예: PingFederate를 Broker로 사용하여 Windchill SSO 구현
이 예에서는 PingFederate를 CAS(중앙 승인 서버)로, AD FS(Active Directory Federation Services)를 IdP(ID 공급자)로 사용하여 Single Sign-On에 대해 구성된 Windchill PDMLink 및 Shibboleth SP가 있는 환경을 구성하는 방법에 대한 자세한 단계를 제공합니다.
다음 표에서는 이 예에서 구성된 응용 프로그램 및 해당 역할을 표시합니다.
|
역할
|
응용 프로그램
|
|---|---|
|
서비스 공급자
|
Windchill PDMLink + Shibboleth SP
|
|
중앙 승인 서버
|
PingFederate
|
|
ID 공급자
|
AD FS
|
|
리소스 서버
|
Windchill
|
다음 다이어그램에서는 이 예에서 설명한 구성을 표시합니다.
파트 A: 사전 요구 사항
1. Windchill이 설정되어 있는지 확인합니다. 자세한 내용은 해당 Windchill 도움말 센터를 참조하십시오.
2. AD FS를 설정하고 구성한 후 다음과 같은 속성 값 및 파일을 포함했는지 확인합니다.
◦ uid
◦ email
◦ group
◦ 메타데이터 파일
파트 B: 수동으로 AD FS에 대한 인증 구성
1단계: PingFederate 글로벌 SSL 인증서 만들기
1. PingFederate에 관리자로 로그인합니다. SSL Server Certificates를 검색하고 검색 결과를 엽니다.
2. Create New를 클릭하여 글로벌 SSL 인증서를 생성하고 다음을 수행합니다.
1. Common Name 필드에 PingFederate 시스템의 FQDN을 제공합니다.
2. 페이지에 기타 세부 정보를 제공하고 Next를 클릭합니다.
3. 다음 확인란이 선택되어 있는지 확인하고 Save를 클릭합니다.
4. SSL Server Certificates를 클릭합니다.
5. 직접 생성한 SSL 인증서의 경우 Select Action 목록에서 Activate Default for Runtime Server를 선택한 다음 Activate Default for Admin Console을 선택합니다. Save를 클릭합니다.
이 SSL 인증서는 관리 콘솔 및 런타임 서버에 대한 default로 표시됩니다.
3. localhost 인증서의 경우 다음을 수행합니다.
1. Select Action 목록에서 Deactivate for Runtime Server를 선택한 다음 Deactivate for Admin Console을 선택합니다.
2. localhost 인증서를 삭제하고 Save를 클릭합니다.
2단계: 서비스 공급자 계약 만들기
1. PingFederate에서 Policy Contract를 검색하고 검색 결과를 엽니다.
2. Create New Contracts를 클릭하고 다음을 수행합니다.
1. Contract Info 필드에 계약 이름(예: SPContract)을 입력하고 Next를 클릭합니다.
2. Contract Attributes에서 다음 속성에 대한 계약을 확장하려면 각 속성에 대해 Add를 클릭합니다.
▪ uid
▪ email
▪ group
기본적으로 subject 속성이 있습니다.
3. Next를 클릭하고 Summary 페이지에서 Save를 클릭합니다.
4. Authentication Policy Contracts 페이지에서 Save를 클릭합니다.
자세한 내용은 사용자 로그인 요청을 IdP로 리디렉션하도록 PingFederate 구성을 참조하십시오.
3단계: AD FS FederationMetadata.xml 파일 다운로드
1. AD FS 시스템 브라우저에서 다음 URL을 입력하여 페더레이션 메타데이터 파일을 다운로드합니다.
https://ADSF_Host.ADFS_Domain/FederationMetadata/2007-06/FederationMetadata.xml
2. 다운로드한 파일을 PingFederate 시스템에 복사합니다.
4단계: PingFederate IdP 연결 만들기
A) IdP 연결을 생성하기 위한 일반 정보 지정
1. PingFederate에서 IdP Connections를 검색하고 검색 결과를 엽니다. Create Connection을 클릭합니다.
2. Connection Type 탭에서 BROWSER SSO Profiles 확인란을 선택하고 Next를 클릭합니다.
3. Connection Options 탭에서 BROWSER SSO 확인란 및 OAUTH ATTRIBUTE MAPPING 확인란을 선택하고 Next를 클릭합니다.
4. Import Metadata 탭에서 File을 선택하고 Choose File을 클릭하여 FederationMetadata.xml 파일을 찾아 Next를 클릭합니다.
5. Metadata Summary 탭에서 Next를 클릭합니다.
6. General Info 탭은 데이터로 미리 채워져 있습니다. 원하는 경우 CONNECTION NAME을 변경할 수 있습니다. 나머지 정보를 확인하고 Next를 클릭합니다.
7. Browser SSO 탭에서 Configure Browser SSO를 클릭합니다. Browser SSO 페이지가 열립니다. 이 페이지에서는 사용자의 브라우저에 대한 Single Sign-On 설정을 지정해야 합니다.
