SAML을 사용하는 헤더 기반 인증

IDP에서 SP로의 SAML 응답(ID 브리징의 경우 Unified Access Gateway)에는 SAML 특성을 갖는 SAML 어설션이 포함됩니다. SAML 특성은 사용자 이름, 이메일 등의 다양한 매개 변수를 가리키도록 IDP에서 구성할 수 있습니다.

SAML을 사용하는 헤더 기반 인증에서 SAML 특성 값은 백엔드 프록시 대상으로의 HTTP 헤더로 전송될 수 있습니다. Unified Access Gateway에 정의된 SAML 특성 이름은 IDP의 경우와 같습니다. 예를 들어, ID 제공자에서 해당 특성이 Name: userName Value: idmadmin으로 정의된 경우 Unified Access Gateway의 SAML 특성 이름이 "userName"으로 정의되어야 합니다.

IDP에 정의된 특성과 일치하지 않는 SAML 특성은 무시됩니다. Unified Access Gateway는 여러 SAML 특성 및 다중 값 SAML 특성을 지원합니다. ID 제공자에서 예상되는 SAML 어설션의 샘플은 아래에 각 경우에 대해 설명되어 있습니다. 예를 들면 다음과 같습니다.

1. 여러 SAML 특성에 대해 IDP에서 예상되는 SAML 응답

<saml:AttributeStatement>
      <saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                  <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>
      </saml:Attribute>
      <saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                 <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</saml:AttributeValue>
      </saml:Attribute>
</saml:AttributeStatement>

앞의 예제에서 어설션에는 "userName" 및 "userEmail"의 2개 특성이 포함됩니다. 헤더 기반 인증이 헤더 이름 "HTTP_USER_NAME"을 사용하여 "userName"에 대해서만 구성되면 헤더는 "HTTP_USER_NAME: idmadmin"으로 전송됩니다. "userEmail"이 헤더 기반 인증을 위해 Unified Access Gateway에 구성되지 않으면 헤더로 전송되지 않습니다.

2. 다중 값 특성에 대해 IDP에서 예상되는 SAML 응답

<saml:AttributeStatement>
      <saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue> 
     </saml:Attribute>
</saml:AttributeStatement>

앞의 예제에서 특성 "group"에는 "All Employees", "All Contractors", "All Executives" 및 "All"의 4개 값이 포함됩니다. 헤더 기반 인증이 헤더 이름 "group"을 사용하여 "HTTP_GROUP"에 대해서만 구성되면 헤더는 모든 특성 값의 쉼표로 구성된 목록을 헤더 값으로 사용하여 "HTTP_GROUP: All Employees, All Contractors, All Executives, All"로 전송됩니다.