기관은 SAML(Security Assertion Markup Language)을 사용하여 컴퓨터 사용자를 인증하고 웹 지원 리소스에 대한 접근 권한을 부여할 수 있습니다. 이를 위해 단일 SAML 준수 ID 공급자(IDP)가 사용자 인증을 처리하도록 구성됩니다. 기관의 웹 리소스는 웹 리소스에 대한 접근 권한 부여를 처리하는 하나 이상의 서비스 공급자에서 호스팅됩니다. 기관은 해당 IDP와 서비스 공급자에 대한 전체 관리 권한을 갖습니다. SAML 기반 인증 및 권한 부여를 지원하려면 기관의 각 서비스 공급자가 IDP와 작업할 수 있도록 등록되어야 합니다. 각 서비스 공급자는 단일 IDP에만 등록할 수 있습니다.
또한 SAML을 사용하여 독립적으로 운영되는 여러 기관 간에 리소스를 공유할 수도 있습니다. 이는 페더레이션 관리 엔티티에 의해 가능해졌으며 구성원 기관 간의 SAML 기반 리소스 공유가 지원됩니다. 웹 리소스를 페더레이션과 공유하려는 구성원 기관은 하나 이상의 서비스 공급자가 페더레이션 내에서 독점적으로 작동하도록 구성합니다. 페더레이션과 공유되는 보안 리소스에 접근하려면 사용자는 홈 기관의 IDP로 아이덴티티를 인증해야 합니다. 성공적으로 인증되면 유효성이 검사된 이 아이덴티티가 보안 리소스를 호스팅하는 서비스 공급자에게 제공됩니다. 그러면 서비스 공급자가 사용자의 접근 권한을 확인한 후 리소스에 대한 접근 권한을 부여합니다.
IDP의 SAML 기반 페더레이션으로 ArcGIS Enterprise portal을 구성할 수 있습니다. 포털은 페더레이션에서 호스팅하는 검색 서비스에 접근합니다. 이 서비스는 페더레이션에 참여하는 아이덴티티 공급자 및 서비스 공급자 목록을 제공합니다.
몇 가지 일반적인 SAML 기반 ID 공급자 페더레이션은 InCommon, eduGAIN, SWITCHaai, DFN-AAI, UK Access Management Federation입니다.
포털로 페더레이션 구성
다음 단계를 따라 포털에 SAML 기반 ID 공급자 페더레이션을 구성합니다.
- 포털에 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
- 로그인 섹션에서 새 SAML 로그인 버튼을 클릭하고 ID 공급자 페더레이션 옵션을 선택합니다. 등록정보 지정 페이지에서 페더레이션 이름을 입력합니다.
설명은 SAML 로그인 옵션의 일부로, 포털에 접속하는 사용자에게 표시됩니다.
- 사용자가 포털 기관에 가입하는 방법을 선택합니다.
- 자동 - 사용자가 처음 로그인할 때 계정이 자동으로 포털에 등록되므로, 관리자의 권한 없이 기관별 로그인으로 기관에 로그인할 수 있습니다.
- 관리자의 초대 시 - 기관 관리자가 명령줄 유틸리티 또는 Python 스크립트를 사용하여 필요한 계정을 기관에 등록해야 합니다.
비고:
Esri는 하나 이상의 SAML 계정을 포털의 관리자로 지정하고, 포털에서 계정 생성 버튼을 비활성화하여 사용자가 자신의 계정을 만들 수 없도록 하는 것을 권장합니다. 자세한 내용은 아래의 SAML 계정을 관리자로 지정 섹션을 참고하세요.
- 페더레이션에서 호스팅하는 중앙 집중식 IDP 검색 서비스에 대한 URL을 제공합니다(예시: https://wayf.samplefederation.com/WAYF).
- 페더레이션에 참여하는 모든 아이덴티티 공급자 및 서비스 공급자의 메타데이터 취합인 페더레이션 메타데이터에 대한 URL을 제공합니다.
