SAML 엔터프라이즈 ID 제공자 추가하십시오.

온라인에서 편집하기

SAML 프로토콜을 지원하는 모든 ID 공급자를 SAML Enterprise의 ID 공급자로 사용할 수 있습니다. Verify신원 제공자는 사용자에게 액세스 권한을 부여하기 전에, 자체 데이터베이스에 저장된 정보를 바탕으로 사용자의 신원을 인증합니다.

프로시저

  1. ‘인증 ’ > ‘ID 공급자’를 선택합니다.
  2. ‘ID 공급자 추가’를 선택합니다.
  3. ‘ SAML Enterprise’를 선택하세요.
  4. ‘다음’을 선택하세요.
  5. ‘일반’ 페이지에서 다음 정보를 입력하십시오.
    이름
    신원 확인 서비스 제공업체 에 대해 알아보기 쉬운 이름을 지정하십시오.
    범위

    이는 동일한 사용자 이름을 가진 여러 신원 제공자의 사용자를 구별하는 데 도움이 되는 신원 제공자 속성입니다.

    사용자 등록에 구성된 다른 모든 ID 소스에서 고유한 이름이어야 합니다. 이름은 모든 영숫자 문자를 포함할 수 있습니다. 점(.) 및 하이픈(-) 이외의 특수 문자는 허용되지 않습니다.

    최대 허용 문자열 길이는 도메인 이름의 최대 길이와 유사한 253자입니다.
    참고: 이름을 생성한 후에는 수정할 수 없습니다.
    ID
    ID는 구성을 저장하고 나면 작성됩니다.
    사용
    로그인 시 이 ID 공급자를 사용하려면 이 확인란을 선택하세요.

    ID 제공자가 활성 상태이고 사용 가능한지 여부를 표시합니다.

    ID 공급자가 구성되고 활성화되면, 사용자는 선택한 ID 공급자를 통해 단일 로그인을 통해 권한이 부여된 애플리케이션에 Verify 접속할 수 있습니다. ID 제공자를 사용할 수 없는 경우, 로그인 페이지에 옵션으로 표시되지 않습니다.
    참고:
    • Verify에 로그인할 수 있는 최소 하나의 ID 제공자가 있어야 합니다.
    • 하나의 ID 제공자만 사용으로 설정되어 있는 경우, 사용자의 기본 로그인 옵션이 됩니다.
    고유 ID 사용
    이 신원 공급자에게 고유 식별자를 할당하려면 이 확인란을 선택하십시오. 이 기능을 사용하면 각각 고유한 ID를 가진 여러 ID 공급자를 동일한 공급자 ID로 구성할 수 있습니다.
    참고: 이 값은 무작위로 생성되며, ID 공급자가 생성된 후에는 변경할 수 없습니다.
    • 고유 식별자는 서비스 제공자 엔드포인트 URL에 Verify 포함됩니다.
    • 이 기능이 활성화되지 않은 경우, 이 ID 공급자만이 공급자 ID로 구성될 수 있습니다.
  6. ‘다음’을 선택하세요.
  7. 신원 제공자에게 다음 서비스 제공자 메타데이터 속성을 제공하십시오. 정보를 복사하거나 메타데이터 파일을 다운로드할 수 있습니다.
    엔티티 ID
    SAML 인증 요청 의 발급자 및 수신되는 모든 SAML 인증 응답 의 수신자를 지정합니다.
    참고: 엔티티 ID는 기본 호스트명을 기반으로 합니다. 가상 호스트명을 사용하더라도 변경되지 않습니다. 메타데이터 파일을 다운로드하여, 파트너를 사용자 지정 호스트명으로 수동으로 구성할 때 사용할 적절한 값을 확인하십시오.
    권한 정보 이용자 서비스 URL

    서비스 공급자 측에서 ‘ SAML ’ 인증 응답을 수신하는 엔드포인트를 지정합니다.

    ID 제공자는 SAML 인증 응답을 URL 로 리디렉션합니다. 이 엔드포인트는 ` SAML ` 어설션을 수신하고 처리합니다.

    단일 로그아웃 URL

    SAML 로그아웃 요청 및 응답을 수신하는 서비스 제공자의 엔드포인트를 지정합니다.

    ID 제공자는 SAML 로그아웃 요청 및 응답을 이 URL로 경로 재지정합니다. 이 엔드포인트는 SAML 로그아웃 요청 및 응답을 수신하고 처리합니다.

