OpenID 구성 사용자 지정 애플리케이션에서 싱글 사인온(SSO) 연결

온라인에서 편집하기

VerifyOpenID Connect를 사용하여 싱글 사인온(SSO)을 구현하면, 애플리케이션이 에서 수행된 인증 결과를 바탕으로 사용자의 신원을 확인할 수 있습니다. 사용자가 애플리케이션에서 계정을 등록할 필요가 없습니다. 사용자는 로그인을 위해 로 Verify 이동합니다. Verify 사용자의 신원을 확인하고, ID 토큰을 통해 해당 정보를 전송하며, 사용자가 해당 리소스에 접근하고 사용할 권한이 있음을 신뢰 당사자에게 확인합니다. https://<tenant-host>/oidc/endpoint/default/.well-known/openid-configuration이 애플리케이션은 검색 엔드포인트가 있는 OpenID Connect 제공자를 사용합니다.

시작하기 전에

참고: 이 작업에 대한 대안은 ‘동적 클라이언트 등록’에서 확인할 수 있습니다.

이 태스크를 완료하려면 관리 권한이 있어야 합니다.
설정을 완료하려면 최소한 두 개의 브라우저 창을 여십시오. 하나는 관리 콘솔용이고 Verify , 다른 하나는 대상 애플리케이션의 관리 콘솔용입니다.
- 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.
- 관리자 계정을 사용하여 대상 애플리케이션 관리 콘솔에 로그인하십시오.
‘일반’ 탭에서 애플리케이션 인스턴스의 기본 정보를 설정해야 합니다. ‘기본 애플리케이션 정보 설정’을 참조하십시오.

이 태스크에 대한 정보

Verify 사전 정의된 애플리케이션 템플릿에는 ‘ OpenID Connect’ 로그인 옵션이 없습니다. Verify를 맞춤형 애플리케이션 템플릿 사용하여, 사용자 인증을 에 위임하는 또는 클라이언트 애플리케이션 의존 당사자 역할을 OpenID 연결 수행하도록 애플리케이션을 구성하십시오.

서로 통신할 수 있도록 구성하고 Verify 신뢰 당사자를 설정하십시오. OpenID Connect의 싱글 사인온(SSO) 기능을 활성화하려면 다음 정보를 제공해야 합니다:

Verify 신뢰 당사자가 제공한 특정 데이터와 함께
Verify.에서 특정 데이터를 보유한 의존 당사자

OpenID 의 신뢰 당사자로 웹 및 모바일 애플리케이션을 구성할 IBM Verify Access 수 있습니다.

프로시저

‘로그인’ 탭으로 이동합니다.
‘Sign-on Method ’에서 ‘ OpenID ’를 선택하고 ‘ 1.0 ’를 연결합니다.

의존 당사자에 대한 기본 정보를 제공하십시오 Verify .


