OAM 및 IdP의 Fed 인증 방법

이 문서에서는 통합 인증 방식을 OAM 인증 체계에 매핑하도록 IdP를 구성하는 방법에 대해 설명합니다.

개요

다양한 페더레이션 프로토콜은 파트너가 다음에 대한 정보를 교환할 수 있도록 하는 메커니즘을 지원합니다.

원격 SP 파트너가 사용자를 IdP for Federation SSO로 재지정하면 IdP에서 사용자에게 도전해야 하는 방법을 요청하는 데이터가 메시지에 포함될 수 있습니다. 이는 요청된 통합 인증 방법으로 처리됩니다.

IdP는 요청된 통합 인증 방법을 로컬 인증 체계에 매핑한 다음 매핑된 인증 체계를 사용하여 사용자 인증/챌린지에 대해 OAM을 호출해야 합니다. 필요한 경우 OAM은 IdP에 지정된 체계로 사용자를 인증합니다.

마찬가지로 IdP가 SSO 응답을 실행할 때 대부분의 경우 사용자에게 시도 방법을 나타내는 식별자를 포함해야 합니다. 이 식별자는 통합 인증 방법으로 처리됩니다.

IdP가 검증을 실행할 때 OAM이 사용자를 식별한 인증 체계를 평가합니다.

매핑

IdP에서 통합 인증 방법과 인증 체계 간의 매핑에는 다음 규칙이 있습니다.

SAML 2.0 프로토콜을 기반으로 다음 예와 다양한 사용 사례를 살펴보겠습니다.

다음으로 정의된 매핑:

사용 사례:

구성

통합 인증 방식을 OAM 인증 체계에 매핑하는 방식은 다양한 프로토콜(SAML 2.0, SAML 1.1, OpenID 2.0)에 정의되어 있으므로 프로토콜에 따라 다릅니다.

따라서 이러한 매핑을 설정하는 WLST 명령에는 다음이 포함됩니다.

주: SP 파트너가 OAM 인증 체계 매핑에 대해 하나 이상의 통합 인증 방식을 정의하도록 구성된 경우 SP 파트너 프로파일의 모든 매핑 de2ned이 무시됩니다.

인증 체계

통합 SSO 중 IdP는 인증/검증을 위해 사용자를 내부적으로 OAM에 전달하고 사용할 인증 체계를 지정합니다.

OAM은 사용자에게 도전해야 하는지 여부를 결정합니다.

따라서 SP에서 사용자에게 시도하기 위해 사용할 특정 통합 인증 방법을 요청하더라도 해당 방법이 인증 체계에 매핑되어 있고 런타임 시 OAM에서 사용자에게 시도할 필요가 없다고 판단되는 경우 해당 체계(사용자가 이미 인증되었고 세션 시간이 초과되지 않았으며 세션 인증 레벨이 지정된 인증 체계에 대한 레벨보다 높거나 같기 때문에)에서는 활이 시도 작업으로 이어지지 않습니다.

프로토콜

SAML 2.0

SAML 2.0 사양은 SAML 2.0 플로우에 대해 다음 통합 인증 방법을 정의합니다.

기본적으로 IdP에는 SAML 2.0 프로토콜에 대한 다음과 같은 매핑이 있습니다.

SP에서 IdP로 전송한 AuthnRequest 메시지의 예로, SP에서 사용자 시도에 사용할 특정 통합 인증 방법을 요청하는 경우는 다음과 같습니다.

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Destination="https://idp.com/oamfed/idp/samlv20" ID="id-8bWn
A9o4aoMl3Nhx1DuPOOjawc-" IssueInstant="2014-03-21T20:51:11Z" Version="2.0">
  <saml:Issuer ...>https://acme.com/sp</saml:Issuer>
  <samlp:NameIDPolicy AllowCreate="false"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspeciGed"/>   <samlp:RequestedAuthnContext Comparison="minimum">
    <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
      urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
  </samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

IdP에 의해 실행된 검증의 예는 다음과 같습니다.

<samlp:Response ...>
    <saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:Assertion ...>
        <saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
        <dsig:Signature>
            ...
        </dsig:Signature>
        <saml:Subject>
            <saml:NameID ...>bob@oracle.com</saml:NameID>
            <saml:SubjectConGrmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
                <saml:SubjectConGrmationData .../>
            </saml:SubjectConGrmation>         </saml:Subject>
        <saml:Conditions ...>
            <saml:AudienceRestriction>
                <saml:Audience>https://acme.com/sp</saml:Audience>
            </saml:AudienceRestriction>
        </saml:Conditions>
        <saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
            <saml:AuthnContext>
                <saml:AuthnContextClassRef>
                    urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
                </saml:AuthnContextClassRef>             </saml:AuthnContext>
        </saml:AuthnStatement>
    </saml:Assertion>
</samlp:Response>

관리자는 SAML 2.0 통합 인증 방법과 하나 이상의 OAM 인증 체계 간의 매핑을 지정할 수 있어야 합니다.

