이 절에서는 실행 제어 목록, ID 및 SSL을 포함한 보안 기능에 대해 설명합니다.
연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
다음 태스크를 완료하여 웹 서버의 기본 SAML 인증을 사용으로 설정합니다.
조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
SSL(Secure Sockets Layer)은 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 SSL 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
Domino에서 SAML 인증을 구성하기 전에 이 섹션의 단계를 완료하십시오.
SAML 인증에 참여할 웹 서버의 IdP 환경 설정 문서를 작성합니다.
다음 태스크를 완료하여 웹 서버 IdP 환경 설정 문서의 구성 정보를 .xml 파일 ServiceProvider.xml로 내보냅니다. 그런 다음 신뢰 당사자 트러스트(ADFS)나 파트너십(TFIM)으로 가져와 Domino 정보를 자동으로 입력할 수 있습니다.
ADFS(Active Directory Federated Services)에서 SAML 인증에 참여하는 Domino 웹 서버의 신뢰 당사자 트러스트를 설정합니다. 이 절차에서는 ADFS 3.0 및 ADFS 4.0의 단계를 설명합니다.
이 절차에 따라 Domino 디렉토리에서 SAML 인증을 사용으로 설정합니다. 인터넷 사이트 문서 또는 개별 서버 문서에서 SAML을 사용으로 설정합니다.
기본 SAML 인증을 테스트하여 웹 애플리케이션 액세스에서 SAML 인증이 작동하는지 확인합니다.
웹 연합 로그인이나 Notes 연합 로그인을 사용하려면 이 섹션의 단계를 완료합니다. 사용으로 설정하면 iNotes 사용자와 Notes 클라이언트 사용자가 비밀번호를 입력하지 않고도 각각 ID 볼트의 Notes ID 파일에 액세스할 수 있습니다. IdP가 ADFS이면 IWA(Windows 통합 인증)도 구성하여 iNotes 사용자나 Notes 클라이언트 사용자에게 IdP 이름 및 비밀번호를 묻는 메시지가 표시되지 않도록 할 수 있습니다.
iNotes 사용자가 Notes ID 비밀번호를 입력하지 않고도 메시지 서명 및 복호화와 같은 보안 작업을 수행할 수 있도록 하려면 웹 연합 로그인을 사용으로 설정합니다.
Notes 클라이언트 사용자가 Notes ID 비밀번호를 입력하지 않고도 Notes를 시작하고 보안 작업을 수행할 수 있도록 하려면 Notes 연합 로그인을 사용으로 설정합니다.
IWA가 사용되는 경우 Windows 클라이언트의 사용자가 회사 인트라넷의 서버에 액세스할 때 ADFS 로그인 이름과 비밀번호를 입력하라는 메시지가 표시되지 않습니다. IWA는 기본 SAML 인증, Notes 연합 로그인 및 웹 연합 로그인에 사용할 수 있습니다.
어설션에 민감한 개인 정보(예: 주민등록번호)를 포함하는 속성이 있는 경우 조직에서 SAML 어설션 암호화를 필요로 할 수 있습니다. Domino®에서는 전체 SAML 어설션을 암호화합니다. 특정 속성의 부분 암호화는 사용할 수 없습니다.
Domino® 및 Notes®에서는 싱글 로그아웃 기능을 지원하지 않으므로, 조직에서 SAML을 구성할 경우 사용자가 그들의 데스크탑에서 보안 방법을 채용하도록 하여 Notes 및 Domino 자원에 실제로 액세스하지 못하게 해야 합니다.
이 릴리스에서는 사내 구축형 Domino® 서버에서 신임 정보 저장소 애플리케이션(credstore.nsf)을 사용할 수 있습니다. 신임 정보 저장소는 Notes® 클라이언트 사용자가 OAuth(open authorization) 프로토콜을 사용하는 애플리케이션에 액세스를 부여하는 데 필요한 문서 암호화 키 및 기타 토큰의 안전한 저장소입니다. OAuth를 통해 호환 가능한 애플리케이션 간에 사용자 신임 정보를 공유할 수 있으며 이로 인해 사용자에게 추가로 비밀번호 프롬프트가 표시되지 않습니다.