Security Assertion Markup Language(SAML)은(는) 기관별 ID 공급자와 서비스 공급자(이 경우 ArcGIS Enterprise 기관) 간에 인증 및 권한 부여 데이터를 안전하게 교환하는 데 사용되는 개방형 표준입니다. 이 접근 방법을 SAML Web Single Sign On이라고 합니다.
이 기관은 SAML 2.0을 준수하며 SAML 2 Web Single Sign On을 지원하는 ID 공급자에 통합됩니다. SAML을 설정하면 기관에 접근하는 사용자를 위해 추가 로그인을 생성할 필요가 없다는 이점이 있습니다. 대신에 사용자는 이미 ID 저장소에 설정되어 있는 로그인을 사용합니다. 이 문서에서는 이 프로세스를 기관별 로그인이라고 부릅니다.
선택적으로 ID 저장소의 SAML 그룹에 대한 메타데이터를 포털에 제공할 수 있습니다. 이를 통해 포털에서 ID 저장소의 기존 SAML 그룹을 이용하는 그룹을 생성할 수 있습니다.
구성원이 포털에 로그인한 경우 콘텐츠, 항목, 데이터에 대한 접근 권한은 SAML 그룹에 정의된 멤버십 규칙에 의해 제어됩니다. 필요한 SAML 그룹 메타데이터를 제공하지 않은 경우에도 그룹을 생성할 수 있습니다. 그러나 이 경우 멤버십 규칙이 ID 저장소가 아니라 ArcGIS Enterprise 포털에 의해 제어됩니다.
ArcGIS Enterprise 포털 내의 ArcGIS Online 사용자 이름 일치
ArcGIS Online 기관과 포털에 동일한 SAML 준수 ID 공급자가 사용되는 경우 기관별 사용자 이름이 일치하도록 구성할 수 있습니다. ArcGIS Online의 모든 기관별 사용자 이름의 끝에는 기관의 단축 이름이 추가되어 있습니다. ArcGIS Enterprise 포털의 보안 구성에 있는 defaultIDPUsernameSuffix 등록정보를 정의하고 기관의 단축 이름과 일치하도록 설정하여 동일한 엔터프라이즈 사용자 이름을 포털에 사용할 수 있습니다. ArcGIS Online과 포털 양쪽에서 기관별 사용자가 편집한 피처 서비스에 편집자 추적이 활성화된 경우 이러한 구성이 필요합니다.
SAML 로그인
ArcGIS Enterprise는 서비스 공급자(SP)에 의한 기관별 로그인 및 ID 공급자(IdP)에 의한 기관별 로그인을 지원합니다. 로그인 환경은 각각 다릅니다.
서비스 공급자에 의한 로그인
서비스 공급자를 통해 로그인이 시작되었다면 사용자는 포털에 직접 접근하고 빌트인 계정(포털에서 관리) 또는 SAML을 준수하는 ID 공급자에서 관리하는 계정에 로그인할 수 있는 옵션을 사용할 수 있습니다. 사용자가 SAML ID 공급자 옵션을 선택하는 경우 SAML 사용자 이름 및 비밀번호를 입력하라는 메시지가 나타나는 웹페이지(로그인 관리자라고 함)로 리디렉션됩니다. 사용자의 로그인 자격 증명을 확인할 때 SAML을 준수하는 ID 공급자는 로그인하려는 사용자의 확인된 ID를 ArcGIS Enterprise에 알리며, 사용자는 포털 웹사이트로 다시 리디렉션됩니다.
사용자가 빌트인 계정 옵션을 선택하는 경우 ArcGIS Enterprise 포털 웹사이트의 로그인 페이지가 열립니다. 그러면 사용자는 빌트인 사용자 이름과 비밀번호를 입력하여 웹사이트에 접근합니다. ArcGIS 계정으로 로그인하는 옵션이 비활성화되지 않은 상태에서 SAML을 준수하는 ID 공급자를 사용할 수 없는 경우 빌트인 계정 옵션을 안전 장치로 사용할 수 있습니다.
