다중 공급자 SSO를 사용하는 SAML 2.0 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기6분

    • 다중 공급자 SSO 기능에서 SAML 2.0 SSO 구성을 만들거나 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    주:
    릴리스에 새로 추가된 Jakarta 기능으로, IdP 구성을 활성화하려면 먼저 연결 테스트 기능을 사용하여 구성의 유효성을 검사해야 합니다. 업데이트 기능을 사용하여 구성 데이터를 저장할 수 있지만 성공적인 테스트 연결이 없으면 활성 구성이 아닙니다.

    프로시저

    1. 다음으로 이동 모두 > 복수 제공자 SSO > ID 제공자레이블이 표시됩니다.
    2. 다음 옵션 중 하나를 수행합니다.
      • 구성을 업데이트하려면 SSO 구성 기록을 클릭합니다.
      • 새 구성을 만들려면 신규 > SAML레이블이 표시됩니다.
    3. 새 구성의 경우 다음 방법 중 하나를 사용하여 IdP 정보를 입력합니다.
      옵션설명
      메타데이터 설명자 URL 사용 URL 확인란을 클릭하고 사용 중인 IdP의 URL을 입력합니다.
      메타데이터 디스크립터 XML 파일 사용 XML 확인란을 클릭하고 사용 중인 IdP에서 생성된 XML 데이터를 붙여넣습니다.
      메타데이터 수동 입력 팝업 창을 닫고 속성 필드에 데이터를 수동으로 입력합니다.
      ID 제공자 양식에서 모든 필수 필드를 작성해야 합니다. IdP 양식
      표 1. 다중 공급자 Single Sign-On 필드
      속성 필수 설명
      이름 IdP의 이름을 입력합니다. 이 IdP는 자동 리디렉션 시스템 ID입니다.
      활성 IdP를 인증에 사용하려면 활성을 예로 설정해야 합니다.
      주:
      이 속성을 설정하는 옵션은 연결 테스트에 성공한 후에만 제공됩니다.
      기본값 아니요 자동 리디렉션 IdP(이전의 기본 IdP)는 사용자가 기본 인스턴스 URL에 액세스하도록 자동으로 리디렉션합니다. 이 속성은 이 IdP 구성을 기본값으로 설정합니다.
      IDP 자동 리디렉션 아니요 이 IdP 구성을 자동 리디렉션 IdP로 설정합니다.
      주:
      새 자동 리디렉션 IdP 구성을 활성화하면 쿠키가 glide_sso_id 새 자동 리디렉션 IdP로 업데이트됩니다. 자동으로 활성화되는 glide.authenticate.sso.update.idp.cookie 시스템 속성은 이 기능을 제어합니다.
      ID 제공자 URL IdP에 대한 URL을 입력합니다. 각 IdP URL은 고유해야 합니다.
      ID 제공자의 AuthnRequest SingleSignOnService 요소에서 가져온 HTTP-Redirect 바인딩에 대한 URL을 입력합니다.
      ID 제공자의 SingleLogoutRequest 아니요 SingleLogoutService 요소에서 가져온 URL을 입력합니다.
      ServiceNow 홈페이지 로그인 페이지를 포함하여 IdP가 인증하는 인스턴스의 URL을 입력합니다. 예: https://yourinstance.service-now.com/navpage.do
      엔터티 ID/발급자 로그인 페이지를 제외한 기본 URL을 입력합니다. IdP가 인증하는 인스턴스의 일부입니다. 예: https://yourinstance.service-now.com/
      대상 그룹 URI 로그인 페이지를 제외한 기본 URL을 입력합니다. IdP가 인증하는 인스턴스의 일부입니다. 예: https://yourinstance.service-now.com/
      NameID 정책 통합에서 사용하는 NameIDFormat 요소의 값을 입력합니다.
      외부 로그아웃 리디렉션 아니요 로그아웃한 후 통합이 사용자를 리디렉션하는 URL을 입력합니다.
      실패한 요구 사항 리디렉션 아니요 실패한 인증 요청을 리디렉션하기 위한 URL을 입력합니다. 기본적으로 IdP에 구성된 오류 페이지 또는 로그아웃 페이지의 URL 엔드포인트입니다. glide.authenticate.failed_requirement_redirect 필드에 이 값을 채울 수 있습니다.
    4. 옵션: 암호화 및 서명 탭
      주:
      암호화 및 서명을 위해 자체 인증서를 사용하는 것이 좋습니다.
      암호화 및 서명
      표 2. 암호화 및 서명 필드
      속성 설명
      서명 키 별칭 SAML 2.0 SP 키 스토어에 저장된 키 입력의 서명 별칭을 입력합니다.
      서명 키 암호 SAML 2.0 SP 키 스토어에 저장된 키 입력의 서명 암호를 입력합니다.
      암호화 키 별칭 SAML 2.0 SP 키 스토어에 저장된 키 입력의 암호화 별칭을 입력합니다.
      암호화 키 암호 SAML 2.0 SP 키 저장소에 저장된 키 입력의 암호화 암호를 입력합니다.
