OpenID 의 Connect for Open Banking 애플리케이션에서 싱글 사인온(SSO) 구성

온라인에서 편집하기

오픈뱅킹용 OpenID Connect를 사용하면 애플리케이션이 IBM® Verify에서 수행되는 인증을 기반으로 사용자의 신원을 확인할 수 있습니다. 사용자가 애플리케이션에서 계정을 등록할 필요가 없습니다. 사용자는 로그인을 위해 로 Verify 이동합니다. Verify은(는) 사용자의 ID를 확인하고 ID 토큰을 통해 정보를 전송하며 사용자에게 자원에 대한 액세스 및 사용 권한이 부여된 신뢰 당사자와 함께 확인합니다. https://<tenant-host>/oauth2/.well-known/openid-configuration이 애플리케이션은 검색 엔드포인트가 있는 새로운 OpenID Connect 제공자를 사용합니다.

시작하기 전에

이 태스크를 완료하려면 관리 권한이 있어야 합니다.
설정을 완료하려면 최소한 두 개의 브라우저 창을 여십시오. 하나는 관리 콘솔용이고 Verify , 다른 하나는 대상 애플리케이션의 관리 콘솔용입니다.
- Verify 관리 콘솔에 로그인하십시오.
- 관리자 계정으로 대상 애플리케이션 관리 콘솔에 로그인하십시오.
일반 탭에서 애플리케이션 인스턴스의 기본 정보를 설정해야 합니다. ‘기본 애플리케이션 정보 설정’을 참조하십시오.

이 태스크에 대한 정보

Verify애플리케이션을 추가할 때, ‘ OpenID Connect for Open Banking’ 애플리케이션 템플릿을 선택하여 해당 애플리케이션을 ‘ OpenID Connect’ 의존 당사자로 설정하거나, 사용자 인증을 위임하는 클라이언트 애플리케이션으로 구성하십시오.

서로 대화할 수 있도록 Verify 및 신뢰 당사자를 구성하십시오. OpenID Connect 싱글 사인온을 사용하려면 다음을 제공해야 합니다.

신뢰할 수 있는 당사자의 특정 데이터를 포함하는 Verify .
Verify의 특정 데이터가 있는 신뢰 당사자입니다.

IBM Verify Access 및 모바일 애플리케이션을 OpenID Connect 의존 당사자로 구성할 수 있습니다.

프로시저

‘로그인’ 탭으로 이동합니다.

신뢰하는 당사자에 대한 기본 정보를 확인하십시오.