SAML 1.1

SAML 1.1 사양은 SAML 1.1 플로우에 대해 다음 통합 인증 방법을 정의합니다.

기본적으로 IdP에는 SAML 1.1 프로토콜에 대한 다음과 같은 매핑이 있습니다.

이 매핑은 SAML 1.1에 대한 기본 OOTB SP 파트너 프로파일인 saml11-sp-partner-profile SP 파트너 프로파일에 정의되어 있습니다.

IdP에 의해 실행된 검증의 예는 다음과 같습니다.

<samlp:Response ...>
    <samlp:Status>
        <samlp:StatusCode Value="samlp:Success"/>
    </samlp:Status>
    <saml:Assertion Issuer="https://idp.com/oam/fed" ...>
        <saml:Conditions ...>
            <saml:AudienceRestriction>
                <saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
            </saml:AudienceRestriction>
        </saml:Conditions>
        <saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
            <saml:Subject>
                <saml:NameIdentiGer ...>bob@oracle.com</saml:NameIdentiGer>
                <saml:SubjectConGrmation>
                   <saml:ConGrmationMethod>
                       urn:oasis:names:tc:SAML:1.0:cm:bearer
                   </saml:ConGrmationMethod>
                </saml:SubjectConGrmation>
            </saml:Subject>
        </saml:AuthnStatement>
        <dsig:Signature>
            ...
        </dsig:Signature>     </saml:Assertion> </samlp:Response>

주: SAML 1.1은 AuthnRequest 메시지를 정의하지 않습니다.

관리자는 SAML 1.1 통합 인증 방법과 하나 이상의 OAM 인증 체계 간의 매핑을 지정할 수 있습니다.

OpenID 2.0

OpenID 2.0 PAPE 사양은 OpenID 2.0 플로우에 대해 다음 통합 인증 방법을 정의합니다.

기본적으로 IdP는 OpenID 2.0 통합 인증 방법에 대한 매핑을 정의하지 않습니다.

OpenID 2.0의 경우 구성에는 OpenID 2.0 정책 목록을 인증 체계 목록에 매핑하는 작업이 포함됩니다.

SP/RP에서 IdP/OP로 전송한 OpenID 2.0 요청 메시지의 예는 다음과 같습니다.

https://idp.com/openid?openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=checkid_setup&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2FidentiGer_select&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2FidentiGer_select&openid.assoc_handle=id-6a5S6zhAKaRwQNUnjTKROREdAGSjWodG1el4xyz3&openid.return_to=https%3A%2F%2Facme.com%2Fopenid%3FreGd%3Did9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.realm=https%3A%2F%2Facme.com%2Fopenid&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ax.mode=fetch_request&openid.ax.type.aer0=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.if_available=aer0&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.max_auth_age=0

IdP/OP에서 실행한 Open ID 2.0 SSO 응답의 예는 다음과 같습니다.

https://acme.com/openid?reGd=id-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=id_res&openid.op_endpoint=https%3A%2F%2Fidp.com%2Fopenid&openid.claimed_id=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.identity=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.return_to=https%3A%2F%2Facme.com%2Fopenid%3FreGd%3Did9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.response_nonce=2014-03-24T19%3A20%3A06Zid-YPa2kTNNFftZkgBb460jxJGblk2g--iNwPpDI7M1&openid.assoc_handle=id6a5S6zhAKaRwQNUnjTKROREdAGSjWodG1el4xyz3&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ax.mode=fetch_response&openid.ax.type.aer0=http%3A%2F%2Fsession%2Fcount&openid.ax.value.aer0=1&openid.ax.type.aer1=http%3A%2F%2Fopenid.net%2Fschema%2FnamePerson%2Ffriendly&openid.ax.value.aer1=My+name+is+Bobby+Smith&openid.ax.type.aer2=http%3A%2F%2Fschemas.openid.net%2Fax%2Fapi%2Fuser_id&openid.ax.value.aer2=bob&openid.ax.type.aer3=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.value.aer3=bob%40oracle.com&openid.ax.type.aer4=http%3A%2F%2Fsession%2Fipaddress&openid.ax.value.aer4=10.145.120.253&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.auth_time=2014-03-24T19%3A20%3A05Z&openid.pape.auth_policies=http%3A%2F%2Fschemas.openid.net%2Fpape%2Fpolicies%2F2007%2F06%2Fphishing-resistant&openid.signed=op_endpoint%2Cclaimed_id%2Cidentity%2Creturn_to%2Cresponse_nonce%2Cassoc_handle%2Cns.ax%2Cax.mode%2Cax.type.aer0%2Cax.value.aer0%2Cax.type.aer1%2Cax.value.aer1%2Cax.type.aer2%2Cax.value.aer2%openid.sig=mYMgbGYSs22l8e%2FDom9NRPw15u8%3D

추가 학습 자원

docs.oracle.com/learn의 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 접근할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 전환할 수 있습니다.

제품 설명서는 Oracle Help Center를 참조하십시오.