B) 브라우저 SSO 설정 구성
1. Browser SSO 페이지의 SAML Profiles 탭에서 다음 옵션을 선택하고 Next를 클릭합니다.
▪ IDP-INITIATED SSO
▪ SP-INITIATED SSO
2. User-Session Creation 탭에서 Configure User-Session Creation을 클릭합니다. User-Session Creation 페이지가 열립니다. 이 페이지에서는 사용자 생성을 구성하는 설정을 지정해야 합니다.
C) 사용자 세션 생성 설정 구성
1. Identity Mapping 탭에서 기본 설정을 적용하고 Next를 클릭합니다.
2. Attribute Contract 탭에서 자동으로 채워진 속성을 확인하고 Next를 클릭합니다.
3. Target Session Mapping 탭에서 Map New Authentication Policy를 클릭합니다. Authentication Policy Mapping 페이지가 열립니다. 이 페이지에서는 인증 정책 매핑에 대한 설정을 지정해야 합니다.
D) 인증 정책 매핑 설정 구성
1. Authentication Policy Contract 목록에서 파트 B - 2단계에서 생성한 계약(SPContract)을 선택합니다. 모든 속성이 표시되는지 확인하고 Next를 클릭합니다.
2. Attribute Retrieval 탭에서 기본 설정을 적용하고 Next를 클릭합니다.
3. Contract Fulfillment 탭에서 email, group, subject 및 uid 인증 정책 계약에 대해 다음 값을 선택합니다.
▪ Source 목록에서 Assertion을 선택합니다.
▪ Value 목록에서 해당 엔트리를 선택합니다.
Next를 클릭합니다.
4. Issuance Criteria 탭에서 Next를 클릭합니다.
5. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다. User-Session Creation 페이지가 열립니다. 이 페이지에서는 사용자 세션 생성에 대한 구성 설정을 검토해야 합니다.
E) 사용자 세션 생성 구성 설정 검토
1. User-Session Creation 페이지의 Target Session Mapping 탭에는 새 인증 정책을 매핑하는 동안 선택한 정보가 표시됩니다. Next를 클릭합니다.
2. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다. Browser SSO 페이지가 열립니다.
3. Browser SSO 페이지의 User-Session Creation 탭에는 사용자 세션 생성을 구성하는 동안 입력된 정보가 표시됩니다. Next를 클릭합니다.
4. OAuth Attribute Mapping 탭에서 Map Directly Into Persistent Grant를 선택한 다음 Configure OAuth Attribute Mapping을 선택하고 다음을 수행합니다.
1. Data Store 탭에서 Next를 클릭합니다.
2. Contract Fulfilment 탭에서 USER_KEY 및 USER_NAME에 대해 Source를 Assertion으로 선택한 다음 Value를 ADFS의 이름 속성으로 선택하고 Next를 클릭합니다.
3. Issuance Criteria 탭에서 Next를 클릭합니다.
5. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다. OAuth Attribute Mapping Configuration 페이지에서 Next를 클릭합니다.
6. Protocol Settings 탭에서 Configure Protocol Settings를 클릭합니다. Protocol Settings 페이지가 열립니다. 이 페이지에서는 프로토콜 설정을 지정해야 합니다.
F) 프로토콜 설정 구성 및 검토
1. SSO Service URLs 탭에서 Next를 클릭합니다.
2. Allowable SAML Bindings 탭에서 다음을 수행하고 Next를 클릭합니다.
1. 다음 확인란을 선택합니다.
▪ POST
▪ REDIRECT
2. 다음 확인란의 선택을 취소합니다.