표 1. 의존 당사자 정보
필드	설명
애플리케이션 URL	이는 OpenID Connect 의존 당사자에 로그인하는 데 사용되는 단일 로그인 초기화( URL )입니다. 이 애플리케이션은 URL 를 사용하여 사용자 정보가 포함된 ID 토큰을 요청합니다 Verify . 사용자가 URL 을 통해 애플리케이션에 접속하면 인증을 위해 로 Verify 리디렉션됩니다. 권한 제공자 또는 OpenID Connect 제공자를 해당 사이트에 구성한 경우에는 이 정보를 신뢰 당사자로부터 얻을 수 있습니다.
권한 부여 유형	Verify이는 신뢰 당사자가 에서 ID 토큰을 검색하는 데 사용할 수 있는 메커니즘을 나타냅니다. OpenID Connect for Open Banking은 다음과 같은 허가 유형을 지원합니다. 권한 코드 내재적 클라이언트 신임 정보 권한 부여 코드 및 암시적(하이브리드 플로우) 토큰 교환 JWT 전달자 디바이스 플로우 컨텍스트 기반 권한 부여 권한 부여 유형을 적어도 한 개 선택해야 합니다. 지원되는 보조금 유형을 빠르게 비교하고 신청서에 어떤 보조금 유형을 설정해야 할지 확인하려면 ‘보조금 유형’을 참조하십시오.
응답 유형	응답 유형은 인증 서버에 원하는 인증 처리 흐름을 알립니다. 참고: 응답 유형이 구성되지 않은 기존 애플리케이션을 편집할 경우, 활성화된 승인 유형에 대해 적용 가능한 모든 응답 유형이 기본값으로 설정됩니다. OpenID Connect는 다음 응답 유형을 지원합니다: `none` `code` `token` `id_token` `code token` `code id_token` `token id_token` `code token id_token` 응답 유형 `code` 또는 `none`을(를) 선택하면 응답 모드 `query`이(가) 사용 가능합니다. 그렇지 않으면 응답 모드가 `query` 초기화되고 비활성화됩니다.
응답 모드	응답 모드는 권한 부여 서버가 권한 부여 엔드포인트에서 결과 매개변수를 리턴하는 방법을 표시합니다. OpenID Connect for Open Banking은 다음과 같은 응답 모드를 지원합니다. 조회 프래그먼트 양식 POST JWT 조회 JWT 조각 POST 방식의 JWT
클라이언트 ID	이는 OpenID Connect의 신뢰 당사자인 클라이언트 애플리케이션에 할당되는 고유한 공개 식별자입니다. 권한 서버는 이 정보를 사용하여 신뢰 당사자와 권한 부여 요청을 식별합니다. 이 정보는 ‘ OpenID Connect’ 애플리케이션을 저장한 후 자동으로 생성됩니다. 애플리케이션의 관리 콘솔에서 OpenID Connect 제공자로 Verify을(를) 구성할 때 이 정보를 신뢰 당사자에게 제공해야 합니다. 신뢰 당사자는 액세스 토큰을 요청할 때마다 클라이언트 ID를 사용합니다.
공용 클라이언트(클라이언트 시크릿 없음)	클라이언트에 애플리케이션이 제공해야 하는 시크릿이 없음을 표시합니다. 클라이언트 시크릿은 클라이언트 유형이 기밀인 경우에만 생성하십시오. 기밀 클라이언트는 클라이언트 ID와 시크릿을 안전한 방식으로 보존하므로 이러한 인증 정보가 권한 없는 당사자에게 표시되지 않습니다. 클라이언트 시크릿은 클라이언트 애플리케이션 및 권한 부여 서버에만 알려야 합니다. 참고: 이 옵션을 선택하면 클라이언트 비밀번호 입력란이 숨겨집니다.
클라이언트 시크릿	이 데이터는 클라이언트 ID와 함께 사용되어 신뢰 당사자를 인증하고 ID 토큰에 대한 권한 코드를 교환합니다. 이 정보는 ‘ OpenID Connect’ 애플리케이션을 저장한 후 자동으로 생성됩니다. 애플리케이션의 관리 콘솔에서 OpenID Connect 제공자로 Verify을(를) 구성할 때 이 정보를 신뢰 당사자에게 제공해야 합니다.
경로 재지정 URI	Verify이(가) 인증 응답을 신뢰 당사자에게 보내는 콜백 URL 주소입니다. 사용자는 에서 인증 및 권한 부여를 거친 후 이 VerifyURL 페이지로 리디렉션됩니다. URI을 적어도 한 개 지정해야 합니다. 최대 400개의 URI를 추가할 수 있습니다. 권한 제공자를 구성하거나 사이트에서 OpenID Connect 제공자를 구성할 때 신뢰 당사자로부터 이 정보를 얻을 수 있습니다.
클라이언트 인증 메소드	다음 클라이언트 인증 메소드가 지원되는지 확인하십시오. 기본값 클라이언트 시크릿 기본 클라이언트 시크릿 POST 개인 키 JWT 상호 TLS 기본값으로 두면 클라이언트 시크릿 기본 및 POST가 모두 허용됩니다. 이 클라이언트가 공용 클라이언트인 경우 클라이언트 시크릿 기본 및 POST는 허용되지 않습니다. 신뢰 당사자가 이를 지원하는 경우 개인용 키 JWT 또는 상호 TLS를 구성으로 사용하십시오. Mutual TLS 클라이언트 인증에 대한 자세한 내용은 OpenID 에서 ‘ TLS 클라이언트 인증 및 인증서 기반 액세스 토큰 연결’을 참조하십시오. 클라이언트 시크릿 JWT 및 개인 키 JWT에 대한 자세한 내용은 ‘클라이언트 시크릿 JWT 및 개인 키 JWT 생성’을 참조하세요.
클라이언트 권한 정보 JTI 유효성 검증	클라이언트 권한 정보 JWT의 JTI가 1회 사용에 대한 유효성이 검증되는지 여부를 표시합니다. 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.
클라이언트 어설션 서명 알고리즘	이 옵션은 '개인 키 JWT 클라이언트 인증' 방식이 선택된 경우에만 표시됩니다.
TLS 클라이언트 인증 속성	인증에 사용되는 인증 속성입니다. 이 옵션은 상호 TLS 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다. 주제 DN SAN DNS SAN URI SAN IP SAN 이메일 주소
TLS 클라이언트 인증 속성 값	인증에 사용되는 인증의 속성 값입니다. 이 옵션은 상호 TLS 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.
PKCE(Proof Key for Code Exchange) 검증 필요	PKCE는 권한 코드 인터셉션 공격을 완화시키는 데 사용됩니다. 여기에서는 권한 코드 플로우를 처리하기 전에 코드 인증 확인이 필요합니다. 이 옵션은 권한 코드 권한 부여 플로우가 선택되는 경우에만 표시됩니다.
밀어넣기 권한 요청(PAR)	PAR은 클라이언트가 직접 요청을 통해 인가 요청의 페이로드를 인가 서버로 푸시할 수 있게 하고, 허가 엔드포인트에 대한 후속 호출에서 데이터에 대한 참조로서 사용되는 요청 URI를 제공합니다.
액세스 토큰을 SSO 세션으로 교환할 수 있도록 허용	SSO 세션을 위해 액세스 토큰을 교환합니다. 허용: 액세스 토큰을 SSO 세션으로 교환할 수 있습니다. 토큰 허용 및 취소: 액세스 토큰을 SSO 세션으로 교환할 수 있지만, 토큰은 취소됩니다. 거부: 액세스 토큰을 SSO 세션으로 교환할 수 없습니다. 기본값: OIDC 애플리케이션의 일반 설정에서 SSO 세션을 위해 액세스 토큰을 교환할 수 있는지 여부가 결정됩니다.

