내보내기(0) 인쇄
모두 확장

신뢰 당사자 응용 프로그램

게시: 2011년 4월

업데이트 날짜: 2011년 5월

적용 대상: Windows Azure

클레임을 사용하는 응용 프로그램 또는 서비스를 작성할 때는 신뢰 당사자 응용 프로그램(클레임 인식 응용 프로그램 또는 클레임 기반 응용 프로그램이라고도 함)을 작성하게 됩니다. Windows Azure AppFabric 액세스 제어 서비스(ACS)의 컨텍스트에서 신뢰 당사자 응용 프로그램은 ACS를 사용하여 페더레이션 인증을 구현하려는 웹 사이트, 응용 프로그램 또는 서비스입니다. ACS 관리 포털을 사용하여 신뢰 당사자 응용 프로그램을 추가하고 구성할 때 특정 ACS 서비스 네임스페이스를 신뢰하는 웹 사이트, 응용 프로그램 또는 서비스의 논리적 표현을 추가하고 구성합니다. 단일 ACS 서비스 네임스페이스에 둘 이상의 신뢰 당사자 응용 프로그램을 추가하고 구성할 수 있습니다.

신뢰 당사자 응용 프로그램은 ACS 관리 포털을 사용하여 수동으로 만들고 구성할 수도 있고, ACS 관리 서비스를 사용하여 프로그래밍 방식으로 만들고 구성할 수도 있습니다.

ACS 관리 포털을 사용하여 구성

ACS 관리 포털을 사용하여 신뢰 당사자 응용 프로그램의 다음 속성을 구성할 수 있습니다.

영역 및 반환 URL

영역 속성은 ACS에서 발급한 토큰이 유효한 URI를 정의합니다. 반환 URL은 신뢰 당사자 응용 프로그램에 대한 ACS 발급 토큰이 반환되는 URL을 정의합니다.

웹 응용 프로그램과 서비스의 경우 영역은 일반적으로 URL(예: http://www.fabrikam.com/billing)이지만 URN(예: urn:fabrikam:billing)일 수도 있습니다. ID 공급자에서 토큰을 ACS에 직접 요청하거나 토큰을 ACS에 게시할 때, ACS에서는 구성된 영역 URI를 토큰 요청에서 받은 영역 값에 대응시킵니다. 영역 값은 토큰이 WS-Federation 프로토콜을 통해 배달될 경우에는 wtrealm 매개 변수에서, 토큰이 OAuth WRAP 프로토콜을 통해 배달될 경우에는 applies_to 매개 변수에서 찾을 수 있습니다. 일치하는 항목이 발견되면 요청이 처리되며 신뢰 당사자 응용 프로그램에 대한 토큰이 발급되고 반환 URL로 반환됩니다. 영역 값이 동일하거나 입력한 영역이 받은 영역의 접두사인 경우에만 토큰이 발급됩니다. 예를 들어, 구성된 영역 값 http://www.fabrikam.com은 받은 영역 값 http://www.fabrikam.com/billing과는 일치하지만 http://fabrikam.com과는 일치하지 않습니다.

영역 및 반환 URL은 ACS 관리 포털을 사용하여 ACS 네임스페이스에서 하나씩만 구성할 수 있습니다. 가장 단순한 경우에는 영역과 반환 URL이 동일합니다. 예를 들어, 응용 프로그램의 루트 URI가 https://contoso.com인 경우 해당 신뢰 당사자 응용 프로그램에 대해 등록된 영역 및 반환 URL도 https://contoso.com일 수 있습니다.

오류 URL(선택 사항)

오류 URL을 사용하면 로그인 프로세스 중에 오류가 발생하는 경우 ACS에서 사용자를 리디렉션하는 URL을 지정할 수 있습니다. 이 URL은 신뢰 당사자 응용 프로그램에서 호스팅되는 사용자 지정 페이지(예: http://www.fabrikam.com/billing/error.aspx)일 수 있습니다. 리디렉션의 일부분으로, ACS에서는 오류에 대한 세부 정보를 JSON 인코딩 HTTP URL 매개 변수로 신뢰 당사자 응용 프로그램에 제공합니다. 사용자 지정 오류 페이지에서 JSON 인코딩 오류 정보를 사용하여 실제로 받은 오류 메시지를 렌더링하거나 정적 도움말 텍스트를 표시하도록 지정할 수 있습니다.

