싱글 사인온 설정

이 페이지에서 싱글 사인온(SSO)에 대한 구성 값을 설정할 수 있습니다.

이 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 보안 > 글로벌 보안을 클릭하십시오.
  2. 인증 아래에서 웹 및 SIP 보안 > 싱글 사인온(SSO)을 클릭하십시오.

보안 쿠키를 HTTPOnly로 설정하여 XSS(Cross-site scripting) 공격 방지 선택란이 이 릴리스에 대한 싱글 사인온 설정 페이지에 추가되었습니다. HttpOnly 속성은 일부 XSS(Cross-site scripting) 취약점을 방지하기 위해 클라이언트측 애플리케이션(예: Java™ 스크립트)이 쿠키에 액세스하지 못하도록 작성된 브라우저 속성입니다. 이 속성은 LTPA 및 WASReqURL 쿠키에 HTTPOnly 필드가 포함되도록 지정합니다.

사용 가능

싱글 사인온 기능이 사용 가능하도록 지정합니다.

관리 콘솔과 같은 Java EE FormLogin 스타일 로그인 페이지를 사용하는 웹 애플리케이션은 싱글 사인온(SSO) 인에이블먼트가 필요합니다. LTPA SSO 유형 쿠키가 필요하지 않은 임의의 고급 구성에 대해서만 SSO를 사용 불가능하게 하십시오.

정보
데이터 유형: 부울
기본값: 사용 가능
범위: 사용 가능 또는 사용 불가능

SSL 필요

HTTPS SSL(Secure Sockets Layer) 연결을 통해 요청하는 경우에만 싱글 사인온 기능이 사용 가능하도록 지정합니다. 이 특성을 사용하면 보안이 자동으로 사용됩니다.

정보
데이터 유형: 부울
기본값: 사용 불가능
범위: 사용 가능 또는 사용 불가능

도메인 이름

모든 싱글 사인온 호스트에 대한 도메인 이름(예: .ibm.com)을 지정합니다.

애플리케이션 서버는 첫 번째 기간 후에 왼쪽에서 오른쪽으로 도메인 이름에 대한 모든 정보를 사용합니다. 이 필드가 정의되어 있지 않으면 웹 브라우저는 도메인 이름의 기본값을 웹 애플리케이션이 실행 중인 호스트 이름으로 설정합니다. 또한 싱글 사인온이 애플리케이션 서버 호스트 이름으로 제한되며 도메인의 다른 애플리케이션 서버 호스트 이름을 사용하여 작업하지 않습니다.

세미콜론(;), 공백( ), 쉼표(,) 또는 파이프(|)로 구분한 여러 도메인을 지정할 수 있습니다. 각 도메인은 일치사항이 처음 발견될 때까지 HTTP 요청의 호스트 이름과 비교됩니다. 예를 들어, ibm.com;austin.ibm.com을 지정한 경우 ibm.com 도메인에서 먼저 일치하는 항목이 있으면 Application Server는 austin.ibm.com 도메인을 일치시키지 않습니다. 그러나 ibm.com 또는 austin.ibm.com에서 일치를 찾을 수 없으면 Application Server는 LtpaToken 쿠키에 대한 도메인을 설정하지 않습니다.

문제점 방지 문제점 방지:
  • 세션 관리자는 보안 임의 생성기를 사용하여 세션 ID를 생성합니다. setCookie 메소드로 쿠키 작성 시 세션 ID가 쿠키에 작성됩니다. 세션 관리자는 LtpaToken을 쿠키에 설정하지 않습니다.
  • 도메인 이름 필드에서 다중 도메인 이름을 사용한다고 해서 반드시 단일 세션 동안 다양한 도메인 이름을 사용할 수 있지는 않습니다. 예를 들어, 도메인 이름에 ibm.com;lotus.com 값이 포함되어 있는 경우 브라우저가 LTPA 쿠키 전송 여부를 제어하므로 www.ibm.com 또는 www.lotus.com에서 SSO 로그인에 성공한 서버에만 액세스할 수 있습니다.
gotcha

UseDomainFromURL 값을 지정할 경우, 애플리케이션 서버는 SSO 도메인 이름 값을 웹 주소에서 사용된 호스트의 도메인으로 설정합니다. 예를 들어 HTTP 요청이 server1.raleigh.ibm.com에서 나오면, 애플리케이션 서버는 SSO 도메인 이름 값을 raleigh.ibm.com으로 설정합니다.

팁: UseDomainFromURL 값은 대소문자를 구분하지 않습니다. 이 값을 사용하려면 usedomainfromurl을 입력할 수 있습니다.
정보
데이터 유형: String

상호 운용성모드

상호운영 가능한 쿠키를 브라우저로 전송하여 이전 레벨 서버를 지원하도록 지정합니다.

WebSphere Application Server 버전 6 이상에서 보안 속성 전파 기능에는 새 쿠키 형식이 필요합니다. 상호 운용성모드 플래그가 사용 가능한 경우, 서버는 최대 두 개의 싱글 사인온(SSO) 쿠키를 다시 브라우저로 전송할 수 있습니다. 서버가 상호운영 가능한 SSO 쿠키만 전송하는 경우도 있습니다.

웹 인바운드 보안 속성 전파

웹 인바운드 보안 속성 전파가 사용 가능하면 프론트 엔드 애플리케이션 서버로 보안 속성이 전파됩니다. 이 옵션을 사용할 수 없는 경우, 싱글 사인온(SSO) 토큰은 로그인하고 사용자 레지스트리에서 주제를 다시 작성하는 데 사용됩니다.

애플리케이션 서버가 클러스터의 멤버가고 클러스터가 DRS(Data Replication Service) 도메인으로 구성되는 경우, 전달이 수행됩니다. DRS를 구성하지 않은 경우, SSO 토큰에는 원본 서버 정보가 포함됩니다.

이 정보를 통해 수신 서버가 원래 직렬화된 보안 속성을 가져올 수 있도록 MBean 호출을 사용하여 원본 서버에 접속할 수 있습니다.

보안 쿠키를 HTTPOnly로 설정하여 XSS(Cross-site scripting) 공격 방지

HttpOnly 속성은 일부 XSS(Cross-site scripting) 취약성을 방지하기 위해 클라이언트측 애플리케이션(예: Java 스크립트)이 쿠키를 액세스하지 못하도록 작성된 브라우저 속성입니다. 이 속성은 LTPA 및 WASReqURL 쿠키에 HTTPOnly 필드가 포함되도록 지정합니다.

세션 쿠키의 경우 서버, 애플리케이션 및 웹 모듈에 대한 세션 설정을 참조하십시오.

정보
데이터 유형: 부울
기본값: enabled
범위: 사용 가능 또는 사용 불가능

LTPA V2 쿠키 이름

이 필드에서는 새 com.ibm.websphere.security.customLTPACookieName 및 com.ibm.websphere.security.customSSOCookieName 사용자 정의 특성을 설정할 수 있습니다.

com.ibm.websphere.security.customLTPACookieName 사용자 정의 특성은 LTPA(Lightweight Third Party Authentication) 토큰에 사용되는 쿠키의 이름을 사용자 정의하는 데 사용됩니다.

com.ibm.websphere.security.customSSOCookieName 사용자 정의 특성은 LTPA2(Lightweight Third Party Authentication Version 2) 토큰에 사용되는 쿠키의 이름을 사용자 정의하는 데 사용됩니다.

각각의 특성에 대한 자세한 정보를 보려면 보안 사용자 정의 특성 주제를 읽으십시오.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sso
파일 이름:usec_sso.html