기존 애플리케이션을 편집 중인 경우 다음 클라이언트 시크릿 옵션을 사용할 수 있습니다.

클라이언트 시크릿을 보려면 을(를) 선택하십시오.
클라이언트 시크릿을 숨기려면 을(를) 선택하십시오.
를 선택하여 클라이언트 ID 또는 시크릿을 클립보드에 복사하세요.
회전된 클라이언트 시크릿을 보려면 을 선택하세요 .
- 목록에서 하나 이상의 회전된 클라이언트 시크릿을 선택한 다음, ‘삭제’를 클릭하여 삭제하십시오.
새 클라이언트 시크릿을 생성하려면 을(를) 선택하십시오. 클라이언트 시크릿이 손상되었다고 생각되면 이 옵션을 사용하십시오. 클라이언트 시크릿을 재생성하는 경우에는 애플리케이션의 모든 OAuth 클라이언트에서 클라이언트 시크릿을 업데이트해야 합니다.
- '현재 시크릿 유지 ' 확인란을 선택하면 현재 클라이언트 시크릿이 순환되는 클라이언트 시크릿 목록에 추가됩니다.
- ‘현재 시크릿 유지’ 확인란이 선택되어 있다면, 클라이언트 시크릿 설명과 만료 시간(브라우저 현지 시간 기준)을 선택하십시오. 만료 시간을 선택하지 않으면, 애플리케이션 설정에서 지정한 테넌트의 ‘교체된 비밀 키 유효 기간’이 적용됩니다.
- 갱신된 클라이언트 시크릿은 해시 처리되어 더 이상 일반 텍스트로 복구할 수 없지만, 지정된 만료일까지는 계속 사용할 수 있습니다.
- 확인 후 클라이언트 시크릿은 즉시 갱신됩니다. 새로운 클라이언트 시크릿이 화면에 표시됩니다.

JWT 설정을 구성합니다.

