SAML 웹 싱글 사인온(SSO) 신뢰 연관 인터셉터(TAI) 사용자 정의 특성
다음 테이블은 SAML(Security Assertion Markup Language) 신뢰 연관 인터셉터(TAI)에 대한 사용자 정의 특성을 나열합니다. 관리 콘솔을 사용하여 SAML TAI에 대한 사용자 정의 특성 패널에서 이러한 특성을 정의할 수 있습니다.
가능한 각 싱글 사인온(SSO) 서버 제공자(SP) 파트너를 식별하는 고유한 특성 이름을 지정하기 위해 sso_<id>가 각 SSO 파트너와 연관되는 특성을 그룹화하기 위해 사용되고 특성 이름에서 임베디드됩니다. sso_<id>는 각 SSO 서비스 제공자 파트너에 대해 순차적으로 번호가 매겨집니다.
- 글로벌 특성 - 이러한 특성은 SAML TAI에 대해 구성되는 모든 SSO 파트너에 적용 가능합니다.
- IdP 특성 - 이러한 특성은 SAML TAI에 대해 구성되는 제공자를 식별하기 위해 적용 가능합니다. 각 ID 제공자 파트너를 식별하는 고유한 특성 이름을 지정하기 위해 idp_<id>가 각 SSO IdP 파트너와 연관되는 특성을 그룹화하기 위해 사용되고 특성 이름으로 임베디드됩니다.
- 서비스 제공자 특성 - 이러한 특성은 고유한 sso_<id>에서 각 SSO 서비스 제공자 파트너에 대해 함께 그룹화되고 서비스 제공자에 적용 가능합니다.
다음 테이블은 글로벌 SAML TAI 사용자 정의 특성을 설명합니다.
특성 이름 | 값 | 설명 |
---|---|---|
targetUrl | 임의의 URL 값을 지정할 수 있습니다. | 이 특성은 sso_<id>.sp.targetUrl에 의해 대체됩니다. IdP에서 수신되는 RelayState가 없을 때 SAMLResponse의 성공적인 유효성 검증 이후 이는 기본 대상 URL입니다. |
useRelayStateForTarget | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 sso_<id>.sp. useRelayStateForTarget에 의해 대체됩니다. 이는 RelayState가 대상 URL로서 사용되는지 여부를 표시하기 위해 사용됩니다. |
allowedClockSkew | 임의의 정수를 지정할 수 있습니다. 기본값은 3분입니다. | 이 특성은 sso_<id>.sp. allowedClockSkew에 의해 대체됩니다. SAML 토큰을 유효성 검증할 때 허용된 클럭 오차(1분)를 지정하기 위해 사용됩니다. |
enforceTaiCookie | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 sso_<id>.sp. enforceTaiCookie에 의해 대체됩니다. 이는 LTPA 쿠키가 SSO 파트너에 작성되는 주제에 맵핑되는지 여부를 SAML TAI가 검사해야 하는지를 표시하기 위해 사용됩니다. |
preventReplayAttackScope | 이 특성에는 기본값이 없습니다. 다음 값을 지정할 수 있습니다.
|
기본적으로, SAML TAI는 반복 공격의 방지를 위해 분배 캐시를 사용하여 SAML 어설션 ID를 저장합니다. 이 특성을 server로 설정하면 SAML TAI가 로컬 캐시를 대신 사용합니다. |
replayAttackTimeWindow | 임의의 정수 값을 지정할 수 있습니다.기본값은 30입니다. | 이 특성은 두 개의 동일한 SAML 토큰이 TAI에서 수신되는 경우 두 번째 요청이 거부되는 시간(분)을 지정합니다. sso_<id>.sp.preventReplayAttack도 참조하십시오. |
retryOnceAfterTrustFailure | 다음 값 중 하나를 지정할 수 있습니다.
|
런타임이 신뢰 유효성 검증에 실패한 후 신뢰 저장소를 다시 로드할 수 있도록 하려면 이 특성을 true로 설정하십시오. 이는 신뢰 저장소가 Application Server가 실행 중인 동안 새 IdP 인증서로 업데이트될 수 있도록 허용합니다. |
redirectToIdPonServerSide | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 sso_<id>.sp. redirectToIdPonServerSide에 의해 대체됩니다. 이 특성은 TAI가 직접 IdP에 경로 재지정되어야 함을 표시하기 위해 사용됩니다. 클라이언트측 경로 재지정을 수행하려면 이 특성을 false로 설정합니다. URL 단편이 경로 재지정 중에 유실되는 경우에는 이 특성을 false로 설정합니다. 그러면 TAI가 클라이언트측 경로 재지정을 수행합니다. |
다음 테이블은 IdP SAML TAI 사용자 정의 특성을 설명합니다.
