를 사용하여 복수 제공자 SSO 설정 에지 암호화 규칙

Xanadu 플랫폼 보안

Release

xanadu

ft:locale

ko-KR

ft:publication_title

Xanadu 플랫폼 보안

ft:clusterId

psec

bundleId

psec

workflow

Platform

를 사용하여 복수 제공자 SSO 설정 에지 암호화 규칙

릴리스 버전: Xanadu

업데이트 날짜 2024년 08월 01일

읽기6분

프록시 서버 URL 또는 인스턴스 URL을 통해 로그인할 수 있도록 복수 제공자 SSO 에지 암호화 규칙 를 설정합니다. 복수 제공자 1회 사용자 인증(SSO)을 활성화하여 에지 암호화 규칙 구현하는 경우 일부 사용자는 프록시 서버를 통해 에지 암호화 규칙 인스턴스에 로그인해야 하지만 다른 사용자는 그렇지 않을 수 있습니다.

시작하기 전에

통합 - 다중 제공자 1회 사용자 인증(SSO) 설치 관리자 플러그인(com.snc.integration.sso.multi.installer)을 활성화합니다.
플러그인(com.glide.edgeencryption)을 에지 암호화 규칙 활성화하고 네트워크에 하나 이상의 프록시 서버가 설정되어 있는지 확인합니다.
사용자가 복수 제공자 SSO 에지 암호화 규칙 를 사용하여 로그인할 프록시 서버의 URL을 결정합니다. 프록시 서버의 URL을 에지 암호화 규칙 확인하려면 을 참조하십시오 에지 암호화 규칙 설치.

필요한 역할: admin

이 태스크 정보

로그인하는 사용자는 Edge 프록시를 사용하거나 Edge 프록시를 사용하지 않고 적절한 URL을 사용하여 로그인해야 합니다.

프록시 서버를 통해 모든 사용자를 라우팅하는 에지 암호화 규칙 경우 ID 제공자 기록을 설정하고 ServiceNow 홈페이지, 엔터티 ID/발급자 및 대상 URI 필드에서 프록시 서버 URL을 정의합니다.
일부 사용자는 프록시 서버를 통해, 일부 사용자는 인스턴스로 라우팅하려면 두 개의 신원 확인 제공자 기록을 생성합니다. 두 기록 모두 ID 제공자 URL 필드에서 동일한 값을 사용합니다. 그러나 기록 중 하나는 프록시 서버를 통해 라우팅되고 다른 하나는 인스턴스로 라우팅됩니다.
- 인스턴스 이름을 통한 로그인: https://<인스턴스 이름>.service-now.com/login_with_sso.do?glide_sso_id= 비 Edge 프록시에 대한 IdP 기록의 <sys_id
- Edge 프록시를 통해 로그인: https://<edge hostname>:<port>/login_with_sso.do?glide_sso_id= Edge 프록시에 대한 IdP 기록의 <sys_id

프로시저

ID 제공자 기록에서 ID 제공자 URL의 중복을 활성화합니다.
고유한 제약 조건은 두 개의 서로 다른 ID 제공자 기록에서 ID 제공자 URL의 중복을 방지합니다. 필드를 false로 설정하여 여러 IdP 기록에서 ID 제공자 URL의 복제를 활성화할 수 있습니다.
1. 다음으로 이동 시스템 정의 > 딕셔너리.
2. ID 제공자 테이블[saml2_update1_properties]에서 idp 필드에 대한 정의 기록을 엽니다.
3. 고유 필드를 추가하도록 양식을 구성합니다.
4. 고유 필드의 값이 false로 설정되어 있는지 확인합니다.
다음으로 이동 복수 제공자 SSO > 계정 제공자.

동일한 ID 제공자에 대해 두 개의 ID 제공자 기록을 생성합니다. 하나는 인스턴스 URL을 사용하고 다른 하나는 프록시 서버 URL을 에지 암호화 규칙 사용합니다.