오류 URL은 ACS 신뢰 당사자 응용 프로그램의 필수 속성이 아닙니다. 오류 URL 사용에 대한 자세한 내용은 코드 샘플: ASP.NET 단순 MVC 2를 참조하십시오.

토큰 형식

ACS 신뢰 당사자 응용 프로그램에는 토큰 형식을 할당해야 합니다. 토큰 형식 속성은 ACS에서 발급하여 ACS를 신뢰하는 웹 응용 프로그램이나 서비스로 반환하는 토큰의 형식을 정의합니다.

ACS는 SAML 2.0, SAML 1.1 또는 SWT 토큰을 발급할 수 있습니다. 토큰 형식에 대한 자세한 내용은 ACS에서 지원되는 토큰 형식을 참조하십시오.

SAML 2.0, SAML 1.1 또는 SWT 토큰이 발급되면 ACS는 다양한 표준 프로토콜을 사용하여 웹 응용 프로그램 또는 서비스로 토큰을 반환합니다. ACS에서 지원하는 토큰 형식/프로토콜 조합은 다음과 같습니다.

  • ACS는 토큰 요청에 사용된 프로토콜에 따라 WS-Trust 및 WS-Federation 프로토콜을 통해 SAML 2.0 토큰을 발급하고 반환할 수 있습니다.

  • ACS는 토큰 요청에 사용된 프로토콜에 따라 WS-Federation 및 관련 WS-Trust 프로토콜을 통해 SAML 1.1 토큰을 발급하고 반환할 수 있습니다.

  • ACS는 토큰 요청에 사용된 프로토콜에 따라 WS-Federation, WS-Trust, OAuth-WRAP 및 OAuth 2.0 프로토콜을 통해 SWT 토큰을 발급하고 반환할 수 있습니다.

ACS에서 사용하는 표준 프로토콜에 대한 자세한 내용은 ACS에서 지원되는 프로토콜을 참조하십시오.

토큰 형식을 선택할 때는 ACS 서비스 네임스페이스에서 발급한 토큰에 서명하는 방법도 고려해야 합니다. ACS에서 발급한 모든 토큰에 서명해야 합니다. 자세한 내용은 토큰 서명을 참조하십시오.

토큰 형식을 선택할 때는 ACS에서 발급하는 토큰에 대해 암호화 정책을 구성할지 여부도 고려해야 합니다. 자세한 내용은 토큰 암호화 정책을 참조하십시오.

토큰 암호화 정책

토큰 암호화 정책 속성을 사용하면 ACS에서 해당 신뢰 당사자 응용 프로그램에 대해 발급하는 토큰의 암호화 정책을 구성할 수 있습니다. ACS에서는 SAML 2.0 또는 SAML 1.1 토큰에 대해서만 암호화 정책을 구성할 수 있습니다. SWT 토큰 암호화는 ACS에서 지원되지 않습니다.

ACS는 공용 키가 포함된 X.509 인증서(.cer 파일)를 사용하여 SAML 2.0 및 SAML 1.1 토큰을 암호화합니다. 이렇게 암호화된 토큰은 신뢰 당사자 응용 프로그램에서 소유한 개인 키를 사용하여 암호 해독됩니다. 암호화 인증서 가져오기 및 사용에 대한 자세한 내용은 인증서 및 키를 참조하십시오.

원하는 경우 ACS 발급 토큰에 대해 암호화 정책을 구성할 수 있습니다. 그러나 신뢰 당사자 응용 프로그램이 WS-Trust 프로토콜을 통해 소유 증명 토큰을 사용하는 웹 서비스인 경우에는 암호화 정책을 필수로 구성해야 합니다. 이 특정 시나리오는 암호화된 토큰이 없으면 제대로 작동하지 않습니다.

