SSO 관련 애플리케이션
Enterprise SSO(Single Sign-On) 관련 애플리케이션은 SSO를 사용하여 연결하는 호스트, 백 엔드 시스템 또는 LOB(기간 업무) 애플리케이션과 같은 시스템 또는 하위 시스템을 나타내는 논리적 엔터티입니다. 관련 응용 프로그램은 대형 컴퓨터나 UNIX 컴퓨터와 같은 백 엔드 시스템은 물론 SAP와 같은 응용 프로그램이나 "수당" 또는 "급여 명세서" 하위 시스템과 같은 시스템의 일부분을 나타낼 수도 있습니다.
SSO 관리자 또는 SSO 계열사 관리자가 계열사 애플리케이션을 정의하는 경우 관련 응용 프로그램(애플리케이션 관리자)을 관리할 사람, 계열사 애플리케이션의 사용자(애플리케이션 사용자) 및 SSO 시스템에서 이 제휴 애플리케이션의 사용자를 인증하는 데 사용할 매개 변수(사용자 ID, 암호, PIN 등). 애플리케이션 관리자 및 애플리케이션 사용자에 대한 자세한 내용은 Enterprise 단일 Sign-On 사용자 그룹을 참조하세요.
관련 응용 프로그램 종류
Enterprise SSO는 여러 가지 다른 응용 프로그램 종류를 정의합니다. 각 응용 프로그램 종류는 Windows 계정과 비 Windows 시스템 계정 간에 서로 다른 유형의 매핑을 지원합니다.
애플리케이션 유형은 다음과 같습니다.
개별 개별 애플리케이션은 Windows 계정과 비 Windows 계정 간의 일대일 매핑을 지원합니다. 개별 유형 응용 프로그램에서 Windows 계정 하나는 단 한 개의 비 Windows 계정에 매핑됩니다. 이 응용 프로그램에 설정한 플래그에 따라 Windows에서 비 Windows로, 비 Windows에서 Windows로 또는 두 방향 모두로 매핑을 사용할 수 있습니다. 따라서 개별 애플리케이션은 Windows 시작 SSO, 호스트 시작 SSO 또는 둘 다에 사용할 수 있습니다.
그룹 그룹 애플리케이션은 하나의 Windows 그룹 간에 하나의 비 Windows 계정으로의 매핑을 지원합니다. 이 그룹 응용 프로그램에 사용할 Windows 그룹을 정의하는 데에는 응용 프로그램 사용자 계정을 사용합니다. 매핑은 그룹 응용 프로그램별로 하나씩만 정의할 수 있으며, Windows 그룹과 이 Windows 그룹의 모든 멤버가 비 Windows 시스템에 액세스하는 데 사용하는 단일 비 Windows 계정 간 매핑이어야 합니다. 그룹 애플리케이션은 Windows 시작 SSO에만 사용할 수 있습니다.
호스트 그룹 호스트 그룹 애플리케이션은 개념적으로 그룹 애플리케이션의 반대입니다. 정의된 비 Windows 계정 그룹과 단일 Windows 계정 간의 매핑을 지원합니다. 비 Windows 계정에 사용할 단일 Windows 계정은 해당 응용 프로그램의 응용 프로그램 사용자 계정으로 정의합니다. 이 응용 프로그램에 액세스할 수 있는 비 Windows 계정 그룹은 각각의 비 Windows 계정에 대한 매핑을 만들어 정의합니다. 호스트 그룹 애플리케이션은 호스트 시작 SSO에만 사용할 수 있습니다.
관련 응용 프로그램 디자인
관련 애플리케이션을 만들기 전에 SSO 계열사 관리자 또는 SSO 관리자는 다음 결정을 내려야 합니다.
이 관련 응용 프로그램이 나타내는 항목 관련 애플리케이션이 SSO 시스템에 나타낼 비 Windows 애플리케이션을 알고 있어야 합니다. 예:
애플리케이션 이름: APP1
설명: Pay 스텁 부서에 대한 애플리케이션
연락처: administrator@companyname.com
이 관련 응용 프로그램을 관리하는 사람 이 관련 응용 프로그램에 대한 관리자를 결정해야 합니다. 이러한 양식은 이 관련 애플리케이션에 대한 Windows 관리자 그룹을 형성합니다. 예를 들어 Domain\APP1AdminGroup입니다.
이 관련 응용 프로그램을 사용하는 사람 이 관련 애플리케이션의 최종 사용자가 누구인지 확인해야 합니다. 이 사용자는 이 관련 응용 프로그램의 Windows 사용자 그룹(예: Domain\DomainUsers)을 나타냅니다. 급여 명세서 응용 프로그램의 경우 모든 사용자가 자신의 급여 명세서 정보에 액세스할 수 있도록 도메인 사용자 그룹을 이 응용 프로그램의 사용자 그룹으로 지정할 수 있습니다.
관련 응용 프로그램에서 사용자를 인증하는 데 사용할 자격 증명 애플리케이션별로 다른 자격 증명을 사용하여 사용자를 인증합니다. 예를 들어 일부 애플리케이션은 사용자 ID, 암호, PIN 또는 이러한 조합을 사용할 수 있습니다. 또한 사용자가 자격 증명을 제공할 때 시스템에서 이 자격 증명을 마스크해야 하는지 여부를 결정해야 합니다.
