Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

PingFederate에서 서비스 공급자(SP) 연결 생성

PDF

PingFederate를 사용하여 시스템의 각 관리 노드에 대한 서비스 공급자(SP) 연결을 생성합니다. 프로세스 속도를 높이려면 StorageGRID 에서 SAML 메타데이터를 가져옵니다.

시작하기 전에

  • StorageGRID 에 대한 단일 로그인을 구성하고 SSO 유형으로 *Ping Federate*를 선택했습니다.

  • *샌드박스 모드*는 Grid Manager의 Single Sign-on 페이지에서 선택됩니다. 보다 "샌드박스 모드 사용" .

  • 시스템의 각 관리 노드에는 * SP 연결 ID*가 있습니다. 이러한 값은 StorageGRID Single Sign-on 페이지의 관리 노드 세부 정보 표에서 찾을 수 있습니다.

  • 시스템의 각 관리 노드에 대한 *SAML 메타데이터*를 다운로드했습니다.

  • PingFederate Server에서 SP 연결을 만든 경험이 있습니다.

  • 당신은 가지고있다https://docs.pingidentity.com/pingfederate/latest/administrators_reference_guide/pf_administrators_reference_guide.html["관리자 참조 가이드"^] PingFederate 서버용. PingFederate 문서에는 자세한 단계별 지침과 설명이 제공됩니다.

  • 당신은 가지고있다"관리자 권한" PingFederate 서버용.

이 작업에 관하여

이 지침에서는 PingFederate Server 버전 10.3을 StorageGRID 의 SSO 공급자로 구성하는 방법을 요약합니다. 다른 버전의 PingFederate를 사용하는 경우 이 지침을 수정해야 할 수도 있습니다. 해당 릴리스에 대한 자세한 지침은 PingFederate 서버 설명서를 참조하세요.

PingFederate의 전제 조건 완료

StorageGRID 에 사용할 SP 연결을 생성하기 전에 PingFederate에서 필수 작업을 완료해야 합니다. SP 연결을 구성할 때 이러한 필수 구성 요소의 정보를 사용합니다.

데이터 저장소를 생성합니다.

아직 만들지 않았다면 PingFederate를 AD FS LDAP 서버에 연결할 데이터 저장소를 만듭니다. 사용했던 값을 사용하세요"ID 페더레이션 구성" StorageGRID 에서.

  • 유형: 디렉토리(LDAP)

  • LDAP 유형: Active Directory

  • 바이너리 속성 이름: LDAP 바이너리 속성 탭에 *objectGUID*를 표시된 대로 정확하게 입력합니다.

비밀번호 자격 증명 검증기를 생성합니다.

아직 만들지 않았다면 비밀번호 자격 증명 검증 도구를 만드세요.

  • 유형: LDAP 사용자 이름 비밀번호 자격 증명 검증기

  • 데이터 저장소: 생성한 데이터 저장소를 선택하세요.

  • 검색 기준: LDAP에서 정보를 입력합니다(예: DC=saml,DC=sgws).

  • 검색 필터: sAMAccountName=${username}

  • 범위: 서브트리

IdP 어댑터 인스턴스를 생성합니다.

아직 만들지 않았다면 IdP 어댑터 인스턴스를 만드세요.

단계

  1. 인증 > 통합 > *IdP 어댑터*로 이동합니다.

  2. *새 인스턴스 만들기*를 선택합니다.

  3. 유형 탭에서 *HTML 양식 IdP 어댑터*를 선택합니다.

  4. IdP 어댑터 탭에서 '자격 증명 검증기'에 새 행 추가를 선택합니다.

  5. 선택하세요비밀번호 자격 증명 검증기 당신이 창조했습니다.

  6. 어댑터 속성 탭에서 가명*에 대한 *사용자 이름 속성을 선택합니다.

  7. *저장*을 선택하세요.

서명 인증서를 생성하거나 가져옵니다.

아직 서명 인증서를 만들거나 가져오지 않았다면 만드세요.

