Fed 속성 사용: OAM 권한 부여 및 HTTP 헤더

이 문서에서는 SAML/OpenID SSO 메시지에서 수신된 속성을 OAM 권한 부여 정책에서 사용하는 방법과 이러한 속성을 보호된 웹 애플리케이션에 제공하는 방법에 대해 설명합니다.

런타임 시 OAM/SP가 SAML/OpenID SSO 응답 메시지를 성공적으로 처리할 때 서버는 응답의 일부 정보를 OAM 권한 부여 정책에 사용할 수 있는 속성으로 OAM 세션에 저장합니다.

• 승인 규칙에 대한 조건

• 보호된 웹 애플리케이션에 SAML/OpenID 속성을 제공하기 위한 응답

SAML/OpenID SSO 응답 정보는 다음 식별자가 참조하는 속성으로 OAM 세션에 저장됩니다.

• $session.attr.fed.partner에서 참조하는 IdP 파트너 이름

• $session.attr.fed.nameidvalue에서 참조되는 SSO 응답의 NameID 값입니다.

• $session.attr.fed.nameidformat에서 참조하는 SAML 프로토콜에 대한 SSO 응답의 NameID 형식

• SAML 검증의 AttributeStatement 또는 OpenID SSO 응답($session.attr.fed.attr.ATTR_NAME에서 참조, ATTR_NAME에서 참조)에 포함된 속성

• IdP 속성 프로파일 매핑이 적용된 경우 로컬 세션 속성 이름

• 또는 이 속성에 대해 적용된 IdP 속성 프로파일 매핑이 없는 경우 SSO 응답의 속성 이름

개요

일반적인 OAM 환경은 다음으로 구성됩니다.

• LDAP 디렉토리

• OAM 관리 서버(OAM 관리 콘솔 OAM 런타임 서버 사용)

• 웹 애플리케이션

• WebGate HTTP 서버에서 웹 애플리케이션을 보호하는 에이전트(OHS, IIS...)

인증된 사용자가 보호된 리소스에 대한 액세스를 요청하는 경우:

• WebGate는 호출을 가로채고 사용자가 인증되었는지 확인합니다.

• 사용자가 이 리소스에 대한 권한 부여 정책을 평가하여 리소스에 액세스할 수 있는 권한이 부여되었습니다.

• WebGate는 보호된 리소스로 전달될 HTTP 요청에 데이터를 쿠키 또는 HTTP 헤더로 주입합니다.

사용자가 리소스에 액세스할 수 있는지 여부를 평가하는 데 사용되는 OAM 권한 부여 정책은 다음과 같은 다양한 조건을 기반으로 할 수 있습니다.

• ID: 사용자가 속한 사용자 ID 또는 그룹을 기반으로 하는 조건입니다.

• IP 주소: 사용자의 IP 주소를 기준으로 하는 조건

• 시간 기준: 시간 기준 조건

• 속성: 속성(LDAP, HTTP 요청 또는 세션 속성)을 기반으로 하는 조건입니다.

관리자는 통합 속성을 평가하는 속성 조건을 사용하여 권한 부여 규칙에서 SAML/OpenID SSO 메시지에 수신된 통합 데이터를 사용할 수 있습니다.

보호된 웹 애플리케이션에서 사용할 수 있도록 HTTP 요청에 데이터를 삽입하는 데 사용되는 OAM 권한 부여 응답은

• 사용자 LDAP 속성

• HTTP 요청 데이터

• 정적 문자열

• OAM 세션 속성

OAM 권한 부여 정책과 마찬가지로 관리자는 통합 항목($session.attr.fed.partner, $session.attr.fed.attr.ATTR_NAME…)을 참조하는 OAM 세션 속성을 사용하여 HTTP 요청에 통합 데이터를 삽입할 수 있습니다.

통합 SSO 설정

이전에 구성된 것과 동일한 SAML 2.0 Federation 설정을 사용합니다. 여기서 각 항목은 다음과 같습니다.

• OAM은 서비스 제공자 역할을 합니다.

• IdP(AcmeIdP)는 다음과 함께 SAML 검증을 전송합니다.

  • NameID가 userID로 설정됨

  • 속성 전송됨

  • email가 사용자의 전자메일 주소로 설정됨

  • fname가 사용자의 이름으로 설정됨

  • surname가 사용자의 성으로 설정됨

  • title가 사용자의 마지막 직위로 설정됨

• 다음 IdP 속성 프로파일로 구성된 OAM/SP

  • fname을 firstname에 매핑합니다.

  • surname을 성에 매핑합니다.