이 관련 응용 프로그램에 대해 개별 매핑을 사용할지 그룹 매핑을 사용할지 여부 백 엔드 시스템에 Windows 사용자마다 하나의 계정이 있는지 모든 Windows 사용자에 대해 하나의 계정이 있는지 여부를 결정합니다. 급여 스텁 시스템의 경우 각 사용자에게 개별 급여 스텁 정보에 액세스할 수 있는 계정이 있으며 개별 매핑을 사용해야 합니다.
관련 응용 프로그램을 만든 이후에는 다음 속성을 수정할 수 없습니다.
관련 응용 프로그램 이름입니다.
관련 애플리케이션과 연결된 필드입니다.
관련 애플리케이션 유형(호스트 그룹, 개별 또는 구성 저장소).
관련 관리자 그룹과 동일한 관리 계정. (이 속성을 선택하면 관련 관리자 그룹이 이 관련 애플리케이션의 애플리케이션 관리자 계정으로 사용됩니다.)
관련 응용 프로그램 속성
다음 표에서는 만드는 각 관련 애플리케이션에 대해 정의해야 하는 속성을 나열합니다.
| 속성 | Description |
|---|---|
| 애플리케이션 이름 | 관련 응용 프로그램 이름입니다. 관련 응용 프로그램을 만든 후에는 이 속성을 변경할 수 없습니다. |
| Description | 관련 응용 프로그램에 대한 간단한 설명입니다. |
| 연락처 | 사용자가 사용할 수 있는 이 관련 응용 프로그램에 대한 기본 연락처입니다. 전자 메일 주소가 될 수 있습니다. |
| appUserAccount | 이 관련 애플리케이션을 사용할 최종 사용자의 사용자 계정이 포함된 Windows 그룹입니다. |
| appAdminAccount | 이 관련 응용 프로그램을 관리할 관리자 계정을 포함하는 Windows 그룹입니다. 참고: adminAccountSame을 예로 설정하면 이 속성을 정의할 필요가 없습니다. |
| 응용 프로그램 플래그 | Description |
|---|---|
| enableApp | 이 관련 응용 프로그램의 상태입니다. |
| groupApp | 이 애플리케이션이 그룹 매핑(예) 또는 개별 매핑(아니요)을 사용하는지 여부를 결정합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. |
| configStoreApp | 이 관련 애플리케이션이 구성 저장소 유형 애플리케이션인지 확인합니다(예). 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. |
| hostInitiatedSSO | 호스트 시작 SSO 형식 애플리케이션인 경우 이를 사용하도록 설정합니다. 기본값은 아니요입니다. |
| windowsInitiatedSSO | Windows에서 시작한 SSO 유형 응용 프로그램인 경우 이 플래그를 설정합니다. 기본값은 [예]입니다. |
| validatePassword | 호스트 시작 SSO 애플리케이션에만 적용됩니다. 애플리케이션이 자격 증명을 검색하려고 하면 SSO 서비스의 유효성 검사에 사용되는 자격 증명 데이터베이스에 암호를 제공해야 합니다. 기본값은 [예]입니다. |
| disableCredCache | SSO 서버에서는 신속한 액세스를 위해 캐시에 자격 증명을 저장합니다. 기본값은 아니요입니다. |
| allowTickets | SSO 시스템에서 이 관련 애플리케이션에 대해 티켓을 사용할지 여부를 결정합니다. 참고: 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
| validateTickets | 사용자가 티켓을 교환할 때 SSO 시스템에서 티켓의 유효성을 검사할지 여부를 결정합니다. 참고: 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
| appTicketTimeOut | 관련 애플리케이션별 티켓 시간 제한을 지정합니다. 이를 만들 때가 아니라 관련 애플리케이션을 업데이트할 때만 설정할 수 있습니다. 이 애플리케이션에 대해 티켓이 설정되어 있는 상태에서 이 속성을 설정하지 않으면 SSO 시스템(전역) 수준에서 지정한 시간 제한이 사용됩니다. 참고: 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
| timeoutTickets | 티켓에 만료 시간이 있는지 여부를 확인합니다. 기본값은 아니요입니다. 참고: 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
| allowLocalAccounts | SSO 시스템에서 로컬 그룹 및 계정을 사용할 수 있도록 허용할지 여부를 결정합니다. 단일 컴퓨터 시나리오에서는 이 플래그를 Yes로만 구성할 수 있습니다. |
| adminAccountSame | SSO 관련 관리자 그룹을 응용 프로그램 관리자 그룹으로 사용할지 여부를 결정합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. 참고: 이 플래그를 설정하려면 SSO 관리자여야 합니다. |
| 응용 프로그램 필드 | Description | Description |
|---|---|---|
| 필드 [0] | <>자격 증명: 마스킹됨/마스크 해제 | 최종 사용자가 계열사 애플리케이션에 연결하기 위해 제공해야 하는 자격 증명 유형(사용자 ID, 암호, 스마트 카드)과 이 자격 증명이 마스킹되는지 여부(즉, 사용자가 입력하는 문자가 화면에 표시되는지 여부)를 결정합니다. 관련 응용 프로그램에 대한 자격 증명 개수만큼 필드를 입력할 수 있지만 첫 번째 필드는 사용자 ID여야 합니다. 애플리케이션을 만든 후에는 이 속성을 변경할 수 없습니다. |
참고 항목
관련 애플리케이션 관리
SSO 매핑
사용자 매핑 관리
Enterprise Single Sign-On 기본 사항