특성 이름 | 값 | 설명 |
---|---|---|
sso_<id>.idp_<id>.SingleSignOnUrl | 임의의 URL 값을 지정할 수 있습니다. | 이 사용자 정의 특성은 IdP의 SSO 서비스의 URL을 지정합니다. |
sso_<id>.idp_<id>.allowedIssuerDN | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성은 IdP에서 전송된 SAML 토큰에 서명할 수 있는 인증서의 주제 DN을 지정합니다. SAML 토큰이 이 인증서에 의해 서명되지 않으므로 토큰이 거부됩니다. 이 특성이 지정되면 sso_<id>.sp.wantAssertionSigned 사용자 정의 특성이 true여야 합니다. IdP의 서명자 인증서 대신 신뢰 저장소에 서명자 인증서의 발행자가 있을 때 이 특성을 사용하십시오. 이는 사용자가 동일한 발행자에 의해 실행되는 인증서를 가진 모든 서명자를 허용하는 것을 방지합니다. |
sso_<id>.idp_<id>.allowedIssuerName | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성은 SAML 토큰에서 <saml:Issuer> 발행자 요소의 값을 지정합니다. IdP에서 수신한 SAML 토큰은 토큰의 발행자가 이 값과 일치하지 않는 경우 거부됩니다. |
다음 테이블은 서비스 제공자 SAML TAI 사용자 정의 특성을 설명합니다.
특성 이름 | 값 | 설명 |
---|---|---|
sso_<id>.sp.acsUrl | 이 특성에는 기본값이 없습니다.다음 값 중 하나를 지정할 수 있습니다.
|
이는 각 sso_<id>에 대한 유일한 필수 특성입니다.
ACS의 URL 또는 비즈니스 애플리케이션을 지정합니다. SAML 워크플로우에 대해 여러 개의 유사한 시작점이 필요한 경우에는 이 특성에 대한 특정 URI 패턴 문자열 대신
문자열 끝에 와일드카드가 있는 URL을 지정할 수 있습니다. 예를 들어 다음과 같습니다.
|
sso_<id>.sp.cookiegroup | 이 특성에는 기본값이 없습니다. | 이 특성은 구성된 SAML SSO 파트너에 대한 ltpa 쿠키에 추가될 태그를 지정합니다. 웹 요청이 ltpa 쿠키와 함께 수신될 때는 태그가 이 값과 일치하는 경우에만 ltpa 쿠키가 유효합니다. |
sso_<id>.sp.EntityID | 기본적으로, 이 특성이 sso_<id>.sp.aclUrl의 값으로 설정됩니다. | 이 특성은 SAML 어설션에서 AudienceRestriction을 검증하기 위해 사용됩니다. |
sso_<id>.sp.targetUrl | 이 특성에는 기본값이 없습니다. | 이 특성은 대상 애플리케이션의 URL을 지정합니다. 이는 RelayState가 클라이언트 요청에 존재하지 않을 때 사용됩니다. |
sso_<id>.sp.useRelayStateForTarget | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 클라이언트 요청에서 수신된 RelayState 값이 대상 애플리케이션의 URL로 사용되어야 하는지 여부를 지정합니다. 이 특성이 false로 설정되면 sso_<id>.sp.targetUrl 특성이 대상 애플리케이션의 URL로서 사용됩니다. |
sso_<id>.sp.login.error.page | 이 특성에는 기본값이 없습니다. | 이 특성이 오류 페이지, IdP
로그인 페이지 또는 인증되지 않은 클라이언트 요청의 경로가 재지정되는 사용자 정의 맵핑 클래스를 지정합니다. 사용자 정의 맵핑 클래스가 이 사용자 정의 특성에 지정된 경우, 사용자 정의 클래스가 포함된 .jar 파일은 (WAS_HOME)/lib 또는 (WAS_HOME)/lib/ext 디렉토리에 놓여야 합니다. |
sso_<id>.sp.acsErrorPage | 이 특성에는 기본값이 없습니다. | 이 특성은 sso_<id>.sp.login.error. page를 대체하는 데 사용됩니다. |
sso_<id>.sp.allowedClockSkew | 이 특성에는 기본값이 없습니다. | 이 특성은 IdP에서 전송된 SAML 토큰의 토큰 만기 시간에 추가되는 시간(분)을 지정합니다. |
sso_<id>.sp.trustStore | 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 서명을 유효성 검증하기 위한 신뢰 저장소를 지정합니다. 이는 관리된 키 저장소의 이름을 지정합니다. |
