글로벌 설정 구성

온라인에서 편집하기

이 설정을 사용하여 테넌트가 사용자를 인증하는 방법을 판별하십시오.

프로시저

  1. ‘인증’ > ‘ID 공급자 ’ > ‘전역 설정’을 선택합니다.
  2. 테넌트가 로그인할 때 사용자를 인증하기 위해 사용하는 기본 ID 제공자를 메뉴에서 선택하십시오.
    일반적으로 테넌트의 기본 ID 제공자는 IBM® Verify Cloud Directory입니다.
  3. 선택 사항: SAML 2.0 서비스 공급자 구성에서 SAML 2.0 서비스 공급자 페더레이션 구성을 업데이트합니다.
    1. 엔티티 ID 를 입력하십시오.
      https://Tenant-Name/saml/sps/saml20sp/saml20일반적으로 이 ID는 다음과 같이 생성됩니다. 원하는 호스트명과 도메인을 반영하도록 수정할 수 있습니다.
      참고: 엔티티 ID가 변경된 경우, 기존 SAML 2.0 신원 소스에 대해 파트너의 구성을 최신 엔티티 ID 값으로 업데이트해야 합니다.
    2. 메시지의 유효 기간을 초 단위로 입력하세요.
      수신된 ` SAML ` 메시지가 IssueInstant 검증될 때 적용되는 초 단위의 허용 오차입니다.
    3. 선택 사항: 인증서 해지 목록(CRL) 확인을 사용하려면 ‘CRL 사용’ 확인란을 선택하십시오.

      CRL이 활성화되면 인증서 해지 목록을 확인합니다. 외부 인증서를 사용하는 SAML Enterprise ID 공급자에 대한 모든 암호화 기능에 대해 검증이 수행됩니다.

      구성에 CRL 확인이 필요하지 않다면, 기본 설정인 비활성화 상태를 유지해도 됩니다. CRL 확인을 활성화하지 않는 것이 좋은 몇 가지 이유는 다음과 같습니다
      • 내부 자체 서명 인증 기관(CA)을 사용하는 경우.
      • 성능 문제가 있습니다. 대용량 애플리케이션의 경우 성능이 현저히 저하될 수 있습니다.
      • 네트워크 연결에 문제가 있습니다. 방화벽이 CRL 서버에 대한 액세스를 차단하거나, 네트워크가 인터넷에 연결되지 않은 에어갭(air-gapped) 상태이거나 격리되어 있을 수 있습니다.
    4. 주요 선정 기준을 선택하십시오.
      이 설정은 다양한 메시지의 서명, 검증, 암호화 또는 복호화에 사용할 키나 인증서를 지정합니다. 지정된 별칭을 가진 키나 인증서와 동일한 SubjectDN 키나 인증서가 여러 개 존재하는 경우, 이 설정은 그중 어느 것을 사용할지 결정합니다. 다음과 같은 세 가지 선택 방법이 있습니다.
      별명 전용
      지정된 별명이 있는 키 또는 인증서를 선택하십시오. 이 방법이 기본값입니다.
      가장 짧은 수명
      서명의 경우 사용 가능한 수명이 가장 짧은 유효 키가 사용됩니다. 유효성 검증을 위해 동일한 SubjectDN 항목이 있는 키는 수명 가용성에 따라 정렬됩니다. 유효성 검증이 성공할 때까지 수명 가용성이 가장 짧은 키부터 순차적으로 키를 시도합니다.
      가장 긴 수명
      서명의 경우 사용 가능한 수명이 가장 긴 유효 키가 사용됩니다. 유효성 검증을 위해 동일한 SubjectDN 항목이 있는 키는 수명 가용성에 따라 정렬됩니다. 유효성 검증이 성공할 때까지 수명 가용성이 가장 긴 키부터 순차적으로 키를 시도합니다.
    5. URL 대상 유효성 검사 건너뛰기 ’ 확인란을 선택합니다.
      SAML 에서 유효성 검사를 targetURL 건너뛸지 여부를 나타냅니다. 기본값은 false입니다.
    6. ‘허용된 대상 URL 추가( URL )’를 클릭하여 허용된 대상 URL을 추가하세요.
      여러 개의 URL을 추가할 수 있습니다.
    7. 기본 이름 ID 형식을 선택하십시오.
      • 이메일
      • 미상.
    8. 서명 알고리즘 을 선택하십시오.
      서명을 위해 알고리즘이 SAMLAuthnRequest 메시지에 디지털 서명을 합니다. 지원되는 값은 RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 및 ECDSA-SHA512 입니다. 비어 있을 경우 기본값인 RSA-SHA256 이 사용됩니다.
    9. 서명 인증서를 선택하십시오.
      서명 시, 이 인증서는 싱글 사인온(SSO) 과정에서 SAMLAuthnRequest 에 서명하는 데 사용됩니다. 기본 선택 항목은 [ 보안 > 인증서 > 개인 인증서 ]에서 구성한 기본 개인 인증서를 의미합니다.
    10. 암호 해독 인증서를 선택하십시오.
      단일 로그인(SSO) 과정에서 수신된 ‘ SAML ’ 응답 메시지에 암호화된 요소가 포함된 경우, 이 인증서를 사용하여 해당 메시지를 복호화하십시오. 기본 선택 항목은 [ 보안 > 인증서 > 개인 인증서 ]에서 구성한 기본 개인 인증서를 의미합니다.
    11. AuthnRequest 에서 ‘ SPNameQualifier ’의 체크박스를 선택하십시오.

