SSO 관련 애플리케이션
Enterprise SSO(Single Sign-On) 관련 응용 프로그램은 SSO를 사용하여 연결하는 LOB(기간 업무) 응용 프로그램, 백 엔드 시스템, 호스트 등 하위 시스템이나 시스템을 나타내는 논리적 엔터티입니다. 관련 응용 프로그램은 대형 컴퓨터나 UNIX 컴퓨터와 같은 백 엔드 시스템은 물론 SAP와 같은 응용 프로그램이나 "수당" 또는 "급여 명세서" 하위 시스템과 같은 시스템의 일부분을 나타낼 수도 있습니다.
SSO 관리자나 SSO 관련 관리자는 관련 응용 프로그램을 정의할 때 관련 응용 프로그램을 관리하는 사람(응용 프로그램 관리자), 관련 응용 프로그램의 사용자(응용 프로그램 사용자), SSO 시스템에서 이 관련 응용 프로그램의 사용자를 인증하는 데 사용되는 매개 변수(사용자 ID, 암호, PIN 번호 등) 등도 결정해야 합니다. 애플리케이션 관리자 및 애플리케이션 사용자에 대한 자세한 내용은 SSO 사용자 그룹을 참조하세요.
관련 응용 프로그램 종류
Enterprise SSO는 여러 가지 다른 응용 프로그램 종류를 정의합니다. 각 응용 프로그램 종류는 Windows 계정과 비 Windows 시스템 계정 간에 서로 다른 유형의 매핑을 지원합니다.
응용 프로그램 종류는 다음과 같습니다.
개별 개별 애플리케이션은 Windows 계정과 비 Windows 계정 간의 일대일 매핑을 지원합니다. 개별 유형 응용 프로그램에서 Windows 계정 하나는 단 한 개의 비 Windows 계정에 매핑됩니다. 이 응용 프로그램에 설정한 플래그에 따라 Windows에서 비 Windows로, 비 Windows에서 Windows로 또는 두 방향 모두로 매핑을 사용할 수 있습니다. 따라서 개별 응용 프로그램은 Windows에서 시작한 SSO, 호스트에서 시작한 SSO 또는 둘 다에서 사용할 수 있습니다.
그룹 그룹 애플리케이션은 하나의 Windows 그룹 간에 하나의 비 Windows 계정으로의 매핑을 지원합니다. 이 그룹 응용 프로그램에 사용할 Windows 그룹을 정의하는 데에는 응용 프로그램 사용자 계정을 사용합니다. 매핑은 그룹 응용 프로그램별로 하나씩만 정의할 수 있으며, Windows 그룹과 이 Windows 그룹의 모든 멤버가 비 Windows 시스템에 액세스하는 데 사용하는 단일 비 Windows 계정 간 매핑이어야 합니다. Windows에서 시작한 SSO에 대해서만 그룹 응용 프로그램을 사용할 수 있습니다.
호스트 그룹 호스트 그룹 애플리케이션은 개념적으로 그룹 애플리케이션의 반대입니다. 정의된 비 Windows 계정 그룹과 단일 Windows 계정 간의 매핑을 지원합니다. 비 Windows 계정에 사용할 단일 Windows 계정은 해당 응용 프로그램의 응용 프로그램 사용자 계정으로 정의합니다. 이 응용 프로그램에 액세스할 수 있는 비 Windows 계정 그룹은 각각의 비 Windows 계정에 대한 매핑을 만들어 정의합니다. 호스트에서 시작한 SSO에 대해서만 호스트 그룹 응용 프로그램을 사용할 수 있습니다.
관련 응용 프로그램 디자인
관련 응용 프로그램을 만들기 전에 SSO 관련 관리자나 SSO 관리자는 다음을 결정해야 합니다.
이 관련 응용 프로그램이 나타내는 항목 관련 응용 프로그램이 SSO 시스템에서 나타내는 비 Windows 응용 프로그램에 대해 알아야 합니다. 예를 들면 다음과 같습니다.
애플리케이션 이름: APP1
설명: Pay 스텁 부서에 대한 애플리케이션
연락처: administrator@companyname.com
이 관련 응용 프로그램을 관리하는 사람 이 관련 응용 프로그램의 관리자를 결정해야 합니다. 이들 관리자가 이 관련 응용 프로그램의 Windows 관리자 그룹을 구성합니다. 예: Domain\APP1AdminGroup
이 관련 응용 프로그램을 사용하는 사람 이 관련 응용 프로그램의 최종 사용자가 누구인지를 결정해야 합니다. 이 사용자는 이 관련 응용 프로그램의 Windows 사용자 그룹(예: Domain\DomainUsers)을 나타냅니다. 급여 명세서 응용 프로그램의 경우 모든 사용자가 자신의 급여 명세서 정보에 액세스할 수 있도록 도메인 사용자 그룹을 이 응용 프로그램의 사용자 그룹으로 지정할 수 있습니다.
관련 응용 프로그램에서 사용자를 인증하는 데 사용할 자격 증명 응용 프로그램마다 다른 자격 증명을 사용하여 사용자를 인증합니다. 예를 들어 사용자 ID, 암호 또는 PIN을 사용하거나 이들을 조합하여 사용하는 응용 프로그램이 있을 수 있습니다. 또한 사용자가 자격 증명을 제공할 때 시스템에서 이 자격 증명을 마스크해야 하는지 여부를 결정해야 합니다.
