ID 제공자 관리

온라인에서 편집하기

ID 공급자는 사용자 인증 및 계정 프로비저닝에 사용되는 저장소입니다. 하나 이상의 신원 소스 공급자를 구성할 수 있습니다. 구성 및 활성화된 모든 ID 공급자가 ‘로그인’ 페이지에 Verify 옵션으로 표시됩니다. 사용자는 다음 신원 확인 서비스 중 하나를 통해 로그인할 Verify 수 있습니다.

시작하기 전에

  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.

이 태스크에 대한 정보

참고: Verify IDP 로그아웃을 지원하지 않습니다. 에서 Verify 로그아웃하더라도, 신원 확인 서비스나 해당 신원 확인 서비스를 통해 로그인한 다른 애플리케이션에서는 등록됨 로그아웃되지 않습니다.
Verify은(는) 다음 유형의 ID 제공자를 지원합니다.
클라우드 디렉토리

클라우드에서 호스팅되는 사용자 레지스트리를 사용합니다.

‘디렉토리 > 사용자 및 그룹’ 통해 이 ID 공급자에 사용자 및 그룹 정보를 추가할 수 있습니다.

이 ID 공급자는 아웃바운드 SAML 싱글 사인온(SSO) 구성에서 사용됩니다. Verify 원 제공자의 데이터와 대조하여 사용자의 신원을 확인합니다.

SAML Enterprise

이 기능은 로컬 사용자 레지스트리를 사용하고, 인증을 완료하기 위해 SAML 토큰을 교환합니다.

SAML 의 싱글 사인온(SSO) Verify 에서는 다음 제공자 중 하나를 사용할 수 있습니다:
ID 제공자

Verify 자체 클라우드 레지스트리클라우드 디렉터리를 원 제공자로 사용합니다.

서비스 제공자

여러 ID 제공자와 연동하여 Verify 사용자를 인증할 수 있습니다. 외부 ID 제공업체 의 사용자는 비밀번호 Verify 없이 및 사용 권한이 부여된 애플리케이션에 Verify 싱글 사인온(SSO)으로 로그인할 수 있습니다.

이 ID 공급자는 인바운드 SAML 싱글 사인온(SSO) 구성에서 사용됩니다. Verify 서비스 공급자는 [ 서비스 공급 자]이며, 대상 애플리케이션은 ID 공급자입니다.

SAML 프로토콜을 지원하는 모든 ID 공급자를 SAML Enterprise의 ID 공급자로 사용할 수 있습니다. Verify신원 제공자는 사용자에게 액세스 권한을 부여하기 전에, 자체 데이터베이스에 저장된 정보를 바탕으로 사용자의 신원을 인증합니다.

참고: SAML 엔터프라이즈 ID 공급자를 추가하면 해당 서명자 인증서가 [ 보안 > 인증서 > 서명자 인증서 ] 페이지로 자동으로 가져옵니다.
OIDC 엔터프라이즈
OIDC 프로토콜을 지원하는 ID 제공자를 OIDC 엔터프라이즈 ID 제공자로 사용할 수 있습니다. ID 제공자는 IBM Verify에 대한 액세스를 부여하기 전에 이 ID 제공자의 데이터에 대해 사용자 ID를 인증합니다.
IBMid

IBM ID 액세스 및 관리 솔루션을 사용하여 사용자에게 IBM의 모든 애플리케이션, 서비스, 커뮤니티, 지원 등에 대한 싱글 사인온을 제공합니다.

VerifyIBMid 는 관리자가 처음 로그인할 때의 기본 로그인 옵션입니다. Verify 관리자만 IBMid 을 사용하여 로그인할 Verify 수 있습니다. 이 ID 공급자는 최종 사용자 로그인에는 사용할 수 없습니다.

관리자가 처음 로그인한 후에는, 이후 관리자 로그인 시 사용할 수 있는 추가 로그인 옵션으로 클라우드 디렉터리 또는 구성된 SAML 엔터프라이즈 ID 공급자를 활성화할 수 있습니다.

MaaS360 Cloud Extender

엔터프라이즈 저장소 또는 로컬 사용자 레지스트리에 저장된 정보와 비교하여 사용자 ID를 검증하지만 인증 요청은 위임되거나 다른 서버 또는 에이전트를 통해 전달됩니다.

