Skip To Content

포털에서 SAML을 준수하는 ID 공급자 구성

Security Assertion Markup Language(SAML)은(는) 기관별 ID 공급자와 서비스 공급자(이 경우 Portal for ArcGIS) 간에 인증 및 권한 부여 데이터를 안전하게 교환하는 데 사용되는 개방형 표준입니다. 이 접근 방법을 SAML Web Single Sign On이라고 합니다.

이 포털은 SAML 2.0을 준수하며 SAML 2 Web Single Sign On을 지원하는 ID 공급자에 통합됩니다. SAML을 설정하면 ArcGIS Enterprise 포털에 접근하는 사용자를 위해 추가 로그인을 생성할 필요가 없다는 이점이 있습니다. 대신에 사용자는 이미 ID 저장소에 설정되어 있는 로그인을 사용합니다. 이 문서에서는 이 프로세스를 기관별 로그인이라고 부릅니다.

선택적으로 ID 저장소의 엔터프라이즈 그룹에 대한 메타데이터를 포털에 제공할 수 있습니다. 이를 통해 포털에서 ID 저장소의 기존 엔터프라이즈 그룹을 이용하는 그룹을 생성할 수 있습니다.

구성원이 포털에 로그인한 경우 콘텐츠, 항목, 데이터에 대한 접근 권한은 엔터프라이즈 그룹에 정의된 멤버십 규칙에 의해 제어됩니다. 필요한 엔터프라이즈 그룹 메타데이터를 제공하지 않은 경우에도 그룹을 생성할 수 있습니다. 그러나 이 경우 멤버십 규칙이 ID 저장소가 아니라 ArcGIS Enterprise 포털에 의해 제어됩니다.

비고:

10.6.1에서는 포털에 SAML 기반 ID 공급자 페더레이션을 구성할 수도 있습니다.

ArcGIS Enterprise 포털 내의 ArcGIS Online 사용자 이름 일치

ArcGIS Online 기관과 포털에 동일한 SAML 준수 ID 공급자가 사용되는 경우 기관별 사용자 이름이 일치하도록 구성할 수 있습니다. ArcGIS Online의 모든 기관별 사용자 이름의 끝에는 기관의 단축 이름이 추가되어 있습니다. ArcGIS Enterprise 포털의 보안 구성에 있는 defaultIDPUsernameSuffix 등록정보를 정의하고 기관의 단축 이름과 일치하도록 설정하여 동일한 엔터프라이즈 사용자 이름을 포털에 사용할 수 있습니다. ArcGIS Online과 포털 양쪽에서 기관별 사용자가 편집한 피처 서비스에 편집자 추적이 활성화된 경우 이러한 구성이 필요합니다.

SAML 로그인

Portal for ArcGIS는 서비스 공급자(SP)에 의한 기관별 로그인 및 ID 공급자(IDP)에 의한 기관별 로그인을 지원합니다. 로그인 환경은 각각 다릅니다.

서비스 공급자에 의한 로그인

서비스 공급자를 통해 로그인이 시작되었다면 사용자는 포털에 직접 접근하고 빌트인 계정(포털에서 관리) 또는 SAML을 준수하는 ID 공급자에서 관리하는 계정에 로그인할 수 있는 옵션을 사용할 수 있습니다. 사용자가 SAML ID 공급자 옵션을 선택하는 경우 SAML 사용자 이름 및 비밀번호를 입력하라는 메시지가 나타나는 웹페이지(로그인 관리자라고 함)로 리디렉션됩니다. 사용자의 로그인 자격 증명을 확인할 때 SAML을 준수하는 ID 공급자는 로그인하려는 사용자의 확인된 ID를 Portal for ArcGIS에 알리며, 사용자는 포털 웹사이트로 다시 리디렉션됩니다.

