SSO 티켓

사용자가 다양한 시스템 및 응용 프로그램과 상호 작용하는 엔터프라이즈 환경에서는 환경이 여러 프로세스, 제품 및 컴퓨터를 통해 사용자 컨텍스트를 유지 관리하지 않을 가능성이 큽니다. 이 사용자 컨텍스트는 원래 요청을 시작한 사람을 확인해야 하므로 Single Sign-On 기능을 제공하는 데 중요합니다. 이 문제를 해결하기 위해 Enterprise SSO(Single Sign-On)는 애플리케이션이 원래 요청을 한 사용자에 해당하는 자격 증명을 가져오는 데 사용할 수 있는 SSO 티켓(Kerberos 티켓 아님)을 제공합니다. 기본적으로 SSO 티켓은 사용하도록 설정되지 않습니다. 티켓 사용에 대한 자세한 내용은 Enterprise 단일 Sign-On 티켓을 구성하는 방법을 참조하세요.

SSO 시스템은 인증된 Windows 사용자가 요청할 경우 티켓을 발급합니다. SSO 시스템은 요청을 하는 사용자에 대해서만 티켓을 발급할 수 있습니다(다른 사용자에 대한 티켓을 요청할 수 없음). 티켓에는 현재 사용자의 암호화된 도메인 및 사용자 이름과 티켓 만료 시간이 포함됩니다. SSO 시스템에서 티켓을 발급한 후 티켓은 기본적으로 2분 후에 만료됩니다. SSO 관리자는 티켓의 만료 시간을 수정할 수 있습니다. 자세한 내용은 Enterprise 단일 Sign-On 티켓을 구성하는 방법을 참조하세요.

애플리케이션이 원래 요청자의 ID를 확인한 후 애플리케이션은 티켓을 사용하여 관련 애플리케이션에 대한 요청을 시작한 사용자의 자격 증명을 얻습니다. 애플리케이션은 다음 세 가지 방법 중 하나로 SSO 시스템의 티켓을 사용할 수 있습니다.

• 교환만. 응용 프로그램이 티켓 교환 요청을 시작하는 경우 요청에 연결할 관련 응용 프로그램의 이름과 티켓 자체가 포함되어야 합니다. 특정 관련 응용 프로그램의 응용 프로그램 관리자, SSO 관련 관리자 또는 SSO 관리자만 티켓을 교환할 수 있습니다. 티켓을 발급한 애플리케이션과 티켓을 사용하는 애플리케이션 간에 신뢰할 수 있는 하위 시스템이 있는 경우에만 Redeem를 사용해야 합니다. 지정된 관련 응용 프로그램의 응용 프로그램 관리자만 사용자의 티켓을 교환할 수 있습니다.

• 유효성 검사 및 교환. SSO 시스템이 자격 증명 조회를 수행하는 사용자에 대한 정보가 티켓에 포함됩니다. 이 경우 SSO 서비스는 시스템이 티켓을 교환하기 전에 원본 메시지의 보낸 사람과 티켓 사용자가 같은지 확인합니다.

  SSO 관리자는 관련 애플리케이션별로 티켓 시간 초과를 사용하지 않도록 설정할 수 있습니다. 그러나 이 애플리케이션에 대한 티켓이 만료되지 않으므로 권장되지 않습니다. 티켓 시간 초과를 사용하지 않도록 설정해야 하는 시나리오에서는 SSO 시스템이 티켓을 사용하는 어댑터에 대한 티켓을 발급하는 프런트 엔드 간에 보안 엔드투엔드 신뢰할 수 있는 하위 시스템이 유지 관리되는지 확인합니다.

  SSO 관련 관리자는 티켓이 허용되도록 지정하고 관련 응용 프로그램별로 티켓 유효성 검사가 필요하도록 지정할 수 있습니다. 그러나 SSO 관리자가 SSO 시스템 수준에서 티켓 유효성 검사가 필요하도록 지정하면 SSO 관련 관리자는 관련 응용 프로그램 수준에서 이 옵션을 해제할 수 없습니다.

참고 항목

사용자 매핑 관리
Enterprise Single Sign-On 기본 사항
Enterprise 단일 Sign-On 티켓을 구성하는 방법