Liberty에 OpenID Connect 클라이언트 구성
OpenID Connect 제공자를 ID 제공자로 사용하고 웹 싱글 사인온을 이용하기 위해 OpenID Connect 클라이언트(또는 신뢰 당사자) 역할을 수행하도록 Liberty 서버를 구성할 수 있습니다.
이 태스크 정보
기타 구성 정보 외에도 Liberty의 openidConnectClient-1.0 기능을 사용으로 설정하여 OpenID Connect 클라이언트 역할을 수행하도록 Liberty 서버를 구성할 수 있습니다.
프로시저
- openidConnectClient-1.0 Liberty 기능 및 기타 필요한 기능을
server.xml 파일에 추가하십시오. ssl-1.0 기능도
openidConnectClient-1.0 기능에 필요합니다.
server.xml 파일의 featureManager 요소에
다음 요소 선언을 추가하십시오.
<feature>openidConnectClient-1.0</feature> <feature>ssl-1.0</feature>
- openidConnectClient 요소를 구성하십시오.
기본 Liberty 서버 OpenID Connect 제공자에 대해 적용되는
최소 구성의 예는 다음과 같습니다.
클라이언트에는 OpenID Connect 제공자로부터의 경로 재지정 요청을 처리할 수 있는 지정된 URL 패턴에서 사용할 수 있는 구성된 애플리케이션이 있어야 합니다. 또한 이 URL은 클라이언트를 위해 OP에 대해 등록된 경로 재지정 URL과 정확하게 일치해야 합니다.
참고: 이 예제에서 클라이언트는 SSL 포트가 443으로 설정될 것으로 예상합니다.<openidConnectClient id="client01" clientId="client01" clientSecret="{xor}LDo8LTor" authorizationEndpointUrl="https://server.example.com:443/oidc/endpoint/OidcConfigSample/authorize" tokenEndpointUrl="https://server.example.com:443/oidc/endpoint/OidcConfigSample/token"> </openidConnectClient>
이 샘플 최소 구성에서는 다음과 같은 기본값을 사용한다고 가정합니다.- scope=openid profile: openid의 범위가 필요하며 scope 속성을 사용하여 필요한 범위를 편집할 수 있습니다. 예를 들어, 필요한 scope를 openid profile email로 변경할 수 있습니다.
- 이 RP는 해당 경로 재지정 URL을 OP에 https://<host name>:<ssl port>/oidcclient/redirect/client01로 등록합니다. 여기서 호스트 이름과 SSL 포트는 모두 자동으로 분석되며 client01은 openidConnectClient 구성 요소의 ID입니다. RP 앞에 프록시가 있는 경우에는 호스트 이름 및 포트를 redirectToRPHostAndPort 속성으로 대체하고 redirectToRPHostAndPort를 https://<host name>:<ssl port>로 설정할 수 있습니다.
- 사용자 레지스트리를 구성하십시오. OP에 의해 리턴되는 사용자 ID는 기본적으로 레지스트리 사용자에 맵핑되지 않으므로 레지스트리에서 사용자를 구성하지 않아도 됩니다. 하지만 openidConnectClient 요소의 mapIdentityToRegistryUser 속성이 true로 설정되는 경우에는 인증 및 권한 부여에 성공하려면 OP에서 리턴되는 적절한 ID에 대한 사용자 항목이 있어야 합니다. 사용자 레지스트리 구성에 대한 자세한 정보는 Liberty에서 사용자 레지스트리 구성의 내용을 참조하십시오.
- 지원되는 OpenID Connect 제공자의 서명자 인증서를 포함하도록 서버의 신뢰 저장소를 구성하십시오. 키 저장소에 대한 정보는 Liberty에 SSL 통신 사용의 내용을 참조하십시오.
- 구성된 신뢰 저장소를 사용하도록 서버의 SSL 구성을 수정하십시오.
<sslDefault sslRef="DefaultSSLSettings" /> <ssl id="DefaultSSLSettings" keyStoreRef="myKeyStore" trustStoreRef="myTrustStore" /> <keyStore id="myKeyStore" password="{xor}EzY9Oi0rJg==" type="jks" location="${server.config.dir}/resources/security/BasicKeyStore.jks" /> <keyStore id="myTrustStore" password="{xor}EzY9Oi0rJg==" type="jks" location="${server.config.dir}/resources/security/BasicTrustStore.jks" />
OpenID Connect는 서버에 의해 지정되는 기본 SSL 구성을 사용하도록 구성되어 있습니다. 따라서 서버의 기본 SSL 구성에서는 OpenID Connect에 대해 구성되는 신뢰 저장소를 사용해야 합니다.