사용자가 빌트인 계정 옵션을 선택하는 경우 ArcGIS Enterprise 포털 웹사이트의 로그인 페이지가 열립니다. 그러면 사용자는 빌트인 사용자 이름과 비밀번호를 입력하여 웹사이트에 접근합니다. ArcGIS 계정으로 로그인하는 옵션이 비활성화되지 않은 상태에서 SAML을 준수하는 ID 공급자를 사용할 수 없는 경우 빌트인 계정 옵션을 안전 장치로 사용할 수 있습니다.

ID 공급자 초기화 로그인

ID 공급자를 통해 로그인이 시작되었다면 사용자는 로그인 관리자에 직접 접근하고 해당 계정으로 로그인합니다. 사용자가 계정 정보를 제출하면 ID 공급자가 SAML 응답을 직접 Portal for ArcGIS에 전송합니다. 그러고 나면 사용자가 로그인되고 기관에 다시 로그인할 필요 없이 리소스에 바로 접근할 수 있는 포털 웹사이트로 리디렉션됩니다.

빌트인 계정을 사용하여 로그인하는 옵션은 로그인 관리자에서 사용할 수 없습니다. 빌트인 계정을 사용하여 기관에 로그인하려면 구성원은 포털 웹사이트에 직접 접근해야 합니다.

비고:

ID 공급자 문제로 인해 SAML 로그인에 실패했으며 빌트인 계정 옵션이 비활성화된 경우 이 옵션을 다시 활성화할 때까지는 ArcGIS Enterprise 포털에 접근할 수 없습니다. 지침은 일반적인 문제와 해결 방법의 이 질문을 참고하세요.

SAML ID 공급자

Portal for ArcGIS 포털은 모든 SAML 준수 ID 공급자를 지원합니다. ArcGIS/idp GitHub 저장소에서 특정 일반 SAML 준수 ID 공급자를 구성하는 방법에 대한 자세한 지침을 확인할 수 있습니다.

ArcGIS Enterprise와의 ID 공급자 구성 프로세스는 아래에 설명되어 있습니다. 계속 진행하기 전에 SAML ID 공급자의 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다. 예를 들어 기관에서 Microsoft Active Directory를 사용하는 경우 기관별 ID 공급자 쪽에서 SAML을 구성하거나 활성화하고, 포털 쪽에서 구성에 필요한 매개변수를 얻으려면 Microsoft Active Directory를 담당하는 관리자에게 문의합니다.

필수 정보

Portal for ArcGIS에서는 사용자가 SAML 로그인을 사용하여 로그인할 때에는 IDP로부터 특정 속성 정보를 받아야 합니다. NameID 속성은 Portal for ArcGIS 작업과 페더레이션하기 위해 SAML 응답에서 IDP가 보내야 하는 필수 속성입니다. Portal for ArcGIS에서는 NameID 값을 사용하여 기명 사용자를 식별하므로 사용자를 고유하게 식별하는 상수 값을 사용하는 것이 좋습니다. IDP의 사용자가 로그인하면 Portal for ArcGIS에서 해당 사용자 저장소에 사용자 이름이 NameID인 새 사용자를 생성합니다. NameID에서 보내는 값에 사용할 수 있는 문자는 영숫자, _(밑줄), .(점), @(기호)입니다. 다른 모든 문자는 Portal for ArcGIS에서 생성한 사용자 이름에 밑줄을 포함하도록 이스케이프됩니다.

Portal for ArcGISSAML ID 공급자에게 사용자의 이메일 주소, 그룹 멤버십, 성, 이름을 불러올 수 있도록 지원합니다.

SAML ID 공급자로 포털 구성

사용자가 기존 온프레미스 시스템에서 사용하는 것과 동일한 사용자 이름 및 비밀번호를 사용하여 로그인할 수 있도록 포털을 구성할 수 있습니다. 기관별 로그인을 설정하기 전에 기관에 대한 기본 사용자 유형을 구성해야 합니다.