표 2. JWT 설정
필드	설명
JWKS URI	신뢰 당사자가 공개 키를 JSON웹 키 세트(JWKS) 형식으로 공개하는 URI. 이 URI는 JWT 서명 검증 또는 암호화에 사용됩니다. 시스템이 연결할 수 없거나 응답이 없는 JWKS URI를 거부할 수 있습니다. JWKS 크기가 너무 큰 경우 시스템이 JWKS URL을 거부할 수도 있습니다. 신뢰 당사자가 JWKS URI를 게시하지 않으면 공개 키를 X509 인증서 양식으로 시스템에 추가할 수 있습니다. “인증서 관리 ”를 참조하십시오. 공용 인증서와 연관된 `이름(Friendly Name)`은 JWT의 키 ID(kid) 헤더입니다.
허용된 서명 확인 키	클라이언트 권한 정보 JWT를 검증하는 데 사용할 수 있는 서명 확인 키 ID입니다. 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.
JWT 베어러 사용자 식별. JWT 베어러 부여 유형에서만 사용할 수 있습니다.	이 구성은 JWT 전달자 주제(sub)가 이 JWT 전달자 토큰과 연관된 사용자를 식별하기 위해 해석되는 방식을 시스템에 알립니다. `External IDID`'the'는 'the user's', 'the'`Username`, 또는 'the'일 수 있습니다.
JWT 베어러 기본 신원 정보 소스. JWT 베어러 부여 유형에서만 사용할 수 있습니다.	JWT에 리얼름이 명시되어 있지 않은 경우, 기본적으로 sub를 통해 인증된 사용자가 속한 ID 소스의 리얼름이 사용됩니다. 이`JWT bearer user identification` 옵션이 선택된 경우`User ID`, 이 설정은 적용되지 않습니다.

Request 객체 설정을 구성합니다.

표 3. 객체 설정 요청
필드	설명
요청 오브젝트 매개변수만	모든 요청 매개변수가 요청 오브젝트에 있어야 합니다.
서명 알고리즘	확인하는 알고리즘은 요청 오브젝트에 서명할 것으로 예상합니다. 다음 해시 알고리즘 중 하나를 선택하여 서명을 검증하십시오. RS256 RS384 RS512 PS256 PS384 PS512 ES256 ES384 ES512
만기 클레임 필요	request 객체에 expiry`'exp'` 속성이 포함되어야 합니다.
유효 기간(초)	요청 오브젝트가 유효할 수 있는 최대 시간(초)입니다. 이는 만료`'exp'` 시각에서 요청 객체에 포함된 ‘not-before’`'nbf'` 타임스탬프를 뺀 값으로 계산됩니다.
요청 URI	요청 오브젝트를 포함하는 자원의 URL입니다. 여기에 등록된 요청 URI만 권한 요청 중에 허용됩니다.

액세스 토큰 및 새로 고치기 토큰을 도난당하는 경우 무단 액세스 시간을 제한하도록 이러한 토큰을 구성하십시오.

액세스 토큰은 보호된 리소스에 대한 액세스 권한을 부여하는 데 사용됩니다. 액세스 토큰이 만료되면 권한이 취소됩니다.

표 4. 토큰 설정
필드	설명
액세스 토큰 만료(초)	액세스 토큰의 만료 기간(초)을 설정합니다. 액세스 토큰 만기를 설정하여 공격자가 클라이언트 애플리케이션이 손상되었을 때 도난된 토큰으로 자원에 액세스할 수 있는 시간을 제한하십시오. 양의 정수만 허용됩니다. 기본값은 `7200`초입니다. 허용되는 최소값은 `1`초이고 최대값은 `2147483647`초입니다.
액세스 토큰 형식	액세스 토큰의 형식을 지정합니다. 다음 옵션을 사용할 수 있습니다. 기본값 JWT
대상	토큰의 수신자인 대상을 지정합니다. 이러한 값들은 JWT 형식 토큰의 클레임aud 및 인트로스펙션 페이로드에 단일 문자열 또는 문자열 배열 형태로 나열됩니다.
새로 고치기 토큰 생성	클라이언트 애플리케이션이 OpenID Connect ID 공급자의 인증 서버로부터 새로운 액세스 토큰을 획득하기 위해 리프레시 토큰을 요청하고 사용할 수 있는지 여부를 나타냅니다. 이전 액세스 토큰이 만료된 경우에는 새 액세스 토큰을 얻어야 합니다. 이 옵션은 "암시적" 이 선택한 유일한 그랜트 유형인 경우에는 관련이 없습니다.
새로 고치기 토큰 만료(초)	새로 고치기 토큰의 만료 기간(초)을 설정합니다. 이 설정은 사용자가 재인증해야 하는 빈도를 결정합니다. 리프레시 토큰의 만료 시간을 설정하여, 일정 시간이 경과한 후 사용자가 전체 싱글 사인온( Verify SSO) 절차를 다시 수행하도록 합니다. 이 옵션은 새로 고치기 토큰 생성을 사용으로 설정한 경우에만 표시됩니다. 새로 고치기 토큰은 보호된 리소스에 계속 액세스하기 위해 새 액세스 토큰을 가져오는 데 사용됩니다. 양의 정수만 허용됩니다. 기본값은 `604800`초입니다. 허용되는 최소값은 `1`초이고 최대값은 `2147483647`초입니다.