토큰 수명

토큰 수명 속성을 사용하면 ACS에서 신뢰 당사자 응용 프로그램에 대해 발급하는 보안 토큰이 유효한 상태로 유지되는 시간을 지정할 수 있습니다. 기본적으로 ACS에서 이 값은 10분(600초)으로 설정됩니다. ACS에서 이 값은 0보다 크고 24시간(86400초)보다 작거나 같아야 합니다.

ID 공급자

ID 공급자 속성을 사용하면 신뢰 당사자 응용 프로그램에 사용할 수 있는 ID 공급자를 지정할 수 있습니다. 즉, ID 공급자를 신뢰 당사자 응용 프로그램과 연결하는 경우 해당 ID 공급자의 클레임을 웹 응용 프로그램 또는 서비스로 배달할 수 있습니다.

신뢰 당사자 응용 프로그램은 ID 공급자와 연결하지 않을 수도 있고 하나 이상의 ID 공급자와 연결할 수도 있습니다. ACS 신뢰 당사자 응용 프로그램과 연결된 모든 ID 공급자는 웹 응용 프로그램 또는 서비스의 ACS 로그인 페이지에 표시됩니다. 따라서, 단일 서비스 네임스페이스에서 여러 신뢰 당사자 응용 프로그램이 각각 공유 ID 공급자 집합 및/또는 서로 다른 ID 공급자와 연결되어 있을 수 있습니다.

ID 공급자를 신뢰 당사자 응용 프로그램과 연결하려면 먼저 ACS 서비스 네임스페이스에서 해당 ID 공급자를 추가해야 합니다. 자세한 내용은 ID 공급자를 참조하십시오.

신뢰 당사자 응용 프로그램과 연결할 ID 공급자를 선택하지 않는 것은 신뢰 당사자 응용 프로그램에 대해 ACS를 통한 직접 인증을 구성함을 의미합니다. 서비스 ID를 사용해 ACS를 통한 직접 인증을 구성할 수 있습니다. 자세한 내용은 서비스 ID를 참조하십시오.

규칙 그룹

규칙 그룹 속성을 사용하면 ACS 신뢰 당사자 응용 프로그램에서 클레임을 처리할 때 사용하는 규칙을 선택할 수 있습니다.

ACS 신뢰 당사자 응용 프로그램은 하나 이상의 규칙 그룹과 연결되어야 합니다. 즉, 토큰 요청과 일치하는 신뢰 당사자 응용 프로그램에 규칙 그룹이 구성되어 있지 않으면 ACS에서는 웹 응용 프로그램 또는 서비스로 반환할 토큰을 발급하지 않습니다.

ACS 관리 포털에서 새 신뢰 당사자 응용 프로그램의 속성을 추가하고 구성할 때, 신뢰 당사자 응용 프로그램 추가 페이지에서 새 규칙 그룹 만들기 옵션은 기본적으로 선택되어 있습니다. 새 신뢰 당사자 응용 프로그램에 대해 기본 규칙 그룹이 만들어지도록 이 옵션을 선택한 상태로 유지하는 것이 좋습니다. 그러나 신뢰 당사자 응용 프로그램을 해당 서비스 네임스페이스의 기존 규칙 그룹과 연결하려는 경우에는 새 규칙 그룹 만들기 옵션 선택을 취소하고 원하는 규칙 그룹을 선택합니다.

둘 이상의 규칙 그룹과 신뢰 당사자 응용 프로그램 하나를 연결할 수 있습니다. 마찬가지로, 둘 이상의 신뢰 당사자 응용 프로그램과 규칙 그룹 하나를 연결할 수 있습니다. 신뢰 당사자 응용 프로그램 하나가 둘 이상의 규칙 그룹과 연결되어 있는 경우 ACS 서비스 네임스페이스는 모든 규칙 그룹의 규칙을 하나의 규칙 그룹으로 재귀 평가합니다.