Verify인증된 사용자의 신원은 에서 연동됩니다. ‘디렉토리 > 사용자 및 그룹’에서 해당 정보를 확인할 수 있습니다.

소셜
사용자의 ID는 소셜 네트워크 계정과 비교하여 검증됩니다. 소셜 ID 제공자는 한 번만 설정하면 되며, 애플리케이션의 로그인 옵션으로만 사용됩니다. 이 계정은 관리자 콘솔이나 Verify 사용자 런치패드에 로그인하는 데 사용할 수 없습니다. Verify 다음과 같은 소셜 ID 제공자를 지원합니다:
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

Verify인증된 사용자의 신원은 에서 연동됩니다. ‘디렉토리 > 사용자 및 그룹’에서 해당 정보를 확인할 수 있습니다.

소셜 ID 제공자를 제외한 모든 ID 제공자를 관리자 또는 최종 사용자 로그인 페이지에서 표시하거나 숨길 수 있습니다. 두 개 이상의 ID 공급자가 활성화되어 표시되는 경우, 사용자는 인증에 사용할 ID 공급자를 선택해야 합니다. 사용자 편의성을 위해 하나의 원 제공자만 활성화하고 표시하십시오. 신원 제공자가 하나만 활성화된 경우, 해당 제공자가 사용자의 기본 로그인 옵션으로 설정됩니다. 사용자는 선호하는 ID 공급자를 선택할 필요가 없습니다.

팁: 구성된 SAML Enterprise ID 공급자를 사용하여 로그인할 Verify 수 없고, ‘Cloud Directory’ 로그인 옵션이 사용 불가능하거나 표시되지 않는 경우, 다음 URL 를 참조하십시오:
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

프로시저

  1. ‘인증 ’ > ‘ID 공급자’를 선택합니다
  2. 신원 제공자를 선택하여 해당 정보를 확인하세요.
    참고: 표시되는 정보는 신원 확인 서비스 제공자에 따라 다릅니다.
    표 1. ID 제공자 정보
    정보 설명
    이름

    Microsoft™ Active Directory, Microsoft Azure, Active Directory 등의 ID 공급자가 사용하는 사용자 레지스트리를 나타내기 위해 지정하는 이름입니다.

    구성되어 사용 가능한 둘 이상의 ID 제공자가 있는 경우, ID 제공자 이름이 Verify 로그인 페이지에 표시됩니다.

    이 정보는 디렉터리 > 사용자 및 그룹 > 사용자 탭의 ‘사용자 추가’ 대화 상자에서 ID 공급 자를 선택할 때도 표시됩니다.
    범위

    이는 동일한 사용자 이름을 가진 여러 신원 제공자의 사용자를 구별하는 데 도움이 되는 신원 제공자 속성입니다.

    이 정보는 ‘디렉토리 > 사용자 및 그룹’과 ‘사용자 편집’ 대화 상자에 표시됩니다.

    다음 신원 확인 제공자의 경우:
    • cloudIdentityRealmCloud Directory 에서 리얼름 값은.입니다.
    • www.ibm.comIBMid, 영역 값은.
    • SAML ‘Enterprise’의 도메인 값은 ID 공급 자를 생성할 때 지정한 고유한 이름이면 무엇이든 가능합니다.
    • OnPrem LDAP, realm 값은 ID 제공 자를 생성할 때 지정한 고유한 이름이면 무엇이든 사용할 수 있습니다.
    • Apple, 범위 값은 www.apple.com입니다.
    • Baidu, 범위 값은 www.baidu.com입니다.
    • Facebook, 범위 값은 www.facebook.com입니다.
    • GitHub, 카테고리 값은 www.github.com입니다.
    • Google, 범위 값은 www.google.com입니다.
    • LinkedIn, 범위 값은 www.linkedin.com입니다.
    • QQ, 범위 값은 www.qq.com입니다.
    • Renren, 범위 값은 www.renren.com입니다.
    • WeChat, 범위 값은 www.wechat.com입니다.
    • Weibo, 범위 값은 www.wiebo.com입니다.
    • www.twitter.comX, 영역 값은.
    • Yahoo, 범위 값은 www.yahoo.com입니다.
    ID ‘저장’을 선택하면 ID 제공 자에 대한 ID가 생성됩니다.
    사용 가능

    ID 제공자가 활성 상태이고 사용 가능한지 여부를 표시합니다.