필드	설명
애플리케이션 URL	이는 OpenID Connect 의존 당사자에 로그인하는 데 사용되는 단일 로그인 초기화( URL )입니다. 이 애플리케이션은 URL 를 사용하여 사용자 정보가 포함된 ID 토큰을 요청합니다 Verify . 사용자가 URL 을 통해 애플리케이션에 접속하면 인증을 위해 로 Verify 리디렉션됩니다. 권한 제공자 또는 OpenID Connect 제공자를 해당 사이트에 구성한 경우에는 이 정보를 신뢰 당사자로부터 얻을 수 있습니다.
권한 부여 유형	Verify이는 신뢰 당사자가 에서 ID 토큰을 검색하는 데 사용할 수 있는 메커니즘을 나타냅니다. Verify 다음과 같은 보조금 유형을 지원합니다: 권한 코드 참고: 인증 코드가 기본 승인 유형으로 미리 선택되어 있으며, PKCE도 기본적으로 선택되어 있습니다. 내재적 디바이스 플로우 참고: ‘기기 흐름’을 선택하면 QR 코드를 생성할 수도 있습니다. 컨텍스트 기반 권한 부여 JWT 전달자 `JWT bearer default identity sourceJWKS URI`참고: JWT 베어러를 선택하면, 및 을 `JWT bearer user identification` 구성할 수 있습니다. JWT 베어러(Bearer) 그랜트 유형 사용 방법에 대한 자세한 내용은 ‘그랜트 유형’을 참조하십시오. 권한 코드, 내재적, 디바이스 플로우 및 ROPC로 구성된 결합. 권한 부여 유형을 적어도 한 개 선택해야 합니다. ROPC가 유일하게 선택된 권한 부여 유형인 경우 액세스 정책 섹션이 표시되지 않습니다. 지원되는 보조금 유형을 빠르게 비교하고 신청서에 어떤 보조금 유형을 설정해야 할지 확인하려면 ‘보조금 유형’을 참조하십시오.
클라이언트 ID	이는 OpenID Connect의 신뢰 당사자인 클라이언트 애플리케이션에 할당되는 고유한 공개 식별자입니다. 권한 서버는 이 정보를 사용하여 신뢰 당사자와 권한 부여 요청을 식별합니다. 이 정보는 사용자 지정 ‘ OpenID Connect’ 애플리케이션을 저장한 후 자동으로 생성됩니다. 애플리케이션의 관리 콘솔에서 Verify을(를) OpenID Connect 제공자로 구성할 때 신뢰 당사자에 이 정보를 제공해야 합니다. 신뢰 당사자는 액세스 토큰을 요청할 때마다 클라이언트 ID를 사용합니다.
쿠버네테스의 시크릿	Kubernetes 시크릿 YAML 파일은 Red Hat OpenShift와 연결하는 데 사용됩니다. 메타데이터를 얻으려면 Kubernetes 시크릿 YAML 파일을 다운로드해야 합니다.
공용 클라이언트(클라이언트 시크릿 없음)	애플리케이션에서 제공해야 할 시크릿이 클라이언트에 없음을 나타냅니다. 참고: 이 옵션을 선택하면 ‘클라이언트 시크릿’ 필드가 숨겨지고, ‘서명 알고리즘’ 옵션에서 다음 알고리즘들이 제거됩니다: HS256 HS384 HS512 클라이언트 시크릿은 클라이언트 유형이 기밀인 경우에만 생성하십시오. 기밀 클라이언트는 클라이언트 ID와 시크릿을 안전한 방식으로 보존하므로 이러한 인증 정보가 권한 없는 당사자에게 표시되지 않습니다. 클라이언트 시크릿은 클라이언트 애플리케이션과 권한 서버에서만 알고 있어야 합니다.
클라이언트 시크릿	이 데이터는 클라이언트 ID와 함께 신뢰 당사자를 인증하고 권한 코드를 ID 토큰과 교환하는 데 사용됩니다. 이 정보는 사용자 지정 ‘ OpenID Connect’ 애플리케이션을 저장한 후 자동으로 생성됩니다. 애플리케이션의 관리 콘솔에서 Verify을(를) OpenID Connect 제공자로 구성할 때 신뢰 당사자에 이 정보를 제공해야 합니다.
클라이언트 인증 메소드	클라이언트 인증이 필요한 토큰 엔드포인트와 같은 엔드포인트에 대한 인증 메소드를 표시합니다. 다음 클라이언트 인증 메소드가 지원되는지 확인하십시오. 기본값 클라이언트 시크릿 기본 클라이언트 시크릿 POST 클라이언트 시크릿 JWT 개인 키 JWT 기본값으로 두면 클라이언트 시크릿 기본 및 POST가 모두 허용됩니다. 신뢰 당사자가 지원하면 개인 키 JWT를 구성으로 사용하십시오. 클라이언트 시크릿 JWT 및 개인 키 JWT에 대한 자세한 내용은 ‘클라이언트 시크릿 JWT 및 개인 키 JWT 생성’을 참조하세요.
클라이언트 권한 정보 JTI 유효성 검증	클라이언트 권한 정보 JWT의 JTI가 1회 사용에 대한 유효성이 검증되는지 여부를 표시합니다. 이 옵션은 클라이언트 시크릿 JWT 또는 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.
허용된 서명 확인 키	클라이언트 권한 정보 JWT를 검증하는 데 사용할 수 있는 서명 확인 키 ID입니다. 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.
PKCE(Proof Key for Code Exchange) 검증 필요	PKCE는 권한 코드 인터셉션 공격을 완화시키는 데 사용됩니다. 여기에서는 권한 코드 플로우를 처리하기 전에 코드 인증 확인이 필요합니다. 이 옵션은 권한 코드 권한 부여 플로우가 선택되는 경우에만 표시됩니다.
경로 재지정 URI	URL 는 콜백 주소이며, 이 주소로 Verify 인증 응답이 신뢰 당사자에게 전송됩니다. 사용자는 에서 인증 및 권한 부여를 거친 후 이 VerifyURL 페이지로 리디렉션됩니다. URI을 적어도 한 개 지정해야 합니다. 콜백 URI가 애플리케이션의 도메인인 경우 테넌트의 도메인일 수 있습니다. 참고: 도메인에는 와일드카드 값을 사용할 수 있습니다. URI 경로에서는 와일드카드가 지원되지 않지만, "*" 문자는 유효한 URI 경로 문자이며 리터럴 문자열로 처리됩니다. 최대 400개의 URI를 추가할 수 있습니다. 권한 제공자 또는 OpenID Connect 제공자를 해당 사이트에 구성한 경우에는 이 정보를 신뢰 당사자로부터 얻을 수 있습니다.
JWKS URI	신뢰 당사자가 해당 공개 키를 JSON 웹 키(JWKS) 형식으로 게시하는 URI입니다. 이 URI는 JWT 서명 확인에 사용됩니다. 시스템이 연결할 수 없거나 응답이 없는 JWKS URI를 거부할 수 있습니다. JWKS 크기가 너무 큰 경우 시스템이 JWKS URL을 거부할 수도 있습니다. 신뢰 당사자가 JWKS URI를 게시하지 않으면 공개 키를 X509 인증서 양식으로 시스템에 추가할 수 있습니다. ‘인증서 관리’를 참조하십시오. 공용 인증서와 연관된 `이름(Friendly Name)`은 JWT의 키 ID(kid) 헤더입니다.
JWT 전달자 사용자 ID JWT 전달자 권한 부여 유형에만 사용 가능합니다.	이 구성은 JWT 전달자 주제(sub)가 이 JWT 전달자 토큰과 연관된 사용자를 식별하기 위해 해석되는 방식을 시스템에 알립니다. 하위는 `User ID`, `Username` 또는 `External ID`일 수 있습니다.
JWT 전달자 기본 ID 소스 JWT 전달자 권한 부여 유형에만 사용 가능합니다.	JWT가 범위를 지정하지 않으면 sub에 의해 식별된 사용자가 속한 기본 ID 소스 범위입니다. `JWT bearer user identification` 옵션이 `User ID`(으)로 설정된 경우 이 설정은 적용되지 않습니다.

