12.2. SAML 클라이언트 생성

절차

1. 메뉴에서 Clients 를 클릭합니다.

2. 생성을 클릭하여 클라이언트 추가 페이지로 이동합니다.

   클라이언트 추가

   

3. 클라이언트의 클라이언트 ID 를 입력합니다. 이는 종종 URL이며 애플리케이션에서 보낸 SAML 요청에서 예상되는 발급자 값입니다.
4. 클라이언트 프로토콜 드롭다운 상자에서 saml 를 선택합니다.
5. Client SAML Endpoint URL을 입력합니다. 이 URL은 Red Hat Single Sign-On 서버에서 SAML 요청 및 응답을 보낼 수 있도록 하려는 URL입니다. 일반적으로 애플리케이션에는 SAML 요청을 처리하는 데 필요한 하나의 URL이 있습니다. 클라이언트의 설정 탭에서 여러 URL을 설정할 수 있습니다.

6. 저장을 클릭합니다. 이 작업은 클라이언트를 생성하고 설정 탭으로 이동합니다.

   클라이언트 설정

   

   다음 목록에서는 각 설정에 대해 설명합니다.

   클라이언트 ID

   OIDC 요청 및 Red Hat Single Sign-On 데이터베이스에서 사용되는 alpha-numeric ID 문자열입니다. 이 값은 AuthNRequests로 전송된 발행자 값과 일치해야 합니다. Red Hat Single Sign-On은 Authn SAML 요청에서 발행자를 가져와서 이 값으로 클라이언트에 연결합니다.

   이름

   Red Hat Single Sign-On UI 화면에서 클라이언트의 이름입니다. 이름을 지역화하려면 대체 문자열 값을 설정합니다. 예를 들어, ${myapp}와 같은 문자열 값입니다. 자세한 내용은 서버 개발자 가이드를 참조하십시오.

   설명

   클라이언트에 대한 설명입니다. 이 설정도 지역화될 수 있습니다.

   enabled

   OFF로 설정하면 클라이언트가 인증을 요청할 수 없습니다.

   동의 필요

   ON으로 설정하면 사용자는 해당 애플리케이션에 대한 액세스 권한을 부여하는 동의 페이지가 표시됩니다. 페이지에는 클라이언트가 액세스할 수 있는 정보의 메타데이터도 표시됩니다. Facebook에 대한 소셜 로그인을 수행한 적이 있는 경우 종종 유사한 페이지를 볼 수 있습니다. Red Hat Single Sign-On은 동일한 기능을 제공합니다.

   AuthnStatement 포함

   SAML 로그인 응답은 암호 및 로그인의 타임스탬프 및 세션 만료와 같은 인증 방법을 지정할 수 있습니다. AuthnStatement 를 기본적으로 사용하도록 설정하여 AuthnStatement 요소가 로그인 응답에 포함됩니다. 이 값을 OFF로 설정하면 클라이언트가 만료되지 않는 클라이언트 세션을 만들 수 있는 최대 세션 길이를 확인할 수 없습니다.

   부호 문서

   ON으로 설정하면 Red Hat Single Sign-On은 영역 개인 키를 사용하여 문서에 서명합니다.

   REDIRECT 서명 키 조회 최적화

   ON으로 설정하면 SAML 프로토콜 메시지에 Red Hat Single Sign-On 기본 확장 기능이 포함됩니다. 이 확장에는 서명 키 ID가 있는 힌트가 포함되어 있습니다. SP는 키를 사용하여 서명을 검증하는 대신 서명 유효성 검사를 위해 확장 기능을 사용합니다.

   이 옵션은 서명이 쿼리 매개변수에서 전송되고 이 정보가 서명 정보에 없는 REDIRECT 바인딩에 적용됩니다. 키 ID가 항상 문서 서명에 포함된 POST 바인딩 메시지와는 충돌합니다.

