Red Hat Summit9.6. SAML v2.0 ID 공급자
Red Hat Single Sign-On은 SAML v2.0 프로토콜을 기반으로 ID 공급자를 중개할 수 있습니다.
절차
- 메뉴에서 Identity Providers 를 클릭합니다.
Add provider목록에서SAML v2.0을 선택합니다.ID 공급자 추가
- 초기 구성 옵션을 입력합니다. 구성 옵션에 대한 자세한 내용은 일반 IDP 구성을 참조하십시오. .SAML Config
| 설정 | 설명 |
|---|---|
| 서비스 공급자 엔터티 ID |
원격 ID 공급자가 이 서비스 공급자의 요청을 식별하는 데 사용하는 SAML 엔티티 ID입니다. 기본적으로 이 설정은 realms 기본 URL < |
| ID 공급자 엔티티 ID | 수신된 SAML 어설션에서 Issuer 요소의 유효성을 검사하는 데 사용되는 SAML 엔티티 ID입니다. 비어있는 경우 Issuer validation이 수행되지 않습니다. SAML IDP에서 IDP 엔티티 설명자를 게시하는 경우 이 필드의 값이 지정됩니다. |
| Single Sign-On 서비스 URL | 인증 프로세스를 시작하는 SAML 끝점입니다. SAML IDP에서 IDP 엔티티 설명자를 게시하는 경우 이 필드의 값이 지정됩니다. |
| 단일 로그아웃 서비스 URL | SAML 로그 아웃 끝점입니다. SAML IDP에서 IDP 엔티티 설명자를 게시하는 경우 이 필드의 값이 지정됩니다. |
| Backchannel Logout | SAML IDP에서 백 채널 로그아웃을 지원하는 경우 이 스위치를 ON 으로 전환합니다. |
| NameID 정책 형식 |
이름 식별자 형식에 해당하는 URI 참조입니다. 기본적으로 Red Hat Single Sign-On은 |
| 주요 유형 | 외부 사용자 ID를 식별하고 추적하는 데 사용할 SAML 어설션의 부분을 지정합니다. Subject NameID 또는 SAML 속성(이름 또는 친숙한 이름)일 수 있습니다. subject NameID 값은 'urn:oasis:names:tc:SAML:nameid-format:transient' NameID Policy Format 값과 함께 설정할 수 없습니다. |
| 주요 속성 | Principal 유형이 공백이 아닌 경우 이 필드는 식별 특성의 이름("Attribute [Name]") 또는 친숙한 이름("Attribute [Friendly Name]")을 지정합니다. |
| allow create | 외부 ID 공급자가 주체를 나타내는 새 ID를 생성하도록 허용합니다. |
| HTTP-ECDHE 바인딩 응답 | 외부 IDP에서 보낸 모든 SAML 요청에 대한 응답으로 SAML 바인딩을 제어합니다. OFF 인 경우 Red Hat Single Sign-On에서는 리디렉션 바인딩을 사용합니다. |
| AuthnRequest의 HTTP-ECDHE 바인딩 | 외부 IDP에서 인증을 요청할 때 SAML 바인딩을 제어합니다. OFF 인 경우 Red Hat Single Sign-On에서는 리디렉션 바인딩을 사용합니다. |
| AuthnRequests 서명 필요 | ON (켜짐)인 경우 Red Hat Single Sign-On은 영역의 키 쌍을 사용하여 외부 SAML IDP로 전송된 요청에 서명합니다. |
| 서명 알고리즘 | iPXE AuthnRequests Signed 가 ON 인 경우 사용할 서명 알고리즘입니다. |
| SAML 서명 키 이름 |
POST 바인딩을 사용하여 보낸 서명된 SAML 문서에는 기본적으로 Red Hat Single Sign-On 키 ID가 포함된 |
| 강제 인증 | 사용자가 이미 로그인한 경우에도 사용자가 외부 IDP에 자격 증명을 입력해야 합니다. |
| 서명 검증 | ON 영역에서는 SAML 요청 및 외부 IDP의 응답이 디지털 서명될 것으로 예상합니다. |
| X509 인증서 검증 | Red Hat Single Sign-On에서 사용하는 공개 인증서에서 SAML 요청 서명과 외부 IDP의 응답의 유효성을 검사합니다. |
| 서비스 공급자 메타데이터 서명 | ON 인 경우 Red Hat Single Sign-On은 영역의 키 쌍을 사용하여 SAML 서비스 공급자 메타데이터 설명자에 서명합니다. |
| 합격 주체 |
Red Hat Single Sign-On이 |
| 서비스 인덱스를 사용하는 특성 | 원격 IDP에 요청하도록 설정된 속성을 식별합니다. Red Hat Single Sign-On은 ID 공급자 구성에 매핑된 속성을 자동 생성된 SP 메타데이터 문서에 자동으로 추가합니다. |
| 서비스 이름 사용 특성 | 자동 생성된 SP 메타데이터 문서에 공개된 속성 집합에 대한 설명이 포함된 이름입니다. |
외부 IDP의 SAML IDP 엔티티 설명자를 가리키는 URL 또는 파일을 제공하여 모든 구성 데이터를 가져올 수 있습니다. Red Hat Single Sign-On 외부 IDP에 연결하는 경우 URL < root>/auth/realms/{realm-name}/protocol/saml/descriptor 에서 IDP 설정을 가져올 수 있습니다. 이 링크는 IDP에 대한 메타데이터를 설명하는 XML 문서입니다. 연결할 외부 SAML IDP 엔터티 설명자를 가리키는 URL 또는 XML 파일을 제공하여 이 구성 데이터를 모두 가져올 수도 있습니다.
