SSO 티켓
사용자가 다양한 시스템 및 응용 프로그램과 상호 작용하는 엔터프라이즈 환경에서는 환경이 여러 프로세스, 제품 및 컴퓨터를 통해 사용자 컨텍스트를 유지 관리하지 않을 가능성이 큽니다. 원래 요청을 시작한 사람을 확인할 필요가 있으므로 이 사용자 컨텍스트는 Single Sign-On 기능을 제공하는 데 중요합니다. 이 문제를 해결하기 위해 Enterprise SSO(Single Sign-On)는 응용 프로그램이 원래 요청을 수행한 사용자에 해당하는 자격 증명을 가져오는 데 사용할 수 있는 SSO 티켓(Kerberos 티켓 아님)을 제공합니다. 기본적으로 SSO 티켓은 사용하도록 설정되어 있지 않습니다. 티켓 사용에 대한 자세한 내용은 SSO 티켓을 구성하는 방법을 참조하세요.
SSO 시스템은 인증된 Windows 사용자가 요청할 경우 티켓을 발급합니다. SSO 시스템은 요청하는 사용자나 원격 사용자에 대해 티켓을 발급할 수 있습니다. 티켓에는 현재 사용자의 암호화된 도메인 및 사용자 이름과 티켓 만료 시간이 포함됩니다. SSO 시스템이 티켓을 발급한 후 기본적으로 2분 후에 티켓이 만료됩니다. SSO 관리자는 티켓의 만료 시간을 수정할 수 있습니다. 또한 SSO 관리자는 관련 응용 프로그램 수준에서 티켓 시간 제한을 설정할 수 있습니다. 자세한 내용은 SSO 티켓을 구성하는 방법을 참조하세요.
응용 프로그램은 원래 요청의 ID를 확인한 후 티켓을 교환하여 요청 관련 응용 프로그램을 시작한 사용자의 자격 증명을 가져올 수 있습니다. 응용 프로그램은 다음 두 가지 방법 중 하나로 SSO 시스템의 티켓을 교환할 수 있습니다.
교환만. 응용 프로그램이 티켓 교환 요청을 시작하는 경우 요청에 연결할 관련 응용 프로그램의 이름과 티켓 자체가 포함되어야 합니다. 특정 관련 응용 프로그램의 응용 프로그램 관리자, SSO 관련 관리자 또는 SSO 관리자만 티켓을 교환할 수 있습니다. 티켓을 발급한 애플리케이션과 티켓을 사용하는 애플리케이션 사이에 신뢰할 수 있는 하위 시스템이 있는 경우에만 Redeem를 사용해야 합니다. 지정된 관련 응용 프로그램의 응용 프로그램 관리자만 사용자의 티켓을 교환할 수 있습니다.
유효성 검사 및 교환. SSO 시스템이 자격 증명 조회를 수행하는 사용자에 대한 정보가 티켓에 포함됩니다. 이 경우 SSO 서비스는 시스템이 티켓을 교환하기 전에 원본 메시지의 보낸 사람과 티켓 사용자가 같은지 확인합니다. Microsoft BizTalk Server 어댑터 시나리오에서는 이 메커니즘을 활용합니다.
SSO 관리자는 관련 응용 프로그램별로 티켓 시간 제한을 사용하지 않도록 설정할 수 있습니다. 이전 릴리스에서는 이 기능이 권장되지 않았지만 이번 릴리스에서는 관련 응용 프로그램별 티켓 시간 제한 사용을 지원합니다. 이 옵션을 통해 관련 응용 프로그램 수준에서 티켓 시간 제한을 설정할 수 있습니다. 이 옵션을 지정하지 않으면 전역 수준에서 지정된 티켓 시간 제한이 사용됩니다.
SSO 관련 관리자는 티켓이 허용되도록 지정하고 관련 응용 프로그램별로 티켓 유효성 검사가 필요하도록 지정할 수 있습니다. 그러나 SSO 관리자가 SSO 시스템 수준에서 티켓 유효성 검사가 필요하도록 지정하면 SSO 관련 관리자는 관련 응용 프로그램 수준에서 이 옵션을 해제할 수 없습니다.
중요
SSO 티켓을 사용하는 경우 티켓 시간 제한 값이 티켓 발급 시간부터 티켓 교환 시간까지 지속되는지 확인해야 합니다.