sso_<id>.sp.trustAnySigner | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 SAML 토큰의 서명자 인증서가 신뢰 유효성 검증에 대해 확인되는지 여부를 지정합니다. 이 특성이 true로 설정되면 서명자 인증서가 신뢰됩니다. |
sso_<id>.sp.keyStore | EncryptedAssertions를 수신하고 처리하기 위해 이 특성이 필요하고 이 특성에는 기본값이 없습니다. | 이 특성은 암호화된 SAML 어설션을 복호화하기 위한
개인 키를 포함하는 관리 키 저장소의 이름을
지정합니다. 예:
|
sso_<id>.sp.keyName | EncryptedAssertions를 수신하고 처리하기 위해 이 특성이 필요하고 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 어설션을 복호화하기 위한 키 이름을 지정합니다. |
sso_<id>.sp.keyPassword | EncryptedAssertions를 수신하고 처리하기 위해 이 특성이 필요하고 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 어설션을 복호화하기 위한 키 비밀번호를 지정합니다. |
sso_<id>.sp.keyAlias | EncryptedAssertions를 수신하고 처리하기 위해 이 특성이 필요하고 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 어설션을 복호화하기 위한 키 별명을 지정합니다. |
sso_<id>.sp.wantAssertionsSigned | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성이 false로 설정되면 SAML 어설션은 서명될 필요가 없고 서명이 유효성 검증되지 않습니다. |
sso_<id>.sp.preserveRequestState | 다음 값 중 하나를 지정할 수 있습니다.
|
서비스 제공자가 클라이언트 요청을 IdP 로그인으로 경로 재지정할 때, 이 특성은 클라이언트 요청이 완료된 후 클라이언트 상태가 저장되고 복원되어야 하는지 여부를 지정합니다. |
sso_<id>.sp.enforceTaiCookie | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 LTPA 쿠키가 SSO 파트너에 작성되는 주제에 맵핑되는지 여부를 SAML TAI가 검사해야 하는지를 표시하기 위해 사용됩니다. |
sso_<id>.sp.realmName | 이는 문자열 값일 수 있습니다. 기본적으로, 이 특성은 SAML 발행자 이름으로 설정됩니다. | 이 특성은 SAML 속성을 지정하고 realmNameRange와 함께 사용됩니다. 이 속성의 값은 주제 영역으로 사용됩니다. 이 영역이 realmNameRange에 의해 지정되는 영역 목록에 존재하지 않으면 영역이 거부됩니다. |
sso_<id>.sp.realmNameRange | 이 특성에는 기본값이 없습니다. | 이 특성은 허용된 영역 이름의 목록을 지정하고 realmName과 함께 사용됩니다. sso_<id>.sp.realmName에 대한 설명을 참조하십시오. |
sso_<id>.sp.retryOnceAfterTrustFailure | 다음 값 중 하나를 지정할 수 있습니다.
|
런타임이 신뢰 유효성 검증에 실패한 후 신뢰 저장소를 다시 로드할 수 있도록 하려면 이 특성을 true로 설정하십시오. 이는 신뢰 저장소가 Application Server가 실행 중인 동안 새 IdP 인증서로 업데이트될 수 있도록 허용합니다. |
sso_<id>.sp.principalName | 이는 문자열 값일 수 있습니다. 기본적으로, 이 특성은 주제 NameID로 설정됩니다. | 이 특성은 SAML 속성을 지정합니다. 이 속성의 값은 주제 프린시펄로 사용됩니다. |
sso_<id>.sp.uniqueId | 이는 문자열 값일 수 있습니다. 기본적으로, 이 특성은 주제 NameID로 설정됩니다. | 이 특성은 SAML 속성을 지정합니다. 이 속성의 값은 주제 uniqueId로 사용됩니다. |
sso_<id>.sp.groupName | 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 속성을 지정합니다. 이 속성의 값은 주제에서 그룹으로 사용됩니다. |
sso_<id>.sp.defaultRealm | 다음 값 중 하나를 지정할 수 있습니다.
