Show Menu
화제×

인증 공급자 구성

하이브리드 도메인은 하나 이상의 인증 공급자가 필요하고 기업 도메인은 하나 이상의 인증 공급자 또는 디렉토리 공급자가 필요합니다.
SPNEGO를 사용하여 SSO를 활성화하는 경우 SPNEGO가 활성화된 Kerberos 인증 공급자와 LDAP 공급자를 백업으로 추가합니다. 이 구성은 SPNEGO가 작동하지 않는 경우 사용자 ID와 암호를 사용하여 사용자 인증을 활성화합니다. (SPNEGO 를 사용하여 SSO 활성화를 참조하십시오 .)

인증 공급자 추가

  1. 관리 콘솔에서 설정 > 사용자 관리 > 도메인 관리를 클릭합니다.
  2. 목록에서 기존 도메인을 클릭합니다. 새 도메인에 대한 인증을 추가하는 경우 엔터프라이즈 도메인 추가 또는 하이브리드 도메인 하이브리드 도메인 추가 추가를 참조하십시오.
  3. 인증 추가를 클릭하고 인증 공급자 목록에서 조직에서 사용하는 인증 메커니즘에 따라 공급자를 선택합니다.
  4. 페이지에 필요한 추가 정보를 제공합니다. (인증 설정을 참조하십시오.)
  5. (선택 사항) 테스트를 클릭하여 구성을 테스트합니다.
  6. 확인을 클릭한 다음 확인을 다시 클릭합니다.

기존 인증 공급자 편집

  1. 관리 콘솔에서 설정 > 사용자 관리 > 도메인 관리를 클릭합니다.
  2. 목록에서 해당 도메인을 클릭합니다.
  3. 표시되는 페이지의 목록에서 적절한 인증 공급자를 선택하고 필요에 따라 변경합니다. (인증 설정을 참조하십시오.)
  4. 확인을 클릭합니다.

인증 공급자 삭제

  1. 관리 콘솔에서 설정 > 사용자 관리 > 도메인 관리를 클릭합니다.
  2. 목록에서 해당 도메인을 클릭합니다.
  3. 인증 공급자가 삭제할 확인란을 선택하고 삭제를 클릭합니다.
  4. 표시되는 확인 페이지에서 확인을 클릭하고 확인을 다시 클릭합니다.

Authentication settings

선택한 도메인 유형 및 인증 유형에 따라 다음 설정을 사용할 수 있습니다.

LDAP 설정

기업 또는 하이브리드 도메인에 대한 인증을 구성하고 LDAP 인증을 선택하는 경우 디렉토리 구성에 지정된 LDAP 서버를 사용하도록 선택하거나 인증에 사용할 다른 LDAP 서버를 선택할 수 있습니다. 다른 서버를 선택하는 경우 사용자가 두 LDAP 서버에 모두 있어야 합니다.
디렉토리 구성에 지정된 LDAP 서버를 사용하려면 LDAP를 인증 공급자로 선택하고 확인을 클릭합니다.
다른 LDAP 서버를 사용하여 인증을 수행하려면 인증 공급자로 LDAP를 선택하고 사용자 정의 LDAP 인증 확인란을 선택합니다. 다음 구성 설정이 표시됩니다.
​서버:(필수) 디렉터리 서버의 FQDN(정규화된 도메인 이름)입니다. 예를 들어 corp.example.com 네트워크에서 x라는 컴퓨터의 경우 FQDN은 x.corp.example.com입니다. IP 주소는 FQDN 서버 이름 대신 사용할 수 있습니다.
​포트:(필수) 디렉토리 서버가 사용하는 포트입니다. 일반적으로 SSL(Secure Sockets Layer) 프로토콜이 네트워크를 통해 인증 정보를 전송하는 데 사용되는 경우 389 또는 636입니다.
​SSL:(필수) 네트워크를 통해 데이터를 전송할 때 디렉토리 서버가 SSL을 사용할지 여부를 지정합니다. 기본값은 아니요입니다. #로 설정하면 해당 LDAP 서버 인증서를 응용 프로그램 서버의 JRE(Java™ Runtime Environment)에서 신뢰해야 합니다.
바인딩 (필수) 디렉토리에 액세스하는 방법을 지정합니다.
​익명:사용자 이름이나 암호는 필요하지 않습니다.
​사용자:인증이 필요합니다. 이름 상자에서 디렉토리에 액세스할 수 있는 사용자 레코드의 이름을 지정합니다. cn=Jane Doe, ou=user, dc=can, dc=com과 같은 사용자 계정의 전체 고유 이름(DN)을 입력하는 것이 가장 좋습니다. 암호 상자에서 연결된 암호를 지정합니다. 이러한 설정은 # 옵션으로 #를 선택할 때 필요합니다.
​기본 DN 검색:(필수 아님) 기본 DN을 검색하여 드롭다운 목록에 표시합니다. 이 설정은 여러 기본 DN이 있고 값을 선택해야 하는 경우에 유용합니다.
​기본 DN:(필수) LDAP 계층에서 사용자와 그룹을 동기화하는 시작점으로 사용됩니다. 서비스를 위해 동기화해야 하는 모든 사용자와 그룹을 포함하는 계층의 가장 낮은 수준에서 기본 DN을 지정하는 것이 좋습니다. 이 설정에 사용자의 DN을 포함하지 마십시오. 특정 사용자를 동기화하려면 검색 필터 설정을 사용합니다.
​페이지 채우기:(필수가 아님) 이 옵션을 선택하면 사용자 및 그룹 설정 페이지의 속성이 해당 기본 LDAP 값으로 채워집니다.
​검색 필터:(필수) 사용자와 연관된 레코드를 찾는 데 사용할 검색 필터입니다. 검색 필터 구문을 참조하십시오.