    ID 제공자가 구성되고 사용 가능하면, 사용자는 선택된 ID 제공자로 Verify 및 자격 부여된 애플리케이션에 싱글 사인온할 수 있습니다. ID 제공자를 사용할 수 없는 경우, 로그인 페이지에 옵션으로 표시되지 않습니다.
    참고:
    • Verify에 로그인할 수 있는 최소 하나의 ID 제공자가 있어야 합니다.
    • 하나의 ID 제공자만 사용으로 설정되어 있는 경우, 사용자의 기본 로그인 옵션이 됩니다.
    ID 링크

    사용 가능

    		 특정 ID 공급자에 대한 ID 연동 기능을 활성화합니다. 이 ID 공급자에 대해 지정된 영역의 Cloud Directory에는 섀도 계정이 생성되지 않습니다.
    이 기능은 다음 애플리케이션( SAML ) 및 다음 소셜 ID 제공업체 에서 사용할 수 있습니다:
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML Enterprise
    • WeChat
    • X
    • Yahoo

    이 옵션은 OnPrem 및 LDAP 의 ID 제공자에서도 사용할 수 있습니다. OnPrem LDAP ID 소스의 경우, 런타임 인증이 성공하려면 사용자 계정이 주 연결 ID 공급자에 존재해야 합니다. 주 연결 ID 공급자에 일치하는 사용자 계정이 없는 경우, 인증이 실패합니다.

    참고:
    1. 기본 ID 공급자로 설정된 ID 공급자에서는 링크 기능을 활성화할 수 없습니다.
    2. 기본 연결 ID 공급자를 비활성화하거나 삭제할 수 없습니다.
    고유 사용자 ID
    링크된 계정의 ID로 사용되는 속성을 메뉴에서 선택하십시오.
    JIT(Just-In-Time) 프로비저닝
    기본 ID 공급자에서 사용자 계정을 찾을 수 없는 경우, 이 옵션은 해당 기본 영역에 섀도 계정을 생성합니다. OnPrem LDAP ID 소스의 경우, 해당 계정이 존재하지 않으면 기본 연결된 ID 공급자에 사용자 계정이 생성됩니다. 계정 속성은 기본 링크된 계정에서 사전 또는 외부 ID 시스템에서 검색되는 속성과 함께 업데이트됩니다.
    고유 사용자 ID

    이 기능은 SAML 애플리케이션 및 온프레미스 LDAP 신원 소스에서 사용할 수 있습니다.

    		 클라우드 디렉토리의 링크된 계정에 대한 ID로 사용되는 사용자 속성입니다.
    OnPremLDAP 신원 제공자에 대한 적시 프로비저닝. OnPrem, LDAP ID 제공자만 해당됩니다.

    켜졌을 때 관리자는 외부 ID 제공자에서 클라우드 디렉토리 영역으로 사용자 레코드 마이그레이션을 구성할 수 있습니다. password just-in-time provisioning와 함께 사용할 경우, 사용자 비밀번호도 사용자 기록과 함께 마이그레이션됩니다.

    이 기능을 비활성화하면 관리자는 ID 공급자 비밀번호의 클라우드 디렉터리 영역으로의 마이그레이션을 일시 중지하고, 사용자가 클라우드 디렉터리를 통해 인증할 수 있도록 허용합니다.
    비밀번호 JIT(Just-In-Time) 프로비저닝

    이 스위치 단추는 JIT(Just-In-Time) 프로비저닝 스위치가 이미 켜져 있는 경우에만 활성화됩니다.

    관리자는 계정 및 ID 제공자의 비밀번호가 클라우드 디렉토리 영역으로 마이그레이션되는 마이그레이션 단계를 사용할 수 있습니다. OnPrem ID 공급자와 연결된 사용자는 이 단계에서 Cloud Directory를 통해 인증할 수 없습니다.

    이를 끄면 관리자는 클라우드 디렉토리 영역으로 ID 제공자 비밀번호의 마이그레이션을 일시정지하고 사용자가 클라우드 디렉토리를 인증할 수 있도록 허용합니다.

