인증서 공급자 관리

온라인에서 편집하기

인증서 기반 신원 확인은 외부 인증서 제공업체를 IAMT( X.509 ) 규격에 부합하는 디지털 인증서와 같은 추가 보안 계층과 연결함으로써, 정확한 인사이트를 제공합니다. IBM® Verify 연결된 애플리케이션에 액세스할 때 디지털 인증서를 사용하여 인증합니다. 관리자는 인증 및 규정 준수 목적으로 이 디지털 서명을 사용하여 신원을 확인할 수 있습니다. 또한, 인증서는 공통 접근 카드(CAC)나 개인 신원 확인 카드(PIV)와 연동될 수 있습니다.

시작하기 전에

  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 관리자 계정으로 관리 콘솔에 IBM Verify 로그인하십시오.
  • 인증서 공급자를 사용하려면 테넌트에 사용자 지정 호스트명이 설정되어 있어야 합니다. “사용자 지정 호스트 이름 설정”을 참조하십시오.
  • 지원 채널을 통해 루트 인증서와 중간 인증서를 제출해야 합니다:
    • 테넌트가 생성되었고 사용자 지정 호스트명이 올바르게 설정되어 있다면, IBM 를 통해 지원팀에 문의 IBM Verify 티켓을 제출해 주십시오. 그러면 인증서를 제공하는 방법에 대해 안내해 드리겠습니다.
    • 인증서는 X.509 PEM 에 명시된 인코딩 형식으로 유지해야 합니다.
    • 다음은 예시입니다:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    참고: PEM 인코딩 형식에 대한 자세한 내용은 RFC 1421을 참조하십시오
  • 테넌트에서 사용자 지정 호스트명을 사용하여 인증서 체인이 올바르게 구성되었음을 확인하십시오. 확인 메시지를 수신한 후에는 발급된 클라이언트 인증서를 SAML 및 OIDC 인증은 물론 사용자 런치패드에서도 사용할 수 있습니다.
참고: 클라이언트 인증서 인증이 작동하려면 (클라이언트 인증서에 저장된) 공개적으로 접근 가능한 CRL 배포처 또는 OCSP 엔드포인트가 필요합니다.

이 태스크에 대한 정보

Verify 복잡한 작업을 수행하는 데 필요한 다양한 기능을 이용할 수 있도록 지원합니다. 예를 들어, 자체 기본 서비스 제공자나 사용자 지정 서비스 제공자 개발에 일반적으로 사용되는 기타 애플리케이션 인터페이스 등이 있습니다. X.509 디지털 서명 인증서는 여러 가지 이점을 제공합니다. 두 가지 중요한 점은 certificate revocation lists 와 가 certification path validation algorithm 결국 신뢰 앵커에 도달한다는 것입니다.

참고: ‘ X.509 ’ 디지털 서명 인증서에 대한 자세한 내용은 X.509 certificates를 참조하십시오. 더 자세한 내용은 RFC 5280을 참조하십시오.

프로시저

  1. ‘인증 ’ > ‘인증서 공급자’를 선택합니다
  2. ‘인증서 공급자 추가’를 선택합니다.
  3. 일반 설정을 입력하십시오.
    1. 인증서 공급자에게 알아보기 쉬운 이름을 지정하고 ID 공급자를 설정하십시오.
    2. 사용자 인증에 사용되는 ID 공급자를 선택하십시오. 일반적으로 사용되는 신원 제공자는 다음과 같습니다:
      • 클라우드 디렉토리
      • IBMid
      참고: 인증서 공급자가 생성된 후에는 ID 공급자를 변경할 수 없습니다.
    3. 사용자 계정을 프로비저닝하려면 JITP(Just in time provisioning) 확인란을 선택하십시오.
  4. 다음을 클릭하십시오.
  5. 사용자 속성을 구성합니다. 사용자 인증 및 사용자 프로필 생성을 위해 인증서에서 전송되는 사용자 속성을 지정하십시오.
    1. 선택 사항: 인증서 속성을 선택합니다.
    2. IBM 의 Security Verify 속성을 선택합니다. 이 선택은 관리자가 선택하거나 생성한 과거 속성을 기반으로 합니다.
      참고:

      기존 속성 중에서 하나를 선택할 수 있습니다. 이 속성의 기본값은

      None - Do not map

      을(를) 선택하면 None - Do not map다음을 구성할 수 없습니다:

      • Transformation value
      • Store attribute in user profile
    3. 메뉴에서 변환 값 을 선택하십시오.
    4. 사용자 프로필 메뉴의 ‘스토어’ 속성에서 옵션을 선택하세요.
      • 항상 - 각 로그인 시 속성을 저장하거나 업데이트하십시오.
      • 사용자 작성 시에만 - 계정 작성 시 속성을 한 번 저장합니다.
      • 사용 중지됨 - 이 속성을 저장하거나 업데이트하지 마십시오.
      user attributes첫 번째 매핑을 구성한 후, ‘속성 매핑 추가’를 클릭하여 매핑을 더 추가하세요.
    5. ‘고유 사용자 식별자’를 선택하십시오. 이 식별자는 ID 공급자 Verify 내의 기존 사용자와 연결하는 데 사용되는 인증서 속성입니다.
    6. '요청 규칙' 옵션에서 사용자 지정 규칙을 생성하여 속성 값을 계산합니다.
      규칙 예시:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      요청 규칙을 테스트하여 예정대로 작동하는지 확인하십시오. ‘테스트 실행’을 클릭하여 결과를 확인하세요. 이는 예제 입력값을 바탕으로 한 반환값입니다.
  6. 인증서 체인의 경우, 발급한 중간 또는 루트 인증 기관의 주체 키 식별자를 제공하려면 다음 단계를 따르십시오.
    1. 다음 OpenSSL 명령어를 사용하여 상위 인증 기관의 를 Subject Key Identifier 찾으십시오:
      openssl x509 -inform pem -in $input-filename -text -noout
    2. “ X.509v3 확장”이라고 표시된 섹션을 클릭한 다음 “ X.509v3 주제 키 식별자”를 선택합니다. 지정된 값을 복사하여 상자에 입력하세요.
      참고: 인증서 공급자가 생성된 후에는 이 값을 변경할 수 없습니다.
  7. 구성을 테스트하십시오. 선택하세요. 다음. 이 인터페이스는 테넌트 인증 URL 기능을 제공합니다. IBM VerifyURL 파일을 복사한 다음, 해당 파일에 연결을 시도해야 합니다.
    참고: 테넌트에서 IBM Verify 인증서 공급자를 사용하려면 먼저 이를 활성화해야 합니다.
  8. ‘설정 완료’를 클릭하세요. 메시지가 표시되면 글로벌 설정 페이지로 이동하여 구성과 관련된 정보를 관리하거나 업데이트할 수 있습니다.
  9. 선택 사항: ‘인증서 공급자’를 클릭하면 생성된 인증서 공급자 목록을 확인할 수 있습니다.
    1. ‘옵션 목록’을 클릭하여 enable 사용하려는 인증서 공급자를 추가하거나 삭제할 수 있습니다.

문제점 해결

설정이 제대로 작동하지 않는다면, 다음과 같은 이유가 있을 수 있습니다:

X.509 인증서 공급자를 등록하는 모든 단계를 완료했음에도 불구하고, 테스트 구성 페이지에서 URL 을 테스트할 때 인증서 확인 창이 표시되지 않는 경우:

  • 반드시 가상 호스트 이름을 사용하고 있는지 확인하십시오.
  • 인증서 체인이 지원 경로를 통해 제공되도록 IBM Verify 하십시오.

X.509 인증서 공급자를 등록하는 모든 단계를 완료했음에도 불구하고, 테스트 구성 페이지에서 테스트용 URL 에 접속할 때 인증서 확인 창이 표시되지 않고 인증이 작동하지 않는 경우:

  • 인증서 공급자가 활성화되어 있는지 확인하십시오.
  • JITP가 활성화된 경우, 사용자가 지정된 ID 공급자에 생성되었는지 확인하십시오.
  • JITP가 비활성화된 경우, 지정된 ID 공급자에 해당 사용자가 존재하는지 확인하십시오.

X.509 인증서 공급자가 온보딩된 후 속성이 변경된 경우 uniqueUserIdentifier , 해당 변경 사항은 새로운 인증 및 인증서를 사용하여 처음 인증하는 사용자에게만 적용됩니다.

JITP가 활성화된 경우, 특정 ID 공급자에서 처음 생성된 사용자에 대해서는.

기본적으로 ‘ X.509 ’ 인증서 공급자는 비활성화되어 있으므로, 관리자는 테스트 구성을 시도하기 전에 이를 활성화해야 합니다.