|
이 사용자 정의 특성은 SAML 어설션으로부터의 발행자 또는 NameQualifier가 기본 영역으로 사용되는지 여부를 지정합니다. |
sso_<id>.sp.useRealm | 이 특성에는 기본값이 없습니다. | 이 특성은 영역 이름을 지정하고 기본 영역을 대체하기 위해 사용됩니다. 이 특성은 realmName 특성도 대체합니다. |
sso_<id>.sp.idMap | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 SAML 토큰이 주제에 맵핑되는 방법을 지정합니다. |
sso_<id>.sp.groupMap | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 IDAssertion으로 사용되고 SAML 토큰이 그룹에 맵핑되는 방법에 대해 지정합니다. |
sso_<id>.sp.userMapImpl | 이 특성에는 기본값이 없습니다. | 이 특성은 사용자 정의 사용자 맵핑 모듈 클래스의 이름을
지정합니다. 이는 로컬 사용자 레지스트리에 존재하는
다른 사용자 ID에 SAML 토큰의 사용자 ID를 맵핑하기 위해 사용됩니다. 사용자 정의 맵핑 클래스는 com.ibm.wsspi.security.web.saml.UserMapping 인터페이스를 구현해야 합니다. 사용자 정의 클래스가 포함된 .jar 파일은 (WAS_HOME)/lib 또는 (WAS_HOME)/lib/ext 디렉토리에 놓여야 합니다. |
sso_<id>.sp.X509PATH | 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 서명 유효성 검증에 사용된 매개체 인증서에 사용되는 인증서 저장소를 지정합니다. |
sso_<id>.sp.CRLPATH | 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 서명 유효성 검증에 사용된 인증서 취소 목록(CRL)에 사용되는 인증서 저장소를 지정합니다. |
sso_<id>.sp.filter | 이 특성에는 기본값이 없습니다. | 이 특성은 SAML 웹 SSO 파트너에 대해 HTTP 요청이 선택되는지 여부를 판별하기 위해 HTTP 요청에 대해 검사되는 조건을 지정하기 위해 사용됩니다. 이 특성에 대한 자세한 정보는 SAML TAI 필터 특성 섹션을 참조하십시오. |
sso_<id>.sp.preventReplayAttack | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 SAML TAI가 두 개의 동일한 SAML 토큰이 클라이언트 요청에서 전송되는 것을 방지해야 하는지 여부를 지정하기 위해 사용됩니다. 이 특성은 글로벌 특성 replayAttackTimeWindow와 함께 사용됩니다. |
sso_<id>.sp.preventReplayAttackScope | 이 특성에는 기본값이 없습니다. 다음 값을 지정할 수 있습니다.
|
기본적으로, SAML TAI는 반복 공격의 방지를 위해 분배 캐시를 사용하여 SAML 어설션 ID를 저장합니다. 이 특성을 server로 설정하면 SAML TAI가 로컬 캐시를 대신 사용합니다. |
sso_<id>.sp.trustedAlias | 이 특성에는 기본값이 없습니다. | 이 특성이 지정되면 이 별명에 의해 지정되는 키만 SAML 어설션에서 서명을 유효성 검증하기 위해 사용됩니다. SAMLResponse의 수신 SAML 어설션에 있는 서명에 KeyInfo 요소가 포함되지 않으면 KeyInfo 요소를 해결하기 위해 이 특성을 지정하십시오. |
sso_<id>.sp.redirectToIdPonServerSide | 다음 값 중 하나를 지정할 수 있습니다.
|
이 특성은 TAI가 직접 IdP에 경로 재지정되어야 함을 표시하기 위해 사용됩니다. URL 단편이 경로 재지정 중에 유실되는 경우에는 이 특성을 false로 설정합니다. 그러면 TAI가 클라이언트측 경로 재지정을 수행합니다. |
SAML TAI 필터 특성
sp.filter SAML TAI 필터 특성은 IdP에 대한 인증 없이 클라이언트가 보호된 서비스 제공자 애플리케이션을 직접적으로 호출할 때 사용됩니다. 필터 특성은 sp.login.error.page 특성에 의해 지정되는 URL 주소로 인증된 클라이언트 요청의 경로를 재지정하기 위해 sp.login.error.page 특성과 함께 주로 사용됩니다. sp.filter 특성은 SAMLResponse에 적용되지 않습니다. SAMLResponse의 요청 URL은 sp.acsURL에 대해 평가됩니다.
