Identity Cloud Service 및 SAML

IDCS(Identity Cloud Service)는 클라우드에서 Oracle 고객에게 다음과 같은 ID 관리 기능을 제공합니다.

• 사용자 및 그룹 관리

• SAML SP 및 IdPs가 있는 SAML SSO

• SP가 있는 OpenID Connect SSO

이 문서에서는 IDCS 17.2.2 이상에서 지원되는 SAML 기능을 다룹니다.

SAML 지원

프로토콜

IDCS에서는 다음 SAML 2.0 프로토콜 및 바인딩을 지원합니다.

• SAML 2.0 SSO 프로토콜

  • HTTP-Redirect 또는 HTTP-POST 바인딩을 통해 SAML AuthnRequest 전송 및 수신

  • HTTP-POST 바인딩을 통해 SAML 검증이 포함된 SAML 응답 전송 및 수신

• SAML 2.0 로그아웃 프로토콜 SAML 전송 및 수신

  • HTTP-재지정 또는 HTTP-POST 바인딩을 통한 LogoutRequest

  • HTTP-Redirect 또는 HTTP-POST 바인딩을 통해 SAML LogoutResponse 전송 및 수신

• SAML 2.0 메타데이터

  • IDCS SAML 서비스는 통합 SSO에 사용된 서비스 및 인증서를 나열하는 SAML 2.0 메타데이터 문서를 생성할 수 있습니다.

  • IDCS SAML 서비스는 페더레이션 트러스트 설정 중 SAML 2.0 메타데이터를 사용할 수도 있습니다.

암호화

IDCS SAML 서비스는 다음 암호화 기능을 지원합니다.

• 서명 해시 알고리즘으로 SHA-256 및 SHA-1 사용

• HTTP-POST 바인딩을 사용하여 메시지를 전송할 때 송신 SAML 메시지에 IDCS 서명 인증서 포함

• IDCS가 SAML 검증 생성 중 SAML IdP 역할을 하는 경우:

  • SAML 응답 또는 SAML 검증이 서명되었습니다.

  • SAML 검증은 AES-128-CBC, AES-192-CBC, AES-256-CBC 또는 3DES-CBC를 사용하여 암호화할 수 있습니다.

  • IDCS가 SAML 검증 소비 중 SAML SP로 작동 중인 경우:

• SAML 응답 또는 SAML 검증에 서명해야 합니다.

SAML 검증 생성

IdP로 IDCS는 SAML 2.0 검증을 실행할 때 다음을 지원합니다.

• NameID 형식

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • 사용자정의 NameID 형식

• NameID 값

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient를 제외한 모든 NameID 형식에 대해 ID 저장소에 저장된 사용자 이름 또는 기본 전자메일 사용자 속성

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient의 경우 일회성 임의 식별자

• SAML 속성

  • ID 저장소에 저장된 다음 사용자 속성

    • 사용자 이름

    • 제공된 이름

    • 중간 이름

    • 제품군 이름

    • 기본 전자메일 주소

    • 직장 전자메일 주소

    • 전화 번호(가정, 이동 전화, 직장)

    • 제목

    • 직장 주소 속성

    • 사용자 그룹

  • SAML 속성 이름은 관리자가 설정할 수 있습니다.

• SAML 검증에는 ID 도메인 이름을 보유하는 속성이 포함되어 있습니다.

  • 이름: oracle:cloud:identity:domain

  • 값: 고객의 ID 도메인 이름

SAML 검증 소비

SP로서 IDCS는 수신 SAML 검증을 검증하고 IDCS 사용자 레코드에 매핑합니다. 이 서비스는 다음을 지원합니다.

• NameID 형식

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:Kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • 사용자정의 NameID 형식

• 검증 매핑

  • ID 저장소의 사용자 레코드 속성에 매핑된 검증에 포함된 NameID을 기반으로 합니다.

  • 또는 ID 저장소의 사용자 레코드 속성에 매핑된 검증에 포함된 SAML 속성을 기반으로 합니다.

• SAML 검증의 정보는 다음 사용자 레코드 속성 중 하나에 매핑됩니다.

  • 사용자 이름

  • 표시 이름

  • 제공된 이름

  • 중간 이름

  • 제품군 이름

  • 기본 전자메일 주소

  • 모든 기타 전자 메일 주소(가정, 직장, 기타, 복구)

끝점

SAML 2.0 프로토콜을 구현하는 서비스는 다음 위치에 게시됩니다.

• IdP Single Sign On 서비스의 경우 /fed/v1/idp/sso. 여기서 SP는 SAML AuthnRequest를 사용하여 사용자를 IdP로 재지정합니다.

• IdP 단일 로그아웃 서비스의 경우 /fed/v1/idp/slo. 여기서 SP는 SAML LogoutRequest 또는 LogoutResponse를 사용하여 사용자를 IdP로 재지정합니다.

• SP 검증 소비자 서비스의 경우 /fed/v1/SP/sso. 여기서 IdP는 SAML 검증이 포함된 SAML 응답으로 사용자를 SP로 재지정합니다.

• SP 단일 로그아웃 서비스의 경우 /fed/v1/SP/slo. 여기서 IdP는 SAML LogoutRequest 또는 LogoutResponse를 사용하는 사용자를 SP로 재지정합니다.

• SAML 2.0 메타데이터의 경우 /fed/v1/metadata

SAML 서비스는 대상 SP 도메인에서 사용자가 이미 인증되었는지 여부를 무시하고 통합 SSO 작업을 시작하기 위한 두 끝점도 제공합니다. 따라서 이러한 흐름은 주로 사용되지 않아야 하며, 대신 통합 SSO와 관련된 인증이 필요한지 여부를 결정하는 대상 SSO 서비스로 사용자를 전송해야 합니다. 두 SAML 서비스(IdP 또는 SP)는 통합 SSO 시작을 지원합니다.

• IdP 시작된 SSO:

  • 끝점: /fed/v1/idp/initiatess

  • 질의 매개변수(providerid, partnerguid 또는 partnername 중 하나가 필요함, returnurl는 선택사항임)

    • providerid: SP ProviderID

    • partnername: IDCS에 등록된 SP의 이름

    • partnerguid: IDCS에 등록된 SP의 고유 GUID

    • returnurl: 통합 SSO가 완료된 후 사용자가 재지정되어야 하는 위치

• SP 시작 SSO:

  • 끝점: /fed/v1/sp/initiatess

  • 질의 매개변수(providerid, partnerguid 또는 partnername 중 하나가 필요함, returnurl는 선택사항임)

    • providerid: IdP ProviderID

    • partnername: IDCS에 등록된 IdP의 이름

    • partnerguid: IDCS에 등록된 IdP의 고유 GUID

    • returnurl: 통합 SSO가 완료된 후 사용자가 재지정되어야 하는 위치

추가 학습 자원

docs.oracle.com/learn의 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 접근할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 전환할 수 있습니다.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Identity Cloud Service and SAML

F60447-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.