Workspace ONE Access 배포에 대해 새 SAML ID 제공자 인스턴스를 추가 및 구성할 경우 고가용성을 제공하고, 추가 사용자 인증 방법을 지원하고, 사용자 IP 주소 범위를 기준으로 사용자 인증 프로세스를 보다 유연하게 관리하도록 할 수 있습니다.
사전 요구 사항
타사 ID 제공자 인스턴스를 추가하기 전에 다음 작업을 완료하십시오.
- 타사 인스턴스가 SAML 2.0을 준수하는지, Workspace ONE Access 서비스를 타사 인스턴스에 연결할 수 있는지 확인합니다.
- 타사 ID 제공자와의 통합을 조정합니다. ID 제공자에 따라, 두 설정을 함께 구성해야 할 수 있습니다.
- Workspace ONE Access 콘솔에서 ID 제공자를 구성할 때 추가할 적절한 타사 메타데이터 정보를 가져옵니다. 타사 인스턴스에서 가져오는 메타데이터 정보는 메타데이터에 대한 URL이거나 실제 메타데이터입니다.
프로시저
- Workspace ONE Access 콘솔의 통합 > ID 제공자 페이지에서 추가를 클릭하고 SAML IDP를 선택합니다.
- 다음 설정을 구성하십시오.
양식 항목 설명 ID 제공자 이름 이 ID 제공자 인스턴스의 이름을 입력합니다. SAML 메타데이터 타사 ID 제공자 XML 기반 메타데이터 문서를 추가하여 ID 제공자와 신뢰를 설정합니다.
- SAML 메타데이터 URL 또는 xml 컨텐츠를 텍스트 상자에 입력합니다. IDP 메타데이터 처리를 클릭합니다.
- 사용자를 식별하는 방법을 선택합니다. 인바운드 SAML 어설션에 전송되는 식별자는 Subject 또는 Attribute 요소로 전송할 수 있습니다.
- NameID 요소. Subject 요소의 NameID 요소에서 사용자 식별자가 검색됩니다.
- SAML 특성. 사용자 식별자는 특정 Attribute 또는 AttributeStatement 요소에서 검색됩니다.
- NameID 요소을 선택하는 경우 ID 제공자가 지원하는 NameID 형식이 메타데이터에서 추출되어 표시되는 [이름 ID 형식] 테이블에 추가됩니다.
- 이름 ID 값 열에서 Workspace ONE Access 서비스에 구성된 사용자 특성을 선택하여 표시 되는 NameID 형식에 매핑합니다. 사용자 지정 타사 이름 ID 형식을 추가하고 이를 Workspace ONE Access 서비스의 사용자 특성 값에 매핑할 수 있습니다.
- 사용할 SAML 요청의 이름 ID 정책 응답 식별자 문자열 형식을 선택합니다. 이 형식은 Workspace ONE Access 서비스와의 신뢰를 설정하는 데 사용되는 타사 IDP의 특정 이름 ID 정책 형식 구성과 일치해야 합니다.
- (클라우드만 해당) SAML 요청에서 주체 전송(사용 가능한 경우) 옵션을 로그인 힌트 또는 MFA와 같은 인증에 대한 힌트로 선택합니다. 이 옵션을 사용하도록 설정하면 NameID 형식 매핑을 기준으로 주체 값 전송을 사용하도록 설정하여 타사 애플리케이션에서 제공한 로그인 힌트를 NameID 값에 매핑할 수도 있습니다.
참고: NameID 형식 매핑을 기준으로 주체 값 전송을 사용하도록 설정하면 Workspace ONE Access 서비스가 사용자 열거로 알려진 보안 위험에 취약해집니다. 이 옵션은 주의해서 사용해야 합니다.
[NameID 형식 매핑을 기준으로 주체 값 전송] 옵션을 사용하도록 설정한 구성 예제
타사 ID 제공자 구성
- 애플리케이션 'X'는 Workspace ONE Access와 페더레이션되어 있습니다.