  1. 포털 웹사이트에 내 기관의 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
  2. 로그인 섹션에서 새 SAML 로그인 버튼을 클릭하고 단일 ID 공급자 옵션을 선택합니다. 등록정보 지정 페이지에서 기관명(예시: Redlands 시)을 입력합니다.

    사용자가 포털 웹사이트에 접근하는 경우 이 텍스트가 SAML 로그인 옵션의 일부로 나타납니다(예시: City of Redlands 계정 사용).

  3. 자동으로 또는 관리자의 초대에 따라를 선택하여 사용자가 기관에 자동으로 가입할 수 있는지 아니면 초대에 따라 가입할 수 있는지를 지정합니다.
    첫 번째 옵션을 이용하면 사용자가 관리자의 개입 없이 기관별 로그인으로 기관에 로그인할 수 있습니다. 사용자의 계정은 처음 로그인할 때 기관에 자동으로 기관에 등록됩니다. 두 번째 옵션을 이용하려면 관리자가 명령줄 유틸리티 또는 Python 스크립트 샘플을 사용하여 필요한 계정을 기관에 등록해야 합니다. 계정이 등록되고 나면 사용자는 기관에 로그인할 수 있습니다.
    팁:

    하나 이상의 SAML 계정을 포털의 관리자로 지정하고 초기 관리자 계정을 삭제하거나 수준을 내리는 것이 좋습니다. 또한 사용자가 자신의 계정을 생성하지 못하도록 포털 웹사이트에서 계정 생성 버튼을 비활성화하는 것이 좋습니다. 자세한 내용은 아래의 기관별 계정을 관리자로 지정 섹션을 참고하세요.

  4. 메타데이터 정보를 얻기 위해 포털이 접근할 소스를 지정합니다. 이를 통해 SAML을 준수하는 ID 공급자에 대한 필요한 메타데이터 정보를 제공합니다. ArcGIS/idp GitHub 저장소에서 인증된 공급자로부터 메타데이터를 얻는 방법에 대한 지침을 확인할 수 있습니다. 메타데이터 정보의 가능한 소스에는 세 가지가 있습니다.
    • URL - ID 공급자에 대한 메타데이터 정보를 반환하는 URL을 제공합니다.
      비고:

      ID 공급자가 자체 서명된 인증서를 포함하면 메타데이터의 HTTPS URL을 지정할 때 오류가 발생할 수 있습니다. Portal for ArcGIS에서 ID 공급자의 자체 서명된 인증서를 확인할 수 없기 때문에 이 오류가 발생합니다. 또는 URL이나 아래의 다른 옵션 중 하나에서 HTTP를 사용하거나 신뢰할 수 있는 인증서로 ID 공급자를 구성합니다.

    • 파일 - ID 공급자에 대한 메타데이터 정보가 포함된 파일을 업로드합니다.
    • 여기에 지정된 매개변수 - 다음을 제공하여 ID 공급자에 대한 메타데이터 정보를 직접 입력합니다.
      • 로그인 URL(리디렉션) - 구성원의 로그인을 허용하기 위해 Portal for ArcGIS에서 사용할 ID 공급자의 URL(HTTP 리디렉션 바인딩을 지원함)을 입력합니다.
      • 로그인 URL(POST) - 구성원의 로그인을 허용하기 위해 Portal for ArcGIS에서 사용할 ID 공급자의 URL(HTTP POST 바인딩을 지원함)을 입력합니다.
      • 인증서 - ID 공급자의 인증서(BASE 64 형식으로 인코딩됨)를 제공합니다. 이 인증서를 통해 Portal for ArcGIS는 ID 공급자로부터 전송된 SAML 응답의 디지털 서명을 확인할 수 있습니다.
    비고:

    제공해야 하는 메타데이터 정보의 소스는 ID 공급자의 관리자에게 문의하세요.