기존 애플리케이션을 편집 중인 경우 다음 클라이언트 시크릿 옵션을 사용할 수 있습니다.

클라이언트 시크릿을 보려면 을(를) 선택하십시오.
클라이언트 시크릿을 숨기려면 을(를) 선택하십시오.
를 선택하여 클라이언트 ID 또는 시크릿을 클립보드에 복사하세요.
회전된 클라이언트 시크릿을 보려면 을 선택하세요 .
- 목록에서 하나 이상의 회전된 클라이언트 시크릿을 선택한 다음, ‘삭제’를 클릭하여 삭제하십시오.
새 클라이언트 시크릿을 생성하려면 을(를) 선택하십시오. 클라이언트 시크릿이 손상되었다고 생각되면 이 옵션을 사용하십시오. 클라이언트 시크릿을 재생성하는 경우에는 애플리케이션의 모든 OAuth 클라이언트에서 클라이언트 시크릿을 업데이트해야 합니다.
- '현재 시크릿 유지 ' 확인란을 선택하면 현재 클라이언트 시크릿이 순환되는 클라이언트 시크릿 목록에 추가됩니다.
- ‘현재 시크릿 유지’ 확인란이 선택되어 있다면, 클라이언트 시크릿 설명과 만료 시간(브라우저 현지 시간 기준)을 선택하십시오. 만료 시간을 선택하지 않으면, 애플리케이션 설정에서 지정한 테넌트의 ‘교체된 비밀 키 유효 기간’이 적용됩니다.
- 갱신된 클라이언트 시크릿은 해시 처리되어 더 이상 일반 텍스트로 복구할 수 없지만, 지정된 만료일까지는 계속 사용할 수 있습니다.
- 확인 후 클라이언트 시크릿은 즉시 갱신됩니다. 새로운 클라이언트 시크릿이 화면에 표시됩니다.