ID 토큰 서명 및 암호화 옵션을 지정합니다. 신뢰할 수 있는 당사자는 서명을 사용하여 토큰에 포함된 사용자 청구의 무결성 및 인증 및 토큰에 서명한 OpenID Connect ID 제공자를 확인합니다. 토큰은 신뢰 당사자만이 암호를 해독할 수 있도록 암호화할 수 있습니다.

표 5. 서명 및 암호화 옵션
필드	설명
서명 알고리즘	Verify이(가) ID 토큰에 서명하는 데 사용하는 알고리즘입니다. 알고리즘은 신뢰 당사자가 Verify에 등록한 알고리즘과 일치해야 합니다. 다음 해시 알고리즘 중 하나를 선택하여 서명을 검증하십시오. RS256 PS256 ES256 RS384 PS384 ES384 RS512 PS512 ES512 참고: ES256 서명 알고리즘이 선택된 경우 인증서는 P-256을 사용하는 ECDSA여야 합니다. ES384 서명 알고리즘이 선택되면 인증서는 P-384를 사용하는 ECDSA여야 합니다. ES512 서명 알고리즘이 선택되면 인증서는 P-521을 사용하는 ECDSA여야 합니다.
서명 인증서	이 옵션은 RS, ES 또는 PS 서명 알고리즘 중 하나를 선택한 경우에만 표시됩니다. 싱글 사인온 중 ID 토큰에 서명하려면 이 인증서를 사용하십시오. 기본 선택 항목은 [ 보안 > 인증서 > 개인 인증서 ]에서 구성한 기본 개인 인증서를 의미합니다.
암호화 알고리즘	컨텐츠 암호화 키(CEK)의 값을 암호화하거나 판별하는 데 사용되는 암호화 알고리즘입니다. 다음은 지원되는 알고리즘입니다. RSA-OAEP RSA-OAEP-256
컨텐츠 알고리즘	암호 텍스트 및 인증 태그를 생성하기 위해 일반 텍스트에서 인증된 암호화를 수행하는 데 사용되는 컨텐츠 암호화 알고리즘입니다. 다음은 지원되는 알고리즘입니다. A128GCM A192GCM A256GCM
암호화 키	암호화에 사용할 키의 인증서 레이블 또는 키 ID.

소유권 증명 설정을 구성합니다. 자세한 내용은 ‘소유권 증명 제시( DPoP ) ’를 참조하십시오.

표 6. 소유권 증명 설정
필드	설명
인증서 바인딩 액세스 토큰	생성된 토큰이 인증 바인드인지 여부를 표시합니다. 인증서 기반 액세스 토큰에 대한 자세한 내용은 OpenID Connect 상호 인증 ( TLS ) 클라이언트 인증 및 인증서 기반 액세스 토큰을 참조하세요.
DPoP 바인드 액세스 토큰 적용	토큰 요청 시 ` DPoP ` 헤더가 필수인지 여부를 나타냅니다.
DPoP JWT의 JTI 유효성 검증	DPoP 의 JWT에 포함된 JTI가 일회용으로 유효한지 여부를 나타냅니다.
DPoP JWT에 대한 서명 알고리즘	DPoP JWT에 대한 예상 서명 알고리즘. 다음 알고리즘 중에서 선택하세요: RS256 RS384 RS512 PS256 PS384 PS512 ES256 ES384 ES512

JWT 보안 인증 응답 모드(JARM)의 구성 옵션을 지정합니다. 신뢰 당사자는 이 서명을 사용하여 JWT 응답에 포함된 토큰의 무결성과 진위 여부를 확인합니다. JWT는 신뢰 당사자만이 해독할 수 있도록 암호화할 수도 있습니다.

