Skip To Content

NetIQ Access Manager 구성

Portal for ArcGIS에서 엔터프라이즈 로그인 시 NetIQ Access Manager 3.2 이상 버전을 ID 공급자(IDP)로 구성할 수 있습니다. 구성 절차는 Portal for ArcGIS에 엔터프라이즈 IDP 등록 및 엔터프라이즈 IDP에 Portal for ArcGIS 등록의 두 가지 주요 단계로 구성됩니다.

필수 정보

Portal for ArcGIS 사용자가 엔터프라이즈 로그인을 사용하여 로그인할 때에는 IDP로부터 특정 속성 정보를 받아야 합니다. NameID 속성은 Portal for ArcGIS 작업과 페더레이션하기 위해 SAML 응답에서 IDP가 보내야 하는 필수 속성입니다. Portal for ArcGIS에서는 NameID 값을 사용하여 기명 사용자를 식별하므로 사용자를 고유하게 식별하는 상수 값을 사용하는 것이 좋습니다. IDP의 사용자가 로그인하면 Portal for ArcGIS에서 해당 사용자 저장소에 사용자 이름이 NameID인 새 사용자를 생성합니다. NameID에서 보내는 값에 사용할 수 있는 문자는 영숫자, _(밑줄), .(점), 그리고 @ 기호입니다. 다른 모든 문자는 Portal for ArcGIS에서 생성한 사용자 이름에 밑줄을 포함하도록 이스케이프됩니다.

Portal for ArcGIS 은 엔터프라이즈 IDP에서 엔터프라이즈 로그인의 givenNameemail address 속성 내부 흐름을 지원합니다. 사용자가 엔터프라이즈 로그인을 사용하여 로그인하고 Portal for ArcGISgivennameemail 또는 mail(이)라는 이름의 속성을 받을 경우(어떤 속성이든) Portal for ArcGIS은 IDP에게 받은 값으로 사용자 계정의 전체 이름과 이메일 주소를 채웁니다. 사용자가 알림을 받을 수 있도록 엔터프라이즈 IDP의 email address를 전달하는 것이 좋습니다.

Portal for ArcGIS에 NetIQ Access Manager를 엔터프라이즈 IDP로 등록

  1. 포털 웹 사이트에 내 기관의 관리자로 로그인하여 기관 > 설정 편집 > 보안을 클릭합니다.
  2. 엔터프라이즈 로그인 섹션에서 단일 아이덴티티 공급자 옵션을 선택하고 엔터프라이즈 로그인 설정 버튼을 클릭한 다음, 창이 나타나면 기관의 이름을 입력합니다(예시: City of Redlands). 사용자가 포털 웹 사이트에 접근하는 경우 이 텍스트가 SAML 로그인 옵션의 일부로 나타납니다(예시: City of Redlands 계정 사용).
    참고 사항:

    포털에 대해 하나의 엔터프라이즈 IDP 또는 하나의 IDP 페더레이션만 등록할 수 있습니다.

  3. 사용자가 자동으로 또는 관리자가 계정을 포털에 추가한 후 기관에 가입할 수 있는지 여부를 선택합니다. 첫 번째 옵션을 선택하면 사용자가 관리자의 개입 없이 엔터프라이즈 로그인으로 기관에 로그인할 수 있습니다. 사용자의 계정은 처음 로그인할 때 기관에 자동으로 기관에 등록됩니다. 두 번째 옵션을 이용하려면 관리자가 커맨드 라인 유틸리티 또는 Python 스크립트 샘플을 사용하여 필요한 계정을 기관에 등록해야 합니다. 계정이 등록되고 나면 사용자는 기관에 로그인할 수 있게 됩니다.
    팁:

    하나 이상의 엔터프라이즈 계정을 포털의 관리자로 지정하고 초기 관리자 계정을 삭제하거나 수준을 내리는 것이 좋습니다. 또한 사용자가 자신의 계정을 생성하지 못하도록 포털 웹 사이트에서 계정 생성 버튼 및 등록 페이지(signup.html)를 비활성화하는 것이 좋습니다. 자세한 지침은 포털에서 SAML을 준수하는 ID 공급자 구성을 참고하세요.

  4. 다음 세 가지 옵션 중 하나를 사용하여 IDP에 대한 메타데이터 정보를 제공합니다.
    • URL - Portal for ArcGIS에서 NetIQ Access Manager 페더레이션 메타데이터의 URL에 접근할 수 있는 경우 이 옵션을 선택합니다. URL은 일반적으로 NetIQ Access Manager가 실행되는 머신의 http(s)://<host>:<port>/nidp/saml2/metadata입니다.
      참고 사항:

      엔터프라이즈 IDP가 자체 서명된 인증서를 포함하면 메타데이터의 HTTPS URL을 지정하려는 경우 오류가 발생할 수 있습니다. Portal for ArcGIS에서 ID 공급자의 자체 서명된 인증서를 확인할 수 없기 때문에 이 오류가 발생합니다. 또는 아래에서 다른 옵션의 하나인 URL에서 HTTP를 사용하거나 신뢰할 수 있는 인증서로 IDP를 구성합니다.