  5. 구성 프로세스를 완료하고 ID 공급자와 신뢰 관계를 설정하려면 포털의 서비스 공급자 메타데이터를 ID 공급자에 등록합니다. 포털에서 메타데이터를 얻으려면 다음 중 하나를 수행하세요.
    • 기관 설정 탭의 보안 섹션에서 서비스 공급자 메타데이터 다운로드 버튼을 클릭하여 기관의 메타데이터 파일을 다운로드합니다.
    • 메타데이터 URL을 열고 내 컴퓨터에 .xml 파일로 저장합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>입니다(예시: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY). https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken을 사용하여 토큰을 생성할 수 있습니다. 토큰 생성 페이지에 URL을 입력할 때는 ID 공급자 서버의 정규화된 도메인 이름을 웹 앱 URL 텍스트 상자에 지정합니다. IP 주소 또는 이 요청 원본의 IP 주소와 같은 기타 옵션은 지원되지 않으며 잘못된 토큰이 생성될 수 있습니다.

    ArcGIS/idp GitHub 저장소에서 인증된 공급자로 포털의 서비스 공급자 메타데이터를 등록하는 방법에 대한 지침을 확인할 수 있습니다.

  6. 다음과 같은 고급 설정을 적절히 구성합니다.
    • 어설션 암호화 - 암호화된 SAML 어설션 응답이 Portal for ArcGIS에서 지원됨을 SAML ID 공급자에 나타냅니다. 이 옵션이 선택되면 ID 공급자가 SAML 응답의 어설션 섹션을 암호화합니다. Portal for ArcGIS과 주고받는 모든 SAML 트래픽이 HTTPS 사용을 통해 이미 암호화되어 있더라도 이 옵션을 통해 또 다른 암호화 레이어가 추가됩니다.
    • 서명한 요청 활성화 - ID 공급자에게 보낸 SAML 인증 요청이 Portal for ArcGIS에 의해 서명됩니다. Portal for ArcGIS에서 보낸 초기 로그인 요청에 서명함으로써 ID 공급자는 모든 로그인 요청이 신뢰할 수 있는 서비스 공급자로부터 시작된 것임을 확인할 수 있습니다.
      팁:

      SAML 요청의 무결성을 보장하려면 이 설정을 활성화합니다. 언제든지 고급 설정에서 이 옵션을 활성화할 수 있으며 포털 초기 구성 중에 이를 건너뛸 수도 있습니다.

    • ID 공급자에 로그아웃 전파 - Portal for ArcGIS가 로그아웃 URL을 사용하여 사용자를 ID 공급자에서 로그아웃시킵니다. 로그아웃 URL 설정에서 사용할 URL을 입력합니다. ID 공급자의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화 설정도 활성화해야 합니다. 이 설정이 선택되지 않은 경우 Portal for ArcGIS에서 로그아웃을 클릭하면 사용자가 Portal for ArcGIS에서 로그아웃되며 ID 공급자에서는 로그아웃되지 않습니다. 사용자의 웹브라우저 캐시가 지워지지 않은 경우 기관별 로그인 옵션을 사용하여 Portal for ArcGIS에 바로 다시 로그인하면 SAML ID 공급자에 사용자 자격 증명을 입력하지 않아도 로그인됩니다. 이는 무단 사용자나 일반 사용자가 접근할 수 있는 컴퓨터를 사용하는 경우 악용될 수 있는 보안 취약성입니다.
    • 로그인 시 프로필 업데이트 - Portal for ArcGIS에서 사용자의 givenNameemail address 속성이 업데이트됩니다(마지막 로그인 이후 이러한 속성이 변경된 경우). 이 설정은 기본 설정에 따라 활성화되어 있습니다.
    • SAML 기반 그룹 멤버십 활성화 - 포털 관리자가 SAML ID 공급자의 그룹을 ArcGIS Enterprise 포털에 생성된 그룹에 연결할 수 있습니다. 이 설정이 활성화되면 Portal for ArcGIS가 SAML 어설션 응답을 분석하여 구성원이 속한 그룹을 식별합니다. 그런 다음 포털에 새 그룹을 생성할 때 이 그룹에 가입할 수 있는 사람에 대해 ID 공급자가 제공한 하나 이상의 엔터프라이즈 그룹을 지정할 수 있습니다. 이 기능은 기본 설정에 따라 비활성화됩니다.
    • 로그아웃 URL - 현재 로그인되어 있는 사용자를 로그아웃시키는 데 사용할 ID 공급자 URL을 입력합니다. ID 공급자의 메타데이터 파일에 이 등록정보가 지정되어 있으면 해당 URL이 자동으로 설정됩니다.
    • 엔티티 ID - 새 엔티티 ID를 사용하여 Portal for ArcGIS 기관을 SAML ID 공급자에 고유하게 식별하려면 이 값을 업데이트합니다.