ID 공급자 초기화 로그인
ID 공급자를 통해 로그인이 시작되었다면 사용자는 로그인 관리자에 직접 접근하고 해당 계정으로 로그인합니다. 사용자가 계정 정보를 제출하면 ID 공급자가 SAML 응답을 직접 ArcGIS Enterprise에 전송합니다. 그러고 나면 사용자가 로그인되고 기관에 다시 로그인할 필요 없이 리소스에 바로 접근할 수 있는 포털 웹사이트로 리디렉션됩니다.
빌트인 계정을 사용하여 로그인하는 옵션은 로그인 관리자에서 사용할 수 없습니다. 빌트인 계정을 사용하여 기관에 로그인하려면 구성원은 포털 웹사이트에 직접 접근해야 합니다.
비고:
ID 공급자 문제로 인해 SAML 로그인에 실패했으며 빌트인 계정 옵션이 비활성화된 경우 이 옵션을 다시 활성화할 때까지는 ArcGIS Enterprise 포털에 접근할 수 없습니다. 지침은 일반적인 문제와 해결 방법의 이 질문을 참고하세요.
SAML ID 공급자
ArcGIS Enterprise 포털은 모든 SAML 준수 ID 공급자를 지원합니다. ArcGIS/IdP GitHub 저장소에서 특정 일반 SAML 준수 ID 공급자를 구성하는 방법에 대한 자세한 지침을 확인할 수 있습니다.
ArcGIS Enterprise와의 ID 공급자 구성 프로세스는 아래에 설명되어 있습니다. 계속 진행하기 전에 SAML ID 공급자의 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다.
필수 정보
ArcGIS Enterprise에서 사용자가 SAML 로그인을 사용하여 로그인할 때에는 IdP로부터 특정 속성 정보를 받아야 합니다. NameID 속성은 해당 작업과 페더레이션하기 위해 SAML 응답에서 IdP가 보내야 하는 필수 속성입니다. ArcGIS Enterprise에서는 NameID 값을 사용하여 기명 사용자를 식별하므로 사용자를 고유하게 식별하는 상수 값을 사용하는 것을 권장합니다. IdP를 통해 사용자가 로그인하면 ArcGIS Enterprise 기관에서 해당 사용자 저장소에 사용자 이름이 NameID인 새 사용자를 생성합니다. NameID에서 보내는 값에 사용할 수 있는 문자는 영숫자, _(밑줄), .(점), @(기호)입니다. 다른 모든 문자는 ArcGIS Enterprise에서 생성한 사용자 이름에 밑줄을 포함하도록 이스케이프됩니다.
ArcGIS Enterprise는 SAML ID 공급자에게 사용자의 이메일 주소, 그룹 멤버십, 성, 이름을 불러올 수 있도록 지원합니다.
사용자 프로필 매핑
다음 테이블에는 각 포털 사용자 등록정보에 매핑되는 SAML 어설션 값이 나와 있습니다.
ArcGIS 사용자 등록정보 | IdP 정의 클레임 속성 |
---|---|
이메일 주소 | 이메일 emailaddress 우편 urn:oid:0.9.2342.19200300.100.1.3 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
이름 | givenName urn:oid:2.5.4.42 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
성 | surname urn:oid:2.5.4.4 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
그룹 | 그룹 그룹 역할 역할 MemberOf member-of http://wso2.com/claims/role http://schemas.xmlsoap.org/claims/Group urn:oid:1.3.6.1.4.1.5923.1.5.1.1 urn:oid:2.16.840.1.113719.1.1.4.1.25 비고:다중 그룹 클레임에 대해 단일 속성 이름만 지정해야 합니다. |
SAML ID 공급자로 포털 구성
사용자가 기존 온프레미스 시스템에서 사용하는 것과 동일한 사용자 이름 및 비밀번호를 사용하여 로그인할 수 있도록 포털을 구성할 수 있습니다. 기관별 로그인을 설정하기 전에 기관에 대한 기본 사용자 유형을 구성해야 합니다.