    • 파일Portal for ArcGIS에서 URL에 접근할 수 없는 경우 위의 URL에서 얻은 메타데이터를 XML 파일로 저장한 후 파일을 업로드합니다.
    • 매개변수 - URL 또는 페더레이션 메타데이터 파일에 접근할 수 없는 경우 이 옵션을 선택합니다. 값을 수동으로 입력하고 요청을 받은 매개변수인 로그인 URL과 인증서를 BASE 64 형식으로 인코딩하여 제공합니다. NetIQ Access Manager 관리자에게 이러한 매개변수를 확인할 수 있습니다.
  5. 다음과 같은 고급 설정을 적절히 구성합니다.
    • 어설션 암호화 - 이 옵션을 선택하면 SAML 어설션 응답을 암호화하도록 NetIQ Access Manager가 구성됩니다.
    • 서명한 요청 활성화 - 이 옵션을 선택하면 NetIQ Access Manager로 보낸 SAML 인증 요청이 Portal for ArcGIS에 의해 서명됩니다.
    • ID 공급자에 로그아웃 전파 - 이 옵션을 선택하면 Portal for ArcGIS로그아웃 URL을 사용하여 사용자를 Net IQ Access Manager에서 로그아웃시킵니다. 로그아웃 URL 설정에서 사용할 URL을 입력합니다. IDP의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화를 선택해야 합니다.
    • 로그인 시 프로필 업데이트 - 이 옵션을 선택하면 Portal for ArcGIS에서 사용자의 givenNameemail address 속성이 업데이트됩니다(마지막 로그인 이후 이러한 속성이 변경된 경우).
    • SAML 기반 그룹 멤버십 활성화 - 이 옵션을 선택하면 그룹 생성 프로세스 중에 기관 구성원이 지정된 SAML 기반 엔터프라이즈 그룹을 Portal for ArcGIS 그룹에 연결할 수 있습니다.
    • 로그아웃 URL - 현재 로그인되어 있는 사용자를 로그아웃시키는 데 사용되는 IDP URL입니다. 이 값은 IDP의 메타데이터 파일에 정의된 경우 자동으로 채워집니다. 필요한 경우 이 URL을 업데이트할 수 있습니다.
    • 엔터티 ID - 새 엔터티 ID를 사용하여 포털을 NetIQ Access Manager에 고유하게 식별하려면 이 값을 업데이트합니다.

    어설션 암호화서명한 요청 활성화 설정에는 포털 KeyStore의 samlcert 인증서가 사용됩니다. 새 인증서를 사용하려면 samlcert 인증서를 삭제하고 포털로 인증서 가져오기의 단계에 따라 동일한 별칭(samlcert)의 새 인증서를 생성한 다음 포털을 다시 시작합니다.

NetIQ Access Manager에 신뢰할 수 있는 서비스 공급자로 Portal for ArcGIS 등록

  1. 속성 셋을 구성합니다.

    아래 단계에 따라 사용자 인증 후 속성을 Portal for ArcGIS에 SAML 어설션의 일부로 보낼 수 있도록 새 속성 셋을 만듭니다. NetIQ Access Manager에 이미 구성된 기존 속성 셋이 있으면 그대로 사용해도 됩니다.

    1. NetIQ Access Manager 관리 콘솔에 로그인합니다. 일반적으로 http(s)://<host>:<port>/nps에서 로그인할 수 있습니다.
    2. NetIQ 관리 콘솔에서 ID 서버로 이동하여 공유 설정 탭을 클릭합니다. 속성 셋 아래에 기존에 만든 모든 속성 셋이 있을 것입니다. 새로 만들기를 클릭하고 새 속성 셋을 만듭니다. 이름 설정 아래에 Portal을 입력하고 다음을 클릭합니다.
    3. 속성 매핑을 정의한 후 이전 단계에서 만든 속성 셋에 추가합니다.

      Portal for ArcGIS 에서는 엔터프라이즈 IDP에서 엔터프라이즈 로그인 givenNameemail address 속성의 플로-인을 지원합니다. 사용자가 엔터프라이즈 로그인을 사용하여 로그인하고 Portal for ArcGISgivennameemail 또는 mail(이)라는 이름의 속성을 받을 경우(어떤 속성이든) Portal for ArcGIS는 ID 공급자에게 받은 값으로 사용자 계정의 전체 이름과 이메일 주소를 채웁니다.