액세스 토큰 및 새로 고치기 토큰을 도난당하는 경우 무단 액세스 시간을 제한하도록 이러한 토큰을 구성하십시오.

액세스 토큰은 보호된 리소스에 대한 액세스 권한을 부여하는 데 사용됩니다. 액세스 토큰이 만료되면 권한이 취소됩니다.

표 1. 토큰 설정
필드	설명
액세스 토큰 만료(초)	액세스 토큰의 만료 기간(초)을 설정합니다. 클라이언트 애플리케이션이 손상되었을 때 도난당한 토큰을 사용하는 리소스에 공격자가 액세스할 수 있는 시간을 제한하려면 액세스 토큰 만료를 설정하십시오. 양의 정수만 허용됩니다. 기본값은 `7200`초입니다. 허용되는 최소값은 `1`초이고 최대값은 `2147483647`초입니다.
액세스 토큰 형식	액세스 토큰이 불투명한 문자열로 생성되는지 여부를 나타냅니다. 이는`Default`설정 또는 JWT 형식.
대상	토큰의 수신자인 대상을 지정합니다. 이러한 값은 JWT 형식화 토큰 및 인트로스펙션 페이로드에 대한 aud 청구에 단일 문자열 또는 문자열 배열로 나열됩니다.
자체 검사 속성 맵핑	이 속성 맵핑 목록은 자체 검사 페이로드 및 JWT 형식 액세스 토큰에 클레임을 포함시키는 데 사용됩니다.
속성 이름	Verify의존 당사자가 사용하고 요구하는 속성의 이름. 다음 속성 이름은 사용할 수 없습니다: aud, exp, groupIds, groupUids at_hash, c_hash, rt_hash, s_hash, iat, iss,, nonce, sub, client_id, grant_id, grant_type, 및 scope.
속성	디렉터리 > 속성 에서 각 유형에 대해 정의한 모든 속성 소스를 나열합니다. 선택한 속성 소스의 값은 ID 토큰에 정의된 신뢰 당사자 속성 이름의 속성 값으로 지정됩니다.
새로 고치기 토큰 생성	클라이언트 애플리케이션 이 OpenID Connect ID 공급자의 인증 서버로부터 새로운 액세스 토큰 을 획득하기 위해 리프레시 토큰을 요청하고 사용할 수 있는지 여부를 나타냅니다. 이 옵션은 애플리케이션이 액세스 토큰을 사용하여 Verify API를 통해 작업을 수행하려는 경우에만 사용하십시오. 이전 액세스 토큰이 만료된 경우에는 새 액세스 토큰을 얻어야 합니다. 권한 부여 유형으로 "내재적"을 선택한 경우에는 이 옵션이 적절하지 않습니다.
새로 고치기 토큰 만료(초)	새로 고치기 토큰의 만료 기간(초)을 설정합니다. 이 설정은 사용자 재인증 빈도를 판별합니다. 리프레시 토큰의 만료 시간을 설정하여, 일정 시간이 경과한 후 사용자가 전체 싱글 사인온( Verify SSO) 절차를 다시 수행하도록 합니다. 이 옵션은 새로 고치기 토큰 생성을 사용으로 설정한 경우에만 표시됩니다. 새로 고치기 토큰은 보호된 리소스에 계속 액세스하기 위해 새 액세스 토큰을 가져오는 데 사용됩니다. 양의 정수만 허용됩니다. 기본값은 `604800`초입니다. 허용되는 최소값은 `1`초이고 최대값은 `2147483647`초입니다.
새로 고치기 토큰 수명 갱신	이 옵션은 새로 고치기 토큰을 사용하여 새 토큰 세트를 가져올 때 새로 고치기 토큰 수명이 갱신되는지 여부를 표시합니다. 이 선택란을 선택하면 새로 고치기 토큰을 새로 고칠 때마다 새로 고치기 토큰 만료에 설정된 수명이 갱신됩니다. 이 옵션을 선택하지 않으면 원래 새로 고치기 토큰 만료에 도달할 때 갱신된 새로 고치기 토큰이 만료됩니다.