   이 옵션은 Red Hat Single Sign-On 서버 및 어댑터에서 IDP 및 SP를 제공할 때 사용됩니다. 이 옵션은 Sign Documents 가 ON으로 설정된 경우에만 관련이 있습니다.

   서명 어설션

   어설션은 SAML XML Auth 응답에 서명하여 포함됩니다.

   서명 알고리즘

   SAML 문서에 서명하는 데 사용되는 알고리즘입니다.

   SAML 서명 키 이름

   POST 바인딩을 사용하여 전송된 서명된 SAML 문서에는 KeyName 요소에서 서명 키 식별이 포함됩니다. 이 작업은 SAML 서명 키 이름 옵션을 통해 제어할 수 있습니다. 이 옵션은 Keyname 의 내용을 제어합니다.

   • KEY_ID KeyName 에는 키 ID가 포함됩니다. 이 옵션은 기본 옵션입니다.
   • ovirtRT_SUBJECT KeyName 에는 영역 키에 해당하는 인증서의 제목이 포함되어 있습니다. 이 옵션은 Microsoft Active Directory 페더레이션 서비스에서 기대할 수 있습니다.
   • NONE KeyName 팁은 SAML 메시지에서 완전히 생략됩니다.

   Canonicalization 방법

   XML 서명에 대한 정식화 방법입니다.

   암호화 어설션

   영역 개인 키를 사용하여 SAML 문서의 어설션을 암호화합니다. AES 알고리즘은 128비트의 키 크기를 사용합니다.

   필요한 클라이언트 서명

   클라이언트 서명 필수 인 경우 클라이언트에서 들어오는 문서는 서명될 것으로 예상됩니다. Red Hat Single Sign-On은 Keys 탭에 설정된 클라이언트 공개 키 또는 인증서를 사용하여 이 서명을 검증합니다.

   force POST Binding

   기본적으로 Red Hat Single Sign-On은 원래 요청의 초기 SAML 바인딩을 사용하여 응답합니다. Force POST Binding 을 활성화하면 원래 요청이 리디렉션 바인딩을 사용한 경우에도 Red Hat Single Sign-On은 SAML POST 바인딩을 사용하여 응답합니다.

   프론트 채널 로그아웃

   CloudEvent Channel Logout 이 활성화된 경우 로그아웃을 수행하려면 애플리케이션이 브라우저 리디렉션이 필요합니다. 예를 들어 애플리케이션은 리디렉션을 통해서만 수행할 수 있는 쿠키를 재설정해야 할 수 있습니다. CloudEvent Channel Logout 이 비활성화된 경우 Red Hat Single Sign-On은 백그라운드 SAML 요청을 호출하여 애플리케이션에서 로그아웃합니다.

   force Name ID 형식

   요청에 이름 ID 정책이 있는 경우 이를 무시하고 Name ID Format 아래의 Admin Console에 구성된 값을 사용합니다.

   ECP 흐름 허용

   true인 경우 이 애플리케이션은 인증에 SAML ECP 프로필을 사용할 수 있습니다.

   이름 ID 형식

   주체의 이름 ID 형식입니다. 이 형식은 요청에 이름 ID 정책이 지정되지 않거나 Force Name ID Format 속성이 ON으로 설정된 경우 사용됩니다.

   루트 URL

   Red Hat Single Sign-On에서 구성된 상대 URL을 사용하는 경우 이 값은 URL 앞에 추가됩니다.

   유효한 리디렉션 URI

   URL 패턴을 입력하고 추가할 + 기호를 클릭합니다. 제거하려면 - 기호를 클릭합니다. 저장 을 클릭하여 이러한 변경 사항을 저장합니다. 와일드카드 값은 URL 끝에만 허용됩니다. 예: http://host.com/*$$. 이 필드는 정확한 SAML 끝점이 등록되지 않은 경우 사용되며 Red Hat Single Sign-On은 요청에서 Assertion Consumer URL을 가져옵니다.

   기본 URL

   Red Hat Single Sign-On이 클라이언트에 연결해야 하는 경우 이 URL이 사용됩니다.