▪ ARTIFACT
▪ POST
3. Overrides 탭의 설정을 건너뛰고 Next를 클릭합니다.
4. Signature Policy 탭에서 SPECIFY ADDITIONAL SIGNATURE REQUIREMENTS를 클릭한 다음 아래에 있는 두 확인란을 선택하고 Next를 클릭합니다.
5. Encryption Policy 탭에서 ALLOW ENCRYPTED SAML ASSERTIONS AND SLO MESSAGES를 클릭한 다음 THE ENTIRE ASSERTION 확인란을 선택하고 Next를 클릭합니다.
6. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다. Browser SSO 페이지가 열립니다.
7. Browser SSO 페이지의 Protocol Settings 탭에는 프로토콜 설정을 구성하는 동안 선택한 정보가 표시됩니다. Next를 클릭합니다.
8. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다. IdP Connection 페이지가 열립니다.
9. IdP Connection 페이지의 Browser SSO 탭에서 Next를 클릭합니다.
10. Credentials 탭에서 Configure Credentials를 클릭합니다. Credentials 페이지가 열립니다. 이 페이지에서는 자격 증명을 구성하는 설정을 지정해야 합니다.
G) 자격 증명 구성
1. Digital Signature Settings 탭에서 Manage Certificates를 클릭합니다.
2. 서명 인증서를 생성하려면 Create New를 클릭하고 다음 값을 제공하고 Next를 클릭합니다.
▪ COMMON NAME
▪ ORGANIZATION
▪ COUNTRY
▪ VALIDITY (DAYS) - 365
▪ KEY ALGORITHM - RSA
▪ KEY SIZE (BITS) - 2048
▪ SIGNATURE ALGORITHM - RSA SHA256
3. Summary 탭의 정보를 검토합니다. 정보가 올바르면 Save를 클릭하고 Done을 클릭합니다.
4. Digital Signature Settings 탭에서 사용자가 생성한 SIGNING CERTIFICATE에 대해 INCLUDE THE CERTIFICATE IN THE SIGNATURE <KEYINFO> ELEMENT 확인란을 선택하고 Next를 클릭합니다.
이는 PingFederate의 요청을 IdP에 디지털 서명하는 데 사용되는 응용 프로그램 레이어 인증서입니다.
5. Signature Verification Settings 탭에서 Manage Signature Verification Settings를 클릭합니다.
a. Trust Model 탭에서 UNANCHORED를 선택하고 Next를 클릭합니다.
b. Signature Verification Certificate에서 IdP 서명 인증서가 표시되는지 확인하고 Next를 클릭합니다.
이는 IdP에서 PingFederate로의 요청에 대한 서명 확인에 사용되는 응용 프로그램 레이어 인증서입니다. IdP에서 metadata.xml 파일을 가져올 때 이를 PingFederate에 자동으로 가져왔습니다.
c. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다.
d. Signature Verification Settings 탭에서 Next를 클릭합니다.
e. Select Decryption Keys에서 PingFederate 인증서를 선택하고 Next를 클릭합니다.
f. Summary 탭의 정보를 검토합니다. 해당 정보가 정확하면 Done을 클릭합니다.
g. Credentials 페이지에서 Next를 클릭합니다.
H) IdP 연결 활성화
Activation & Summary 페이지에서 SSO Application Endpoint가 활성화되어 있는지 확인하고 Save를 클릭합니다.
이제 IdP 연결이 생성되고 활성화됩니다.
I) IdP 연결 확인
직접 생성한 IdP 연결을 클릭하고 SSO Application Endpoint URL을 복사한 다음 브라우저에 붙여 넣고 해당 URL이 IdP로 리디렉션하는지 확인합니다. 따라서 PingFederate의 이 URL은 AD FS로 리디렉션해야 합니다. 다음과 유사한 페이지가 표시되고 해당 페이지에는 오류 메시지가 포함되어 있습니다.
파트 C: AD FS 신뢰 당사자 구성
1단계: PingFederate에서 메타데이터 XML 파일 내보내기
1. PingFederate에서 Service Provider로 이동하고 IDP Connections 아래에서 Manage All을 클릭합니다.
2. IdP 연결의 경우 Select Action 목록에서 Export Metadata를 클릭합니다.
3. Metadata Signing 페이지에서 Next를 클릭합니다.
4. Export & Summary 페이지에서 Export를 클릭하여 메타데이터 파일을 시스템의 Downloads 폴더에 다운로드하고 Done을 클릭합니다.
5. 메타데이터 XML 파일을 AD FS 시스템에 복사합니다.
2단계: AD FS에 신뢰 당사자 추가
1. AD FS 서버에 로그인하고 Server Manager를 엽니다.
2. > 로 이동합니다.
