SSO(싱글 사인온)로 인증

SUSE Multi-Linux Manager는 SAML(Security Assertion Markup Language) 2 프로토콜을 구현하여 SSO(싱글 사인온)를 지원합니다.

싱글 사인온은 사용자가 한 개의 자격 증명으로 여러 애플리케이션에 액세스할 수 있도록 해주는 인증 프로세스입니다. SAML은 인증 및 권한 부여 데이터를 교환하기 위한 XML 기반 표준입니다. SAML ID 서비스 공급자(IdP)는 SUSE Multi-Linux Manager 등 서비스 공급자(SP)에 인증 및 권한 부여 서비스를 제공합니다. SUSE Multi-Linux Manager는 싱글 사인온을 위해 활성화해야 하는 엔드포인트 세 개를 노출합니다.

SUSE Multi-Linux Manager의 SSO가 지원하는 사항:

  • SSO로 로그인합니다.

  • 서비스 제공자 시작 싱글 로그아웃(SLO) 및 ID 서비스 제공자 싱글 로그아웃 서비스(SLS)로 로그아웃합니다.

  • 어설션 및 nameID 암호화.

  • 어설션 서명.

  • AuthNRequest, LogoutRequest 및 LogoutResponses 포함 메시지 서명.

  • 어설션 소비자 서비스 엔드포인트를 활성화합니다.

  • 싱글 로그아웃 서비스 엔드포인트를 활성화합니다.

  • SP 메타데이터(서명 가능한)를 게시합니다.

SUSE Multi-Linux Manager의 SSO는 다음을 지원하지 않습니다.

  • ID 서비스 제공자(IdP)를 위한 제품 선택 및 구현.

  • 기타 제품에 대한 SAML 지원(해당 제품 설명서 확인).

SSO 구현의 예는 예시 SSO 구현에서 확인할 수 있습니다.

If you change from the default authentication method to single sign-on, the new SSO credentials apply only to the Web UI. Client tools such as mgr-sync or spacecmd continue to work with the default authentication method only.

1. 선행 조건

시작하기 전 이러한 파라미터를 사용하여 외부 ID 서비스 제공자를 구성해야 합니다. 지침은 IdP 설명서를 확인하십시오.

The mapping between the IdP user and the SUSE Multi-Linux Manager user is specified in a SAML:Attribute. The SAML:Attribute must be configured in the IdP and must be passed to SUSE Multi-Linux Manager in the SAML authentication. The attribute must be named uid and must contain the SUSE Multi-Linux Manager user mapped to it after login. The SUSE Multi-Linux Manager user must be created before you activate single sign-on.

필요한 엔드포인트는 다음과 같습니다.

After the authentication with the IdP using the user orgadmin is successful, you are logged in to SUSE Multi-Linux Manager as the orgadmin user, provided that the orgadmin user exists in SUSE Multi-Linux Manager.

2. SSO 사용

SSO 사용은 다른 유형의 인증과 상호 배타적이며 활성화 또는 비활성화됩니다. SSO는 기본적으로 비활성화되어 있습니다.

Use mgrctl term before running steps inside the server container.

절차: SSO 활성화하기
  1. 아직 사용자가 SUSE Multi-Linux Manager에 없는 경우 먼저 생성해야 합니다.

  2. Edit /etc/rhn/rhn.conf and add this line at the end of the file:

    java.sso = true
  3. Find the parameters you want to customize in /usr/share/rhn/config-defaults/rhn_java_sso.conf. Insert the parameters you want to customize into /etc/rhn/rhn.conf and prefix them with java.sso. For example, in /usr/share/rhn/config-defaults/rhn_java_sso.conf find:

    onelogin.saml2.sp.assertion_consumer_service.url = https://YOUR-PRODUCT-HOSTNAME-OR-IP/rhn/manager/sso/acs

    To customize it, create the corresponding option in /etc/rhn/rhn.conf by prefixing the option name with java.sso.:

    java.sso.onelogin.saml2.sp.assertion_consumer_service.url = https://YOUR-PRODUCT-HOSTNAME-OR-IP/rhn/manager/sso/acs

    To find all the occurrences you need to change, search in the file for the placeholders YOUR-PRODUCT and YOUR-IDP-ENTITY. Every parameter comes with a brief explanation of what it is meant for.

  4. Spacewalk 서비스를 다시 시작하여 변경 사항을 적용합니다.

    mgradm restart

SUSE Multi-Linux Manager URL로 이동하면 인증이 요청된 SSO용 IdP로 리디렉션됩니다. 인증에 성공하면 인증된 사용자로 로그인한 SUSE Multi-Linux Manager Web UI로 리디렉션됩니다. SSO를 사용한 로그인에서 문제가 발생하면 SUSE Multi-Linux Manager 로그에서 자세한 내용을 확인할 수 있습니다.