- 포털에서 페더레이션 메타데이터의 유효성을 확인할 수 있는 Base64 형식으로 인코딩된 인증서를 복사한 후 붙여넣습니다.
- 다음과 같은 고급 설정을 적절히 구성합니다.
- 어설션 암호화 - 암호화된 SAML 어설션 응답이 포털에서 지원됨을 SAML ID 공급자에 나타내려는 경우 이 옵션을 활성화합니다. 이 옵션이 선택되면 아이덴티티 공급자가 SAML 응답의 어설션 섹션을 암호화합니다. 포털과 주고받는 모든 SAML 트래픽이 HTTPS 사용을 통해 이미 암호화되어 있더라도 이 옵션을 통해 또 다른 암호화 레이어가 추가됩니다.
- 서명한 요청 활성화 - 이 옵션을 활성화하면 IDP에 보낸 SAML 인증 요청이 포털에 의해 서명됩니다. 포털에서 보낸 초기 로그인 요청에 서명함으로써 IDP는 모든 로그인 요청이 신뢰할 수 있는 서비스 공급자로부터 시작된 것임을 확인할 수 있습니다.
- ID 공급자에 로그아웃 전파 - 이 옵션을 활성화하면 포털이 로그아웃 URL을 사용하여 사용자를 IDP에서 로그아웃시킵니다. 이 옵션을 선택하는 경우 로그아웃 URL 설정에서 사용할 URL을 입력합니다. IDP의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화 옵션도 선택해야 합니다. 이 옵션을 선택하지 않는 경우 포털에서 로그아웃을 클릭하면 포털에서 사용자를 서명하지만 IDP에서는 서명하지 않습니다. 사용자의 웹 브라우저 캐시가 지워지지 않은 경우, 바로 기관별 로그인 옵션을 사용하여 포털에 다시 로그인을 시도하면 IDP에 자격 증명을 제공할 필요 없이 즉시 로그인됩니다. 이는 무단 사용자나 일반 사용자가 쉽게 접근할 수 있는 컴퓨터를 사용하는 경우 악용될 수 있는 보안 취약성입니다.
- 로그인 시 프로필 업데이트 - 이 옵션을 활성화하면 사용자가 마지막으로 로그인한 후 사용자의 이름 및 이메일 주소 속성이 변경된 경우 포털에서 이러한 속성을 업데이트합니다. 이 옵션은 기본 설정에 따라 선택되어 있습니다.
- 엔티티 ID - 새 엔티티 ID를 사용하여 포털 기관을 SAML 페더레이션에 고유하게 식별하려면 이 값을 업데이트합니다.
포털을 신뢰할 수 있는 서비스 공급자로 SAML 페더레이션에 등록
구성 프로세스를 완료하려면 포털의 서비스 공급자 메타데이터를 함께 등록하여 페더레이션의 검색 서비스 및 기관 IDP와의 신뢰 관계를 설정합니다. 이 메타데이터를 얻는 방법에는 두 가지가 있습니다.
- 기관 설정 페이지의 보안 섹션에서 서비스 공급자 메타데이터 다운로드 버튼을 클릭하여 기관의 메타데이터 파일을 다운로드합니다.
- 메타데이터 URL을 열고 내 컴퓨터에 XML 파일로 저장합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>입니다(예시: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY). https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken을 사용하여 토큰을 생성할 수 있습니다. 토큰 생성 페이지에 URL을 입력할 때는 ID 공급자 서버의 정규화된 도메인 이름을 웹 앱 URL 필드에 지정합니다. IP 주소 또는 이 요청 원점의 IP 주소와 같은 기타 옵션은 선택할 수 없으며 선택하는 경우 잘못된 토큰이 생성될 수 있습니다.
서비스 공급자 메타데이터를 다운로드한 후에는 SAML 페더레이션 관리자에게 문의하여 메타데이터를 페더레이션의 집계 메타데이터 파일에 통합하는 방법에 대한 지침을 알아보세요. IDP를 페더레이션에 등록하기 위한 관리자의 지침이 필요할 수 있습니다.