      어설션 암호화 SAML 응답의 어설션을 암호화하려면 확인란을 선택합니다. IDP에 대해 생성된 메타데이터에는 IDP가 생성하는 SAML 응답에서 어설션을 암호화하는 데 사용하는 x509 인증서가 포함됩니다.
      서명 알고리즘 전자 서명 인증을 위해 SAML 2.0 ID 제공자 AuthnRequest 소비자를 가리키는 URL을 입력합니다.
      AuthnRequest에 서명 IdP SSO(Single Sign-On) 서비스가 서명된 AuthnRequest를 수신할 수 있도록 하려면 이 확인란을 선택합니다.
      LogoutRequest에 서명 IdP Single Sign-On 서비스가 서명된 LogoutRequest를 수신할 수 있도록 하려면 확인란을 선택합니다.
      로그아웃 응답 서명 IdP Single Sign-On 서비스가 서명된 로그아웃 응답을 받을 수 있도록 하려면 확인란을 선택합니다.
    5. 옵션: 사용자 프로비저닝 탭
      사용자 프로비저닝 탭
      표 3. 사용자 프로비저닝 필드
      속성 설명
      자동 프로비저닝 사용자 자동 사용자 프로비저닝을 활성화하고 IdP에서 제공하는 정보를 기반으로 사용자가 인스턴스 사용자 테이블에 없는 경우 사용자를 생성합니다.
      각 로그인 시 사용자 기록 업데이트 사용자가 SAML을 사용하여 로그인할 때마다 인스턴스 사용자 테이블의 사용자 정보를 IdP의 정보로 업데이트합니다.
    6. 옵션: 고급 탭
      고급 탭
      표 4. 고급 필드
      속성 설명
      사용자 필드 IdP가 사용자를 식별하는 데 필요한 값이 포함된 사용자 테이블의 필드를 입력합니다. 응답의 일부인 고유 ID입니다. 예를 들면, 사용자 이름, 직원 ID 등입니다. 시스템 사용자 테이블에서 이 고유 ID는 사용자 상세 정보와 일치합니다.
      NameID 속성 새 NameID 정책을 구성하지 않는 한 이 필드를 비워 둡니다. 새 정책을 구성하는 경우 시스템에는 로그인하는 사용자를 식별하는 데 사용해야 하는 사용자 테이블이 필요합니다. 시스템이 NameID 토큰을 여기에 있는 해당 사용자 테이블 필드의 이름과 일치시킵니다.
      AuthnContextClass 작성 암호 보호 전송과 같은 특정 컨텍스트 클래스를 지정하려면 확인란을 선택합니다. 확인란의 선택을 취소하면 IdP가 가장 적절한 컨텍스트 클래스를 선택합니다.
      AuthnContextClassRef 메서드 IdP가 사용자를 인증하는 데 사용할 로그인 메커니즘의 URN을 입력합니다.
      AuthnRequest 강제 적용 AuthnRequest가 발생하도록 하려면 확인란을 선택합니다.
      소극적 AuthnRequest임 AuthnRequest가 수동적인 경우 이 확인란을 선택합니다.
      1회 사용자 인증(SSO) 스크립트 Single Sign-On 스크립트를 선택합니다. 기본값은 MultiSSOV2_SAML2_custom입니다.
      로그아웃 응답 서명 이 필드에 로그아웃 응답 세부 정보를 입력합니다.
      클럭 오차 SAMLResponse nonce를 구성하는 두 속성 사이의 시간(초)을 입력합니다. 기본값은 60입니다. 유효한 SAMLResponse는 notBeforenotOnOrAfter 날짜-시간 값 사이에 있어야 합니다. 샘플 SAMLResponse 메시지는 SubjectConfirmation 및 SubjectConfirmationData 요소를 사용한 샘플 SAML 2 응답과 AudienceRestrictions 및 Audience 요소를 사용한 샘플 SAML 2 응답을 참조하세요.
      IDP의 SingleLogoutReuqest에 대한 프로토콜 바인딩 SingleLogoutService 요소의 Binding 특성에 나열된 지원되는 값 중 하나를 입력합니다.
      IDP 속성을 임포트하는 메타데이터 URL IdP 속성은 이 URL에서 가져옵니다. 설정하면 이전 인증서가 만료된 경우 IdP에서 SAML 인증서를 자동으로 가져올 수 있습니다.
      주:
      SAML2 업데이트 1에서 다중 공급자 SSO로 업그레이드하거나 SSO 연결을 수동으로 설정하는 경우 IdP 메타데이터 URL이 자동으로 채워지지 않습니다.
      요청 요청의 일부로 고유한 ID이며 ID는 사용자 이름, 직원 ID 등이 될 수 있습니다.
      주:
      요청에 대해 리디렉션 및 사후 바인딩이 모두 지원됩니다. 이 필드를 설정하는 옵션은 연결 테스트가 성공한 후에만 나타납니다. 자세한 내용은 IdP 연결 테스트 중 문서를 참조하십시오.
      응답 응답의 일부로 고유 ID이며 ID는 사용자 이름, 직원 ID 등이 될 수 있습니다.
      주:
      응답에 대해 리디렉션 및 사후 바인딩이 모두 지원됩니다. 이 필드를 설정하는 옵션은 연결 테스트가 성공한 후에만 나타납니다. 자세한 내용은 IdP 연결 테스트 중 문서를 참조하십시오.