9.6.1. 특정 AuthnContexts 요청
ID 공급자를 사용하면 사용자 ID를 확인하는 인증 방법에 대한 제약 조건을 지정하는 클라이언트를 용이하게 합니다. 예를 들어 MFA, Kerberos 인증 또는 보안 요구 사항을 요청합니다. 이러한 제약 조건은 특정 AuthnContext 기준을 사용합니다. 클라이언트는 하나 이상의 기준을 요청하고 ID 공급자가 요청된 AuthnContext와 정확히 일치하는 방법을 지정할 수 있습니다.
Requested AuthnContext Constraints 섹션에 ClassRefs 또는 DeclRefs를 추가하여 서비스 공급자에 필요한 조건을 나열할 수 있습니다. 일반적으로 ClassRefs 또는 DeclRefs를 제공해야 하므로 지원되는 ID 공급자 설명서를 확인하십시오. ClassRefs 또는 DeclRefs가 없는 경우 ID 공급자는 추가 제약 조건을 적용하지 않습니다.
| 설정 | 설명 |
|---|---|
| 비교 |
ID 공급자가 컨텍스트 요구 사항을 평가하는 데 사용하는 방법입니다. 사용 가능한 값은 |
| AuthnContext ClassRefs | 필수 기준을 설명하는 AuthnContext ClassRefs. |
| AuthnContext DeclRefs | 필수 기준을 설명하는 AuthnContext DeclRefs. |
9.6.2. SP 설명자
공급자의 SAML SP 메타데이터에 액세스할 때 ID 공급자 구성 설정에서 Endpoints 항목을 찾습니다. 서비스 공급자에 대한 SAML 엔티티 설명자를 생성하는 SAML 2.0 서비스 공급자 메타데이터 링크가 포함되어 있습니다. 설명자를 다운로드하거나 URL을 복사한 다음 원격 ID 공급자로 가져올 수 있습니다.
이 메타데이터는 다음 URL로 이동하여 공개적으로 사용할 수도 있습니다.
http[s]://{host:port}/auth/realms/{realm-name}/broker/{broker-alias}/endpoint/descriptor
http[s]://{host:port}/auth/realms/{realm-name}/broker/{broker-alias}/endpoint/descriptor설명자에 액세스하기 전에 구성 변경 사항을 저장하십시오.
9.6.3. SAML 요청에서 주체 보내기
기본적으로 SAML ID 공급자를 가리키는 소셜 버튼은 사용자를 다음 로그인 URL로 리디렉션합니다.
http[s]://{host:port}/auth/realms/${realm-name}/broker/{broker-alias}/login
http[s]://{host:port}/auth/realms/${realm-name}/broker/{broker-alias}/login
이 URL에 login_hint 라는 쿼리 매개변수를 추가하면 매개변수의 값이 SAML 요청에 주체 속성으로 추가됩니다. 이 쿼리 매개변수가 비어 있으면 Red Hat Single Sign-On에서 요청에 제목을 추가하지 않습니다.
"Pass subject" 옵션을 활성화하여 SAML 요청에서 주체를 보냅니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}