SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성

연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino®Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.

이 태스크 정보

SAML 인증을 통해 사용자는 지정된 ID 제공자(IdP)에서 한 번만 인증 절차를 거친 후 IdP와 파트너 관계에 있는 모든 서버에 액세스할 수 있습니다. Notes® 클라이언트 및 웹 클라이언트 사용자 모두 SAML 기반 인증을 사용할 수 있습니다. 인증은 서명된 XML ID 어설션에 따라 다릅니다. 결과적으로 사용자가 한 번의 인증으로 여러 Domino® 웹 서버 및 애플리케이션뿐만 아니라 IdP와 파트너 관계에 있는 모든 써드파티 애플리케이션에 액세스할 수 있는 투명한 인증 및 싱글 사인온이 실현됩니다. IdP가 한 번의 인증 방법을 결정합니다. 사용자에게 비밀번호를 요구하거나 인트라넷에 있는 사용자를 위해 비밀번호를 사용하지 않는 인증 방법(예: 통합 Windows 인증(SPNEGO/Kerberos))을 사용할 수 있습니다.

조직에서 SAML 인증을 사용하는 세 가지 경우가 있습니다. 조직에는 다음 구성 중 하나 또는 모두가 필요할 수 있습니다.
  • Windows 또는 Citrix의 Notes® 클라이언트 사용자의 경우, SAML 인증은 주로 IWA(통합 Windows 인증)용으로 구성된 IdP와 관련한 싱글 사인온 솔루션에 도움이 될 수 있습니다. Notes® 클라이언트 시작 시의 SAML 인증을 Notes® 연합 로그인이라 합니다. 부가적 이점으로, SAML의 HTTP 부분이 Notes® 클라이언트 내에서 처리되므로 Domino® 볼트 서버에서 HTTP 서버 태스크를 실행하지 않아도 됩니다.
  • HCLiNotes® 사용자와 같은 웹 클라이언트 사용자의 경우, SAML 인증은 Notes® ID 볼트에서 사용자의 ID 파일이 다운로드되는 싱글 사인온 솔루션에도 도움이 됩니다. 이런 SAML 인증 유형은 웹 연합 로그인이라고 하며 iNotes 사용자가 보안 메일 작업을 사용할 수 있도록 합니다.
  • 웹 서버의 다른 애플리케이션 사용자의 경우, SAML 기반 싱글 사인온은 Domino®에서 이미 사용 가능한 다른 싱글 사인온(SSO) 방법을 대체하는 다중 세션 서버 인증입니다. SAML은 사용하는 Domino® 환경에 사용자가 서비스를 액세스하는 써드파티 웹 애플리케이션이 있거나 멀티 세션 서버 인증이 조직에 있어서 너무 제한적인 경우(예를 들어, 대상 환경에서 DNS 도메인 간 SSO를 필요로 하는 경우)에 가장 유용합니다.

관리자는 서버를 Microsoft ADFS(Active Directory Federation Services)와 같은 사내 구축형 연합 ID 서버의 파트너가 되게 하여 SAML 인증을 사용하도록 Domino® 서버를 설정할 수 있습니다. ADFS 서버가 ID 제공자(IdP)가 되며 Domino® 서버는 SAML 인증 서비스의 제공자로 IdP에 등록됩니다.

Domino® SAML 1.1 및 SAML 2.0을 모두 지원합니다. 사용하는 SAML 버전은 선택하는 ID 제공자와도 일정 부분 관련이 있습니다. 조직에서 SAML 1.1을 사용해야 할 특별한 이유가 없다면 SAML 2.0을 사용하는 것이 좋습니다. 특정 애플리케이션에서는 싱글 사인온을 지원하기 위해 SAML 1.1이 필요할 수도 있습니다.

참여 애플리케이션에 필요한 SAML 레벨에 따라, SAML을 지원하는 다음 ID 제공자가 Domino®가 파트너인 연합으로서 서비스를 수행할 수 있습니다.
1. ID 제공자가 지원하는 SAML 버전
ID 제공자(IdP) SAML 버전
IBM® Tivoli® Access Manager/Tivoli Federated Identity Manager(TAM/TFIM) SAML 1.1 또는 SAML 2.0
Microsoft ADFS(Active Directory Federation Services).
다음 버전이 지원됩니다.
  • 2.0(Windows Server 2008 R2에 제공)
  • 3.0(Windows Server 2012 R2에 제공)
  • 4.0(Windows Server 2016에 제공)
 SAML 2.0 필수
주:

조직에서 RSS 피드를 사용하는 경우, SAML 인증을 사용 가능하게 설정하면 RSS 피드에 예상치 못한 결과가 발생할 수 있습니다.

호환성

다음 표에서는 SAML이 호환 불가능하거나 부분적으로만 호환가능한 클라이언트 구성을 나열합니다.
2. SAML 연합 로그인과 호환되지 않는 클라이언트 구성
조직에서 다음을 사용하는 경우 SAML을 사용하지 않는 것이 좋은 이유
스마트카드 보호 ID Notes® 연합 로그인에 필요한 ID 볼트가 스마트카드 보호 ID에는 사용될 수 없으므로 연합 로그인 사용자 ID는 스마트카드 보호 ID가 아니어야 합니다.
Notes® 해당 ID 파일이 서버에서 로밍 개인 주소록에 저장된 로밍 사용자 Notes® 연합 로그인에 필요한 ID 볼트가 로밍 개인 주소록에 저장된 Notes® ID에는 사용될 수 없으므로 연합 로그인 사용자는 ID가 로밍 개인 주소록에 저장된 Notes® 로밍 사용자가 아니어야 합니다.
Notes® USB 디바이스의 Notes® 연합 로그인에 필요한 ID 볼트는 USB 디바이스의 Notes®에서 사용할 수 없으므로 USB 디바이스의 Notes®에서 연합 로그인을 사용할 수 없습니다.
Notes® 여러 개의 비밀번호를 가지는 사용자 ID Notes® 연합 로그인에 필요한 ID 볼트가 복수 비밀번호를 가지는 ID에는 사용될 수 없으므로 연합 로그인 사용자 ID는 복수 비밀번호를 가지는 Notes® 사용자 ID가 아니어야 합니다.
Notes® 사용자에 대한 서버 기반 비밀번호 검사 모든 Notes® 사용자를 Notes® 연합 로그인으로 구성할 때는 서버 플랫폼에서 이 기능을 사용 안함으로 설정하십시오. 연합 로그인 사용자가 아닌 경우에는 비밀번호 검사를 적용할 수 있지만 연합 로그인 사용자인 경우 비밀번호 검사를 적용할 수 없습니다.
Notes 클라이언트와 함께 설치된 단일 로그인 구성요소 이 구성은 Notes 연합 로그인에서는 지원되지 않습니다.
Notes 기본 클라이언트, Domino 관리자 클라이언트 이러한 클라이언트는 Notes 연합 로그인에서는 지원되지 않습니다. Notes 표준 클라이언트가 필요합니다.

프로시저

다음 태스크를 수행하십시오.