이 관련 응용 프로그램에 대해 개별 매핑을 사용할지 그룹 매핑을 사용할지 여부 백 엔드 시스템에 Windows 사용자마다 하나의 계정이 있는지 모든 Windows 사용자에 대해 하나의 계정이 있는지 여부를 결정합니다. 급여 명세서 시스템의 경우 각 사용자가 자신의 계정을 사용하여 급여 명세서 정보에 액세스하므로 개별 매핑을 사용해야 합니다.
관련 응용 프로그램을 만든 이후에는 다음 속성을 수정할 수 없습니다.
관련 응용 프로그램 이름
관련 응용 프로그램에 연결된 필드
관련 응용 프로그램 종류(호스트 그룹, 개인 또는 구성 저장소)
관련 관리자 그룹과 동일한 관리 계정. 이 속성을 선택하는 경우 관련 관리자 그룹이 이 관련 응용 프로그램의 응용 프로그램 관리자 계정으로 사용됩니다.
관련 응용 프로그램 속성
다음 표에서는 만드는 각 관련 응용 프로그램에 대해 정의해야 하는 속성을 보여 줍니다.
속성 | Description |
---|---|
애플리케이션 이름 | 관련 응용 프로그램 이름입니다. 관련 응용 프로그램을 만든 후에는 이 속성을 변경할 수 없습니다. |
Description | 관련 응용 프로그램에 대한 간단한 설명입니다. |
연락처 | 사용자가 사용할 수 있는 이 관련 응용 프로그램에 대한 기본 연락처입니다. 전자 메일 주소가 될 수 있습니다. |
appUserAccount | 이 관련 응용 프로그램을 사용할 최종 사용자의 사용자 계정을 포함하는 Windows 그룹입니다. |
appAdminAccount | 이 관련 응용 프로그램을 관리할 관리자 계정을 포함하는 Windows 그룹입니다. 참고: adminAccountSame을 예로 설정하면 이 속성을 정의할 필요가 없습니다. |
응용 프로그램 플래그 | Description |
---|---|
enableApp | 이 관련 응용 프로그램의 상태입니다. |
groupApp | 이 응용 프로그램에서 그룹 매핑(yes)을 사용하는지 개별 매핑(No)을 사용하는지 여부를 결정합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. |
configStoreApp | 이 관련 응용 프로그램이 구성 저장소 유형 응용 프로그램(yes)인지 여부를 결정합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. |
hostInitiatedSSO | 호스트에서 시작한 SSO 유형 응용 프로그램인 경우 이 플래그를 설정합니다. 기본값은 아니요입니다. |
windowsInitiatedSSO | Windows에서 시작한 SSO 유형 응용 프로그램인 경우 이 플래그를 설정합니다. 기본값은 [예]입니다. |
validatePassword | 호스트에서 시작한 SSO 응용 프로그램에만 적용됩니다. 응용 프로그램은 자격 증명을 검색할 때 SSO 서비스에서 유효성을 검사하는 데 사용되는 SSO 데이터베이스 암호를 제공해야 합니다. 기본값은 [예]입니다. |
disableCredCache | SSO 서버에서는 신속한 액세스를 위해 캐시에 자격 증명을 저장합니다. 기본값은 아니요입니다. |
allowTickets | SSO 시스템에서 이 관련 애플리케이션에 대해 티켓을 사용할지 여부를 결정합니다. 보안 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
validateTickets | 사용자가 티켓을 교환할 때 SSO 시스템에서 티켓의 유효성을 검사할지 여부를 결정합니다. 보안 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
appTicketTimeOut | 관련 애플리케이션별 티켓 시간 제한을 지정합니다. 관련 애플리케이션을 만들 때가 아닌 업데이트할 때만 이 옵션을 설정할 수 있습니다. 이 애플리케이션에 대해 티켓이 설정되어 있는 상태에서 이 속성을 설정하지 않으면 SSO 시스템(전역) 수준에서 지정한 시간 제한이 사용됩니다. 보안 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
timeoutTickets | 티켓에 만료 시간이 있는지 여부를 확인합니다. 기본값은 [예]입니다. 보안 필수가 아니면 티켓 시간 제한(아니요)을 사용하지 않도록 설정하지 마세요. 보안 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
allowLocalAccounts | SSO 시스템에서 로컬 그룹 및 계정을 사용할 수 있도록 허용할지 여부를 결정합니다. 단일 컴퓨터 시나리오에서는 이 플래그를 Yes로만 구성할 수 있습니다. |
adminAccountSame | SSO 관련 관리자 그룹을 응용 프로그램 관리자 그룹으로 사용할지 여부를 결정합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. 보안 이 플래그를 설정하려면 SSO 관리자 또는 SSO 관련 관리자여야 합니다. |
응용 프로그램 필드 | Description | Description |
---|---|---|
필드 [0] | <>자격 증명: 마스킹/마스크 해제 | 최종 사용자가 관련 응용 프로그램에 연결하기 위해 제공해야 하는 자격 증명 유형(사용자 ID, 암호, 스마트 카드)과 이 자격 증명이 마스크되는지(즉, 사용자 유형이 화면에 문자로 표시되는지) 여부를 결정합니다. 관련 응용 프로그램에 대한 자격 증명 개수만큼 필드를 입력할 수 있지만 첫 번째 필드는 사용자 ID여야 합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. |