- 포털 웹사이트에 내 기관의 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
- 로그인 섹션에서 새 SAML 로그인 버튼을 클릭하고 단일 ID 공급자 옵션을 선택합니다. 등록정보 지정 페이지에서 기관명(예시: Redlands 시)을 입력합니다.
사용자가 포털 웹사이트에 접근하는 경우 이 텍스트가 SAML 로그인 옵션의 일부로 나타납니다(예시: City of Redlands 계정 사용).
- 자동으로 또는 관리자의 초대에 따라를 선택하여 사용자가 기관에 자동으로 가입할 수 있는지 아니면 초대에 따라 가입할 수 있는지를 지정합니다.첫 번째 옵션을 이용하면 사용자가 관리자의 개입 없이 기관별 로그인으로 기관에 로그인할 수 있습니다. 사용자의 계정은 처음 로그인할 때 기관에 자동으로 기관에 등록됩니다. 두 번째 옵션을 이용하려면 관리자가 명령줄 유틸리티를 사용하여 필요한 계정을 기관에 등록해야 합니다. 계정이 등록되고 나면 사용자는 기관에 로그인할 수 있습니다.
팁:
하나 이상의 SAML 계정을 포털의 관리자로 지정하고 초기 관리자 계정을 삭제하거나 수준을 내리는 것이 좋습니다. 또한 사용자가 자신의 계정을 생성하지 못하도록 포털 웹사이트에서 계정 생성 버튼을 비활성화하는 것이 좋습니다. 자세한 내용은 아래의 기관별 계정을 관리자로 지정 섹션을 참고하세요.
- 포털이 메타데이터 정보를 얻기 위해 접근할 원본을 지정합니다. 이렇게 하면 SAML 준수 ID 공급자에 대해 필요한 메타데이터 정보가 제공됩니다. ArcGIS/IdP GitHub 저장소에서 인증된 공급자로부터 메타데이터를 얻는 방법에 대한 지침을 확인할 수 있습니다. 메타데이터 정보의 가능한 소스에는 세 가지가 있습니다.
- URL - ID 공급자에 대한 메타데이터 정보를 반환하는 URL을 제공합니다.
비고:
ID 공급자가 자체 서명된 인증서를 포함하면 메타데이터의 HTTPS URL을 지정할 때 오류가 발생할 수 있습니다. ArcGIS Enterprise에서 ID 공급자의 자체 서명된 인증서를 확인할 수 없기 때문에 이 오류가 발생합니다. 또는 URL이나 아래의 다른 옵션 중 하나에서 HTTP를 사용하거나 신뢰할 수 있는 인증서로 ID 공급자를 구성합니다.
- 파일 - ID 공급자에 대한 메타데이터 정보가 포함된 파일을 업로드합니다.
- 여기에 지정된 매개변수 - 다음을 제공하여 ID 공급자에 대한 메타데이터 정보를 직접 입력합니다.
- 로그인 URL(리디렉션) - 구성원의 로그인을 허용하기 위해 ArcGIS Enterprise에서 사용할 ID 공급자의 URL(HTTP 리디렉션 바인딩을 지원함)을 입력합니다.
- 로그인 URL(POST) - 구성원의 로그인을 허용하기 위해 ArcGIS Enterprise에서 사용할 ID 공급자의 URL(HTTP POST 바인딩을 지원함)을 입력합니다.
- 인증서 - ID 공급자의 인증서(BASE 64 형식으로 인코딩됨)를 제공합니다. 이 인증서를 통해 ArcGIS Enterprise는 ID 공급자로부터 전송된 SAML 응답의 디지털 서명을 확인할 수 있습니다.
비고:
제공해야 하는 메타데이터 정보의 소스는 ID 공급자의 관리자에게 문의하세요.
- URL - ID 공급자에 대한 메타데이터 정보를 반환하는 URL을 제공합니다.
- 구성 프로세스를 완료하고 ID 공급자와 신뢰 관계를 설정하려면 포털의 서비스 공급자 메타데이터를 ID 공급자에 등록합니다. 포털에서 메타데이터를 얻으려면 다음 중 하나를 수행하세요.