3. AD FS에서 Relying Party Trusts를 마우스 오른쪽 버튼으로 클릭한 다음 Add Relying Party Trust를 선택합니다. 이는 PingFederate로부터의 연결을 ADFS에서 신뢰한다고 확인하는 것입니다.
4. Add Relying Party Trust Wizard 창에서 다음을 수행합니다.
1. Start를 클릭합니다.
2. 다음 화면에서 Import data about the relying party from a file을 클릭합니다.
3. Browse를 클릭하여 AD FS의 신뢰 당사자를 만들기 위해 PingFederate에서 복사한 Metadata.xml의 위치로 이동하고 Next를 클릭합니다.
4. Display name을 제공하고 Next를 클릭합니다.
이 이름은 나중에 필요하므로 기록해 둡니다.
5. 다음 창에서 Finish 화면에 도달할 때까지 Next를 클릭합니다. 그런 다음 Close를 클릭합니다.
현재 엔트리가 Relying Part Trusts 목록에 추가됩니다.
다음 창도 표시되어야 합니다(현재 창 뒤에 숨겨져 있을 수도 있음).
5. AD FS 속성을 Active Directory에 매핑하려면 다음을 수행합니다.
1. Edit Claim Issuance Policy for <신뢰 당사자 신뢰 이름> 창에서 Add Rule을 클릭하고 Next를 클릭합니다.
2. Claim rule name을 제공하고 Attribute store를 Active Directory로 설정합니다.
3. Mapping of LDAP attributes to outgoing claim types 테이블의 목록에서 값을 선택하여 AD FS 속성을 Active Directory 속성에 매핑합니다.
 | 이러한 속성을 올바르게 매핑하지 않으면 Single Sign-On이 작동하지 않습니다. |
Display-Name | Name |
SAM-Account-Name | Name ID |
E-Mail-Addresses | E-Mail Address |
Is-Member-Of-DL | Group |
4. Finish를 클릭하고 OK를 클릭합니다.
3단계: 전체 메시지 및 어설션을 암호화하도록 AD FS 설정
1. AD FS 시스템에서 관리자로 Windows PowerShell을 엽니다.
2. 통신이 작동하려면 AD FS 시스템에서 다음 명령을 실행합니다.
Set-ADFSRelyingPartyTrust -TargetName <신뢰 당사자 신뢰 이름> -SamlResponseSignature "MessageAndAssertion"
여기서 <신뢰 당사자 신뢰 이름>은 위의 2단계에서 생성하고 기록해 둔 신뢰 당사자 신뢰 이름입니다.
이 명령은 Windows PowerShell을 통해 SAML 응답 서명을 구성합니다.
파트 D: IdP 연결 끝점 URL 확인
1. PingFederate에서 SSO 응용 프로그램 끝점 URL을 복사한 다음 incognito 창에 붙여 넣습니다.
2. AD FS에 대해 작성한 도메인 이름 및 관리자 사용자를 사용하여 로그인합니다.
다음과 같은 메시지가 나타나야 합니다.
파트 E: Shibboleth SP 및 PingFederate 설정
Shibboleth Service Provider 2.6.0을 사용하여 Windchill에서 SAML 기능을 사용하려면 Windchill 도움말 센터의 Security Assertion Markup Language (SAML) Authentication(SAML(Security Assertion Markup Language) 인증) 단원에 나오는 절차를 완료하십시오. 동일한 Windchill 도움말 센터 페이지의 다음 단원에 있는 지침을 따릅니다.
• Shibboleth 서비스 공급자 문제 해결 및 디버깅
• Shibboleth 서비스 공급자 및 PTC HTTP 서버 재시작
파트 F: JNDI LDAP 엔트리 설정
JNDI 어댑터를 구성하려면 Windchill 도움말 센터의 JNDI 어댑터 구성 엔트리 단원에 나오는 절차를 완료하십시오.
파트 G: 추가 구성
Windchill 워크플로에서 eSignature를 사용해야 할 경우 SSO를 배포하려면 몇 가지 추가 구성이 필요합니다. 자세한 내용은 Windchill 도움말 센터의 다음 단원을 참조하십시오.
• 전자 서명 설정
추가 고려 사항은 Windchill 도움말 센터의 Security Assertion Markup Language (SAML) Authentication(SAML(Security Assertion Markup Language) 인증)에서 "Client Compatibility(클라이언트 호환성)" 단원을 참조하십시오.