      지정되지 않은 nameid 형식이 사용될 때 에서 AuthnRequest 를 제외할지 SPNameQualifier 여부를 나타냅니다. SPNameQualifier.false기본값은 이며, 이는 을 포함하는 것을 의미합니다.

  4. 선택 사항: ‘속성 매핑’에서 ID 공급자의 속성을 Cloud Directory에 IBM Verify 매핑합니다.
    1. ‘속성 매핑 추가’를 선택합니다.
    2. 다음 옵션 중 하나를 사용하여 ID 제공자 속성을 지정하십시오.
      1. 사용 가능한 옵션 목록에서 선택하십시오.
        속성 이름 설명
        company 사용자의 회사입니다.
        country 사용자의 국가입니다.
        displayName 사용자의 표시 이름입니다.
        email 알림이 전송되는 사용자의 이메일 주소입니다.
        family_name 사용자 성입니다.
        given_name 사용자의 이름입니다.
        mobile_number 알림이 전송되는 사용자의 휴대전화 번호입니다.
        userID 사용자의 고유 ID입니다.
        Custom rule 사용자 정의 ID 제공자 속성. '사용자 지정 규칙'을 선택한 경우, 규칙 편집기에 사용자 지정 규칙을 입력하고 '확인'을 클릭하여 저장하십시오.
      2. 속성 선택하기 필드에 속성 이름을 입력하십시오. 이 이름은 옵션 목록에 없는 속성 이름입니다.
    3. 신원 공급자 속성을 변환할 변환 값을 선택하거나 기본값인 ‘None’을 그대로 유지하십시오.
      속성 이름 설명
      Uppercase 속성을 대문자로 변환합니다.
      Lowercase 속성을 소문자로 변환합니다.
      Base64 Encode base64 인코딩 알고리즘을 사용하여 attribute를 변환합니다.
      Base64 Decode base64 디코딩 알고리즘을 사용하여 attribute를 변환합니다.
      Encode URI URI 인코딩 방식을 사용하여 속성을 변환합니다.
      Encode URI Component encode URI 컴포넌트 메서드를 사용하여 속성을 변환합니다.
      Decode URI URI 디코딩 방법을 사용하여 속성을 변환합니다.
      Decode URI Component URI 디코딩 컴포넌트 메서드를 사용하여 속성을 변환합니다.
      Generate UUID if no value is evaluated 범용 고유 식별자를 생성하기 위해 속성을 변환합니다.
      Current Time (seconds) 시간(초)으로 속성을 변환합니다.
      Current Time (milliseconds) 시간(밀리초)으로 속성을 변환합니다.
      SHA-256 Hash SHA-256 알고리즘을 사용하여 속성을 변환합니다.
      SHA-512 Hash SHA-512 알고리즘을 사용하여 속성을 변환합니다.
    4. 속성을 IBM Verify 지정하십시오. 속성에 대한 자세한 내용은 ‘속성 관리’를 참조하십시오.