  • 그대로 이메일 남기기

다음 두 명의 사용자가 사용됩니다.

앨리스:

• userID: 앨리스

• 이메일: <alice@oracle.com>

• 이름: Alice

• last name: 애플릿

• title: 관리자

Bob:

• userID: bob

• 이메일: <bob@oracle.com>

• 이름: Bobby

• last name(성): Smith

• title: 엔지니어

IdP에서 다시 전송된 검증이 있는 XML SAML 응답은 다음과 같습니다.

<samlp:Response ..>
    <saml:Issuer ...>http://acme.com
/idp</saml:Issuer>
    <samlp:Status>
        <samlp:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:Assertion ...>
        <saml:Issuer ...>http://acme.com /idp</saml:Issuer>
        <dsig:Signature ...>
        ...
        </dsig:Signature>
        <saml:Subject>
            <saml:NameID ...>alice</saml:NameID>
            ...
        </saml:Subject>         <saml:Conditions ...>
         ...
        </saml:Conditions>         <saml:AuthnStatement ...>
        ...
        </saml:AuthnStatement>
        <saml:AttributeStatement ...>
            <saml:Attribute Name="email" ...>
                <saml:AttributeValue
...>alice@oracle.com</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="title" ...>
                <saml:AttributeValue
...>manager</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="surname" ...>
                <saml:AttributeValue
...>Appleton</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute Name="fname" ...>
                <saml:AttributeValue
...>Alice</saml:AttributeValue>
            </saml:Attribute>
        </saml:AttributeStatement>
    </saml:Assertion>
</samlp:Response>

OAM/SP가 다음 규칙에 따라 속성을 처리했으므로 SP 테스트 페이지에 다른 결과가 표시됩니다.

• 전자메일이 변경되지 않았습니다.

• 제목이 변경되지 않았습니다.

• fname이 firstname에 매핑되었습니다.

• 성이 성에 매핑되었습니다.

그림 Test_Federation_SSO.jpg 설명

보호된 웹 애플리케이션

이 예에서는 다음 구성 요소를 사용합니다.

• OHS가 설치되었습니다.

• 이 OHS 인스턴스에 대해 WebGate 에이전트가 구성되었습니다.

• OHS 서버의 모든 리소스를 보호하는 이 WebGate에 대한 OAM 애플리케이션 도메인이 생성되었습니다.

• 인증 정책:

  • 이름: 보호된 리소스 정책

  • 인증 체계: FederationScheme

• 권한 부여 정책:

  • 이름: 보호된 리소스 정책

  • 리소스

  • /** 및 /.../*

  • 보호된 리소스 정책에 링크됨

• 인증 정책 및 "보호된 리소스 정책" 권한 부여 정책

• OHS의 /cgi-bin/printenv 리소스는 브라우저에서 전송된 HTTP 요청을 처리할 때 데이터를 인쇄합니다.

• HTTP 헤더

• 요청 데이터(경로, 질의 문자열...)

• 서버 데이터(IP 주소, 포트...)

OAM/WebGate에 의해 보호되지 않고 리소스에 액세스하는 브라우저의 예는 다음과 같이 표시됩니다. 테스트에서는 위에 나열된 대로 웹 응용 프로그램이 보호됩니다.

그림 Protected_web_Application.jpg 설명

승인 조건

다음 예에서는 다음 제약 조건이 있는 리소스에 대해 OAM 세션에 저장된 통합 속성을 사용하여 권한 부여 정책을 생성하는 방법을 보여줍니다.

• 사용자가 통합 SSO를 통해 인증되므로 리소스는 FederationScheme 인증 정책을 통해 보호됩니다.

• IdPs는 사용자의 직위를 제공하며 이를 로컬에서 제목이라고 합니다. IdP가 직책과 다른 이름을 통해 직책을 전송하는 경우 IdP 속성 프로파일을 사용하여 로컬 직책 이름에 매핑해야 합니다.

• 관리자 직책을 가진 사용자만 리소스에 액세스할 수 있어야 합니다.

이러한 권한 부여 정책을 만들려면 다음 단계를 실행합니다.

1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

2. Access Manager, Application Domains로 이동합니다.

3. 리소스의 응용 프로그램 도메인을 검색하여 누릅니다.

4. 권한 부여 정책을 누릅니다.

5. 리소스를 보호하는 권한 부여 정책 열기(이 예제에서는 보호된 리소스 정책)

6. 조건 탭을 누릅니다.

7. 새 조건을 정의하려면 추가를 누릅니다.