고가용성 포털을 위해 SAML 호환 IDP 구성

Portal for ArcGIS는 서명된 요청(로그인 및 로그아웃용)을 IDP에 보낼 때와 IDP에서 암호화된 응답을 해독할 때 samlcert 별칭의 인증서를 사용합니다. 고가용성 ArcGIS Enterprise portal을 구성하고 SAML 호환 IDP를 사용하는 경우 IDP와 통신할 때 Portal for ArcGIS의 각 인스턴스가 동일한 인증서를 사용하고 있는지 확인해야 합니다.

모든 인스턴스가 SAML에 대해 동일한 인증서를 사용하도록 하는 가장 좋은 방법은 samlcert 별칭의 새 인증서를 생성하고 고가용성 배포에서 Portal for ArcGIS의 각 인스턴스로 가져오는 것입니다.

  1. https://example.domain.com:7443/arcgis/portaladmin에서 포털 관리자 디렉터리에 로그인합니다.
  2. 보안 > sslcertificates로 이동하여 기존의 samlcert 인증서를 클릭합니다.
  3. 삭제를 클릭합니다.
  4. 고가용성 포털의 모든 인스턴스에서 기존의 samlcert 인증서를 삭제하려면 1~3단계를 반복합니다.
  5. ArcGIS Portal 관리자 디렉터리에서 자체 서명된 새 인증서를 생성합니다.
  6. 인증서를 구성할 때 samlcert를 별칭으로 지정하고 배포의 로드 밸런서 호스트 이름을 주체 대체 이름 필드에서 일반 이름 및 DNS 별칭 모두에 지정합니다.
  7. 인증서가 생성되면 .pfx 파일로 내보냅니다.
    1. Portal for ArcGIS가 설치된 머신에 로그인합니다.
    2. 관리자 권한으로 실행 옵션을 사용하여 머신에서 명령 프롬프트를 엽니다.
    3. 포털의 SSL 폴더로 디렉터리를 변경합니다. cd <Portal installation directory>\etc\ssl.
    4. 다음 명령을 입력하여 samlcert.pfx 파일 형식으로 내보냅니다.
      ....\framework\runtime\jre\bin\keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
  8. 보안 > sslcertificates > 기존 서버 인증서 가져오기 페이지에서 새 인증서를 Portal for ArcGIS의 각 인스턴스로 가져옵니다.
  9. 고가용성 포털의 각 인스턴스에서 Portal for ArcGIS를 재시작합니다.

ArcGIS Enterprise portal의 서비스 공급자 메타데이터 파일을 사용하여 SAML IDP와 통신하는 데 사용되는 인증서가 고가용성 배포에서 동일한지 확인할 수 있습니다.