- 기관 설정 탭의 보안 섹션에서 서비스 공급자 메타데이터 다운로드 버튼을 클릭하여 기관의 메타데이터 파일을 다운로드합니다.
- 메타데이터 URL을 열고 내 컴퓨터에 .xml 파일로 저장합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>입니다(예시: https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY). https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken을 사용하여 토큰을 생성할 수 있습니다. 토큰 생성 페이지에 URL을 입력할 때는 ID 공급자 서버의 정규화된 도메인 이름을 웹 앱 URL 텍스트 상자에 지정합니다. IP 주소 또는 이 요청 원본의 IP 주소와 같은 기타 옵션은 지원되지 않으며 잘못된 토큰이 생성될 수 있습니다.
ArcGIS/IdP GitHub 저장소에서 인증된 공급자로 포털의 서비스 공급자 메타데이터를 등록하는 방법에 대한 지침을 확인할 수 있습니다.
- 다음과 같은 고급 설정을 적절히 구성합니다.
- 암호화된 어설션 허용 - 암호화된 SAML 어설션 응답이 ArcGIS Enterprise에서 지원됨을 SAML ID 공급자에게 나타냅니다. 이 옵션이 선택되면 ID 공급자가 SAML 응답의 어설션 섹션을 암호화합니다. ArcGIS Enterprise과 주고받는 모든 SAML 트래픽이 HTTPS 사용을 통해 이미 암호화되어 있더라도 이 옵션을 통해 또 다른 암호화 레이어가 추가됩니다.
- 서명한 요청 활성화 - ID 공급자에게 보낸 SAML 인증 요청이 ArcGIS Enterprise에 의해 서명됩니다. ArcGIS Enterprise에서 보낸 초기 로그인 요청에 서명함으로써 ID 공급자는 모든 로그인 요청이 신뢰할 수 있는 서비스 공급자로부터 시작된 것임을 확인할 수 있습니다.
팁:
SAML 요청의 무결성을 보장하려면 이 설정을 활성화합니다. 언제든지 고급 설정에서 이 옵션을 활성화할 수 있으며 포털 초기 구성 중에 이를 건너뛸 수도 있습니다.
- ID 공급자에 로그아웃 전파 - ArcGIS Enterprise가 로그아웃 URL을 사용하여 사용자를 ID 공급자에서 로그아웃시킵니다. 로그아웃 URL 설정에서 사용할 URL을 입력합니다. ID 공급자의 로그아웃 URL이 서명되어야 하는 경우 서명한 요청 활성화 설정도 활성화해야 합니다. 이 설정이 선택되지 않은 경우 ArcGIS Enterprise에서 로그아웃을 클릭하면 사용자가 ArcGIS Enterprise에서 로그아웃되며 ID 공급자에서는 로그아웃되지 않습니다. 사용자의 웹브라우저 캐시가 지워지지 않은 경우 기관별 로그인 옵션을 사용하여 ArcGIS Enterprise에 바로 다시 로그인하면 SAML ID 공급자에 사용자 자격 증명을 입력하지 않아도 로그인됩니다. 이는 무단 사용자나 일반 사용자가 접근할 수 있는 컴퓨터를 사용하는 경우 악용될 수 있는 보안 취약성입니다.
- 로그인 시 프로필 업데이트 - ArcGIS Enterprise에서 사용자의 givenName 및 email address 속성이 업데이트됩니다(마지막 로그인 이후 이러한 속성이 변경된 경우). 이 설정은 기본 설정에 따라 활성화되어 있습니다.
- SAML 기반 그룹 멤버십 활성화 - 포털 관리자가 SAML ID 공급자의 그룹을 ArcGIS Enterprise 포털에 생성된 그룹에 연결할 수 있습니다. 이 설정이 활성화되면 ArcGIS Enterprise가 SAML 어설션 응답을 분석하여 구성원이 속한 그룹을 식별합니다. 그런 다음 포털에 새 그룹을 생성할 때 이 그룹에 가입할 수 있는 사람은 누구입니까? 질문에 대해 ID 공급자가 제공한 하나 이상의 SAML 그룹을 지정할 수 있습니다.이 기능은 기본 설정에 따라 비활성화됩니다.