표 7. JWT 기반 인증 응답 모드
필드	설명
서명 알고리즘	Verify가 JWT 응답에 서명하는 데 사용하는 알고리즘입니다. 이 알고리즘은 의존 당사자가 Verify에 등록한 알고리즘과 일치해야 합니다. 다음 해싱 알고리즘 중에서 선택하십시오: RS256 PS256 ES256 RS384 PS384 ES384 RS512 PS512 ES512 참고: ES256 서명 알고리즘이 선택된 경우 인증서는 P-256을 사용하는 ECDSA여야 합니다. ES384 서명 알고리즘이 선택되면 인증서는 P-384를 사용하는 ECDSA여야 합니다. ES512 서명 알고리즘이 선택되면 인증서는 P-521을 사용하는 ECDSA여야 합니다.
서명 인증서	이 옵션은 RS, ES 또는 PS 서명 알고리즘 중 하나를 선택한 경우에만 표시됩니다. 이 인증서를 사용하여 싱글 사인온(SSO) 과정에서 JWT 응답에 서명하십시오. 기본 선택 항목은 [ 보안 > 인증서 > 개인 인증서 ]에서 구성한 기본 개인 인증서를 의미합니다.
암호화 알고리즘	컨텐츠 암호화 키(CEK)의 값을 암호화하거나 판별하는 데 사용되는 암호화 알고리즘입니다. 다음 알고리즘이 지원됩니다: RSA-OAEP RSA-OAPE-256
컨텐츠 알고리즘	암호 텍스트 및 인증 태그를 생성하기 위해 일반 텍스트에서 인증된 암호화를 수행하는 데 사용되는 컨텐츠 암호화 알고리즘입니다. 다음은 지원되는 알고리즘입니다. A128GCM A192GCM A256GCM
암호화 키	암호화에 사용할 키의 인증서 레이블 또는 키 ID.

토큰 교환 설정을 구성합니다.

표 8. 토큰 거래소
필드	설명
주제 토큰	토큰 요청의 대상이 되는 당사자의 신원을 나타내는 대상 토큰의 유형입니다.
액터 토큰	발행된 토큰의 접근 권한이 위임되는 당사자의 신원을 나타내는 액터 토큰의 토큰 유형입니다.
요청된 토큰	토큰 교환의 일환으로 생성을 요청할 수 있는 토큰의 종류. 트랜잭션 토큰 : 일회용 보안 토큰으로, 특정 트랜잭션, 작업, 리소스 또는 요청 세부 정보에 대한 컨텍스트 정보를 포함하며, 해당 특정 작업에 대해 세분화된 권한 부여를 제공합니다. 토큰을 선택하면 ‘트랜잭션 컨텍스트’ 타일이 표시되며, 여기서 CELx 표현식을 사용하여 컨텍스트를 설정할 수 있습니다. 자세한 내용은 ‘트랜잭션 토큰’을 참조하십시오. 참고: 트랜잭션 토큰은 요청을 통해 사용할 수 있는 기능입니다. VDEV-186514: AI 에이전트 보안. 이 기능을 요청하려면 IBM 영업 담당자나 IBM 담당자에게 문의하여 해당 기능 활성화에 대한 의사를 밝혀 주시기 바랍니다. 권한이 있다면 기능 번호를 기재하여 지원 티켓을 생성할 수도 있습니다. IBM Verify 체험판 구독자는 지원 티켓을 생성할 수 없습니다.
클라이언트 그룹	OpenID Connect 클라이언트 그룹 목록. 이 클라이언트에서 생성된 토큰은 동일한 그룹 내 토큰 교환 시 주체 토큰으로 사용할 수 있습니다. 이 목록이 비어 있는 경우, 모든 클라이언트는 토큰 교환 시 이 클라이언트에서 생성된 토큰을 주체 토큰으로 사용할 수 있습니다.
액터 토큰 필수	토큰 교환 요청 시 액터 토큰을 필수로 포함해야 합니다. 이 조치는 위임 시나리오를 적용하고 대리 시나리오를 허용하지 않습니다.
트랜잭션 컨텍스트	'트랜잭션 컨텍스트' 필드는 '요청된 토큰'이 '트랜잭션 토큰'으로 설정된 경우에만 표시됩니다. 이 필드는 다른 토큰 유형에는 적용되지 않습니다. 자세한 내용은 ‘트랜잭션 토큰’을 참조하십시오.

