싱글 사인온(SSO) 파트너 구성
시작하기 전에
이 태스크 정보
프로시저
- 싱글 사인온에 대한 WebSphere Application Server
SAML 서비스 제공자에 ID 제공자를 추가하십시오. ID 제공자와 함께
싱글 사인온을 위해 WebSphere Application Server 서비스 제공자를 사용하려면
파트너로 ID 제공자를 추가해야 합니다.
ID 제공자의 메타데이터를 가져오거나 수동 단계를 사용하여 ID 제공자를 파트너로 추가할 수 있습니다.
- ID 제공자의 메타데이터를 사용하여 ID 제공자를 추가합니다.
- WebSphere Application Server를 시작하십시오.
- 다음 명령을 입력하여 app_server_root/bin 디렉토리에서 wsadmin 명령행 유틸리티를 시작하십시오. wsadmin -lang jython.
- wsadmin 프롬프트에서 다음 명령을 입력하십시오. AdminTask.importSAMLIdpMetadata('-idpMetadataFileName <IdPMetaDataFile> -idpId 1 -ssoId 1 -signingCertAlias <idpAlias>') 여기서 IdpMetaDataFile은 IdP 메타데이터 파일의 전체 경로 이름이고 IdpAlias는 가져온 인증서에 대해 지정한 별명입니다.
- 다음 명령을 입력하여 구성을 저장하십시오. AdminConfig.save().
- 다음 명령을 입력하여 wsadmin 명령 유틸리티를 종료하십시오. quit.
- WebSphere Application Server를 다시 시작하십시오.
- 수동으로 WebSphere Application Server
SAML 서비스 제공자에 ID 제공자를 추가하십시오.
WebSphere Application Server SAML 서비스 제공자를 ID 제공자에 대한 SSO 파트너로 구성하는 최소 요구사항은 ID 제공자에서 서비스 제공자의 신뢰 저장소로 SAML 토큰 서명자 인증서를 가져오는 것입니다. 서비스 제공자는 다중 ID 제공자에 대한 작업을 수행하도록 구성할 수 있습니다. 각 ID 제공자의 경우 SAML 토큰 서명자 인증서를 가져와야 합니다.
관리 콘솔 또는 wsadmin 명령행 유틸리티를 사용하여 SAML 토큰에 서명하도록 IdP에서 사용하는 인증서를 가져올 수 있습니다.
- 관리 콘솔을 사용하여 SAML 토큰 서명자 인증서를 가져옵니다.
- WebSphere Application Server 관리 콘솔에 로그온하십시오.
- 보안 > SSL 인증서 및 키 관리 > 키 저장소 및 인증서 > NodeDefaultTrustStore > 서명자 인증서를 클릭하십시오. 배치 관리자에 대해 NodeDefaultTrustStore 대신 CellDefaultTrustStore를 사용하십시오.
- 추가를 클릭하십시오.
- 인증서 정보를 채우십시오.
- 적용을 클릭하십시오.
- wsadmin 명령행 유틸리티를 사용하여 SAML 토큰 서명자 인증서를 가져옵니다.
- WebSphere Application Server를 시작하십시오.
- 다음 명령을 입력하여 app_server_root/bin 디렉토리에서 wsadmin 명령행 유틸리티를 시작하십시오. wsadmin -lang jython.
- 명령 프롬프트에서 AdminTask.addSignerCertificate('[-keyStoreName NodeDefaultTrustStore -certificateFilePath <certFile> -base64Encoded true -certificateAlias <certAlias>]') 명령을 입력하십시오. 여기서 certFile은 인증서 파일의 전체 경로 이름이고 certAlias는 인증서 별명입니다. 배치 관리자에 대해 NodeDefaultTrustStore 대신 CellDefaultTrustStore를 사용하십시오.
- 다음 명령을 입력하여 구성을 저장하십시오. AdminConfig.save().
- 다음 명령을 입력하여 wsadmin 명령 유틸리티를 종료하십시오. quit.
- 신뢰할 수 있는 인바운드 영역의 목록에 IdP 영역을 추가하십시오. WebSphere Application Server 서비스 제공자에서 사용하는
각 ID 제공자의 경우 ID 제공자에서 사용하는 모든 영역에 대한 인바운드 신뢰를
부여해야 합니다.
관리 콘솔 또는 wsadmin 명령 유틸리티를 사용하여 ID 제공자에 대한 인바운드 신뢰를 부여할 수 있습니다.
- 관리 콘솔을 사용하여 인바운드 신뢰를 추가하십시오.
- 글로벌 보안을 클릭하십시오.
- 사용자 계정 저장소에서 구성을 클릭하십시오.
- 신뢰할 수 있는 인증 영역 - 인바운드를 클릭하십시오.
- 외부 영역 추가를 클릭하십시오.
- 외부 영역 이름을 채우십시오.
- 확인 및 마스터 구성에 변경사항 저장을 클릭하십시오.
- wsadmin 명령행 유틸리티를 사용하여 인바운드 신뢰를 추가하십시오.
- 인바운드 신뢰에 단일 ID 제공자를 추가하려면 AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realmName>]') 명령을 사용하십시오. 여기서 realmName은 인바운드 신뢰를 부여해야 하는 영역 이름입니다.
- 인바운드 신뢰에 영역 목록을 추가하려면 AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realm1|realm2|realm3>]') 명령을 사용하십시오. 여기서 realm1, realm2, realm3은 신뢰할 수 있는 영역으로 추가해야 하는 영역입니다.
- SSO에 대한 ID 제공자에
WebSphere Application Server 서비스 제공자를 추가하십시오.