- 선택사항: 써드파티 OpenID Connect 제공자를 구성하십시오.
써드파티 OpenID Connect 제공자(예: Microsoft Azure 또는 Google)를 사용하도록 Liberty OpenID Connect 클라이언트를 구성하려면 다음의 속성을 구성해야 합니다. 속성 값은 /.well-known/openid-configuration 문자열을 발행자에 연결하여 형성되는 경로에서 JSON 문서를 제공하는 OP의 발견 엔드포인트를 호출하여 얻을 수 있습니다.
- jwkEndpointUrl 속성을 발견 파일에서 jwks_uri로 정의되는 OP의 JSON 웹 키 세트 JWK 문서의 URL로 설정하십시오. 예를 들어, Google의 OP를 사용하려면 jwkEndpointUrl = "https://www.googleapis.com/oauth2/v2/certs"를 설정하십시오.
- 발견 파일에서 정의된 대로 issuerIdentifier 속성을 issuer로 설정하십시오. 이 값이 iss 청구로 포함되어 있지 않은 ID 토큰은 거부됩니다. 예를 들어, Google을 OP로 사용하는 경우 issuerIdentifier="accounts.google.com"을 설정할 수 있습니다.
- signatureAlgorithm="RS256"을 설정하십시오. Liberty OpenID Connect 클라이언트의 기본 서명 알고리즘은 HS256입니다.
- userIdentityToCreateSubject 속성을 사용자의 고유 ID를 나타내는 공급업체의 ID 토큰에서 사용하는 청구 이름으로 설정하십시오. 예를 들어, Google의 OP를 사용하는 경우 userIdentityToCreateSubject ="email"을 설정할 수 있고 Microsoft Azure를 사용하는 경우 userIdentityToCreateSubject ="upn" 또는 userIdentityToCreateSubject ="unique_name"을 설정할 수 있습니다.
- groupIdentifier 속성을 사용자의 그룹 멤버십 또는 역할을 나타내는 청구 이름으로 설정하십시오. 예를 들어, Microsoft Azure를 사용하는 경우 groupIdentifier="groups"를 설정할 수 있습니다.
추가 OpenID Connect 클라이언트 구성 옵션에 대해서는 OpenID Connect Client의 내용을 참조하십시오.
- 선택사항: 인증 필터
openidConnectClient-1.0 기능이 사용으로 설정된 경우 openidConnectClient 요소가 authFilterRef 속성을 사용하여 구성되어 있지 않으면 인증되지 않은 요청이 OpenID Connect 제공자를 통해 인증됩니다.
인증 필터 구성에 대한 자세한 정보는 인증 필터의 내용을 참조하십시오.
- 여러 OpenID Connect 제공자를 지원하십시오.
여러 openidConnectClient 요소 및 여러 인증 필터를 작성하여 Liberty를 여러 OpenID Connect 제공자에 대한 OpenID Connect 신뢰 당사자로 구성할 수 있습니다. 각 openidConnectClient 요소는 한 OpenID Connect 제공자와의 단일 싱글 사인온 관계를 정의하며 authFilterRef 속성을 사용하여 하나의 인증 필터를 참조합니다.
- 지원되는 ID 토큰 서명 알고리즘을 구성하십시오.
RS256 서명 알고리즘을 ID 토큰에 지원하기 위해 Liberty OpenID Connect 클라이언트를 구성할 수 있습니다. Liberty OpenID Connect 클라이언트의 기본 서명 알고리즘은 HS256입니다. signatureAlgorithm="RS256"을 설정하여 RS256을 ID 토큰의 서명 알고리즘으로 구성하는 경우, OP가 JWK 엔드포인트를 지원하지 않는 한 trustStoreRef 및 trustAliasName을 둘 다 구성해야 합니다.
- 선택사항: "내재적" 권한 부여 유형을 구성하십시오.
openidConnectClient-1.0 기능은 권한 부여 코드의 권한 부여 유형을 사용하여 사용자 인증 토큰을 요청하고 server.xml 파일에 grantType="implicit"를 추가하여 "내재적" 권한 부여 유형을 사용하도록 Liberty openidConnectClient-1.0 기능을 구성할 수 있습니다. Liberty 서버 및 OpenID Connect 제공자가 서로 다른 방화벽에 있으면 이 구성 옵션을 사용해야 합니다.
