다시 시작합니다.

   imadmin start

Instant Messaging SSO 문제 해결

SSO에 문제가 있으면 먼저 xmppd.log 서버 로그 파일과 클라이언트 로그 파일에서 오류를 확인합니다. 로깅 수준을 높이는 것이 유용할 수 있습니다. 새 로깅 수준은 서버를 다시 시작한 후에 적용됩니다.

Access Manager 콘솔(amconsole)에서 Instant Messaging 서비스가 조직 및 부모 조직에 할당되었는지 확인합니다. 자세한 내용은 단일 사인온(SSO) 및 정책 관리 지원을 위해 Access Manager의 하위 조직에 Instant Messaging 및 상태 확인 서비스 추가를 참조하십시오.

iim.conf에서 im_server.usesso 매개 변수가 0으로 설정되지 않았는지 확인합니다. 이 매개 변수에 대한 내용은 표 5–1을 참조하십시오. 0으로 설정되어 있으면 Instant Messaging에 SSO를 사용하려면에 나오는 단계를 수행합니다.

Instant Messaging에 직접 로그인할 수 없으면 xmppd.log에서 다음과 비슷한 오류가 있는지 확인합니다.

DEBUG xmppd [com.sun.im.service.util.Worker3] 서비스         \\
URL을 찾지 못했습니다:session.com.iplanet.sso.SSOException: 서비스 URL을 찾지 못했습니다:

INFO xmppd [com.sun.im.service.util.Worker 3] [Identity]     \\
USERNAME에 대한 SSO 토큰을 만들지 못했습니다.

INFO xmppd [org.netbeans.lib.collab.util.Worker 1] [LDAP]     \\
pops에는 ldap에 저장하는 데 필요한 객체 클래스가 없습니다.

이러한 오류가 있으면 다음 단계를 사용하여 문제를 해결합니다.

1. amconsole을 통해 사용자 아이디를 만들고 이 아이디에 대한 인증, 구성, Instant Messaging 및 상태 확인 서비스를 추가합니다.

2. 만든 사용자 아이디로 로그인합니다.

3. amldapuser의 비밀번호가 amconsole을 통해 정확히 입력되었는지 확인합니다.

4. 도메인(예: o=siroe.com)에 인증 구성 서비스 인스턴스가 있는지 확인합니다.

5. 인증 구성 서비스 인스턴스에 LDAP 또는 구성원으로 설정된 인증 모듈이 있는지 확인합니다. 이 값의 상태는 REQUIRED/SUFFICIENT여야 합니다.

   Instant Messaging에는 사용자 아이디와 비밀번호를 통한 로그인만 지원됩니다. 인증 체인을 사용하는 경우 이를 사용하지 않도록 설정해야 Instant Messaging을 사용할 수 있습니다.

6. LDAP 또는 인증 모듈에서 CORE에 대한 amldapuser 비밀번호를 입력합니다.

7. 핵심 인증 모듈 구성의 관리자 인증 구성 드롭다운 메뉴와 조직 인증 구성 드롭다운 메뉴에서 새로 만든 ldapService 인증 구성 서비스 인스턴스를 선택합니다.

8. 다시 로그인합니다.