다중 요소 인증 설정
변경 제안
PDF
다중 인증 요소(MFA)는 SAML(Security Assertion Markup Language)을 통해 타사 ID 공급자(IdP)를 사용하여 사용자 세션을 관리합니다. MFA를 사용하면 관리자가 비밀번호와 문자 메시지, 비밀번호와 이메일 메시지 등 필요에 따라 추가적인 인증 요소를 구성할 수 있습니다.
Element API를 통해 이러한 기본 단계를 사용하여 클러스터를 설정하여 다중 요소 인증을 사용할 수 있습니다.
각 API 메서드의 세부 사항은 다음에서 확인할 수 있습니다. "요소 API 참조".
-
다음 API 메서드를 호출하고 JSON 형식으로 IdP 메타데이터를 전달하여 클러스터에 대한 새로운 타사 ID 공급자(IdP) 구성을 만듭니다.
CreateIdpConfiguration일반 텍스트 형식의 IdP 메타데이터는 타사 IdP에서 검색됩니다. 이 메타데이터는 JSON으로 올바르게 형식화되었는지 확인하기 위해 검증이 필요합니다. 사용할 수 있는 JSON 포매터 애플리케이션은 여러 가지가 있습니다. 예를 들어 https://freeformatter.com/json-escape.html.
-
다음 API 메서드를 호출하여 spMetadataUrl을 통해 클러스터 메타데이터를 검색하여 타사 IdP에 복사합니다.
ListIdpConfigurationsspMetadataUrl은 IdP의 클러스터에서 서비스 공급자 메타데이터를 검색하여 신뢰 관계를 구축하는 데 사용되는 URL입니다.
-
감사 로깅과 단일 로그아웃이 제대로 작동하도록 사용자를 고유하게 식별하기 위해 타사 IdP에서 SAML 어설션을 "NameID" 속성이 포함되도록 구성합니다.
-
다음 API 메서드를 호출하여 타사 IdP에서 인증한 하나 이상의 클러스터 관리자 사용자 계정을 생성하여 권한을 부여합니다.
AddIdpClusterAdmin
다음 예에서 볼 수 있듯이, IdP 클러스터 관리자의 사용자 이름은 원하는 효과에 대한 SAML 속성 이름/값 매핑과 일치해야 합니다. -
email=bob@company.com — IdP가 SAML 속성에서 이메일 주소를 해제하도록 구성된 경우.
-
group=cluster-administrator - IdP가 모든 사용자가 액세스할 수 있는 그룹 속성을 해제하도록 구성된 경우입니다. 보안상의 이유로 SAML 속성 이름/값 쌍은 대소문자를 구분합니다.
-
-
다음 API 메서드를 호출하여 클러스터에 대해 MFA를 활성화합니다.
EnableIdpAuthentication