기관은 SAML(Security Assertion Markup Language)을 사용하여 컴퓨터 사용자를 인증하고 웹 지원 리소스에 대한 접근 권한을 부여할 수 있습니다. 이를 위해 단일 SAML 준수 ID 공급자(IDP)가 사용자 인증을 처리하도록 구성됩니다. 기관의 웹 리소스는 웹 리소스에 대한 접근 권한 부여를 처리하는 하나 이상의 서비스 공급자에서 호스팅됩니다. 기관은 해당 IDP와 서비스 공급자에 대한 전체 관리 권한을 갖습니다. SAML 기반 인증 및 권한 부여를 지원하려면 기관의 각 서비스 공급자가 IDP와 작업할 수 있도록 등록되어야 합니다. 각 서비스 공급자는 단일 IDP에만 등록할 수 있습니다.
또한 SAML을 사용하여 독립적으로 운영되는 여러 기관 간에 리소스를 공유할 수도 있습니다. 이는 페더레이션 관리 엔티티에 의해 가능해졌으며 구성원 기관 간의 SAML 기반 리소스 공유가 지원됩니다. 웹 리소스를 페더레이션과 공유하려는 구성원 기관은 하나 이상의 서비스 공급자가 페더레이션 내에서 독점적으로 작동하도록 구성합니다. 페더레이션과 공유되는 보안 리소스에 접근하려면 사용자는 홈 기관의 IDP로 아이덴티티를 인증해야 합니다. 성공적으로 인증되면 유효성이 검사된 이 아이덴티티가 보안 리소스를 호스팅하는 서비스 공급자에게 제공됩니다. 그러면 서비스 공급자가 사용자의 접근 권한을 확인한 후 리소스에 대한 접근 권한을 부여합니다.
10.6.1에서는 IDP의 SAML 기반 페더레이션으로 ArcGIS Enterprise 포털을 구성할 수 있습니다. 포털은 페더레이션에서 호스팅하는 검색 서비스에 접근합니다. 이 서비스는 페더레이션에 참여하는 아이덴티티 공급자 및 서비스 공급자 목록을 제공합니다.
몇 가지 일반적인 SAML 기반 ID 공급자 페더레이션은 InCommon, eduGAIN, SWITCHaai, DFN-AAI, UK Access Management Federation입니다.
포털로 페더레이션 구성
다음 단계를 따라 포털에 SAML 기반 ID 공급자 페더레이션을 구성합니다.
- 포털 웹사이트에 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
- 엔터프라이즈 로그인 섹션에서 아이덴티티 공급자의 페더레이션 옵션을 선택하고 엔터프라이즈 로그인 설정 버튼을 클릭한 다음, 창이 나타나면 페더레이션에 대한 설명을 입력합니다. 이 설명은 SAML 로그인 옵션의 일부로, 포털 웹사이트에 접근하는 사용자에게 표시됩니다.
- 사용자가 포털 기관에 가입하는 방법을 선택합니다.
- 자동 - 사용자가 처음 로그인할 때 계정이 자동으로 포털에 등록되므로, 관리자의 권한 없이 엔터프라이즈 로그인으로 기관에 로그인할 수 있습니다.
- 관리자의 초대 시 - 포털 관리자가 명령줄 유틸리티 또는 파이썬 스크립트를 사용하여 필요한 계정을 기관에 등록해야 합니다.
비고:
Esri는 하나 이상의 엔터프라이즈 계정을 포털의 관리자로 지정하고, 포털 웹사이트에서 계정 생성 버튼과 가입 페이지(signup.html)를 비활성화하여 사용자가 자신의 계정을 만들 수 없도록 하는 것을 권장합니다. 자세한 내용은 아래의 엔터프라이즈 계정을 관리자로 지정 섹션을 참고하세요.
- 페더레이션에서 호스팅하는 중앙 집중식 IDP 검색 서비스에 대한 URL을 제공합니다(예시:https://wayf.samplefederation.com/WAYF).
- 페더레이션에 참여하는 모든 아이덴티티 공급자 및 서비스 공급자의 메타데이터 취합인 페더레이션 메타데이터에 대한 URL을 제공합니다.
- 포털에서 페더레이션 메타데이터의 유효성을 확인할 수 있는 Base64 형식으로 인코딩된 인증서를 복사한 후 붙여넣습니다.
- 다음과 같은 고급 설정을 적절히 구성합니다.