단계

  1. 보안 > *서명 및 암호 해독 키와 인증서*로 이동합니다.

  2. 서명 인증서를 생성하거나 가져옵니다.

PingFederate에서 SP 연결 만들기

PingFederate에서 SP 연결을 만들면 StorageGRID 에서 다운로드한 SAML 메타데이터를 관리 노드로 가져옵니다. 메타데이터 파일에는 필요한 특정 값이 많이 포함되어 있습니다.

팁 StorageGRID 시스템의 각 관리 노드에 대해 SP 연결을 만들어야 사용자가 모든 노드에 안전하게 로그인하고 로그아웃할 수 있습니다. 다음 지침에 따라 첫 번째 SP 연결을 만드세요. 그런 다음 이동하세요추가 SP 연결 생성 필요한 추가 연결을 생성합니다.

SP 연결 유형을 선택하세요

단계

  1. 응용 프로그램 > 통합 > * SP 연결*로 이동합니다.

  2. *연결 만들기*를 선택하세요.

  3. *이 연결에 템플릿을 사용하지 마세요*를 선택하세요.

  4. 프로토콜로 *브라우저 SSO 프로필*과 *SAML 2.0*을 선택합니다.

SP 메타데이터 가져오기

단계

  1. 메타데이터 가져오기 탭에서 *파일*을 선택합니다.

  2. 관리 노드의 StorageGRID Single sign-on 페이지에서 다운로드한 SAML 메타데이터 파일을 선택합니다.

  3. 메타데이터 요약과 일반 정보 탭에 제공된 정보를 검토하세요.

    파트너의 엔터티 ID와 연결 이름은 StorageGRID SP 연결 ID로 설정됩니다. (예: 10.96.105.200-DC1-ADM1-105-200). 기본 URL은 StorageGRID 관리 노드의 IP입니다.

  4. *다음*을 선택하세요.

IdP 브라우저 SSO 구성

단계

  1. 브라우저 SSO 탭에서 *브라우저 SSO 구성*을 선택합니다.

  2. SAML 프로필 탭에서 * SP 시작 SSO*, * SP 초기 SLO*, IdP 시작 SSO, IdP 시작 SLO 옵션을 선택합니다.

  3. *다음*을 선택하세요.

  4. 어설션 수명 탭에서는 변경하지 마세요.

  5. 어설션 생성 탭에서 *어설션 생성 구성*을 선택합니다.

    1. ID 매핑 탭에서 *표준*을 선택합니다.

    2. 속성 계약 탭에서 속성 계약으로 *SAML_SUBJECT*를 사용하고 가져온 지정되지 않은 이름 형식을 사용합니다.

  6. 계약 연장을 위해 *삭제*를 선택하여 제거하십시오. urn:oid , 사용되지 않습니다.

맵 어댑터 인스턴스

단계

  1. 인증 소스 매핑 탭에서 *새 어댑터 인스턴스 매핑*을 선택합니다.

  2. 어댑터 인스턴스 탭에서 다음을 선택하세요.어댑터 인스턴스 당신이 창조했습니다.

  3. 매핑 방법 탭에서 *데이터 저장소에서 추가 속성 검색*을 선택합니다.

  4. 속성 소스 및 사용자 조회 탭에서 *속성 소스 추가*를 선택합니다.

  5. 데이터 저장소 탭에서 설명을 제공하고 다음을 선택합니다.데이터 저장소 추가했습니다.

  6. LDAP 디렉토리 검색 탭에서:

    • *기본 DN*을 입력하세요. 이 값은 LDAP 서버에 대해 StorageGRID 에 입력한 값과 정확히 일치해야 합니다.

    • 검색 범위에서 *하위 트리*를 선택합니다.

    • 루트 개체 클래스의 경우 다음 속성 중 하나를 검색하여 추가합니다. objectGUID 또는 userPrincipalName.