Kerberos 설정

기업 또는 하이브리드 도메인에 대한 인증을 구성하고 Kerberos 인증을 선택하는 경우 다음 설정을 사용할 수 있습니다.
​DNS IP:AEM 양식이 실행 중인 서버의 DNS IP 주소입니다. Windows의 경우 명령줄에서 ipconfig /all을 실행하여 이 IP 주소를 확인할 수 있습니다.
​KDC 호스트:인증에 사용되는 Active Directory 서버의 정규화된 호스트 이름 또는 IP 주소입니다.
​서비스 사용자:Active Directory 2003을 사용하는 경우 이 값은 양식에서 서비스 주체에 대해 생성된 매핑입니다 HTTP/<server name> . Active Directory 2008을 사용하는 경우 이 값은 서비스 주체의 로그인 ID입니다. 예를 들어 서비스 주체의 이름이 um spnego이고 사용자 ID가 spnegodemo이고 매핑이 HTTP/example.corp.yourcompany.com이라고 가정합니다. Active Directory 2003에서는 서비스 사용자를 HTTP/example.corp.yourcompany.com으로 설정합니다. Active Directory 2008을 사용하면 서비스 사용자가 데모를 지원하도록 설정할 수 있습니다. (SPNEGO를 사용하여 SSO 활성화를 참조하십시오.)
​서비스 영역:Active Directory의 도메인 이름
​서비스 암호:서비스 사용자의 암호
​SPNEGO 활성화:SSO(Single Sign-On)에 SPNEGO를 사용할 수 있습니다. (SPNEGO를 사용하여 SSO 활성화를 참조하십시오.)

SAML 설정

기업 또는 하이브리드 도메인에 대한 인증을 구성하고 SAML 인증을 선택하는 경우 다음 설정을 사용할 수 있습니다. 추가 SAML 설정에 대한 자세한 내용은 SAML 서비스 공급자 설정 구성을 참조하십시오.
​가져올 SAML ID 공급자 메타 파일을 선택하십시오.찾아보기를 클릭하여 IDP에서 생성된 SAML ID 공급자 메타데이터 파일을 선택한 다음 가져오기를 클릭합니다. IDP의 세부 사항이 표시됩니다.
​제목:EntityID 파섹 제목은 기업 및 로컬 사용자의 로그인 페이지에도 표시됩니다.
​ID 공급자가 클라이언트 기본 인증을 지원합니다.Client Basic Authentication은 IDP가 SAML Artifact Resolution 프로필을 사용할 때 사용됩니다. 이 프로파일에서 사용자 관리는 IDP에서 실행되는 웹 서비스에 다시 연결하여 실제 SAML 어설션을 검색합니다. IDP에 인증이 필요할 수 있습니다. IDP에 인증이 필요한 경우 이 옵션을 선택하고 제공된 상자에 사용자 이름과 암호를 지정합니다.
​사용자 지정 속성:추가 속성을 지정할 수 있습니다. 추가 속성은 이름=값 쌍으로 새 줄로 구분되어 있습니다.
객체 바인딩이 사용되는 경우 다음 사용자 정의 속성이 필요합니다.
  • 다음 사용자 지정 속성을 추가하여 IDP Artifact Resolution 서비스에 인증하는 데 사용할 AEM Forms 서비스 공급자를 나타내는 사용자 이름을 지정합니다. saml.idp.resolve.username=<username>
  • 다음 사용자 지정 속성을 추가하여 에 지정된 사용자의 암호를 지정합니다 saml.idp.resolve.username . saml.idp.resolve.password=<password>
  • SSL을 통해 Artifact Resolution 서비스와의 연결을 설정하는 동안 서비스 공급자가 인증서 유효성 검사를 무시하도록 하려면 다음 사용자 지정 속성을 추가합니다. saml.idp.resolve.ignorecert=true