ID 공급자 레코드를 생성하려면 외부 ID 공급자 생성 섹션을 참조하세요.

프록시 서버 URL의 에지 암호화 규칙 경우 이 값을 사용하여 양식을 작성합니다.


필드	값
계정 제공자 URL	IdP 메타데이터에서 임포트됩니다.
ServiceNow 홈페이지	프록시 서버 홈페이지의 URL입니다. 예: https://<proxy hostname>:<port>/navpage.do
엔터티 ID/발급자	https://<proxy hostname>:<port>
대상 그룹 URI	https://<proxy hostname>:<port>

제출을 클릭합니다.

인스턴스 URL의 경우 이 값을 사용하여 양식을 작성합니다.


필드	값
계정 제공자 URL	IdP 메타데이터에서 임포트됩니다.
ServiceNow 홈페이지	https://<인스턴스>.service-now.com/navpage.do
엔터티 ID/발급자	https://<인스턴스>.service-now.com/navpage.do
대상 그룹 URI	https://<인스턴스>.service-now.com/navpage.do

제출을 클릭합니다.

옵션: 둘 이상의 ID 제공자를 사용하는 경우 MultiSSO 설치 종료를 수정합니다.

다음으로 이동 시스템 정의 > 설치 종료.
시스템에 현재 설치 종료 목록이 표시됩니다.
MultiSSO 설치 종료를 엽니다.

스크립트 필드에서 다음 문을 찾습니다.

var samlResponseTxt = request.getParameter("SAMLResponse");
if (!GlideSession.get().isLoggedIn() && GlideStringUtil.notNil(samlResponseTxt)) {
    var idpRecord = this.getIdPRecord(request);
    if (idpRecord) {
        SSO_Helper.debug("IdP found based on SAML response: " + idpRecord.getUniqueValue());
        return new SSO_Helper(idpRecord.getUniqueValue(), false, null, true);
    }
}

이 문장을 다음 코드로 바꿉니다.

var samlResponseTxt = request.getParameter("SAMLResponse");
if (!GlideSession.get().isLoggedIn() && GlideStringUtil.notNil(samlResponseTxt)) {
   /* // You have two profiles that use the same IdP entity id it cannot use
   // the IdP issuer / entity id from the response otherwise it may result in the
   // wrong IdP profile. IdP initiated login will not work
   var idpRecord = this.getIdPRecord(request);
   if (idpRecord) {
      SSO_Helper.debug("IdP found based on SAML response: " + idpRecord.getUniqueValue());
      return new SSO_Helper(idpRecord.getUniqueValue(), false, null, true);
      }*/
   return new SSO_Helper(null, true);
   }

주:

IdP 시작 로그인은 이 구성에서 작동하지 않습니다.

업데이트를 클릭합니다.

옵션: 둘 이상의 회사를 사용하는 경우 복수 제공자 SSO에 대해 사용자를 구성하고 사용자에 따라 ID 제공자 기록의 sys_id 업데이트합니다.

자세한 내용은 복수 제공자 SSO에 대한 사용자 구성을 참조하십시오.

프록시 서버를 통해 에지 암호화 규칙 로그인하도록 사용자를 구성하려면 프록시 서버 URL을 사용하는 에지 암호화 규칙 ID 제공자 기록의 sys_id 사용합니다.
인스턴스에 로그인할 사용자를 구성하려면 인스턴스 URL을 사용하는 자격 증명 공급자 기록의 sys_id 사용합니다.

표 1. 로그인 URL
URL	로그인 대상
https://<proxy hostname>:<port>/login_with_sso.do?glide_sso_id=프록시 서버 URL에 대한 IdP 기록의 <sys_id>	프록시 서버를 통해 로그인합니다.
https://<인스턴스 이름>.service-now.com/login_with_sso.do?glide_sso_id=인스턴스 URL에 대한 IdP 기록의 <sys_id>	인스턴스를 통해 로그인합니다.