  1. 기관 탭에서 설정 편집 > 보안으로 이동합니다.
  2. 보안 페이지의 SAML을 통한 엔터프라이즈 로그인 항목에서 ID 공급자 편집을 클릭합니다. 고급 설정 표시 메뉴를 열고 어설션 암호화 옵션이 선택되어 있는지 확인합니다. 선택되어 있지 않은 경우 선택하고 ID 공급자 업데이트를 클릭하여 변경 사항을 저장합니다.
  3. SAML을 통한 엔터프라이즈 로그인 항목으로 돌아가서 서비스 공급자 가져오기를 선택합니다. 그러면 서비스 공급자 메타데이터를 .xml 파일로 머신에 내보냅니다.
  4. 다운로드한 .xml 파일을 엽니다. <md:KeyDescriptor use="encryption"> 문구가 있는지 확인합니다. 이 문구는 암호화용 인증서가 있음을 의미합니다.
  5. 하위 섹션 <ds:KeyInfo>의 값을 확인합니다.
  6. 배포에서 Portal for ArcGIS의 각 인스턴스에 대해 이 단계를 반복하여 각각에서 서비스 공급자 메타데이터 파일을 가져옵니다.

내보낸 모든 메타데이터 파일의 <ds:KeyInfo> 하위 섹션에 동일한 정보가 있어야 하며, 이는 SAML 호환 IDP와 통신할 때 Portal for ArcGIS의 각 인스턴스에서 동일한 인증서를 사용함을 의미합니다.

기관별 계정을 관리자로 지정

기관별 계정을 포털의 관리자로 지정하는 방법은 사용자가 기관에 자동으로 가입할 수 있는지 아니면 관리자의 초대 시 가입할 수 있는지에 따라 다릅니다.

기관에 자동으로 가입

사용자가 기관에 자동으로 가입할 수 있는 자동으로 옵션을 선택한 경우 포털 관리자로 사용할 기관별 계정으로 로그인한 상태에서 포털 웹사이트 홈페이지를 엽니다.

계정을 포털에 처음 자동 추가한 경우 계정에 새 구성원에게 맞게 구성된 기본 역할이 할당됩니다. 기관의 관리자만 계정의 역할을 변경할 수 있으므로 초기 관리자 계정을 사용해 포털에 로그인하여 기관별 계정을 관리자 역할에 배정해야 합니다.

  1. 포털 웹사이트를 열고 SAML ID 공급자를 사용하여 로그인할 수 있는 옵션을 클릭한 후, 관리자로 사용하려는 SAML 계정의 자격 증명을 입력합니다. 이 계정이 다른 사용자의 계정인 경우 계정이 포털에 등록되도록 해당 사용자를 포털에 로그인합니다.
  2. 계정이 포털에 추가된 것을 확인하고 로그아웃을 클릭합니다. 브라우저의 캐시와 쿠키를 제거합니다.
  3. 브라우저에서 포털 웹사이트를 열고, 빌트인 포털 계정을 사용하여 로그인할 수 있는 옵션을 클릭하고, Portal for ArcGIS 설정 시 생성한 초기 관리자 계정의 자격 증명을 제공합니다.
  4. 포털을 관리하는 데 사용할 SAML 계정을 찾아서 역할을 관리자로 변경합니다. 로그아웃을 클릭합니다.

이제 선택한 SAML 계정이 포털의 관리자가 되었습니다.

기관별 계정을 포털에 수동으로 추가

사용자가 초대를 통해서만 기관에 가입할 수 있도록 관리자의 초대 시 옵션을 선택한 경우 명령줄 유틸리티 또는 Python 스크립트 샘플을 사용하여 기관에 필요한 계정을 등록해야 합니다. 포털을 관리하는 데 사용되는 SAML 계정의 관리자 역할을 선택합니다.

초기 관리자 계정 삭제 또는 수준 내리기

이제 대체 포털 관리자 계정이 있으므로 초기 관리자 계정을 다른 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.

사용자가 자신의 계정을 생성하지 못하도록 금지

기관 설정에서 사용자가 새 빌트인 계정을 생성할 수 있는 기능을 비활성화하여 사용자가 자신의 빌트인 계정을 생성하지 못하게 할 수 있습니다.