SAML 계정을 관리자로 지정
SAML 계정을 포털의 관리자로 지정하는 방법은 사용자가 자동으로 또는 관리자의 초대 시 기관에 가입할 수 있는지 여부에 따라 다릅니다.
기관에 자동으로 가입
사용자가 기관에 자동으로 가입할 수 있는 옵션을 선택한 경우 기관 관리자로 사용할 SAML 계정으로 로그인한 상태에서 포털을 엽니다.
계정이 포털에 자동으로 처음 추가된 경우에는 사용자 역할이 할당됩니다. 기관의 관리자만 계정의 역할을 변경할 수 있으므로 초기 관리자 계정을 사용해 포털에 로그인하여 SAML 계정을 관리자 역할에 할당해야 합니다.
- 포털을 열고 SAML ID 공급자를 사용하여 로그인할 수 있는 옵션을 클릭한 후, 관리자로 사용하려는 SAML 계정의 자격 증명을 입력합니다. 이 계정이 다른 사용자의 계정인 경우 계정이 포털에 등록되도록 해당 사용자를 포털에 로그인합니다.
- 계정이 포털에 추가된 것을 확인하고 로그아웃을 클릭합니다. 브라우저의 캐시와 쿠키를 제거합니다.
- 브라우저에서 포털을 열고, 빌트인 포털 계정을 사용하여 로그인할 수 있는 옵션을 클릭하고, ArcGIS Enterprise 설정 시 생성한 초기 관리자 계정의 자격 증명을 제공합니다.
- 포털을 관리하는 데 사용할 SAML 계정을 찾아서 역할을 관리자로 변경합니다. 로그아웃을 클릭합니다.
이제 선택한 SAML 계정이 포털의 관리자가 되었습니다.
SAML 계정을 포털에 수동으로 추가
관리자의 초대 시에만 사용자가 기관에 가입할 수 있는 옵션을 선택한 경우 명령줄 유틸리티를 사용하여 필요한 계정을 기관에 등록해야 합니다. 포털을 관리하는 데 사용되는 SAML 계정의 관리자 역할을 선택해야 합니다.
초기 관리자 계정 삭제 또는 수준 내리기
이제 대체 기관 관리자 계정이 있으므로 초기 관리자 계정을 사용자 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.
사용자가 자신의 계정을 생성하지 못하도록 금지
기관 설정에서 사용자가 새 빌트인 계정을 생성할 수 있는 기능을 비활성화하여 사용자가 자신의 빌트인 계정을 생성하지 못하게 할 수 있습니다.
ArcGIS 계정을 사용한 로그인 비활성화
사용자가 ArcGIS 계정을 사용해 포털에 로그인하는 것을 방지하고 싶다면 로그인 페이지에서 다음 단계에 따라 ArcGIS 로그인 버튼을 비활성화할 수 있습니다.
- 포털에 내 기관의 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
- 로그인 섹션에서 ArcGIS 로그인을 위한 토글 버튼을 비활성화합니다.
로그인 페이지에는 ID 공급자 계정을 사용해 포털에 로그인할 수 있는 버튼이 표시됩니다. ArcGIS 계정을 사용하는 로그인 버튼은 사용할 수 없습니다. 로그인에서 ArcGIS 로그인 옵션을 켜면 ArcGIS 계정으로 구성원 로그인을 다시 활성화할 수 있습니다.
SAML 아이덴티티 공급자 수정 또는 제거
페더레이션을 설정한 경우 옆에 있는 편집 버튼 을 클릭하여 해당 설정을 업데이트할 수 있습니다. SAML 로그인 편집 창에서 설정을 업데이트합니다.
포털에서 페더레이션을 제거하려면 옆에 있는 편집 버튼 을 클릭하고 SAML 로그인 편집 창에서 로그인 삭제를 클릭합니다. 페더레이션을 제거한 후에는 필요에 따라 새 아이덴티티 공급자 또는 ID 공급자의 페더레이션을 설정할 수 있습니다.