SSO(싱글 사인온)로 인증

Table of Contents

SUSE Manager는 SAML(Security Assertion Markup Language) 2 프로토콜을 구현하여 SSO(싱글 사인온)를 지원합니다.

싱글 사인온은 사용자가 한 개의 자격 증명으로 여러 애플리케이션에 액세스할 수 있도록 해주는 인증 프로세스입니다. SAML은 인증 및 권한 부여 데이터를 교환하기 위한 XML 기반 표준입니다. SAML ID 서비스 공급자(IdP)는 SUSE Manager 등 서비스 공급자(SP)에 인증 및 권한 부여 서비스를 제공합니다. SUSE Manager는 싱글 사인온을 위해 활성화해야 하는 엔드포인트 세 개를 노출합니다.

SUSE Manager의 SSO가 지원하는 사항:

  • SSO로 로그인합니다.

  • 서비스 제공자 시작 싱글 로그아웃(SLO) 및 ID 서비스 제공자 싱글 로그아웃 서비스(SLS)로 로그아웃합니다.

  • 어설션 및 nameID 암호화.

  • 어설션 서명.

  • AuthNRequest, LogoutRequest 및 LogoutResponses 포함 메시지 서명.

  • 어설션 소비자 서비스 엔드포인트를 활성화합니다.

  • 싱글 로그아웃 서비스 엔드포인트를 활성화합니다.

  • SP 메타데이터(서명 가능한)를 게시합니다.

SUSE Manager의 SSO는 다음을 지원하지 않습니다.

  • ID 서비스 제공자(IdP)를 위한 제품 선택 및 구현.

  • 기타 제품에 대한 SAML 지원(해당 제품 설명서 확인).

SSO 구현의 예는 예시 SSO 구현에서 확인할 수 있습니다.

기본 인증 방법에서 싱글 사인온으로 변경하면 새 SSO 자격 증명이 Web UI에만 적용됩니다. mgr-sync 또는 spacecmd와 같은 클라이언트 도구는 기본 인증 방법으로만 계속해서 작동합니다.

1. 전제 조건

시작하기 전 이러한 파라미터를 사용하여 외부 ID 서비스 제공자를 구성해야 합니다. 지침은 IdP 설명서를 확인하십시오.

IdP 사용자와 SUSE Manager 사용자 간의 매핑은 SAML:Attribute에 지정됩니다. SAML:Attribute은 IdP에서 구성해야 하며 SAML 인증에서 SUSE Manager에 전달되어야 합니다. 특성의 이름은 uid여야 하며 로그인 후 매핑된 SUSE Manager 사용자를 포함해야 합니다. SUSE Manager을(를) 만든 후 통합 인증을 활성화해야 합니다.

필요한 엔드포인트는 다음과 같습니다.

사용자 orgadmin을 사용한 IdP 인증에 성공하면 orgadmin 사용자가 SUSE Manager에 존재하는 경우 SUSE Manager에 orgadmin 사용자로 로그인됩니다.

2. SSO 사용

SSO 사용은 다른 유형의 인증과 상호 배타적이며 활성화 또는 비활성화됩니다. SSO는 기본적으로 비활성화되어 있습니다.

서버 컨테이너 내의 단계를 실행하기 전에 mgrctl term을 사용합니다.

절차: SSO 활성화하기
  1. 아직 사용자가 SUSE Manager에 없는 경우 먼저 생성해야 합니다.

  2. /etc/rhn/rhn.conf를 편집하고 파일 끝에 다음 라인을 추가합니다.

    java.sso = true
  3. /usr/share/rhn/config-defaults/rhn_java_sso.conf에서 사용자 정의할 파라미터를 찾습니다. 사용자 정의할 파라미터를 /etc/rhn/rhn.conf에 삽입하고 java.sso를 접두사로 붙입니다. 예를 들어, /usr/share/rhn/config-defaults/rhn_java_sso.conf에서 다음을 검색합니다.

    onelogin.saml2.sp.assertion_consumer_service.url = https://YOUR-PRODUCT-HOSTNAME-OR-IP/rhn/manager/sso/acs

    사용자 정의하려면 /etc/rhn/rhn.conf에서 옵션 이름에 java.sso.를 접두사로 붙여 해당 옵션을 생성합니다.

    java.sso.onelogin.saml2.sp.assertion_consumer_service.url = https://YOUR-PRODUCT-HOSTNAME-OR-IP/rhn/manager/sso/acs

    변경해야 하는 모든 항목을 찾으려면 파일에서 YOUR-PRODUCTYOUR-IDP-ENTITY 자리 표시자를 검색합니다. 모든 파라미터에는 해당 의미에 대한 간략한 설명이 함께 제공됩니다.

  4. Spacewalk 서비스를 다시 시작하여 변경 사항을 적용합니다.

    mgradm restart

SUSE Manager URL로 이동하면 인증이 요청된 SSO용 IdP로 리디렉션됩니다. 인증에 성공하면 인증된 사용자로 로그인한 SUSE Manager Web UI로 리디렉션됩니다. SSO를 사용한 로그인에서 문제가 발생하면 SUSE Manager 로그에서 자세한 내용을 확인할 수 있습니다.