    비밀번호 JIT(Just-In-Time) 프로비저닝(identityLinkingJitPwdEnabled) 옵션 사용 시 고려사항

    이 옵션을 사용하는 경우, Verify 플랫폼은 사용자의 계정 속성 및 해당 비밀번호를 테넌트에 대해 구성된 기본 ID 제공자 영역으로 "바로" JITP(Just in time provision)로 시도합니다. 이 프로비저닝은 사용자 이름 및 비밀번호가 온프레옴 또는 외부 ID 제공자에 의해 성공적으로 유효성 검증된 후에 발생합니다. 비밀번호를 프로비저닝하려고 시도하면 Verify이(가) 비밀번호가 기본 ID 제공자와 연관된 비밀번호 정책 설정을 충족하는지 확인합니다. 온프레미스 ID 공급자가 검증한 비밀번호가 이 Verify 정책을 충족하지 않는 경우, 인증 시도가 실패합니다. 계정 속성 및 비밀번호가 Verify 기본 ID 제공자 영역에 프로비저닝되지 않습니다. 사용자가 사용자 이름 또는 비밀번호가 올바르지 않음을 표시하고 시스템 관리자에게 문의하는 오류 메시지를 수신합니다.

    이러한 상황을 방지하려면, 온프레미스 또는 외부 신원 관리 시스템에서 허용하는 정책과 동일하거나 그보다 낮은 수준의 비밀번호 정책을 정의하십시오. 이 정책을 Verify 테넌트에 대해 구성된 기본 ID 제공자와 연관시키십시오. 일반적으로 기본 ID 제공자 영역은 기본 비밀번호 정책으로 구성되는 Verify 클라우드 디렉토리입니다.

    온프레미스 인증이 성공할 때마다 비밀번호가 즉시 제공되므로, 주 ID 공급자 영역의 비밀번호 기록 설정이 계정 속성 및 비밀번호 동기화 실패를 유발할 수 있습니다. 이러한 실패를 방지하기 위해 해당 비밀번호 히스토리 적용을 사용하지 않도록 설정할 수 있습니다.

    ‘비밀번호 저-인-타임(Just-in-Time) 프로비저닝’ 옵션이 ‘사용’에서 ‘사용 안 함’으로 전환되면, 온프레미스에서 클라우드 디렉터리로의 마이그레이션 단계가 완료된 것으로 간주됩니다. 마이그레이션된 사용자는 마이그레이션된 비밀번호를 사용하여 클라우드 디렉토리를 인증할 수 있습니다. 마이그레이션 단계를 위해 변경했던 클라우드 디렉터리 암호 정책 설정을 다시 활성화하는 것이 좋습니다.
    JIT 프로비저닝 사용

    이 기능은 SAML 애플리케이션에 사용할 수 있습니다.

    		 기본 신원 제공자에서 계정을 찾을 수 없는 경우 이 옵션은 해당 기본 범위에 새도우 계정을 작성합니다.
  3. 선택 사항: 비밀번호 정책 관리.
  4. 선택 사항: SAML Enterprise ID 제공자 추가.
  5. 선택 사항: MaaS360 Cloud Extender ID 공급자 추가.
  6. 선택 사항: MaaS360 신원 제공자 및 사용자 식별자 설정.
  7. 선택 사항: 소셜 ID 제공업체 추가.
  8. 선택 사항: ID 공급자 삭제.
    참고: 클라우드 디렉터리나 IBMid ID 공급자는 삭제할 수 없습니다.
    1. ID 공급자를 선택한 다음 ‘ID 공급자 편집’ 대화 상자에서 ‘삭제’를 클릭합니다.
    2. 선택한 ID 공급자를 영구적으로 삭제하시겠습니까?
      참고:
      • MaaS360기본 선택 항목으로 설정된 ID 공급자는 삭제할 수 없습니다. MaaS360 현재 기본값을 삭제하기 전에 다른 ID 공급자를 선택해야 합니다.
      • 애플리케이션에 로그인 옵션으로 할당된 ID 공급자는 삭제할 수 없습니다. 이를 삭제하려면 애플리케이션에서 옵션으로 이를 제거해야 합니다.