    NameID 경영진 URL

    신원 제공자가 요청한 대로 사용자의 식별자( NameID )에 대한 변경 사항을 동기화하는 데 사용되는 서비스 제공자의 엔드포인트를 지정합니다.

    ID 제공자는 NameID 매핑 업데이트 또는 해지 요청을 이 URL 으로 전송합니다. 이 엔드포인트는 사용자의 고유 식별자가 변경될 때 서비스 제공자와 신원 제공자 간의 신원 동기화가 일관되게 유지되도록 보장합니다.

  8. ‘다음’을 선택하세요.
  9. 서비스 제공자 (SP)가 SAML 단일 로그인(SSO) 흐름을 시작할지, 아니면 신원 제공자(IDP) 가 시작할지 선택하려면 해당 라디오 버튼을 선택하십시오.
    • 서비스 제공업체.
      참고: 이 옵션을 선택하면 신원 제공자 메타데이터를 형식으로 .xml 업로드해야 합니다.
    • ID제공자
      이 시나리오에서:
      1. 사용자가 ID 제공자 사이트에 계정을 가지고 있습니다.
      2. 사용자가 ID 제공자 사이트에 사인인하거나 ID 제공자 싱글 사인온 URL을 사용하여 서비스 제공자의 보호된 리소스에 액세스합니다.
      3. 신원 제공자는 사용자가 인증되었음을 확인하는 SAML 인증 응답 을 시작합니다.
      4. 서비스 제공자는SAML ’ 인증 응답을 검증합니다.
      5. 사용자 브라우저의 경로가 서비스 제공자 대상 URL로 재지정되며 요청된 리소스에 액세스할 수 있는 권한이 사용자에게 부여됩니다.
      ‘ID 공급자’를 선택한 경우, 싱글 사인온(SSO) URL 를 입력해야 합니다. ID 제공자에서 서비스 제공자로의 싱글 사인온을 시작하는 URL입니다.
  10. ‘다음’을 선택하세요.
  11. 선택 사항: ‘단일 로그아웃’ 페이지에서 수신되는 로그아웃 요청 및 응답 메시지에 서명이 필요한지 여부를 지정합니다.
    • 수신 로그아웃 요청 메시지에 서명이 필요한 경우 로그아웃 요청 서명 유효성 검증을 선택하십시오.
    • 수신 로그아웃 응답 메시지에 서명이 필요한 경우에는 로그아웃 응답 서명 유효성 검증을 선택하십시오.
    참고:
    • 업로드한 ID 공급자 메타데이터 파일에 HTTP POST 바인딩이 포함된 `element`가 SingleLogoutService 있다면, 해당 ID 공급자에 대해 단일 로그아웃 기능이 활성화됩니다.
    • 서비스 제공자가 시작하는 단일 로그아웃을 위한 URL 는 다음과 같은 요청 콜백과 유사합니다: https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost.
    • Verify현재 세션의 SAML 신원 제공자가 에서 전송된 로그아웃 요청에 응답하지 않으면, 단일 로그아웃은 해당 신원 제공자 에서 중단됩니다. 단일 로그아웃을 재개하려면 사용자는 단일 로그아웃 절차를 다시 수행해야 합니다.
  12. ‘다음’을 선택하세요.
  13. 선택 사항: ‘저스트-인-타임 프로비저닝 및 ID 연동’ 페이지에서 저스트-인-타임 프로비저닝 및 ID 연동을 활성화할지 여부를 지정합니다.
    1. 저스트-인-타임 프로비저닝을 활성화할지 여부를 선택하십시오.
      이 옵션은 ‘ SAML ’ 신원과 연결된 기본 ID 공급자 영역에서 사용자 계정을 생성하고 업데이트합니다. ‘저스트-인-타임(Just-in-Time) 프로비저닝’이 비활성화된 경우, 디렉토리에 일치하는 사용자 레코드가 없으면 이 ID 공급자를 통해 로그인을 시도하는 사용자는 인증을 받을 수 없습니다.
    2. ‘고유 사용자 식별자 ’ 메뉴에서 ID 공급자의 사용자 레지스트리에 있는 사용자를 식별하는 속성을 지정하십시오.
      이 ID 공급자에 대해 ‘ID 연결 사용’을 선택한 경우, UUID를 입력해야 합니다.
    3. 고유 사용자 식별자 값을 변환할 변환 값을 선택하거나 기본값인 ‘없음 ’을 그대로 두십시오.
    4. ‘이 ID 공급자에 대해 ID 연결 사용’ 확인란을 선택합니다.