사용자가 ArcGIS 계정으로 로그인하지 못하도록 금지

사용자가 ArcGIS 계정을 사용해 포털에 로그인하는 것을 방지하려면 로그인 페이지에서 ArcGIS 로그인 토글 버튼을 끕니다.

  1. 포털 웹사이트에 기관 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
  2. 로그인 섹션에서 ArcGIS 로그인 토글 버튼을 끕니다.

로그인 페이지에는 ID 공급자 계정을 사용하여 포털에 로그인하는 버튼이 표시되며 ArcGIS 로그인 버튼은 사용할 수 없습니다. ArcGIS 계정으로 구성원 로그인을 다시 활성화하려면 로그인 섹션에서 ArcGIS 로그인 토글 버튼을 켭니다.

SAML IDP 수정 또는 제거

SAML IDP를 설정한 경우 현재 등록된 SAML IDP 옆의 편집 버튼 편집을 클릭하여 설정을 업데이트할 수 있습니다. SAML 로그인 편집 창에서 설정을 업데이트합니다.

현재 등록된 IDP를 제거하려면 IDP 옆의 편집 버튼 편집을 클릭하고 SAML 로그인 편집 창에서 로그인 삭제를 클릭합니다. IDP를 제거하면 필요에 따라 새 IDP 또는 IDP의 페더레이션을 설정할 수 있습니다.

SAML 보안 모범 사례

SAML 로그인을 활성화하려면 ArcGIS EnterpriseSAML IDP의 SP로 구성할 수 있습니다. 강력한 보안을 위해 아래 설명된 모범 사례를 검토하세요.

SAML 로그인 및 로그아웃 요청에 디지털 서명 및 SAML 어설션 응답에 서명

서명은 SAML 메시지의 무결성을 보장하고 중간자(MITM) 공격에 대해 보호 장치로 작동하는 데 사용됩니다. SAML 요청에 디지털로 서명하면 또한 신뢰할 수 있는 SP의 요청 전송이 확인되어 IDP가 DOS(서비스 거부) 공격에 대해 더 잘 대응할 수 있습니다. SAML 로그인을 구성할 때 고급 설정에서 서명된 요청 활성화 옵션을 켭니다.

비고:

서명된 요청을 활성화하려면 SP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 IDP를 업데이트해야 합니다.

SAML 어설션 응답의 전송 중 변경을 예방 하려면 SAML IDP를 구성하여 SAML 응답에 서명합니다.

비고:

서명된 요청을 활성화하려면 IDP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 SP(ArcGIS Enterprise)를 업데이트해야 합니다.

IDP의 HTTPS 엔드포인트 사용

내부 네트워크나 인터넷을 통해 암호화되지 않은 형식으로 전송되는 SP, IDP, 사용자 브라우저 간의 통신은 악의적인 작업자가 가로챌 수 있습니다. SAML IDP가 HTTPS를 지원하는 경우 SAML 로그인 중에 전송된 데이터의 확실한 비밀성을 위해 HTTPS 엔드포인트를 사용하는 것을 권장합니다.

SAML 어설션 응답 암호화

SAML 통신에 HTTPS를 사용하면 IDP와 SP 간에 전송된 SAML 메시지가 보호됩니다. 그러나 로그인한 사용자는 계속해서 웹 브라우저를 통해 SAML 메시지를 디코딩하고 볼 수 있습니다. 어설션 응답의 암호화를 활성화하면 사용자가 IDP와 SP 간에 통신되는 기밀 또는 민감한 정보 보기를 예방할 수 없습니다.

비고:

암호화된 어설션을 활성화하려면 SP(ArcGIS Enterprise)에서 사용하는 암호화 인증서를 갱신하거나 교체할 때마다 IDP를 업데이트해야 합니다.

안전하게 서명 및 암호화 인증서 관리

SAML 메시지를 디지털 서명 또는 암호화하기 위해 강력한 암호화 키가 있는 인증서를 사용하고 3~5년마다 인증서를 갱신하거나 교체합니다.