비고:
ArcGIS Enterprise portal에 새 그룹을 생성할 때 입력한 그룹 이름은 SAML 어설션의 속성 값으로 반환되는 외부 SAML 그룹의 정확한 값과 일치해야 합니다. 정확한 값을 잘 모를 경우 기관의 SAML 시스템을 구성한 관리자에게 문의하세요.
- 로그아웃 URL - 현재 로그인되어 있는 사용자를 로그아웃시키는 데 사용할 ID 공급자 URL을 입력합니다. ID 공급자의 메타데이터 파일에 이 등록정보가 지정되어 있으면 해당 URL이 자동으로 설정됩니다.
- 엔티티 ID - 새 엔티티 ID를 사용하여 ArcGIS Enterprise 기관을 SAML ID 공급자에 고유하게 식별하려면 이 값을 업데이트합니다.
기관별 계정을 관리자로 지정
기관별 계정을 포털의 관리자로 지정하는 방법은 사용자가 기관에 자동으로 가입할 수 있는지 아니면 관리자의 초대 시 가입할 수 있는지에 따라 다릅니다.
기관에 자동으로 가입
사용자가 기관에 자동으로 가입할 수 있는 자동으로 옵션을 선택한 경우 포털 관리자로 사용할 기관별 계정으로 로그인한 상태에서 포털 웹사이트 홈페이지를 엽니다.
계정을 포털에 처음 자동 추가한 경우 계정에 새 구성원에게 맞게 구성된 기본 역할이 할당됩니다. 기관의 관리자만 계정의 역할을 변경할 수 있으므로 초기 관리자 계정을 사용해 포털에 로그인하여 기관별 계정을 관리자 역할에 배정해야 합니다.
- 포털 웹사이트를 열고 SAML ID 공급자를 사용하여 로그인할 수 있는 옵션을 클릭한 후, 관리자로 사용하려는 SAML 계정의 자격 증명을 입력합니다. 이 계정이 다른 사용자의 계정인 경우 계정이 포털에 등록되도록 해당 사용자를 포털에 로그인합니다.
- 계정이 포털에 추가된 것을 확인하고 로그아웃을 클릭합니다. 브라우저의 캐시와 쿠키를 제거합니다.
- 브라우저에서 포털 웹사이트를 열고, 빌트인 포털 계정을 사용하여 로그인할 수 있는 옵션을 클릭하고, ArcGIS Enterprise 설정 시 생성한 초기 관리자 계정의 자격 증명을 제공합니다.
- 포털을 관리하는 데 사용할 SAML 계정을 찾아서 역할을 관리자로 변경합니다. 로그아웃을 클릭합니다.
이제 선택한 SAML 계정이 포털의 관리자가 되었습니다.
기관별 계정을 포털에 수동으로 추가
사용자가 초대를 통해서만 기관에 가입할 수 있도록 관리자의 초대 시 옵션을 선택한 경우 명령줄 유틸리티를 사용하여 기관에 필요한 계정을 등록해야 합니다. 포털을 관리하는 데 사용되는 SAML 계정의 관리자 역할을 선택합니다.
초기 관리자 계정 삭제 또는 수준 내리기
이제 대체 포털 관리자 계정이 있으므로 초기 관리자 계정을 다른 역할에 할당하거나 계정을 삭제할 수 있습니다. 자세한 내용은 초기 관리자 계정을 참고하세요.
사용자가 자신의 계정을 생성하지 못하도록 금지
기관 설정에서 사용자가 빌트인 계정을 생성할 수 있는 기능을 비활성화하여 사용자가 자신의 빌트인 계정을 생성하지 못하게 할 수 있습니다.