WebSphere Application Server 서비스 제공자에서 사용하는 각 ID 제공자는 SSO 파트너로 서비스 제공자를 추가하도록 구성되어야 합니다. 서비스 제공자 파트너를 ID 제공자에 추가하는 프로시저는 특정 ID 제공자에 따라 달라집니다. SSO에 대한 서비스 제공자 파트너를 추가하는 방법에 대한 지시사항은 ID 제공자의 문서를 참조하십시오.
WebSphere Application Server 서비스 제공자 메타데이터를 내보내고 ID 제공자를 가져오거나 서비스 제공자를 추가하도록 수동으로 ID 제공자를 구성할 수 있습니다.
ID 제공자에 연합 파트너로 서비스 제공자를 추가하려면 서비스 제공자의 ACS(Assertion Consumer Service) URL을 제공해야 합니다. 이는 SAML 신뢰 연관 인터셉터(TAI)를 사용할 때 사용하는 -acsUrl 매개변수입니다.
ID 제공자가 메타데이터 파일을 사용하여 서비스 제공자를 연합 파트너로 추가할 수 있는 경우 다음 wsadmin 명령행 유틸리티 명령을 사용하여 서비스 제공자 메타데이터를 내보낼 수 있습니다.
이 명령은 /tmp/spdata.xml 메타데이터 파일을 작성합니다.wsadmin -lang jython AdminTask.exportSAMLSpMetadata('-spMetadataFileName /tmp/spdata.xml -ssoId 1')
SAML 토큰을 암호화하는 경우 내보내기를 수행하기 전에 SAML 토큰을 암호화하는 데 ID 제공자에서 사용하려는 공개 키 인증서를 제공해야 하며, 인증서는 WebSphere Application Server 기본 키 저장소에 있어야 합니다.
- sso_<id>.sp.idMap,sso_<id>.sp.groupMap 및
sso_<id>.sp.groupName 속성을
사용하여 WebSphere Application Server 보안 컨텍스트를 구성하십시오. WebSphere Application Server 서비스 제공자는
ID 제공자로부터 SAML 프로토콜 메시지를 인터셉트하고 보안 컨텍스트를
설정합니다. 보안 컨텍스트는 SAML 어설션을 맵핑하여 작성됩니다.
서비스 제공자에서 보안 컨텍스트 맵핑은 매우 유연하며,
구성 가능합니다. 다음은 사용 가능한 맵핑 옵션의 목록입니다.
- idAssertion
로컬 레지스트리를 사용하지 않고 WebSphere Application Server 플랫폼 제목에 SAML 어설션을 맵핑할 수 있으며, 이는 기본 동작입니다. 이 기본 구현에서 SAML NameID는 프린시펄에 맵핑되며, 발행자는 영역에 맵핑되고, 선택한 속성은 그룹 멤버에 맵핑될 수 있습니다. ID 어설션은 추가로 사용자 정의할 수 있습니다. 예를 들어, 그룹 멤버의 프린시펄, 영역, accessId 또는 목록으로 SAML 속성을 구성할 수 있습니다. NameID에서 NameQualifier를 영역으로 구성하거나 미리 정의된 영역 이름을 사용할 수도 있습니다.
- localRealm
NameID를 SAML 어설션에서 서비스 제공자의 로컬 레지스트리로 맵핑하고 레지스트리에서 제목을 빌드하도록 WebSphere Application Server 서비스 제공자를 구성할 수 있습니다. 이 옵션을 사용하여 레지스트리에서 SAML NameID를 직접 검색하거나 어설션의 사용자 정의 맵핑에 대한 플러그인 지점을 사용한 후 레지스트리에서 제목을 빌드하도록 새로 맵핑된 ID를 사용할 수 있습니다.
- localRealmThenAssertion
이 옵션을 사용하면 NameID를 레지스트리에 맵핑하고 NameID를 레지스트리에 맵핑할 수 없는 경우 ID 어설션으로 폴백할 수 있습니다.
- AddGroupsFromLocalRealm
이 옵션을 사용하면 ID 어설션 및 로컬 레지스트리를 결합하고 ID 어설션을 수행하는 동안 그룹 멤버십을 재평가할 수 있습니다. 그룹 속성, X-ray Techs가 설정된 사용자 Joe를 포함하는 파트너 연구실에서 SAML 어설션을 고려하십시오. 서비스 제공자에서 X-ray Techs 그룹은 Technicians 그룹의 서브그룹이지만, Joe는 서비스 제공자의 사용자 레지스트리에 있지 않아도 됩니다. 서비스 제공자 애플리케이션의 권한 부여 정책을 통해 Technicians 그룹에 대한 액세스를 허용합니다. 이를 수행하기 위해 SAML TAI는 레지스트리에서 보증된 X-ray Techs 그룹을 검색한 후 제목에 상위 그룹 Technicians를 포함해야 합니다.
ID 어설션을 수행하여 보안 컨텍스트를 작성하는 경우 사용자 정의 보안 영역이 선택됩니다. 명시적으로 사용자 정의 영역을 신뢰할 수 있는 영역으로 추가해야 합니다. 기본 ID 어설션 구현에서 SAML 발행자 이름은 보안 영역으로 사용됩니다. 현재 사용자 레지스트리에서 신뢰할 수 있는 인바운드 인증 영역의 목록에 발행자 이름을 명시적으로 추가해야 합니다. 신뢰할 수 있는 인바운드 영역에 사용자 정의 영역을 추가하면 이 사용자 정의 영역에서 역할 맵핑을 수행할 수 있습니다.
신뢰할 수 있는 영역으로 사용자 정의 영역을 추가하려면 신뢰할 수 있는 인바운드 영역의 목록에 IdP 영역 추가 단계를 참조하십시오.
- idAssertion
결과
다음에 수행할 작업


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configuresamlssopartners
파일 이름:twbs_configuresamlssopartners.html