      특정 ID 공급자에 대한 ID 연동 기능을 활성화합니다. 이 ID 공급자에 대해 지정된 영역의 Cloud Directory에는 섀도 계정이 생성되지 않습니다.
      참고:
      1. 기본 ID 공급자로 설정된 ID 공급자에서는 링크 기능을 활성화할 수 없습니다.
      2. 기본 연결 ID 공급자를 비활성화하거나 삭제할 수 없습니다.
      ID 링크를 사용하도록 설정한 경우 계정에 사용할 고유 ID를 선택하십시오. 이 고유 식별자는 클라우드 디렉터리 계정의 속성과 Username 비교됩니다.
    5. ‘외부 ID’ 메뉴에서 ID 공급자의 사용자 레지스트리에 있는 사용자를 식별하는 속성을 지정하거나 사용자 정의 외부 ID를 지정하십시오.
      기본값은 사용자 ID 입니다.
    6. 변환 값을 선택하여 외부 ID 값을 변환하거나, 기본값인 ‘없음 ’을 그대로 두십시오.
    7. 계정 연동을 위해 ‘강제 인증’을 활성화할지 여부를 선택하십시오.
      이 옵션은 영구 nameid 형식 SAML 토큰을 사용하는 플로우에만 적용됩니다. 선택 시, 인증된 사용자 계정을 SAML 토큰의 주체와 연결하기 위해 사용자에게 먼저 연결된 영역에 대한 인증을 요청합니다. 이 옵션을 선택하지 않으면, nameid ‘ SAML ’ 엔터프라이즈 ID 공급자에 대한 관리 작업이 지원되지 않습니다.
  14. ‘다음’을 선택하세요.
  15. 선택 사항: ‘속성 매핑’ 페이지에서 ‘ SAML ’ 엔터프라이즈 ID 공급자의 속성을 ‘Cloud Directory’에 IBM® Verify 매핑합니다.
    참고: 아무것도 선택하지 않으면 글로벌 설정에 지정된 속성 매핑 이 적용됩니다. 그렇지 않은 경우, ‘ SAML ’ 엔터프라이즈 ID 공급자에 지정된 속성 매핑 이 ‘전역 설정’의 선택 사항을 우선합니다. 전역 설정 에 대한 자세한 내용은 ‘전역 설정 구성’을 참조하십시오.
    1. ‘속성 매핑 추가’를 선택합니다.
    2. 다음 옵션 중 하나를 사용하여 ‘ SAML ’ 엔터프라이즈 ID 공급자 속성을 지정하십시오.
      1. 다음 목록에서 선택하십시오.
        속성 이름 설명
        company 사용자의 회사입니다.
        country 사용자의 국가입니다.
        displayName 사용자의 표시 이름입니다.
        email 알림이 전송되는 사용자의 이메일 주소입니다.
        family_name 사용자 성입니다.
        given_name 사용자의 이름입니다.
        mobile_number 알림이 전송되는 사용자의 휴대전화 번호입니다.
        userID 사용자의 고유 ID입니다.
        Custom rule SAML Enterprise용 사용자 지정 ID 제공자 속성. '사용자 지정 규칙'을 선택한 경우, 규칙 편집기에 사용자 지정 규칙을 입력하고 '확인'을 클릭하여 저장하십시오.
      2. 속성 선택하기 필드에 속성 이름을 입력하십시오. 옵션 목록에서 사용할 수 없는 속성 이름입니다.
    3. SAML Enterprise Identity 제공자 속성을 변환할 변환 값을 선택하거나 기본값인 ‘없음’을 그대로 유지하십시오.
      속성 이름 설명
      Uppercase 속성을 대문자로 변환합니다.
      Lowercase 속성을 소문자로 변환합니다.
      Base64 Encode base64 인코딩 알고리즘을 사용하는 transforms 속성입니다.
      Base64 Decode base64 디코딩 알고리즘을 사용하는 transforms 속성입니다.
      Encode URI URI 인코딩 방식을 사용하는 transforms 속성입니다.
      Encode URI Component URI 구성 요소 인코딩 방식을 사용하는 transforms 속성입니다.
      Decode URI URI 디코딩 방식을 사용하는 transforms 속성입니다.
      Decode URI Component URI 구성 요소 디코딩 메서드를 사용하는 변환 속성입니다.