- 어설션 암호화 - 암호화된 SAML 어설션 응답이 포털에서 지원됨을 SAML 아이덴티티 공급자에 나타내려는 경우 이 옵션을 선택합니다. 이 옵션이 선택되면 아이덴티티 공급자가 SAML 응답의 어설션 섹션을 암호화합니다. 포털과 주고받는 모든 SAML 트래픽이 HTTPS 사용을 통해 이미 암호화되어 있더라도 이 옵션을 통해 또 다른 암호화 레이어가 추가됩니다.
- 서명한 요청 활성화 - 이 옵션을 선택하면 IDP에 보낸 SAML 인증 요청이 포털에 의해 서명됩니다. 포털에서 보낸 초기 로그인 요청에 서명함으로써 IDP는 모든 로그인 요청이 신뢰할 수 있는 서비스 공급자로부터 시작된 것임을 확인할 수 있습니다.
- 아이덴티티 공급자에 로그아웃 전파 - 이 옵션을 선택하면 포털이 로그아웃 URL을 사용하여 사용자를 IDP에서 로그아웃시킵니다. 이 옵션을 선택하는 경우 로그아웃 URL 설정에서 사용할 URL을 입력합니다. IDP의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화 옵션도 선택해야 합니다. 이 옵션을 선택하지 않는 경우 포털 웹사이트에서 로그아웃을 클릭하면 포털에서 사용자를 서명하지만 IDP에서는 서명하지 않습니다. 사용자의 웹 브라우저 캐시가 지워지지 않은 경우, 바로 엔터프라이즈 로그인 옵션을 사용하여 포털에 다시 로그인을 시도하면 IDP에 자격 증명을 제공할 필요 없이 즉시 로그인됩니다. 이는 무단 사용자나 일반 사용자가 쉽게 접근할 수 있는 컴퓨터를 사용하는 경우 악용될 수 있는 보안 취약성입니다.
- 로그인 시 프로필 업데이트 - 이 옵션을 선택하면 사용자가 마지막으로 로그인한 후 사용자의 성 및 이메일 주소 속성이 변경된 경우 포털에서 이러한 속성을 업데이트합니다. 이 옵션은 기본 설정에 따라 선택되어 있습니다.
- 엔티티 ID - 새 엔티티 ID를 사용하여 포털 기관을 SAML 페더레이션에 고유하게 식별하려면 이 값을 업데이트합니다.
포털을 신뢰할 수 있는 서비스 공급자로 SAML 페더레이션에 등록
구성 프로세스를 완료하려면 포털의 서비스 공급자 메타데이터를 함께 등록하여 페더레이션의 검색 서비스 및 기관 IDP와의 신뢰 관계를 설정합니다. 이 메타데이터를 얻는 방법에는 두 가지가 있습니다.
- 내 기관에 대한 설정 편집 페이지의 보안 섹션에서 서비스 공급자 가져오기 버튼을 클릭합니다. 그러면 내 컴퓨터에 XML 파일로 저장할 수 있는 기관의 메타데이터가 보여집니다.
- 메타데이터 URL을 열고 내 컴퓨터에 XML 파일로 저장합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>입니다(예시: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY). https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken을(를) 사용하여 토큰을 생성할 수 있습니다. 토큰 생성 페이지에 URL을 입력할 때는 ID 공급자 서버의 정규화된 도메인 이름을 웹 앱 URL 필드에 지정합니다. IP 주소 또는 이 요청 원점의 IP 주소와 같은 기타 옵션은 선택할 수 없으며 선택하는 경우 잘못된 토큰이 생성될 수 있습니다.
서비스 공급자 메타데이터를 다운로드한 후에는 SAML 페더레이션 관리자에게 문의하여 메타데이터를 페더레이션의 집계 메타데이터 파일에 통합하는 방법에 대한 지침을 알아보세요. 페더레이션에 IDP를 등록하는 지침도 필요합니다.
엔터프라이즈 계정을 관리자로 지정
엔터프라이즈 계정을 포털의 관리자로 지정하는 방법은 사용자가 자동으로 또는 관리자가 계정을 포털에 추가한 후 기관에 가입할 수 있는지 여부에 따라 다릅니다.
기관에 자동으로 가입
사용자가 기관에 자동으로 가입할 수 있는 옵션을 선택한 경우 포털 관리자로 사용할 엔터프라이즈 계정으로 로그인한 상태에서 포털 웹사이트 홈페이지를 엽니다.