- 타사 ID 제공자가 NameID 값을 userPrincipleName에 매핑했습니다.
이 구성에서 최종 사용자의 이메일은 타사 IDP userPrincipleName에 매핑되지 않습니다.
- 애플리케이션 X 액세스 정책에는 타사 ID 제공자가 사용자를 인증하는 데 사용되는 규칙이 있습니다.
최종 사용자 인증 흐름
- 최종 사용자가 애플리케이션 'X'를 선택합니다.
- 애플리케이션 'X'는 최종 사용자에게 이메일 주소를 입력할 수 있는 로그인 페이지를 제공합니다.
- 애플리케이션 'X'는 Workspace ONE Access에 대한 로그인 힌트로 이메일을 전송합니다.
- NameID 형식 매핑을 기준으로 주체 값 전송을 사용하도록 설정했으므로 Workspace ONE Access는 이메일을 수락하고 해당 사용자의 UserPrincipleName을 찾습니다.
- Workspace ONE Access는 최종 사용자를 인증하는 타사 IDP에 매핑된 해당 UserPrincipleName을 사용하여 SAML 요청을 전송합니다.
- SAML 특성을 선택하는 경우 특성 형식 및 특성 이름을 포함합니다. Workspace ONE Access 서비스에서 SAML 특성에 매핑할 사용자 특성을 선택합니다.
Just-in-Time 사용자 프로비저닝 Just-in-Time 프로비저닝 사용자는 ID 제공자가 전송한 SAML 어설션을 기준으로, 사용자가 로그인할 때 동적으로 생성 및 업데이트됩니다. Workspace Access에서 Just-in-time 사용자 프로비저닝을 작동하는 방법을 참조하십시오. JIT를 사용하도록 설정하는 경우 JIT 디렉토리의 디렉토리 및 도메인 이름을 입력합니다. 사용자 이 ID 제공자를 사용하여 인증할 수 있는 사용자가 포함된 디렉토리를 선택합니다. 네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다. 사용자 IP 주소를 기반으로 사용자에 대해 네트워크 범위(인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.
인증 방법 인증 방법 텍스트 상자에 이 타사 ID 제공자와 연결할 인증 방법 이름을 입력합니다. 여러 인증 방법을 입력하여 타사 ID 제공자와 연결할 수 있습니다. 인증 방법을 식별하는 표시 이름을 각 인증 방법에 지정합니다. 액세스 정책에 구성된 인증 이름입니다. 사용자가 로그인하라는 메시지가 표시될 때 표시되는 인증 이름입니다.
SAML 컨텍스트 텍스트 상자에서 SAML 응답에서 타사 ID 제공자가 보낸 SAML 인증 컨텍스트에 인증 방법 이름을 매핑합니다. 드롭다운 메뉴의 일반적으로 사용되는 문자열 목록에서 SAML 인증 컨텍스트 클래스 문자열을 선택하거나 사용자 지정 문자열을 입력할 수 있습니다.
설명 텍스트 상자에서 사용자가 이 인증 방법을 선택해야 하는지를 식별할 수 있도록 컨텐츠를 작성합니다. 이 타사 ID 제공자 인증 방법이 액세스 정책 규칙의 인증 선택 옵션인 경우 설명 텍스트 상자의 텍스트가 [인증 선택] 로그인 프롬프트 페이지에 표시됩니다. 인증 액세스 정책 규칙 선택 설정의 내용을 참조하십시오.
이 텍스트는 최종 사용자의 브라우저에서 지정한 언어로 자동 변환되지 않습니다. 그러나 [설명] 텍스트 상자에서는 컨텐츠를 여러 언어로 단일 항목으로 작성할 수 있으며 해당 설명은 로그인 프롬프트 페이지의 인증 방법 아래에 표시됩니다.
