SAML 주제 및 맵핑 속성 구성

온라인에서 편집하기

가 서비스 제공자에게 ‘ SAML ’ 어설션을 전송하면 Verify , 가 Verify 사용자가 인증되었음을 확인합니다. 인증된 사용자는 <saml:Subject> 요소에서 식별됩니다. ‘ SAML ’ 어설션에는 ‘Applications > Applications > 편집 > Sign-on’ 페이지의 ‘Attribute Mappings’ 섹션에서 지정한 정보에 따라 요소가 <saml:AttributeStatement> 포함될 수도 있습니다. <saml:AttributeStatement>는 특정 속성이 인증된 사용자와 연관되는지 확인합니다. 서비스 제공자 요구사항을 기반으로 이 요소를 구성하십시오.

시작하기 전에

이 태스크에 대한 정보

Verify 여러 대상 애플리케이션의 ID 제공자로 사용할 수 있습니다. 이 애플리케이션 또는 서비스 제공자는 자체 사용자 및 그룹 속성 세트를 가지고 있습니다. 속성은 엔티티를 설명하는 엔티티의 특성입니다. 이는 name:value 쌍입니다.

SAML 어설션에 포함된 속성은 서비스 제공자의 특정 속성과 일치하며, 이는 다음을 의미합니다:
  • 사용자 정보를 에서 Verify 서비스 제공자에게 전달합니다.
  • 서비스 제공자에서 사용자에 대한 계정을 작성합니다.
  • 서비스 제공자에서 특정 서비스에 권한을 부여합니다.

프로시저

  1. Verify에서 서비스 제공업체 와 다른 사용자 ID를 사용하거나 요구하는 경우, 주체를 SAML 주장 구성하십시오. SAML 속성은 인증된 사용자를 식별합니다.
    표 1. SAML 제목
    정보 설명
    이름 ID 형식
    참고: 이 옵션은 사용자 지정 애플리케이션 템플릿에서만 사용할 수 있습니다.

    통신되는 사용자 ID에서 ID 제공자서비스 제공자 사이의 예상을 조정합니다. ID 제공자NameID 속성을 통해 인증된 사용자의 ID 또는 사용자 이름을 지정합니다.

    다음 형식이 지원됩니다.
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    이름 ID가 Not Specified(으)로 선택되면, 주제 NameID은(는) 해당 애플리케이션 연합에 대해 동일한 값을 보유하는 무작위로 생성된 고유 ID입니다.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    ID 제공자Subject NameID 값은 이메일 주소 형식을 사용합니다.

    이 형식이 기본 형식입니다.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    ID 제공자Subject NameID 값은 임의의 형식이 될 수 있습니다.

    ID 제공자가 형식을 정의하고 서비스 제공자는 이 형식을 채택하여 사용자에게 필요한 서비스를 제공합니다.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    NameID 주제는 임시로 사용하기 위해 무작위로 생성되는 속성입니다. 서비스 제공자는 이 값을 임시로 허용합니다.

    이름 ID가 Not Specified(으)로 선택되는 경우, 주제 NameID은(는) 각 연합 SSO 플로우에서 고유한 무작위로 생성된 고유 ID입니다.

    IBM Verify참고: 이 형식으로 사용되는 속성이 에서 인식되지 않는 경우, 사용자 정의 속성을 사용하고 임의의 UUID를 생성하도록 속성 규칙을 정의하십시오. 그렇지 않으면 임시로 처리될 수 있는 현재 시간소인(밀리초)을 보내십시오. 속성 관리’의 3단계 ‘속성 만들기’를 참조하십시오.
    이름 ID

    SAML 어설션의 주체를 식별하며, 이는 일반적으로 인증 중인 사용자입니다.

    이는 SAML 어설션의 요소에 <saml:Subject><saml:NameID> 해당합니다.

    기본값은 preferred_username 입니다. 대부분의 서비스 제공자는 사용자 이름을 이름 ID로 사용합니다.

    일부 경우에는 서비스 제공자에게 ID 제공자와 다른 이름 ID가 필요할 수 있습니다. 따라서 서비스 제공자의 요구 사항에 부합하는 ‘신원 제공자 자격 증명 ’ 속성 또는 ‘고정값’ 속성을 선택하여 해당 <saml:Subject><saml:NameID> 요소를 설정하십시오.