      Generate UUID if no value is evaluated 범용 고유 식별자를 생성하기 위해 속성을 변환합니다.
      Current Time (seconds) 시간(초)으로 속성을 변환합니다.
      Current Time (milliseconds) 시간(밀리초)으로 속성을 변환합니다.
      SHA-256 Hash SHA-256 알고리즘을 사용하는 변환 속성입니다.
      SHA-512 Hash SHA-512 알고리즘을 사용하는 변환 속성입니다.
    4. 속성을 IBM Verify 지정하십시오. 속성에 대한 자세한 내용은 ‘속성 관리’를 참조하십시오.
      참고: 다음의 예약된 내장 속성은 ID 제공자 속성과 매핑되지 않으므로 선택하지 마십시오.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. user profile속성이.에 어떻게 저장되는지 명시하십시오.
      • 항상 - 각 로그인 시 속성을 저장하거나 업데이트하십시오.
      • 사용자 생성 시에만 - 계정 생성 시점부터 해당 속성을 저장합니다.
      • 사용 불가능 - 속성을 저장하거나 갱신하지 않습니다.
    6. 필수: 추가하고 매핑하는 각 속성에 대해 이 과정을 반복해야 합니다.
  16. 선택 사항: 사용자 액세스 권한 그룹의 소스를 지정하려면 다음 그룹 멤버십 소스 중 하나를 선택하십시오.
    주의: 그룹 멤버십 소스를 구성할 때는 주의하십시오. ‘Identity Source’에서 파생되도록 구성된 경우, 사용자 액세스 권한은 해당 groupIds 클레임을 포함하는 ID 공급자 토큰에서 파생됩니다. IBM VerifyIBM Verify청구 groupIds 항목의 값이 ‘예약된 시스템 그룹’인 경우, 사용자가 로그인하면 예약된 시스템 그룹에 대한 권한이 부여됩니다.
    • 클라우드 디렉토리 - 사용자 액세스 권한은 클라우드 디렉토리의 사용자 그룹에서 파생됩니다.
    • 클라우드 디렉터리 및 ID 소스 - 사용자 액세스 권한은 클라우드 디렉터리의 사용자 그룹과 클레임이 포함된 groupIds ID 공급자 토큰에서 파생됩니다.
    • 신원 소스 - 사용자 액세스 권한은 클레임이 groupIds 포함된 신원 제공자 토큰에서 파생됩니다.
      참고: ID 공급자 토큰에 해당 groupIds 클레임이 포함되어 있지 않으면 그룹 멤버십 권한을 전혀 얻을 수 없습니다.
    • 사용자 정의 규칙. '사용자 지정 규칙'을 선택한 경우, 규칙 편집기에 사용자 지정 규칙을 입력한 다음 '확인'을 클릭하여 저장하십시오. 사용자 액세스 권한은 사용자 정의 규칙을 기반으로 파생됩니다.
    참고: 아무것도 선택하지 않으면, 전체 설정에서 선택된 그룹 멤버십 소스가 적용됩니다. 그렇지 않은 경우, SAML ’ 엔터프라이즈 ID 공급자에서 선택한 그룹 멤버십 소스가 ‘전역 설정’의 선택 사항을 우선합니다.
  17. ‘다음’을 선택하세요.
  18. 선택 사항: 개인정보 보호 프로필을 생성한 경우, 메뉴에서 프로필을 선택하세요.
    개인정보 프로필을 설정하려면 이 디렉토리의 사용자가 일련의 데이터 사용 목적이나 사용자 라이선스 계약(EULA), 또는 두 가지 모두를 검토하고 동의해야 합니다. ‘개인정보 프로필 관리’를 참조하십시오.
  19. ‘다음’을 선택하세요.
  20. 선택 사항: CI-108233 의 공개 미리 보기를 활성화한 경우, 사용자 초대 기능을 활성화할지 여부를 선택하세요.
    초대장은 API를 사용하여 POST /v1.0/usc/user/invitation 생성 및 발송됩니다. “사용자 초대”를 참조하십시오. 다른 사람을 새 사용자로 등록하도록 초대하려면 ‘사용자 초대 허용’ 확인란을 선택하세요. 또한 사용자가 초대 수락 과정에서 추가 정보를 입력할 수 있도록 사용자 프로필을 선택할 수도 있습니다. “사용자 프로필 관리”를 참조하십시오.
  21. ‘완료’를 선택하세요.
    ID 공급자 구성이 편집 모드로 열립니다.