단일 로그아웃 구성 사용자가 타사 IDP(ID 제공자)에서 Workspace ONE에 로그인하면 두 개의 세션, 즉 타사 ID 제공자용 세션과 Workspace ONE을 위한 Identity Manager 서비스 제공자용 세션이 열립니다. 해당 세션의 수명은 독립적으로 관리됩니다. Workspace ONE에서 로그아웃하면 Workspace ONE 세션이 닫히지만 타사 IDP 세션은 계속 열려 있을 수 있습니다. 보안 요구 사항에 따라, 단일 로그아웃을 사용하도록 설정하고 두 세션에서 로그아웃하도록 단일 로그아웃을 구성하거나 타사 IDP 세션은 그대로 유지할 수 있습니다.
구성 옵션 1
- 타사 ID 제공자를 구성하는 경우 단일 로그아웃을 사용하도록 설정할 수 있습니다. 타사 ID 제공자가 SAML 기반 SLO(단일 로그아웃) 프로토콜을 지원하는 경우 사용자는 Workspace ONE 포털에서 로그아웃될 때 두 세션 모두에서 로그아웃됩니다. [리디렉션 URL] 텍스트 상자는 구성되어 있지 않습니다.
- 타사 IDP가 SAML 기반 단일 로그아웃을 지원하지 않는 경우 단일 로그아웃을 사용하도록 설정하고 [리디렉션 URL] 텍스트 상자에 IDP 단일 로그아웃 끝점 URL을 지정합니다. 사용자를 특정 끝점에 전송하는 URL에 추가할 리디렉션 매개 변수를 추가할 수도 있습니다. 사용자는 Workspace ONE 포털에서 로그아웃되고 IDP에서도 로그아웃되면 이 URL로 리디렉션됩니다.
구성 옵션 2
- 다른 단일 로그아웃 옵션은 사용자를 Workspace ONE 포털에서 로그아웃하고 사용자 지정된 끝점 URL로 리디렉션하는 것입니다. 단일 로그아웃을 사용하도록 설정하고, [리디렉션 URL] 텍스트 상자에 URL을 지정하고 사용자 지정된 끝점의 리디렉션 매개 변수를 지정합니다. 사용자가 Workspace ONE 포털에서 로그아웃되면 사용자 지정된 메시지를 표시할 수 있는 이 페이지로 이동됩니다. 타사 IDP 세션은 계속 열려 있을 수 있습니다. URL은 https://<vidm-access-url>/SAAS/auth/federation/slo로 입력됩니다.
[단일 로그아웃 사용]이 사용되도록 설정되지 않으면 Workspace ONE Access 서비스의 기본 구성은 사용자가 로그아웃할 때 Workspace ONE 포털 로그인 페이지로 다시 보내는 것입니다. 타사 IDP 세션은 계속 열려 있을 수 있습니다.
SAML 서명 인증서 Workspace ONE Access SAML 서비스 제공자 메타데이터에 대한 URL을 보려면 SP(서비스 제공자) 메타데이터를 클릭합니다. URL을 복사 및 저장합니다. 타사 ID 제공자의 SAML 어설션을 편집하여 Workspace ONE Access 사용자를 매핑할 경우 이 URL이 구성됩니다. IdP 호스트 이름 [호스트 이름] 텍스트 상자가 표시될 경우 인증을 위해 ID 제공자가 리디렉션되는 호스트 이름을 입력합니다. 443 이외의 비표준 포트를 사용할 경우 호스트 이름을 호스트 이름:포트로 설정할 수 있습니다. 예를 들면 myco.example.com:8443입니다. - 추가를 클릭합니다.
다음에 수행할 작업
- 콘솔에서 [리소스] > [정책] 페이지로 이동하고 기본 액세스 정책을 편집하여 사용할 인증 방법으로 SAML 인증 방법 이름을 선택하는 정책 규칙을 추가합니다. Workspace ONE Access 서비스에서 액세스 정책 관리의 내용을 참조하십시오.
- 타사 ID 제공자의 구성을 편집하여 저장한 SAML 서명 인증서 URL을 추가합니다.