사용자 정의 설정

기업 또는 하이브리드 도메인에 대한 인증을 구성하고 사용자 정의 인증을 선택하는 경우 사용자 정의 인증 공급자의 이름을 선택합니다.

사용자의 적시 프로비저닝

Just-in-time 프로비저닝은 사용자가 인증 공급자를 통해 인증되면 사용자 관리 데이터베이스에 자동으로 사용자를 만듭니다. 관련 역할 및 그룹은 새 사용자에게도 동적으로 할당됩니다. 엔터프라이즈 및 하이브리드 도메인에 대해 적시 프로비전을 활성화할 수 있습니다.
이 절차에서는 AEM 양식에서 기존 인증이 작동하는 방식을 설명합니다.
  1. 사용자가 AEM 양식에 로그인하려고 하면 사용자 관리는 사용 가능한 모든 인증 공급자에 사용자 자격 증명을 순차적으로 전달합니다. (로그인 자격 증명에는 사용자 이름/암호 조합, Kerberos 티켓, PKCS7 서명 등이 포함됩니다.)
  2. 인증 공급자가 자격 증명을 검증합니다.
  3. 그러면 인증 공급자가 사용자가 사용자 관리 데이터베이스에 있는지 확인합니다. 다음과 같은 상태가 가능합니다.
    존재사용자가 현재 상태이고 잠금 해제되어 있으면 사용자 관리는 인증 성공을 반환합니다. 그러나 사용자가 현재 상태가 아니거나 잠겨 있는 경우 사용자 관리는 인증 실패를 반환합니다.
    존재하지 않음 사용자 관리에서 인증 오류를 반환합니다.
    잘못된 사용자 관리가 인증 오류를 반환합니다.
  4. 인증 공급자가 반환한 결과가 평가됩니다. 인증 공급자가 인증을 반환하면 사용자가 로그인할 수 있습니다. 그렇지 않은 경우 사용자 관리는 다음 인증 공급자와 확인합니다(2-3단계).
  5. 사용 가능한 인증 공급자가 사용자 자격 증명을 검증하지 않으면 인증 오류가 반환됩니다.
적시 프로비저닝이 활성화되면 인증 공급자 중 하나가 자격 증명을 검증하면 사용자 관리에서 새 사용자가 동적으로 만들어집니다. (위의 절차의 3단계 이후)
사용자가 성공적으로 인증되었지만 사용자 관리 데이터베이스에 없는 경우, 적시 프로비전이 없으면 인증이 실패합니다. 적시 프로비저닝은 인증 절차의 단계를 추가하여 사용자를 만들고 사용자에게 역할 및 그룹을 할당합니다.

도메인에 대한 적시 프로비저닝 활성화

  1. IdentityCreator 및 AssignmentProvider 인터페이스를 구현하는 서비스 컨테이너를 작성합니다. (AEM 양식을 사용한 프로그래밍을 참조하십시오.)
  2. 서비스 컨테이너를 양식 서버에 배포합니다.
  3. 관리 콘솔에서 설정 > 사용자 관리 > 도메인 관리를 클릭합니다.
    기존 도메인을 선택하거나 새 엔터프라이즈 도메인을 클릭합니다.
  4. 도메인을 만들려면 새 엔터프라이즈 도메인 또는 새 하이브리드 도메인을 클릭합니다. 기존 도메인을 편집하려면 도메인 이름을 클릭합니다.
  5. #를 선택합니다.
    참고​ :Enable Just In Time Provisioning 확인란이 누락된 경우 홈 > 설정 > 사용자 관리 > 구성 > 고급 시스템 속성을 클릭한 다음 다시 로드를 클릭합니다.
  6. 인증 공급자를 추가합니다. 인증 공급자를 추가하는 동안 # 화면에서 등록된 ID 생성자 및 할당 공급자를 선택합니다. (인증 공급자 구성을 참조하십시오.)
  7. 도메인을 저장합니다.