작성되는 규칙 및 규칙 그룹에 대한 자세한 내용은 규칙 그룹 및 규칙을 참조하십시오.

토큰 서명

토큰 서명 옵션 속성을 사용하면 ACS에서 발급한 보안 토큰에 서명하는 방법을 지정할 수 있습니다. ACS에서 발급한 모든 토큰에 서명해야 합니다. 사용 가능한 서명 옵션은 ACS 발급 토큰에 대해 선택한 토큰 형식에 따라 달라집니다. 토큰 형식에 대한 자세한 내용은 토큰 형식을 참조하십시오.

SAML 1.1 또는 SAML 2.0 토큰 형식의 경우 사용 가능한 토큰 서명 옵션은 다음과 같습니다.

  • Use service namespace certificate (standard)(서비스 네임스페이스 인증서 사용(표준)) - 이 옵션을 선택할 경우 기본 서비스 네임스페이스 인증서를 사용하여 발급된 SAML 1.1 및 SAML 2.0 토큰에 서명한 다음 해당 신뢰 당사자 응용 프로그램으로 토큰을 반환합니다. 모든 신뢰 당사자 응용 프로그램에 대해 발급된 토큰에 서명하는 데 동일한 인증서를 사용하려면 이 옵션을 선택하면 됩니다. WS-Federation 메타데이터를 사용하여 웹 응용 프로그램 또는 서비스의 구성을 자동화하려는 경우에도 이 옵션을 사용할 수 있습니다. 기본 서비스 네임스페이스 인증서의 공용 키는 ACS 서비스 네임스페이스에 대한 WS-Federation 메타데이터에 게시되기 때문입니다. ACS 관리 포털의 응용 프로그램 통합 페이지에서 WS-Federation 메타데이터 문서에 대한 URL을 찾을 수 있습니다.

  • Use dedicated certificate(전용 인증서 사용) - 이 옵션을 선택할 경우 전용 인증서를 사용하여 발급된 SAML 1.1 및 SAML 2.0 토큰에 서명한 다음 신뢰 당사자 응용 프로그램으로 토큰을 반환합니다. 이 옵션을 선택하면 토큰 서명에 사용할 개인 키가 포함된 X.509 인증서(.pfx 파일)를 찾은 다음 .pfx 파일의 암호를 입력할 수 있습니다.

인증서와 키 가져오기 및 추가에 대한 자세한 내용은 인증서 및 키를 참조하십시오.

SWT 토큰 형식의 경우 사용 가능한 토큰 서명 옵션은 다음과 같습니다.

  • 토큰 서명 키 - ACS에서 SWT 토큰에 사용 가능한 서명 옵션은 256비트 대칭 키뿐입니다. 이 신뢰 당사자 응용 프로그램에 대해 256비트 대칭 키를 입력하거나, 생성 단추를 클릭하여 256비트 대칭 키를 자동으로 생성할 수 있습니다.

  • 개시 날짜 - 해당 대칭 키가 유효한 날짜 범위의 시작 날짜를 지정합니다. ACS에서 개시 날짜는 기본적으로 현재 날짜입니다.

  • 만료 날짜 - ACS에서 더 이상 해당 대칭 키를 사용하여 SWT 토큰에 서명하지 않는 날짜를 지정합니다. 최적의 보안을 위해 대칭 키를 수시로 롤오버하는 것이 좋습니다.

토큰 암호화

토큰 암호화 인증서를 사용하면 해당 신뢰 당사자 응용 프로그램의 토큰 암호화를 위한 X.509 인증서(.cer 파일)를 찾아서 로드할 수 있습니다. ACS에서는 SAML 2.0 또는 SAML 1.1 토큰만 암호화할 수 있습니다. SWT 토큰 암호화는 ACS에서 지원되지 않습니다. 자세한 내용은 토큰 암호화 정책을 참조하십시오. 암호화 인증서 가져오기 및 추가에 대한 자세한 내용은 인증서 및 키를 참조하십시오.

참고 항목

표시:
© 2014 Microsoft