웹 서비스를 사용하여 인증을 위한 ID 에이전트 구성
이 태스크에 대한 정보
비표준 데이터 소스(LDAP 또는 AD 이외)에 액세스하는 웹 서비스를 통해 사용자 속성과 그룹을 가져오는 비표준 ID 공급자 구성입니다.
프로시저
- 인증 유형을 선택합니다.인증 유형은 에이전트가 온프레미스 웹 서비스에 대해 자신을 인증하는 데 사용하는 방법입니다.
- OAUTH
- 토큰 엔드포인트 URL
- OAuth 제공자의 토큰 엔드포인트를 입력하세요. 에이전트는 이 토큰 엔드포인트를 사용하여 웹 서비스로 전송할 액세스 토큰을 가져옵니다.
- 토큰 엔드포인트 인증 메소드
- 토큰 엔드포인트 인증 방법을 입력하세요:
- 클라이언트 시크릿 POST 요청 - 에이전트가 POST 요청을 통해 클라이언트 자격 증명을 토큰 엔드포인트로 전송합니다.
- 클라이언트 시크릿 기본 사항 - 에이전트는 base64 로 인코딩된 클라이언트 자격 증명을 요청 헤더에
authorization담아 토큰 엔드포인트로 전송합니다.
- 클라이언트 ID 및 클라이언트 시크릿
- OAuth 공급자와의 인증에 사용되는 클라이언트 자격 증명을 입력하십시오. 인증 기관을 지정할 수도 있습니다.기존 Identity Agent 클라이언트를 편집하는 경우 다음 클라이언트 시크릿 옵션을 사용할 수 있습니다:
- 클라이언트 시크릿을 보려면
을(를) 선택하십시오. - 클라이언트 시크릿을 숨기려면
을(를) 선택하십시오. - 를 선택하여
클라이언트 ID 또는 시크릿을 클립보드에 복사하세요. - 회전된 클라이언트 시크릿을 보려면 을 선택하세요
.- 목록에서 하나 이상의 회전된 클라이언트 시크릿을 선택한 다음, ‘삭제’를 클릭하여 삭제하십시오.
- 새 클라이언트 시크릿을 생성하려면
을(를) 선택하십시오. 클라이언트 시크릿이 손상되었다고 생각되면 이 옵션을 사용하십시오. 클라이언트 시크릿을
재생성하는 경우에는 애플리케이션의 모든 OAuth 클라이언트에서 클라이언트 시크릿을 업데이트해야 합니다.- '현재 시크릿 유지 ' 확인란을 선택하면 현재 클라이언트 시크릿이 순환되는 클라이언트 시크릿 목록에 추가됩니다.
- ‘현재 시크릿 유지’ 확인란이 선택되어 있다면, 클라이언트 시크릿 설명과 만료 시간(브라우저 현지 시간 기준)을 선택하십시오. 만료 시간을 선택하지 않으면, 애플리케이션 설정에서 지정한 테넌트의 ‘교체된 비밀 키 유효 기간’이 적용됩니다.
- 갱신된 클라이언트 시크릿은 해시 처리되어 더 이상 일반 텍스트로 복구할 수 없지만, 지정된 만료일까지는 계속 사용할 수 있습니다.
- 확인 후 클라이언트 시크릿은 즉시 갱신됩니다. 새로운 클라이언트 시크릿이 화면에 표시됩니다.
- 클라이언트 시크릿을 보려면
- 개인 키 인증 기관 (선택 사항)
- 온프레미스 에이전트가 외부 인증 서비스의 TLS( TLS ) 연결을 검증할 수 있도록 CA 인증서 체인을 입력하십시오.
- 범위 인타이틀먼트(선택사항)
- 액세스 토큰에 대한 하나 이상의 범위 권한을 입력하세요.
- 개인 키 인증서 이름(선택사항)
- 에이전트 연결 시 상호 인증(MTLS, Mutual TLS ) 인증을 수행하려면 개인 키 인증서 이름을 입력하십시오.