    이러한 ID 공급자 자격 증명고정 값 속성은 디렉터리 > 속성 에서 정의됩니다.
  2. 서비스 제공자가 SAML 어설션에 특정 속성을 포함하도록 요구하는 Verify 경우, 해당 속성 매핑을 정의하십시오. 서비스 제공자의 알려진 사용자 속성이나 기타 속성을 해당 Verify 속성과 매핑하십시오.
    응용 프로그램에 따라 ‘속성 매핑’ 섹션은 표 2 에 설명된 다음과 같은 요소들로 구성될 수 있습니다.
    • 알려진 모든 사용자 속성을 전송하기 위한 선택란 옵션
    • Verify사전 정의된 속성 이름과 형식, 그리고.에서 해당 속성 소스를 선택할 수 있는 옵션.
    • ID 제공자에서 기타 속성 이름, 속성의 형식 및 해당 속성 소스를 추가하는 옵션
    표 2. 속성 매핑
    정보 설명
    SAML 권한 정보의 알려진 모든 사용자 속성 전송

    이 옵션을 선택하면 ID 공급자에서 사용할 수 있는 모든 알려진 사용자 자격 증명 속성이 자동으로 ‘ SAML ’ 어설션에 포함됩니다.

    알려진 사용자 인증 정보 속성은 다음으로 구성됩니다.
    표준 속성
    이 속성들은 ‘디렉터리 > 성’에 표시되는 기본 제공 속성을 포함하는 클라우드 디렉터리에서 Verify 가져온 것입니다.
    확장된 속성
    이 속성들은 [ 인증 > ID 공급자 ]에서 구성한 SAML 엔터프라이즈 ID 공급자에서 가져온 것입니다.

    그렇지 않은 경우, ` SAML ` 어설션에서 서비스 제공자가 요구하는 특정 속성만 정의하십시오.

    참고: 이 옵션은 이미 구성되어 사용 중인 애플리케이션의 경우, 설정된 서비스에 차질이 생기지 않도록 기본적으로 선택되어 있습니다.
    속성 이름

    서비스 제공자가 사용하고 ID 제공자에서 요구하는 속성의 이름입니다.

    이는 SAML 어설션의 요소에 <saml:Attribute Name=""> 해당합니다.

    일부 서비스 제공자속성 맵핑 섹션에 나열된 필수 또는 선택적 속성을 가집니다. ID 제공자에서 해당 속성을 선택하십시오.

    일부 서비스 제공자는 사전 정의된 템플리트에 포함되지 않은 추가적인 속성을 ID 제공자로부터 요구할 수 있습니다. 추가 속성은 ID 제공자서비스 제공자 간의 비즈니스 계약에 따라 달라집니다. 이 경우 서비스 제공자 문서에서 추가적인 속성을 가져와서 ID 제공자 속성에 맵핑하십시오.

    urn:oasis:names:tc:SAML:2.0:assertion참고: 속성이 name AuthnContextClassRef 및 format으로 구성된 경우, SSO 흐름 중에 해당 속성 값은 SAML 토큰의 요소에 AuthnContextClassRef 설정됩니다.
    속성 이름 형식

    속성 이름을 해석하는 방법을 표시합니다.

    이는 SAML 어설션의 요소에 <saml:Attribute NameFormat=""> 해당합니다.

    자체 값을 정의하거나 다음 옵션 중에서 선택할 수 있습니다.
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    속성 이름은 단순 문자열 값을 사용합니다. 형식이 지정되지 않은 경우 이 형식이 기본 형식입니다.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    속성 이름은 urn:oid 이름 공간을 사용합니다.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    모든 유형의 속성 이름이 사용 가능합니다. ID 제공자가 형식을 정의하고 서비스 제공자는 이 형식을 채택하여 사용자에게 필요한 서비스를 제공합니다.
    속성

    디렉터리 > 속성 에서 각 유형에 대해 정의한 모든 속성을 나열합니다.

    선택한 속성의 값이 ` SAML ` 어설션에 정의된 서비스 제공자 속성 이름의 속성 값으로 할당됩니다.

    예:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    참고:
    • 속성 소스 값에 대해 태그가 지정되지 않은 속성이 표시된다면 속성의 용도가 변경되었기 때문입니다. 해당 속성을 사용하는 기존 애플리케이션은 사용자가 해당 용도로 다른 속성을 사용하도록 애플리케이션을 다시 맵핑할 때까지 속성을 계속 사용할 수 있습니다. 예를 들어 기존 속성에서 싱글 사인온(SSO) 선택란이 선택 취소되어 있는 경우, 해당 속성을 SSO에 이미 사용하고 있는 애플리케이션은 SSO에 해당 속성을 계속 사용할 수 있습니다. 프로비저닝 용도가 제거된 경우에도 동일한 동작이 프로비저닝 속성 맵핑에 적용됩니다.