SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
이 태스크 정보
SAML 인증을 통해 사용자는 지정된 ID 제공자(IdP)에서 한 번만 인증 절차를 거친 후 IdP와 파트너 관계에 있는 모든 서버에 액세스할 수 있습니다. Notes® 클라이언트 및 웹 클라이언트 사용자 모두 SAML 기반 인증을 사용할 수 있습니다. 인증은 서명된 XML ID 어설션에 따라 다릅니다. 결과적으로 사용자가 한 번의 인증으로 여러 Domino® 웹 서버 및 애플리케이션뿐만 아니라 IdP와 파트너 관계에 있는 모든 써드파티 애플리케이션에 액세스할 수 있는 투명한 인증 및 싱글 사인온이 실현됩니다. IdP가 한 번의 인증 방법을 결정합니다. 사용자에게 비밀번호를 요구하거나 인트라넷에 있는 사용자를 위해 비밀번호를 사용하지 않는 인증 방법(예: 통합 Windows™ 인증(SPNEGO/Kerberos))을 사용할 수 있습니다.
- Windows™ 또는 Citrix의 Notes® 클라이언트 사용자의 경우, SAML 인증은 주로 IWA(통합 Windows™ 인증)용으로 구성된 IdP와 관련한 싱글 사인온 솔루션에 도움이 될 수 있습니다. Notes® 클라이언트 시작 시의 SAML 인증을 Notes® 연합 로그인이라 합니다. 부가적 이점으로, SAML의 HTTP 부분이 Notes® 클라이언트 내에서 처리되므로 Domino® 볼트 서버에서 HTTP 서버 태스크를 실행하지 않아도 됩니다.
- HCLiNotes® 사용자와 같은 웹 클라이언트 사용자의 경우, SAML 인증은 Notes® ID 볼트에서 사용자의 ID 파일이 다운로드되는 싱글 사인온 솔루션에도 도움이 됩니다. 이런 SAML 인증 유형은 웹 연합 로그인이라고 하며 iNotes 사용자가 보안 메일 작업을 사용할 수 있도록 합니다.
- 웹 서버의 다른 애플리케이션 사용자의 경우, SAML 기반 싱글 사인온은 Domino®에서 이미 사용 가능한 다른 싱글 사인온(SSO) 방법을 대체하는 다중 세션 서버 인증입니다. SAML은 사용하는 Domino® 환경에 사용자가 서비스를 액세스하는 써드파티 웹 애플리케이션이 있거나 멀티 세션 서버 인증이 조직에 있어서 너무 제한적인 경우(예를 들어, 대상 환경에서 DNS 도메인 간 SSO를 필요로 하는 경우)에 가장 유용합니다.
관리자는 서버를 Microsoft ADFS(Active Directory Federation Services)와 같은 사내 구축형 연합 ID 서버의 파트너가 되게 하여 SAML 인증을 사용하도록 Domino® 서버를 설정할 수 있습니다. ADFS 서버가 ID 제공자(IdP)가 되며 Domino® 서버는 SAML 인증 서비스의 제공자로 IdP에 등록됩니다.
Domino® SAML 1.1 및 SAML 2.0을 모두 지원합니다. 사용하는 SAML 버전은 선택하는 ID 제공자와도 일정 부분 관련이 있습니다. 조직에서 SAML 1.1을 사용해야 할 특별한 이유가 없다면 SAML 2.0을 사용하는 것이 좋습니다. 특정 애플리케이션에서는 싱글 사인온을 지원하기 위해 SAML 1.1이 필요할 수도 있습니다.
ID 제공자(IdP) | SAML 버전 |
---|---|
IBM® Tivoli® Access Manager/Tivoli Federated Identity Manager(TAM/TFIM) | SAML 1.1 또는 SAML 2.0 |
Microsoft™ ADFS(Active Directory Federation Services). 다음 버전이 지원됩니다.
|
SAML 2.0 필수 |
조직에서 RSS 피드를 사용하는 경우, SAML 인증을 사용 가능하게 설정하면 RSS 피드에 예상치 못한 결과가 발생할 수 있습니다.
호환성
조직에서 다음을 사용하는 경우 | SAML을 사용하지 않는 것이 좋은 이유 |
---|---|
스마트카드 보호 ID | Notes® 연합 로그인에 필요한 ID 볼트가 스마트카드 보호 ID에는 사용될 수 없으므로 연합 로그인 사용자 ID는 스마트카드 보호 ID가 아니어야 합니다. |
Notes® 해당 ID 파일이 서버에서 로밍 개인 주소록에 저장된 로밍 사용자 | Notes® 연합 로그인에 필요한 ID 볼트가 로밍 개인 주소록에 저장된 Notes® ID에는 사용될 수 없으므로 연합 로그인 사용자는 ID가 로밍 개인 주소록에 저장된 Notes® 로밍 사용자가 아니어야 합니다. |
Notes® USB 디바이스의 | Notes® 연합 로그인에 필요한 ID 볼트는 USB 디바이스의 Notes®에서 사용할 수 없으므로 USB 디바이스의 Notes®에서 연합 로그인을 사용할 수 없습니다. |
Notes® 여러 개의 비밀번호를 가지는 사용자 ID | Notes® 연합 로그인에 필요한 ID 볼트가 복수 비밀번호를 가지는 ID에는 사용될 수 없으므로 연합 로그인 사용자 ID는 복수 비밀번호를 가지는 Notes® 사용자 ID가 아니어야 합니다. |
Notes® 사용자에 대한 서버 기반 비밀번호 검사 | 모든 Notes® 사용자를 Notes® 연합 로그인으로 구성할 때는 서버 플랫폼에서 이 기능을 사용 안함으로 설정하십시오. 연합 로그인 사용자가 아닌 경우에는 비밀번호 검사를 적용할 수 있지만 연합 로그인 사용자인 경우 비밀번호 검사를 적용할 수 없습니다. |
Notes 클라이언트와 함께 설치된 단일 로그인 구성요소 | 이 구성은 Notes 연합 로그인에서는 지원되지 않습니다. |
Notes 기본 클라이언트, Domino 관리자 클라이언트 | 이러한 클라이언트는 Notes 연합 로그인에서는 지원되지 않습니다. Notes 표준 클라이언트가 필요합니다. |