- JSON 웹 토큰(JWT)
- HTTP 헤더
- JWT가 포함된 ‘ HTTP ’ 헤더를 입력하세요. 예를 들면,
authorization입니다. - JWT 헤더 값 접두부(옵션)
- HTTP 헤더에서 JWT 앞에 표시되는 접두사 값을 입력하세요. 예를 들면,
Bearer입니다.참고: 접두사와 JWT 사이에는 공백이 자동으로 삽입되지 않으므로, 지정된 접두사 뒤에 공백을 직접 입력해야 합니다. - 하위 청구
- JWT에 표시된 서브 클레임을 입력하세요.
- 서명 알고리즘
- 에이전트가 JWT에 서명할 때 사용할 서명 알고리즘을 선택하십시오.
대칭 서명 알고리즘(HSXXX)의 경우, 대칭 서명 키인 비밀 키 값을 입력하십시오. 입력하는 서명 키는 base64 인코딩 방식으로 되어 있어야 합니다.
비대칭 서명 알고리즘(ESXXX, PSXXX 또는 RSXXX)의 경우, JWT 서명에 사용되는 개인 키의 레이블인 개인 인증서 이름을 입력하십시오. Windows 시스템에서 이 레이블은 Windows 키 저장소 내 개인 키 인증서의 값에
Subject해당합니다./cert/{label}_cert[_{instance}].pemLinux® 시스템에서 이 값은 경로의 해당label부분에 해당합니다. - JWT의 최대 유효 기간
- JWT의 유효 기간을 초 단위로 입력하세요.
- 인증 기관 (선택 사항)
- 온프레미스 에이전트가 외부 인증 서비스 TLS 와의 연결을 검증할 수 있도록 CA 인증서 체인을 입력하십시오.
- 기본 인증
- 사용자 이름 및 비밀번호
- 웹 서비스에서 에이전트를 인증하는 데 사용되는 사용자 이름과 비밀번호입니다.
authorization이들은 형식의Basic username:password헤더를 통해 웹 서비스로 전송되며, 여기서username:password는 base64 로 인코딩된 값입니다. - 인증 기관(선택사항)
- 온프레미스 에이전트가 외부 인증 서비스 TLS 와의 연결을 검증할 수 있도록 CA 인증서 체인을 입력하십시오.
- 개인 키 인증서 이름(선택사항)
- 에이전트 연결 시 MTLS 인증을 수행하려면 개인 키 인증서 이름을 입력하십시오.
- 인증서 인증(MTLS)
- 인증 기관(선택사항)
- CA 인증서 체인을 입력하십시오. 이 인증서 체인은 온프레미스 에이전트가 TLS 를 사용하는 웹 서비스에서 제시하는 TLS 인증서의 유효성을 확인하는 데 사용됩니다. 이 인증서 체인은 또한 에이전트가 OAuth 서버의 토큰 엔드포인트( URL )에서 제시하는 TLS 인증서를 검증할 때 사용됩니다.
- 개인 키 인증서
- 에이전트가 MTLS 과정에서 사용하는 개인 키 인증서의 이름을 입력하십시오. MTLS 이외의 인증 유형의 경우, 이 값을 설정하면 에이전트가 이미 지정된 인증 유형에 더해 MTLS를 시도하게 됩니다.
Windows™ 시스템에서 브릿지는 Windows 키 저장소의 값을
Subject:확인합니다. Linux 시스템에서 브리지는 여기에 입력된 값을 라벨로 하는 경로를/cert/{label}_cert[_{instance}].pem확인합니다.
- OAUTH
- 웹 서비스에서 가져온 속성을 Cloud Directory 속성에 Verify 매핑합니다.ID 에이전트를 생성한 후에는 해당 에이전트 타일의 편집 기능을
사용하여 매핑을 변경하거나 업데이트할 수 있습니다.