   1. 이름: TitleCondition

   2. 유형: Attribute

8. 선택된 항목 추가를 누릅니다



그림 Add_Condition.jpg 설명

9. 새로 생성된 조건 선택

10. 조건 세부정보 창에서 추가를 누릅니다.

    • 네임스페이스: Session

    • 속성 이름: Other

    • 속성 이름을 입력합니다.: fed.title

    • 연산자: Equals

    • 속성 값: manager

11. OK를 누릅니다.



그림 Add_Attr_Condition.jpg 설명

12. 규칙 탭을 누릅니다.

13. 허용 규칙 , 선택된 조건에 있는 경우 TRUE 조건을 제거하십시오.

14. TitleCondition를 허용 규칙, 선택된 조건에 추가

15. Apply를 누릅니다.

그림 Authorization_Policy.jpg 설명

테스트하려면 새 브라우저에서 보호된 리소스에 액세스합니다. IdP로 재지정됩니다.

IdP에서 alice를 사용하여 인증하는 경우 브라우저에 alice로 설정된 원격 사용자 HTTP 헤더를 표시하는 다음이 표시됩니다. IdP에서 title 속성이 manager로 설정되고 OAM에서 OAM 세션 속성 fed.title이 manager로 설정된 사용자만 액세스할 수 있기 때문입니다.

그림 Document_root.jpg 설명

IdP에서 bob을 사용하여 인증하면 브라우저에 다음이 표시되고 오류가 표시됩니다. IdP에서 title 속성이 engine으로 설정되었고 OAM은 OAM 세션 속성 fed.title이 manager로 설정된 사용자만 액세스할 수 있기 때문입니다.

그림 OAM_Operation_error.jpg 설명

통합 속성 주입

다음 예에서는 다음 제약 조건을 사용하여 SSO 응답에서 수집된 SAML/OpenID 속성을 보호된 웹의 HTTP 헤더로 삽입하는 방법을 보여 줍니다.

• 사용자가 통합 SSO를 통해 인증되므로 리소스는 FederationScheme 인증 정책을 통해 보호됩니다.

• IdPs는 사용자의 직위를 제공하며 이를 로컬에서 제목이라고 합니다. IdP가 직책과 다른 이름을 통해 직책을 전송하는 경우 IdP 속성 프로파일을 사용하여 로컬 직책 이름에 매핑해야 합니다.

• OAM/WebGate가 다음을 주입하도록 구성되었습니다.

  • 전자메일 주소를 전자메일 주소로

  • 이름을 이름으로

  • 성을 나타냅니다.

구성은 권한 부여 정책 정의에서 권한 부여 응답 객체를 사용하여 수행됩니다.

이러한 권한 부여 정책을 구성하려면 다음 단계를 실행합니다.

1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

2. Access Manager, Application Domains로 이동합니다.

3. 리소스에 대한 응용 프로그램 도메인을 검색하여 누릅니다.

4. 권한 부여 정책을 누릅니다.

5. 리소스를 보호하는 권한 부여 정책 열기(이 예제에서는 보호된 리소스 정책)

6. 응답 탭을 누릅니다.

7. Add(추가)를 눌러 전자 메일 주소에 대한 항목을 만듭니다.

   • 유형: Header

   • 이름: emailaddress

   • 값: $session.attr.fed.attr.email

8. 추가를 누릅니다.

   

   그림 Add_Response.jpg 설명

9. Add를 눌러 이름에 대한 항목을 생성합니다.

   • 유형: Header

   • 이름: firstname

   • 값: $session.attr.fed.attr.firstname

10. 추가를 누릅니다.

11. Add를 눌러 성에 대한 항목을 생성합니다.

    • 유형: Header

    • 이름: lastname

    • 값: $session.attr.fed.attr.lastname

12. 추가를 누릅니다.

13. Apply를 누릅니다.

그림 ACS_Authorization_Policy.jpg 설명

테스트하려면 새 브라우저에서 보호된 리소스에 액세스합니다. 인증이 발생하는 IdP로 재지정됩니다.

그런 다음 OAM/WebGate는 OAM 세션 속성(IdP에서 수신됨)을 기반으로 권한 부여 응답 항목을 주입하고, 보호된 웹 애플리케이션은 이러한 항목을 표시합니다(내 테스트 페이지에는 HTTP 헤더가 HTTP_NAME로 표시되고, NAME는 HTTP 헤더의 이름임).

그림 Authorization_Response.jpg 설명

추가 학습 자원

docs.oracle.com/learn의 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 접근할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 전환할 수 있습니다.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Using Fed Attributes- OAM Authorization and HTTP Headers

F61887-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.