      참고: 다음의 예약된 기본 속성은 ID 공급자 속성과 매핑되지 않으므로 선택하지 마십시오.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. 속성이 사용자 프로파일에 저장되는 방법을 지정하십시오.
      • 항상 - 각 로그인 시 속성을 저장하거나 업데이트하십시오.
      • 사용자 작성 시에만 - 계정 작성 시 속성을 한 번 저장합니다.
      • 사용 불가능 - 속성을 저장하거나 갱신하지 않습니다.
    6. 맵핑하는 각 속성에 대해 프로세스를 반복하십시오.
  5. 선택 사항: 다음 메뉴에서 그룹 구성원 소스를 선택하여 사용자 액세스 권한 그룹의 소스를 지정하십시오:
    • 클라우드 디렉토리 - 사용자 액세스 권한은 클라우드 디렉토리의 사용자 그룹에서 파생됩니다.
    • 클라우드 디렉토리 및 ID 소스 - 사용자 액세스 권한은 클라우드 디렉토리의 사용자 그룹 및 groupIds 청구를 포함하는 ID 소스 토큰에서 파생됩니다.
    • ID 소스 - 사용자 액세스 권한은 groupIds 청구를 포함하는 ID 소스 토큰에서 파생됩니다.
      참고: 신원 소스 토큰에 해당 groupIds 클레임이 포함되어 있지 않으면 그룹 멤버십 권한을 전혀 부여받지 못합니다.
    • 사용자 지정 규칙 - ‘사용자 지정 규칙’을 선택한 경우, 규칙 편집기에 사용자 지정 규칙을 입력하고 ‘확인’을 클릭하여 저장합니다. 사용자 액세스 권한은 사용자 정의 규칙을 기반으로 파생됩니다.
  6. Token Exchange '세션 교환' 섹션에서 API로 전달이 허용되는 리디렉션 URL을 선택할 수 있습니다.
    Token Exchange API는 로그인 세션이 포함된 브라우저 리디렉션을 반환하도록 하는 매개변수를 redirect_url 지원합니다. redirect_url은(는) 이 목록에 있는 정규식 중 하나와 일치해야 합니다.

    일반적으로 URL은 사용자가 액세스해야 하는 특정 URL 또는 비즈니스에 맞게 사용자 정의된 URL입니다. 이 기능은 사용자가 지정하는 URL로 경로 재지정을 제한합니다.

    다음과 같은 경우 해당 redirect_url 매개변수는 자동으로 허용됩니다
    • 테넌트 이름으로 시작합니다. https://<tenantname>
    • "/"(으)로 시작하며, 이는 테넌트에 대한 상대적인 URL임을 의미합니다.
    그렇지 않으면 URL을 정규식으로 여기에 추가해야 합니다.
    예를 들어, 적절한 이스케이프와 함께 공통 URL 문자를 사용하려는 경우 다음과 같습니다.
    https://www\.example\.com\?key1=value1&key2=value2
    특정 도메인으로 시작하는 모든 것을 일치시키려면 * 와일드카드를 사용하십시오.
    https://www\.example\.com.*
  7. 모바일 디바이스에서 인증하는 데 사용되는 기본 ID 제공자를 메뉴에서 선택하십시오.
  8. 사용자 식별에 사용할 고유 ID를 메뉴에서 선택하십시오.
  9. 자동 계정 정리를 설정합니다.
    1. 자동 정리를 활성화하려면 확인란을 선택하세요.
    2. 계정이 비활성일 수 있는 일 수를 선택하십시오.
    3. 채우기를 선택합니다.
      • 전체 사용자 채우기
      • SCIM 필터를 지정하십시오.
  10. ‘변경 사항 저장’을 클릭하세요.