ID 토큰 서명 및 암호화 옵션을 지정하십시오. 신뢰 당사자는 이 서명을 사용하여 토큰에 포함된 사용자 주장의 무결성과 진위 여부, 그리고 토큰에 서명한 OpenID Connect 신원 제공자를 검증합니다. 토큰은 신뢰 당사자만이 암호를 해독할 수 있도록 암호화할 수 있습니다.

표 2. 서명 및 암호화 옵션
필드	설명
서명 알고리즘	ID 토큰 에 서명하는 데 Verify 사용하는 알고리즘. Verify이 알고리즘은 신뢰 당사자가 등록한 알고리즘과 일치해야 합니다. 다음 해시 알고리즘 중 하나를 선택하여 서명을 검증하십시오. HS256 HS384 HS512 ES256 ES384 ES512 PS256 PS384 PS512 RS256(기본값) RS384 RS512 참고: ES256 서명 알고리즘이 선택된 경우 인증서는 P-256을 사용하는 ECDSA여야 합니다. ES384 서명 알고리즘이 선택되면 인증서는 P-384를 사용하는 ECDSA여야 합니다. ES512 서명 알고리즘이 선택되면 인증서는 P-521을 사용하는 ECDSA여야 합니다. 클라이언트 시크릿을 생성하도록 선택하지 않은 경우에는 HS 알고리즘이 표시되지 않습니다.
서명 인증서	이 옵션은 RS, ES 또는 PS 서명 알고리즘을 선택한 경우에만 표시됩니다. 싱글 사인온 중 ID 토큰에 서명하려면 이 인증서를 사용하십시오. 기본 선택 항목은 [ 보안 > 인증서 > 개인 인증서 ]에서 구성한 기본 개인 인증서를 의미합니다.
암호화 알고리즘	컨텐츠 암호화 키(CEK)의 값을 암호화하거나 판별하는 데 사용되는 암호화 알고리즘입니다. 다음은 지원되는 알고리즘입니다. RSA-OAEP RSA-OAEP-256
컨텐츠 알고리즘	암호 텍스트 및 인증 태그를 생성하기 위해 일반 텍스트에서 인증된 암호화를 수행하는 데 사용되는 컨텐츠 암호화 알고리즘입니다. 다음은 지원되는 알고리즘입니다. A128GCM A192GCM A256GCM
암호화 키	암호화에 사용할 키의 인증서 레이블 또는 키 ID.

Verify ID 토큰 을 통해 의존 당사자에게 지원하고 제공하는 사용자 속성을 매핑합니다.

Verify 표준 JSON 클레임 스키마를 확장하여 직원의 역할, 상사, 부서 등의 추가 속성을 포함할 수 있습니다.

참고: 다음 속성들은 기본적으로 ID 토큰에 이미 추가되어 있습니다: userType, uniqueSecurityName, displayName, realmName, name, preferred_username jti,, at_hash, ext. 이 중 일부 속성은 값을 반환하지 않도록 구성된 속성 소스에 매핑하여 ID 토큰에서 제거할 수 있습니다.

‘속성 매핑’ 섹션은 표 3 에 설명된 다음과 같은 요소들로 구성됩니다.