      엔터프라이즈 IDP의 이메일 주소를 Portal for ArcGIS으로 전달하는 것이 좋습니다. 그러면 나중에 사용자가 관리자로 승격되었을 때 유용합니다. 계정에 이메일 주소를 넣으면 사용자가 관리 활동에 대한 알림을 수신하고 다른 사용자에게 기관 가입을 권유하는 초대를 보낼 수 있습니다.

    새로 만들기 링크를 클릭하여 모든 새 속성 매핑을 추가합니다. 아래의 화면 캡처에서는 givenName, email addressuid의 속성 매핑을 추가하는 과정을 보여줍니다. 이러한 예와는 달리, 인증 소스에서 속성을 선택할 수도 있습니다.

    givenName 속성
    이메일 속성
    uid 속성

    속성 셋 생성 마법사에서 종료를 클릭합니다. 그러면 Portal이라는 이름의 새 속성 셋이 생성됩니다.

  2. 아래 단계에 따라 NetIQ Access Manager에 신뢰할 수 있는 서비스 공급자로 Portal for ArcGIS를 등록합니다.
    1. NetIQ 관리 콘솔에 로그인하여 ID 서버를 선택한 다음 편집 링크를 클릭합니다.
      관리 콘솔

      일반 탭이 열립니다.

    2. SAML 2.0 탭을 클릭하고 새로 만들기 > 서비스 공급자를 클릭합니다.

      서비스 공급자 창에서 NetIQ Access Manager에 신뢰할 수 있는 서비스 공급자로 Portal for ArcGIS를 추가합니다.

    3. 신뢰할 수 있는 서비스 공급자 생성 마법사에서 원본으로 메타데이터 텍스트를 클릭하고 Portal for ArcGIS 기관의 메타데이터를 텍스트 상자에 붙여넣습니다.

      Portal for ArcGIS 기관의 메타데이터를 가져오려면 내 기관에 관리자로 로그인하여 설정 편집 버튼, 보안 탭, 서비스 공급자 가져오기 버튼을 차례로 클릭합니다. 메타데이터를 XML 파일로 저장합니다.

      다음을 클릭하고 종료를 클릭하여 신뢰할 수 있는 서비스 공급자 추가를 완료합니다.

  3. 아래 단계에 따라 Portal for ArcGIS 및 NetIQ Access Manager 페더레이션 등록정보를 구성합니다.
    1. SAML 2.0 탭에서 서비스 공급자 아래에 있는 서비스 공급자 링크를 클릭합니다. 구성 탭이 열립니다. 메타데이터 탭을 클릭하고 Portal for ArcGIS 기관의 메타데이터가 올바른지 확인합니다.
    2. 구성 탭을 클릭하여 구성의 트러스트 섹션으로 돌아갑니다. NetIQ Access Manager를 엔터프라이즈 IDP로 Portal for ArcGIS에 등록할 때 어설션 암호화 고급 설정을 선택한 경우 어설션 암호화 옵션을 선택합니다.
    3. 속성 탭을 클릭합니다.

      이 단계에서는 NetIQ Access Manager가 SAML 어설션에서 Portal for ArcGIS에 속성을 보낼 수 있도록 이전에 만든 셋의 속성 매핑을 추가합니다.

      위의 2.1단계에서 정의한 속성 셋을 선택합니다. 속성 셋을 선택하면 셋에서 정의한 속성이 사용 가능 상자에 표시됩니다. givenNameemail 속성을 인증으로 전송 상자로 이동합니다.

    4. 서비스 공급자의 구성 탭 아래에서 인증 응답 탭을 클릭하고 인증 응답을 설정합니다.

      바인딩 드롭다운 메뉴에서 게시를 클릭합니다.

      이름 식별자 열에서 지정하지 않음 옆에 있는 체크 박스를 선택합니다.

      기본 열에서 지정하지 않음 옆에 있는 라디오 버튼을 선택합니다.

      열에서 Ldap 속성 uid를 선택합니다.

      참고 사항:

      인증 원본의 속성 셋에서 다른 고유한 속성을 구성하여 NameID로 보낼 수 있습니다. 이 매개변수의 값은 기관에서 사용자 이름으로 사용됩니다.

      적용을 클릭합니다.

    5. 구성 아래에서 옵션 탭을 클릭하고 사용자 인증 계약을 선택합니다(예: 이름/비밀번호 - 형식을 선택하고 적용 클릭).
  4. ID 서버로 이동하여 NetIQ Access Manager를 다시 시작한 후 모두 업데이트 링크를 클릭합니다.

    NetIQ 다시 시작