계정이 포털에 자동으로 처음 추가된 경우에는 사용자 역할이 할당됩니다. 기관의 관리자만 계정의 역할을 변경할 수 있으므로 초기 관리자 계정을 사용해 포털에 로그인하여 엔터프라이즈 계정에 관리자 역할을 할당해야 합니다.
- 포털 웹사이트를 열고 SAML ID 공급자를 사용하여 로그인할 수 있는 옵션을 클릭한 후, 관리자로 사용하려는 엔터프라이즈 계정의 자격 증명을 입력합니다. 이 계정이 다른 사용자의 계정인 경우 계정이 포털에 등록되도록 해당 사용자를 포털에 로그인합니다.
- 계정이 포털에 추가된 것을 확인하고 로그아웃을 클릭합니다. 브라우저의 캐시와 쿠키를 제거합니다.
- 브라우저에서 포털 웹사이트를 열고, 빌트인 포털 계정을 사용하여 로그인할 수 있는 옵션을 클릭하고, Portal for ArcGIS 설정 시 생성한 초기 관리자 계정의 자격 증명을 제공합니다.
- 포털을 관리하는 데 사용할 엔터프라이즈 계정을 찾아서 역할을 관리자로 변경합니다. 로그아웃을 클릭합니다.
이제 선택한 엔터프라이즈 계정이 포털의 관리자가 되었습니다.
엔터프라이즈 계정을 포털에 수동으로 추가
계정을 포털에 추가한 후 사용자가 기관에 가입할 수 있는 옵션을 선택한 경우 명령줄 유틸리티 또는 Python 스크립트 샘플을 사용하여 필요한 계정을 기관에 등록해야 합니다. 포털을 관리하는 데 사용되는 엔터프라이즈 계정의 관리자 역할을 선택해야 합니다.
초기 관리자 계정 삭제 또는 수준 내리기
이제 대체 포털 관리자 계정이 있으므로 초기 관리자 계정을 사용자 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.
사용자가 자신의 계정을 생성하지 못하도록 금지
포털 접근에 대한 보안이 유지되도록 한 후, 사용자가 자신의 계정을 생성할 수 없도록 포털 웹사이트에서 계정 생성 버튼과 등록 페이지(signup.html)를 비활성화하는 것이 좋습니다. 즉, 모든 구성원이 엔터프라이즈 계정 및 자격 증명을 사용하여 포털에 로그인하며 불필요한 빌트인 계정은 생성할 수 없습니다. 자세한 내용은 빌트인 포털 계정 생성 기능 비활성화를 참고하세요.
ArcGIS 계정을 사용한 로그인 비활성화
사용자가 ArcGIS 계정을 사용해 포털에 로그인하는 것을 방지하고 싶다면 로그인 페이지에서 다음 단계에 따라 ArcGIS 계정 사용 버튼을 비활성화할 수 있습니다.
- 포털 웹사이트에 내 기관의 관리자로 로그인하여 기관 > 설정 편집 > 보안을 클릭합니다.
- 로그인 옵션 섹션에서 SAML IDP 계정 전용 라디오 버튼을 선택합니다. IDP는 포털에 구성된 항목에 따라 다릅니다.
- 저장을 클릭합니다.
로그인 페이지에는 ID 공급자 계정을 사용해 포털에 로그인할 수 있는 버튼이 표시됩니다. ArcGIS 계정 사용 로그인 버튼은 사용할 수 없습니다. 로그인 옵션 아래에서 SAML IDP 계정 또는 Portal for ArcGIS 계정을 선택하여 ArcGIS 계정을 통한 구성원 로그인을 다시 활성화할 수 있습니다. IDP 및 포털 이름은 구성된 항목에 따라 다릅니다.
SAML 아이덴티티 공급자 수정 또는 제거
엔터프라이즈 로그인 편집 버튼을 사용하여 페더레이션 설정을 업데이트하거나, 엔터프라이즈 로그인 제거 버튼을 사용하여 포털에서 페더레이션을 제거할 수 있습니다. 이러한 버튼은 포털과 페더레이션을 설정하면 나타납니다. 페더레이션을 제거한 후에는 필요에 따라 새 아이덴티티 공급자 또는 ID 공급자의 페더레이션을 설정할 수 있습니다.