알려진 모든 사용자 속성을 전송하기 위한 선택란 옵션입니다.
속성 이름과 해당 속성 소스를 Verify 추가하는 옵션

표 3. 속성 매핑
정보	설명
ID 토큰의 알려진 모든 사용자 속성 전송	이 옵션을 선택하면 ‘ OpenID Connect’ 제공자 신원 소스에서 사용할 수 있는 모든 알려진 사용자 자격 증명 속성이 ID 토큰에 자동으로 포함됩니다. 알려진 사용자 인증 정보 속성은 다음으로 구성됩니다. 표준 속성 이 속성들은 ‘디렉터리 > 속 성’에 표시되는 기본 제공 속성을 포함하는 클라우드 디렉터리에서 Verify 가져온 것입니다. 확장된 속성 이 속성들은 [ 인증 > ID 공급자 ]에서 구성한 SAML 엔터프라이즈 ID 공급자에서 가져온 것입니다. 또는 ID 토큰에서 신뢰 당사자가 요구하는 특정 속성만 정의하십시오. 속성 이름과 속성 소스를 지정하십시오.
속성 이름	Verify의존 당사자가 사용하고 요구하는 속성의 이름입니다. 다음 속성 이름은 사용할 수 없습니다: aud, exp, groupIds, groupUids at_hash, c_hash, rt_hash, s_hash, iat, iss, nonce, client_id, grant_id,, grant_type 및 scope. `sub`속성 이름이 인 경우, 이 속성 매핑은 인트로스펙션 응답, JWT 액세스 토큰, 사용자 정보 응답 및 ID 토큰 내의 `sub` 값을 수정합니다.
속성	디렉터리 > 속성 에서 각 유형에 대해 정의한 모든 속성 소스를 나열합니다. 선택한 속성 소스의 값은 ID 토큰에 정의된 신뢰 당사자 속성 이름의 속성 값으로 지정됩니다. 참고: 속성 소스 값에 ‘태그 없음(Untagged)’ 속성이 표시되는 경우, 해당 속성의 용도가 변경되었기 때문입니다. 해당 속성을 사용하는 기존 애플리케이션은 사용자가 다른 속성을 해당 용도에 사용하도록 애플리케이션을 다시 맵핑할 때까지 애플리케이션을 계속 사용할 수 있습니다. 예를 들어, 기존 속성에서 싱글 사인온(SSO) 선택란이 선택 취소되면 SSO에 대해 해당 속성을 이미 사용하는 애플리케이션은 SSO에 이 속성을 계속 사용할 수 있습니다. 프로비저닝 용도가 제거된 경우에도 동일한 동작이 프로비저닝 속성 맵핑에 적용됩니다.

사용자가 애플리케이션에 액세스할 수 있는 방법을 판별하는 ID 소스와 정책을 선택하십시오.
1. 이 애플리케이션에 로그인하는 데 사용할 수 있는 ID 소스를 선택하십시오.
  