장치 흐름 설정을 구성합니다.

표 9. 장치 흐름
필드	설명
디바이스 플로우의 QR 코드 생성	사용자 코드와 함께 QR 코드가 생성되는지 여부를 나타냅니다.

각 엔드포인트에 대한 요청 및 응답 맵핑을 구성하십시오.
1. 권한 부여 엔드포인트에 대한 요청 및 응답 맵핑을 구성하십시오.
  - 요청 맵핑은 승인 요청, 권한 컨텍스트 및 의도 ID에 사용할 수 있습니다. 각 매개변수에 대한 자세한 내용은 OpenID (동의 요청에 대한 Connect 요청 매핑 ), OpenID (승인 컨텍스트에 대한 Connect 요청 매핑), OpenID (오픈 뱅킹 인텐트 ID에 대한 Connect 요청 매핑)을 참조하십시오.
  - 응답 맵핑을 사용하면 응답에 매개변수 및 헤더를 추가할 수 있습니다. OpenID 의 요청 및 응답 매핑을 참조하십시오.
2. 토큰 엔드포인트에 대한 응답 맵핑을 구성하십시오.
  - 응답 맵핑을 사용하면 응답에 매개변수 및 헤더를 추가할 수 있습니다. OpenID 의 요청 및 응답 매핑을 참조하십시오.
3. 인트로스펙트 엔드포인트에서 리턴된 속성을 추가 및 수정하기 위한 인트로스펙트 맵핑을 구성합니다.
  OpenID 의 Connect 인트로스펙트, ID 토큰 및 사용자 정보 매핑을 참조하십시오.
4. 사용자 정보 및 ID 토큰 속성 맵핑을 구성하여 사용자 정보 엔드포인트 및 ID 토큰에서 리턴된 속성을 추가 및 수정합니다.
  OpenID 의 Connect 인트로스펙트, ID 토큰 및 사용자 정보 매핑을 참조하십시오.
사용자가 애플리케이션에 액세스하는 방법을 결정하는 ID 공급자와 정책을 선택하십시오.
1. 이 애플리케이션에 로그인하는 데 사용할 수 있는 ID 공급자를 선택하십시오.
  
  기본 설정은 테넌트에 대해 구성된 모든 엔터프라이즈 ID 공급자의 액세스를 허용하는 것입니다. 애플리케이션에 로그인하는 데 사용할 수 있는 ID 공급자를 제한하려면 ‘지원되는 특정 ID 공급자 선택’을 선택하세요. 로그인을 허용할 ID 공급자의 확인란을 선택하십시오.
2. 사용자가 애플리케이션에 액세스할 수 있는 방법을 판별하는 정책을 선택하십시오.
  할당된 기본 액세스 정책을 계속 사용할 수 있습니다. 또는 해당 확인란의 선택을 해제한 다음, 를 선택하여 미리 정의된 액세스 정책 목록에서 원하는 정책을 선택할 수 있습니다. 자세한 내용은 ‘액세스 정책’을 참조하십시오. 액세스 정책을 선택한 후, 각 승인 유형의 확인란을 선택하여 해당 승인 유형에 액세스 정책을 적용하도록 설정하십시오.
사용자 동의를 요구할지 여부를 선택하십시오.
OpenID Connect 애플리케이션에 사용자 동의 요청을 추가할 수 있습니다. 기본값인 동의를 요청하다가 선택된 상태로 유지되면 사용자에게 범위 및 기타 트랜잭션 정보에 명시적으로 동의하도록 프롬프트가 표시됩니다. 동의를 구하지 않음을 선택하면 승인이 수집되지 않지만 권한 부여 요청이 성공합니다. ‘승인되지 않은 동의 항목만 요청’을 선택하면, 사용자에게 아직 동의하지 않은 항목에 대해서만 동의를 요청하는 메시지가 표시됩니다.
사용자 정의 범위 제한
지원되는 OIDC/OAuth 권한 부여 플로우의 OIDC/OAuth 클라이언트에서 사용자 정의 범위를 요청할 수 있습니다. 기본 설정인 사용자 정의 범위 제한이 사용으로 설정되면, 플로우 끝에서 클라이언트에 부여되는 범위는 이 섹션에서 지정되는 범위로 제한됩니다. 사용자 정의 범위 제한이 사용 안함으로 설정되면 플로우가 완료될 때 요청되는 사용자 정의 범위가 부여됩니다.
참고: 표준 범위 openid, profile, email, phone, 및 address 는 제한할 수 없습니다.
1. ‘사용자 지정 범위 제한’ 확인란이 선택되어 있는지 확인하십시오.
2. 권한 부여할 사용자 정의 범위 이름 및 설명을 입력하십시오.
  범위 이름은 신뢰 당사자/클라이언트가 요청한 OAuth2/OIDC 범위를 참조합니다. 설명은 해당 범위에 대한 자세한 설명입니다.
  