- 선택사항: Liberty OpenID Connect 신뢰 당사자(RP)는 ID 토큰이 처리된 후 자동으로 싱글 사인온(SSO) 토큰을 작성합니다. disableLtpaCookie="true" 구성 특성을 추가하여 서버에 대한 SSO 토큰이나 OpenID Connect로 보호되는 자원에 대한 SSO 토큰을 작성하지 않도록 Liberty를 구성할 수 있습니다. disableLtpaCookie="true"를 설정하는 경우, Liberty OpenID Connect 클라이언트는 구성된 OpenID Connect 제공자로 이전에 인증된 인증 요청만 허용하며, 인증 세션 수명이 ID 토큰의 수명으로 제한됩니다.
- 선택사항: 요청을 OpenID Connect 제공자로 경로 재지정하지 않고 유효한 OAuth 2.0 Bearer 액세스 토큰을 인증 토큰으로 선택적으로 허용하도록 OpenID Connect 클라이언트를 구성할 수 있습니다. 요청이 유효한 OAuth 2.0 Bearer 액세스 토큰을 포함하는 경우, Liberty OpenID Connect 클라이언트는 자동으로 액세스 토큰을 유효성 검증하고 토큰 유효성 검증 결과를 바탕으로 인증된 주제를 작성합니다. 요청이 액세스 토큰을 포함하지 않거나 액세스 토큰이 올바르지 않은 경우, Liberty OpenID Connect 클라이언트는 계속해서 사용자를 OpenID Connect 제공자로 경로 재지정합니다. 이 기능은 Liberty 서버가 브라우저 클라이언트 및 RESTful 클라이언트 같은 비브라우저 클라이언트를 둘 다 서비스할 수 있게 합니다. 구성에 inboundPropagation=”supported”를 추가하여 이 기능을 사용으로 설정할 수 있습니다.
호스트 환경이 /oidcclient 컨텍스트 루트에 대한 액세스를 허용하지 않으면 oidcClientWebapp 요소를 구성하여 컨텍스트 루트를 수정하십시오.
기본적으로 Liberty OpenID Connect 클라이언트의 경로 재지정 서블릿은 /oidcclient 컨텍스트 루트를 청취하고 해당 경로 재지정 URL 형식은 https://<host_name>:<ssl_port>/oidcclient/redirect/<configuration_ID>입니다. 이 컨텍스트 루트를 사용할 수 없는 경우 서버 구성에서 다른 컨텍스트 루트를 설정하십시오.
예를 들어, 호스트 환경에서 /acme/openid 컨텍스트 루트를 사용해야 하는 경우 다음 요소를 추가하십시오.<oidcClientWebapp contextPath="/acme/openid" />
결과 경로 재지정 URL 형식은 https://<host_name>:<ssl_port>/acme/openid/redirect/<configuration_ID>입니다.
결과
하위 주제
- OpenID Connect를 위한 권한 부여 엔드포인트 호출
OpenID Connect에서 권한 부여 엔드포인트는 사용자의 인증 및 권한 부여를 처리합니다. - OpenID Connect를 위한 토큰 엔드포인트 호출
OpenID Connect 권한 부여 코드 플로우에서 클라이언트는 토큰 엔드포인트를 사용하여 ID 토큰, 액세스 토큰 및 새로 고치기 토큰을 얻습니다. - OpenID Connect를 위한 인트로스펙션 엔드포인트 호출
인트로스펙션 엔드포인트를 사용하면 액세스 토큰 홀더가 액세스 토큰을 실행한 OpenID Connect Provider로부터의 액세스 토큰에 대한 메타데이터 세트를 요청할 수 있습니다. 액세스 토큰은 OpenID Connect 또는 OAuth 인증을 통해 얻은 것이어야 합니다. - 범위 맵 서비스 호출
범위 맵 서비스는 슬래시로 종료된 URI 접두부의 JavaScript Object Notation(JSON) 배열을 리턴하는 비보호 엔드포인트입니다. URI 접두부의 배열은 싱글 사인온(SSO) 그룹의 일부인 웹 컨텍스트를 지정하므로 클라이언트는 URI 대상에 액세스 토큰을 안전하게 전송할 수 있는지 여부를 알 수 있습니다. - OpenID Connect를 위한 사용자 정보 엔드포인트 호출
사용자 정보 엔드포인트는 OpenID Connect 인증으로 인증되는 사용자에 대한 청구를 리턴합니다. - OpenID Connect를 위한 세션 관리 엔드포인트 호출
OpenID Connect Relying Parties는 세션 관리 엔드포인트를 사용하여 네트워크 트래픽을 최소화하면서 특정 OpenID Connect Provider(OP)에 대한 사용자의 로그인 상태를 모니터할 수 있습니다. 세션 관리 엔드포인트의 도움으로 Relying Party(RP)는 OpenID Connect Provider에서 로그아웃한 사용자를 로그아웃할 수 있습니다.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_config_oidc_rp
파일 이름: twlp_config_oidc_rp.html