  기본 설정은 테넌트에 대해 구성된 모든 엔터프라이즈 ID 소스에서 액세스를 허용하는 것입니다. 애플리케이션에 로그인하는 데 사용할 수 있는 ID 소스를 제한하려면 지원되는 특정 ID 소스 선택을 선택하십시오. 로그인을 허용하려는 ID 소스에 대한 선택란을 선택하십시오.
2. 사용자가 애플리케이션에 액세스할 수 있는 방법을 판별하는 정책을 선택하십시오.
  지정된 기본 액세스 정책(모든 디바이스에서 액세스 허용)을 계속 사용할 수 있습니다. 또는 체크박스의 선택을 해제한 다음, 를 클릭하여 미리 정의된 액세스 정책 목록에서 선택할 수 있습니다. 액세스 정책을 선택하면 각 권한 부여 유형의 확인란을 선택하여 해당 액세스 정책을 API 권한 부여 유형에 적용할 수 있습니다. 자세한 내용은 액세스 정책을 참조하세요.
사용자 동의를 요구할지 여부를 선택하십시오.
사용자 동의 요청은 Open ID Connect 애플리케이션에 추가될 수 있습니다. 이는 ROPC(Resource Owner Password Credential)를 제외한 모든 권한 부여 유형에 사용될 수 있습니다. ROPC가 애플리케이션에 대해 선택할 수 있는 유일한 권한 부여 유형이면 사용자 동의 옵션이 숨겨집니다. 기본값 동의 요구가 선택된 상태를 유지하는 경우에는 범위 및 API 액세스 인타이틀먼트에 명시적으로 동의하도록 사용자에게 프롬프트가 제시됩니다. 사용자는 API 액세스에 대한 권한을 부여하거나 거부할 수 있습니다. 기존 Open ID Connect 애플리케이션은 동의를 요청하지 않습니다. 사용자 동의를 요구하려면 해당 애플리케이션을 편집해야 합니다. ‘애플리케이션 동의 관리’를 참조하십시오.
애플리케이션이 작성되면 고급 값이 있는 동의 유형 필드가 동의 요구 아래에 표시됩니다. 고급 값은 사용자 동의가 DPCM에 저장되었음을 표시합니다. 이전 OIDC 사용자 정의 애플리케이션은 동의를 DPCM으로 마이그레이션한 후에 이 필드를 표시합니다.
선택 사항: 사용자 정의 범위를 제한합니다.
지원되는 OIDC/OAuth 권한 부여 플로우의 OIDC/OAuth 클라이언트에서 사용자 정의 범위를 요청할 수 있습니다. 기본 설정인 사용자 정의 범위 제한이 사용으로 설정되면, 플로우 끝에서 클라이언트에 부여되는 범위는 이 섹션에서 지정되는 범위로 제한됩니다. 사용자 정의 범위 제한이 사용 안함으로 설정되면 플로우가 완료될 때 요청되는 사용자 정의 범위가 부여됩니다.
참고: 표준 범위 openid, profile, email, phone, 및 address 는 제한할 수 없습니다.
1. ‘사용자 지정 범위 제한’ 확인란이 선택되어 있는지 확인하십시오.
2. 권한 부여할 사용자 정의 범위 이름 및 설명을 입력하십시오.
  범위 이름은 신뢰 당사자/클라이언트가 요청한 OAuth2/OIDC 범위를 참조합니다. 설명은 해당 범위에 대한 자세한 설명입니다.
  
  다른 범위 필드의 세트가 표시됩니다.
3. 권한 부여할 각 사용자 정의 범위에 대해 이전 단계를 반복하십시오.
선택 사항: 로그인 토큰에 API 권한을 부여합니다.
API 액세스 제한은 새 애플리케이션의 기본 설정입니다. 애플리케이션에는 사인온 토큰 인타이틀먼트가 없습니다. API 액세스를 위한 인타이틀먼트를 부여하려면 다음 단계를 수행하십시오.
1. 편집 아이콘을 선택하십시오.
  API 클라이언트 편집 마법사가 시작됩니다.
2. 사인온 토큰에 부여할 사용자 및 비사용자 권한을 선택하십시오.
  ‘사용자 토큰에 대한 기본 권한 ’ 확인란을 선택하거나 ‘API 액세스 제한’ 확인란의 선택을 해제하면, 사용자 토큰에 대한 일련의 기본 권한이 부여됩니다.
3. ‘저장’을 선택하세요.
‘저장’을 선택하세요.

다음에 수행할 작업

의뢰 당사자에게, Verify [ OpenID ]과 의뢰 당사자 간의 Verify Connect 로그인 구성을 완료하는 데 필요한 정보를 제공하십시오. 사용자 인터페이스에 제공되는 지시사항을 참조하십시오.
사용자 또는 그룹 인타이틀먼트를 추가하여 구성된 애플리케이션에 대한 액세스를 허용하십시오. “애플리케이션 권한 관리(관리자 또는 애플리케이션 소유자)”를 참조하십시오.
사용자가 구성된 애플리케이션에 사인온할 때 사용자에 대해 강화된 보안 제어를 위해 이중 인증을 적용하십시오. “인증 요소 구성”을 참조하십시오.