  7. LDAP 이진 속성 인코딩 유형 탭에서 objectGUID 속성에 대해 *Base64*를 선택합니다.

  8. LDAP 필터 탭에서 *sAMAccountName=${username}*을 입력합니다.

  9. 속성 계약 이행 탭에서 소스 드롭다운에서 LDAP(속성)*을 선택하고 값 드롭다운에서 *objectGUID 또는 *userPrincipalName*을 선택합니다.

  10. 속성 소스를 검토한 후 저장합니다.

  11. Failsave 속성 소스 탭에서 *SSO 트랜잭션 중단*을 선택합니다.

  12. 요약을 검토하고 *완료*를 선택하세요.

  13. *완료*를 선택하세요.

프로토콜 설정 구성

단계

  1. * SP 연결* > 브라우저 SSO > 프로토콜 설정 탭에서 *프로토콜 설정 구성*을 선택합니다.

  2. Assertion Consumer Service URL 탭에서 StorageGRID SAML 메타데이터(Binding 및 POST)에서 가져온 기본값을 수락합니다. /api/saml-response (종료점 URL의 경우).

  3. SLO 서비스 URL 탭에서 StorageGRID SAML 메타데이터(바인딩 및 REDIRECT)에서 가져온 기본값을 수락합니다. /api/saml-logout Endpoint URL의 경우.

  4. 허용 가능한 SAML 바인딩 탭에서 ARTIFACT 및 *SOAP*를 선택 취소합니다. *POST*와 *REDIRECT*만 필요합니다.

  5. 서명 정책 탭에서 인증 요청에 서명 필요항상 어설션 서명 확인란을 선택된 상태로 둡니다.

  6. 암호화 정책 탭에서 *없음*을 선택합니다.

  7. 요약을 검토하고 *완료*를 선택하여 프로토콜 설정을 저장합니다.

  8. 요약을 검토하고 *완료*를 선택하여 브라우저 SSO 설정을 저장합니다.

자격 증명 구성

단계

  1. SP 연결 탭에서 *자격 증명*을 선택합니다.

  2. 자격 증명 탭에서 *자격 증명 구성*을 선택합니다.

  3. 선택하세요서명 증명서 귀하가 만들거나 가져왔습니다.

  4. *다음*을 선택하여 *서명 확인 설정 관리*로 이동합니다.

    1. 신뢰 모델 탭에서 *고정되지 않음*을 선택합니다.

    2. 서명 확인 인증서 탭에서 StorageGRID SAML 메타데이터에서 가져온 서명 인증서 정보를 검토합니다.

  5. 요약 화면을 검토하고 *저장*을 선택하여 SP 연결을 저장합니다.

추가 SP 연결 생성

그리드의 각 관리 노드에 필요한 SP 연결을 생성하려면 첫 번째 SP 연결을 복사하면 됩니다. 각 사본에 대해 새로운 메타데이터를 업로드합니다.

참고 다양한 관리 노드에 대한 SP 연결은 파트너의 엔티티 ID, 기본 URL, 연결 ID, 연결 이름, 서명 확인 및 SLO 응답 URL을 제외하고 동일한 설정을 사용합니다.
단계

  1. 작업 > *복사*를 선택하여 각 추가 관리 노드에 대한 초기 SP 연결 사본을 만듭니다.

  2. 복사본에 대한 연결 ID와 연결 이름을 입력하고 *저장*을 선택합니다.

  3. 관리 노드에 해당하는 메타데이터 파일을 선택하세요.

    1. 작업 > *메타데이터로 업데이트*를 선택합니다.

    2. *파일 선택*을 선택하고 메타데이터를 업로드하세요.

    3. *다음*을 선택하세요.

    4. *저장*을 선택하세요.

  4. 사용되지 않는 속성으로 인한 오류를 해결하세요:

    1. 새로운 연결을 선택하세요.

    2. *브라우저 SSO 구성 > 어설션 생성 구성 > 속성 계약*을 선택합니다.

    3. urn:oid 항목을 삭제합니다.

    4. *저장*을 선택하세요.