10장. SSO 프로토콜

권한 부여 코드 Flow는 브라우저 기반 프로토콜이며 브라우저 기반 애플리케이션 인증 및 승인에 적합합니다. 브라우저 리디렉션을 사용하여 ID 및 액세스 토큰을 가져옵니다.

기밀 클라이언트는 토큰의 임시 코드를 교환할 때 클라이언트 시크릿을 제공합니다. 클라이언트 시크릿을 제공하기 위해 공용 클라이언트가 필요하지 않습니다. 공용 클라이언트는 HTTPS가 엄격하게 적용되며 클라이언트에 등록된 리디렉션 URI가 엄격하게 제어될 때 안전합니다. HTML5/JavaScript 클라이언트는 클라이언트 시크릿을 HTML5/JavaScript 클라이언트에 안전하게 전송할 수 없기 때문에 공개 클라이언트가 있어야 합니다. 자세한 내용은 클라이언트 관리 장을 참조하십시오.

Red Hat Single Sign-On은 코드 교환에 대한 증명 키 도 지원합니다.

Implicit Flow는 브라우저 기반 프로토콜입니다. 권한 부여 코드 흐름과 유사하지만 요청 수가 적고 새로 고침 토큰이 없는 것입니다.

이 프로토콜은 다음과 같이 작동합니다.

직접 액세스 권한은 REST 클라이언트가 사용자를 대신하여 토큰을 가져오는 데 사용됩니다. 다음을 포함하는 HTTP POST 요청입니다.

HTTP 응답에는 ID , 액세스 , 새로 고침 토큰이 포함되어 있습니다.

클라이언트 자격 증명 부여 는 외부 사용자를 대신하여 작동하는 토큰을 가져오는 대신 클라이언트와 연결된 서비스 계정의 메타데이터 및 권한에 따라 토큰을 생성합니다. 클라이언트 자격 증명 권한은 REST 클라이언트가 사용합니다.

자세한 내용은 서비스 계정 장을 참조하십시오.

이는 입력 기능이 제한되거나 적절한 브라우저가 없는 인터넷에 연결된 장치에서 실행되는 클라이언트가 사용합니다. 프로토콜에 대한 간단한 요약은 다음과 같습니다.

이 기능은 OAuth 2.0의 권한 부여 코드 부여와 같은 사용자 브라우저를 통해 리디렉션하지 않고 OpenID 공급자와 직접 통신하여 인증 흐름을 시작하려는 클라이언트가 사용합니다. 프로토콜에 대한 간단한 요약은 다음과 같습니다.

관리자는 CIBA(Client Initiated Backchannel Authentication) 관련 작업을 영역당 CIBA 정책 으로 구성할 수 있습니다.

또한 보안 애플리케이션 및 서비스 가이드의 Backchannel Authentication Endpoint 섹션 및 보안 애플리케이션 및 서비스 가이드의 클라이언트 Initiated Backchannel Authentication Grant 섹션 과 같은 Red Hat Single Sign-On 설명서의 다른 위치를 참조하십시오.

<spi name="ciba-auth-channel">
    <default-provider>ciba-http-auth-channel</default-provider>
    <provider name="ciba-http-auth-channel" enabled="true">
        <properties>
            <property name="httpAuthenticationChannelUri" value="https://backend.internal.example.com/auth"/>
        </properties>
    </provider>
</spi>

POST [delegation_reception]

POST /auth/realms/[realm]/protocol/openid-connect/ext/ciba/auth/callback

이는 브라우저 기반 로그 아웃입니다. 애플리케이션은 정기적으로 Red Hat Single Sign-On에서 세션 상태 정보를 가져옵니다. 세션이 Red Hat Single Sign-On에서 종료되면 애플리케이션은 이를 확인하고 자체 로그아웃을 트리거합니다.

이는 또한 사용자를 Red Hat Single Sign-On의 특정 엔드포인트로 리디렉션하여 로그아웃이 시작되는 브라우저 기반 로그 아웃이기도 합니다. 이 리디렉션은 일반적으로 사용자가 일부 애플리케이션의 페이지에서 Log Out 링크를 클릭하면 발생합니다. 이 링크는 이전에 Red Hat Single Sign-On을 사용하여 사용자를 인증했습니다.

사용자가 로그아웃 끝점으로 리디렉션되면 Red Hat Single Sign-On은 클라이언트에 로그 아웃 요청을 전송하여 로컬 사용자 세션을 무효화하고 로그아웃 프로세스가 완료되면 사용자를 일부 URL로 리디렉션할 것입니다. id_token_hint 매개변수를 사용하지 않은 경우 사용자가 선택적으로 logout을 확인하도록 요청할 수 있습니다. 로그아웃 후 매개 변수로 제공된 경우 사용자가 지정된 post_logout_redirect_uri 로 자동 리디렉션됩니다. post_logout_redirect_uri 가 포함된 경우 client_id 또는 id_token_hint 매개변수를 포함해야 합니다. post_logout_redirect_uri 매개변수는 클라이언트 구성에 지정된 Valid Post Logout Redirect URI 중 하나와 일치해야 합니다.

클라이언트 구성에 따라 로그 아웃 요청을 프런트채널 또는 백 채널을 통해 클라이언트에 보낼 수 있습니다. 이전 섹션에 설명된 세션 관리에 의존하는 프런트 엔드 브라우저 클라이언트의 경우 Red Hat Single Sign-On은 로그 아웃 요청을 보낼 필요가 없습니다. 이 클라이언트는 브라우저에서 SSO 세션을 자동으로 감지합니다.

프론트 채널을 통해 로그 아웃 요청을 수신하도록 클라이언트를 구성하려면 IRQ -Channel Logout 클라이언트 설정을 참조하십시오. 이 방법을 사용하는 경우 다음 사항을 고려하십시오.

프론트 채널 logout으로 클라이언트가 활성화되지 않은 경우 Red Hat Single Sign-On은 먼저 Back-Channel Logout URL 을 사용하여 백채널을 통해 로그 아웃 요청을 보냅니다. 정의되지 않은 경우 서버는 관리 URL로 대체됩니다.

이는 Red Hat Single Sign-On과 클라이언트 간의 직접 백채널 통신을 사용하는 브라우저 기반 로그 아웃입니다. Red Hat Single Sign-On은 Red Hat Single Sign-On에 로그인한 모든 클라이언트에 로그 아웃 토큰이 포함된 HTTP POST 요청을 보냅니다. 이러한 요청은 Red Hat Single Sign-On의 등록된 백채널 로그 아웃 URL로 전송되며 클라이언트 측에서 로그아웃을 트리거해야 합니다.