- 입력 필수 - 입력 요소는 주로 HTTP 헤더 이름을 지정하지만, 요청 URL 및 원격 주소가 특수 요소로 사용될 수도 있습니다.
- 연산자 - 연산자 요소는 다음 값 중 하나를 지정합니다. ==, !=, %=, ^=, <, 및 >
- 비교 값 - 이 요소는 주로 문자열을 지정하지만, IP 주소 범위도 허용됩니다.
비교 값에 의해 지정된 것처럼 왼쪽에서 오른쪽으로 조건이 평가됩니다. SSO 서비스 제공자 파트너에 의해 지정되는 모든 필터 조건이 HTTP 요청에서 충족되면 SSO 서비스 제공자 파트너가 HTTP 요청에 대해 선택됩니다.
입력 요소는 요청에서 추출하려는 HTTP 요청 헤더 필드를 식별하고 해당 값은 연산자 스펙에 따라 필터 특성에 지정되는 값과 비교됩니다. 입력 요소에서 식별하는 헤더 필드가 HTTP 요청에 없으면 조건이 충족되지 않은 것으로 처리됩니다. 표준 HTTP 요청 헤더 필드는 필터 조건에서 입력 요소로 사용될 수 있습니다. 올바른 헤더 목록은 HTTP 스펙을 참조하십시오.
- 요청 URL - 이 입력의 비교 값은 요청을 작성하기 위해 클라이언트 애플리케이션에서 사용되는 URL 주소에 대해 비교됩니다.
- 원격 주소 - 이 입력의 비교 값은 HTTP 요청으로 전송한 클라이언트 애플리케이션의 TCP/IP 주소에 대해 비교됩니다.
예제
sso_1.sp.filter=From==samluser@xyz.com
이 경우,
클라이언트 요청에 samluser@xyz.com의 값을 가지는
HTTP 헤더 필드 From이 포함되는 경우, SAML TAI는
클라이언트 요청을 처리하기 위해 이 sso_1 필터의
SSO 서비스 제공자 파트너를 선택합니다.sso_2.sp.filter=request-url%=ivtlanding.jsp
이 경우,
클라이언트에서 호출되는 대상 애플리케이션의 URL에
문자열 ivtlanding.jsp가 포함되는 경우, SAML TAI는
클라이언트 요청을 처리하기 위해 이 sso_2 필터의
SSO 파트너를 선택합니다.sso_3.sp.filter=applicationNames==DefaultApplication
이 경우,
클라이언트 애플리케이션에서 호출되는 대상 애플리케이션의 이름이
DefaultApplication인 경우, SAML TAI는
클라이언트 요청을 처리하기 위해 이 sso_3 필터의
SSO 파트너를 선택합니다.연산자 | 조건 | 예제 |
---|---|---|
== | 이 연산자는 정확한 일치를 지정합니다. 입력 요소는 비교 값과 동일해야 합니다. | From==jones@my.company.com |
%= | 이 연산자는 부분적인 일치를 지정합니다. 입력 요소에는 비교 값이 포함됩니다. | user-agent%=IE 6request-url%=company.com/urlApp1 |
^= | 입력 요소에는 비교 값 중 하나가 포함됩니다.이는 | 연산자와 결합될 수 있는 유일한 연산자입니다. | request-url^=urlApp1|urlApp2| urlApp3 |
!= | 입력 요소에는 비교 값이 포함되지 않습니다. | request-url!=test105 |
> | 입력 요소는 비교 값보다 큽니다. | remote-address>192.168.255.130 |
< | 입력 요소는 비교 값보다 작습니다. | remote-address<192.168.255.135 |
; | 논리적 AND 연산자 | request-url!=test105;From==jones@my.company.com5 |