사용자가 ArcGIS 계정으로 로그인하지 못하도록 금지
사용자가 ArcGIS 계정을 사용해 포털에 로그인하는 것을 방지하려면 로그인 페이지에서 ArcGIS 로그인 토글 버튼을 끕니다.
- 포털 웹사이트에 기관 관리자로 로그인하여 기관 > 설정 > 보안을 클릭합니다.
- 로그인 섹션에서 ArcGIS 로그인 토글 버튼을 끕니다.
로그인 페이지에는 ID 공급자 계정을 사용하여 포털에 로그인하는 버튼이 표시되며 ArcGIS 로그인 버튼은 사용할 수 없습니다. ArcGIS 계정으로 구성원 로그인을 다시 활성화하려면 로그인 섹션에서 ArcGIS 로그인 토글 버튼을 켭니다.
SAML IdP 수정 또는 제거
SAML IdP를 설정한 경우 현재 등록된 SAML IdP 옆의 편집 버튼 을 클릭하여 설정을 업데이트할 수 있습니다. SAML 로그인 편집 창에서 설정을 업데이트합니다.
현재 등록된 IdP를 제거하려면 IdP 옆의 편집 버튼 을 클릭하고 SAML 로그인 편집 창에서 로그인 삭제를 클릭합니다. IdP를 제거하면 필요에 따라 새 IdP 또는 IdP의 페더레이션을 설정할 수 있습니다.
SAML 보안 모범 사례
SAML 로그인을 활성화하려면 ArcGIS Enterprise를 SAML IdP의 SP로 구성할 수 있습니다. 강력한 보안을 위해 아래 설명된 모범 사례를 검토하세요.
SAML 로그인 및 로그아웃 요청에 디지털 서명 및 SAML 어설션 응답에 서명
서명은 SAML 메시지의 무결성을 보장하고 중간자(MITM) 공격에 대해 보호 장치로 작동하는 데 사용됩니다. SAML 요청에 디지털로 서명해도 신뢰할 수 있는 SP가 해당 요청을 전송했음을 확인하게 되므로 IdP가 서비스 거부(DOS) 공격에 더 잘 대응할 수 있습니다. SAML 로그인을 구성할 때 고급 설정에서 서명된 요청 활성화 옵션을 켭니다.
비고:
서명된 요청을 활성화하려면 SP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 IdP를 업데이트해야 합니다.
SAML 어설션 응답의 전송 중 변경을 예방하려면 SAML IdP를 구성하여 SAML 응답에 서명합니다.
비고:
서명된 요청을 활성화하려면 IdP에서 사용하는 서명 인증서를 갱신하거나 교체할 때마다 SP(ArcGIS Enterprise)를 업데이트해야 합니다.
IdP의 HTTPS 엔드포인트 사용
내부 네트워크나 인터넷을 통해 암호화되지 않은 형식으로 전송되는 SP, IdP, 사용자 브라우저 간의 통신은 악의적인 작업자가 가로챌 수 있습니다. SAML IdP가 HTTPS를 지원하는 경우 SAML 로그인 중에 전송된 데이터의 확실한 비밀성을 위해 HTTPS 엔드포인트를 사용하는 것을 권장합니다.
SAML 어설션 응답 암호화
SAML 통신에 HTTPS를 사용하면 IdP와 SP 간에 전송된 SAML 메시지가 보호됩니다. 그러나 로그인한 사용자는 계속해서 웹 브라우저를 통해 SAML 메시지를 디코딩하고 볼 수 있습니다. 어설션 응답의 암호화를 활성화하면 사용자가 IdP와 SP 간에 통신되는 기밀 또는 민감한 정보 보기를 예방할 수 없습니다.
비고:
암호화된 어설션을 활성화하려면 SP(ArcGIS Enterprise)에서 사용하는 암호화 인증서를 갱신하거나 교체할 때마다 IdP를 업데이트해야 합니다.
안전하게 서명 및 암호화 인증서 관리
SAML 메시지를 디지털 서명 또는 암호화하기 위해 강력한 암호화 키가 있는 인증서를 사용하고 3~5년마다 인증서를 갱신하거나 교체합니다.