  다른 범위 필드의 세트가 표시됩니다.
3. 권한 부여할 각 사용자 정의 범위에 대해 이전 단계를 반복하십시오.
권한 제한 세부 정보
OIDC/ OAuth 클라이언트는 지원되는 OIDC/ OAuth 그랜트 흐름에서 인증 세부 정보를 요청할 수 있습니다. ‘권한 세부 정보 제한’이 활성화된 경우, 워크플로 종료 시 부여되는 권한 세부 정보는 이 섹션에 지정된 권한 세부 정보로만 제한됩니다. ‘승인 세부 정보 제한’이 비활성화된 경우, 흐름이 완료되면 요청된 모든 승인 세부 정보가 승인됩니다.
1. ‘권한 제한 세부 정보’ 확인란이 선택되어 있는지 확인하십시오.
2. ‘알 수 없는 인증 정보 무시’ 옵션이 활성화되어 있는지 확인하십시오.
3. 권한 부여를 원하는 권한 세부 정보 유형의 이름을 입력하거나 선택하십시오. 권한 세부 정보 JSON의 특정 속성을 기준으로 요청을 필터링하기 위해 사용자 지정 규칙을 편집하고 정의할 수 있습니다. 예를 들어, 인증 세부 정보 유형이 resource_access 이고 속성을 location 포함하는 경우, 위치가 일본일 때만 요청이 허용됩니다. 그렇다면 규칙은 다음과 같을 것입니다: requestContext.ad.location == 'Japan'.
4. ‘추가’를 클릭한 다음, 권한을 부여하려는 각 승인 세부 정보 유형에 대해 이전 단계를 반복합니다.
사인온 토큰에 대한 API 인타이틀먼트를 부여하십시오.
API 액세스 제한은 새 애플리케이션의 기본 설정입니다. 애플리케이션에는 사인온 토큰 인타이틀먼트가 없습니다. API 액세스를 위한 인타이틀먼트를 부여하려면 다음 단계를 수행하십시오.
1. 편집 아이콘을 선택하십시오.
  API 클라이언트 편집 마법사가 시작됩니다.
2. 사인온 토큰에 부여할 사용자 및 비사용자 권한을 선택하십시오.
  ‘사용자 토큰에 대한 기본 권한 ’ 확인란을 선택하거나 ‘API 액세스 제한’ 확인란의 선택을 해제하면, 사용자 토큰에 대한 일련의 기본 권한이 부여됩니다. '기본 로그인 토큰 API 권한'을 참조하십시오.
3. ‘저장’을 선택하세요.
‘저장’을 선택하세요.

다음에 수행할 작업

의뢰 당사자에게, Verify [ OpenID ]과 의뢰 당사자 간의 Verify Connect 로그인 구성을 완료하는 데 필요한 정보를 제공하십시오. 사용자 인터페이스에 제공되는 지시사항을 참조하십시오.
사용자 또는 그룹 인타이틀먼트를 추가하여 구성된 애플리케이션에 대한 액세스를 허용하십시오. “애플리케이션 권한 관리(관리자 또는 애플리케이션 소유자)”를 참조하십시오.
사용자가 구성된 애플리케이션에 사인온할 때 사용자에 대해 강화된 보안 제어를 위해 이중 인증을 적용하십시오. “인증 요소 구성”을 참조하십시오.
이 애플리케이션에 API 클라이언트를 추가합니다. 오픈 뱅킹 애플리케이션 API에 액세스하려면 ‘ OpenID Connect 관리’ 및 ‘ OpenID Connect’를 참조하십시오.
이 애플리케이션에 대해 개인정보 보호 목적 및 EULA를 구성하십시오. OpenID Connect를 참조하세요.