
![[8.5.5.4 이상]](../ng_v8554.gif)
Liberty 프로파일에서 OpenID Connect 클라이언트 구성
OpenID Connect 제공자를 ID 제공자로 사용하고 웹 싱글 사인온을 활용하기 위해 OpenID Connect 클라이언트(또는 신뢰 당사자) 역할을 수행하도록 Liberty 프로파일 서버를 구성할 수 있습니다.
이 태스크 정보
기타 구성 정보 외에 Liberty 프로파일의 openidConnectClient-1.0 기능을 사용으로 설정하여 OpenID Connect 클라이언트 역할을 수행하도록 Liberty 프로파일 서버를 구성할 수 있습니다.
프로시저
- openidConnectClient-1.0 Liberty 기능 및 기타 필요한 기능을
server.xml 파일에 추가하십시오. ssl-1.0 기능도
openidConnectClient-1.0 기능에 필요합니다.
server.xml 파일의 featureManager 요소에
다음 요소 선언을 추가하십시오.
<feature>openidConnectClient-1.0</feature> <feature>ssl-1.0</feature>
- openidConnectClient 요소를 구성하십시오.
기본 Liberty 프로파일 서버 OpenID Connect 제공자에 대해 적용되는
최소 구성의 예는 다음과 같습니다.
클라이언트는 OpenID Connect 제공자로부터의 경로 재지정 요청을 처리할 수 있는 지정된 URL 패턴에서 사용할 수 있는 적절하게 구성된 애플리케이션을 가지고 있어야 합니다. 또한 이 URL은 클라이언트를 위해 OP에 대해 등록된 경로 재지정 URL과 정확하게 일치해야 합니다.
참고: 이 예제에서 클라이언트는 OP의 SSL 포트가 443으로 설정될 것으로 예상합니다.<openidConnectClient id="client01" clientId="client01" clientSecret="{xor}LDo8LTor" authorizationEndpointUrl="https://server.example.com:443/oidc/endpoint/OidcConfigSample/authorize" tokenEndpointUrl="https://server.example.com:443/oidc/endpoint/OidcConfigSample/token"> </openidConnectClient>
이 샘플 최소 구성에서는 다음과 같은 기본값을 사용한다고 가정합니다.- scope=openid profile: openid의 범위가 필요하며 scope 속성을 사용하여 필요한 범위를 편집할 수 있습니다. 예를 들어, 필요한 scope를 openid profile email로 변경할 수 있습니다.
- 이 RP는 해당 URL을 OP에 https://<host name>:<ssl port>/oidcclient/redirect/client01로 등록합니다. 여기서 호스트 이름과 SSL 포트는 모두 자동으로 분석되며 client01은 openidConnectClient 구성 요소의 ID입니다. RP 앞에 프록시가 있는 경우에는 호스트 이름 및 포트를 redirectToRPHostAndPort 속성으로 대체하고 redirectToRPHostAndPort를 https://<host name>:<ssl port>로 설정할 수 있습니다.
- 사용자 레지스트리를 구성하십시오. OP에 의해 리턴되는 사용자 ID는 기본적으로 레지스트리 사용자에 맵핑되지 않으므로 레지스트리에서 사용자를 구성하지 않아도 됩니다. 하지만 openidConnectClient 요소의 mapIdentityToRegistryUser 속성이 true로 설정되는 경우에는 인증 및 권한 부여에 성공하려면 OP에서 리턴되는 적절한 ID에 대한 사용자 항목이 있어야 합니다. 사용자 레지스트리 구성에 대한 자세한 정보는 Liberty 프로파일을 위한 사용자 레지스트리 구성의 내용을 참조하십시오.
- 지원되는 OpenID Connect 제공자의 서명자 인증서를 포함하도록 서버의 신뢰 저장소를 구성하십시오. 키 저장소에 대한 정보는 Liberty 프로파일에 SSL 통신 사용의 내용을 참조하십시오.
- 구성된 신뢰 저장소를 사용하도록 서버의 SSL 구성을 수정하십시오.
<sslDefault sslRef="DefaultSSLSettings" /> <ssl id="DefaultSSLSettings" keyStoreRef="myKeyStore" trustStoreRef="myTrustStore" /> <keyStore id="myKeyStore" password="{xor}EzY9Oi0rJg==" type="jks" location="${server.config.dir}/resources/security/BasicKeyStore.jks" /> <keyStore id="myTrustStore" password="{xor}EzY9Oi0rJg==" type="jks" location="${server.config.dir}/resources/security/BasicTrustStore.jks" />
OpenID Connect는 서버에 의해 지정되는 기본 SSL 구성을 사용하도록 구성되어 있습니다. 따라서 서버의 기본 SSL 구성에서는 OpenID Connect에 대해 구성되는 신뢰 저장소를 사용해야 합니다.
선택사항: 써드파티 OpenID Connect 제공자를 구성하십시오.
써드파티 OpenID Connect 제공자(예: Microsoft Azure 또는 Google)를 사용하도록 Liberty OpenID Connect 클라이언트를 구성하려면 다음의 속성을 구성해야 합니다. 속성 값은 /.well-known/openid-configuration 문자열을 발행자에 연결하여 형성되는 경로에서 JSON 문서를 제공하는 OP의 발견 엔드포인트를 호출하여 얻을 수 있습니다.
- jwkEndpointUrl 속성을 발견 파일에서 jwks_uri로 정의되는 OP의 JSON 웹 키 세트 JWK 문서의 URL로 설정하십시오. 예를 들어, Google의 OP를 사용하려면 jwkEndpointUrl = "https://www.googleapis.com/oauth2/v2/certs"를 설정하십시오.
- 발견 파일에서 정의된 대로 issuerIdentifier 속성을 issuer로 설정하십시오. 이 값이 iss 청구로 포함되어 있지 않은 ID 토큰은 거부됩니다. 예를 들어, Google을 OP로 사용하는 경우 issuerIdentifier="accounts.google.com"을 설정할 수 있습니다.
- signatureAlgorithm="RS256"을 설정하십시오. Liberty OpenID Connect 클라이언트의 기본 서명 알고리즘은 HS256입니다.
- userIdentityToCreateSubject 속성을 사용자의 고유 ID를 나타내는 공급업체의 ID 토큰에서 사용하는 청구 이름으로 설정하십시오. 예를 들어, Google의 OP를 사용하는 경우 userIdentityToCreateSubject ="email"을 설정할 수 있고 Microsoft Azure를 사용하는 경우 userIdentityToCreateSubject ="upn" 또는 userIdentityToCreateSubject ="unique_name"을 설정할 수 있습니다.
- groupIdentifier 속성을 사용자의 그룹 멤버십 또는 역할을 나타내는 청구 이름으로 설정하십시오. 예를 들어, Microsoft Azure를 사용하는 경우 groupIdentifier="groups"를 설정할 수 있습니다.
더 많은 OpenID Connect 클라이언트 구성 옵션은 server.xml 파일의 구성 요소의 내용을 참조하십시오.
선택사항: 인증 필터
openidConnectClient-1.0 기능이 사용으로 설정된 경우 openidConnectClient 요소가 authFilterRef 속성을 사용하여 구성되어 있지 않으면 인증되지 않은 요청이 OpenID Connect 제공자를 통해 인증됩니다.
인증 필터 구성에 대한 자세한 정보는
인증 필터의 내용을 참조하십시오.
- 여러 OpenID Connect 제공자를 지원하십시오.
여러 openidConnectClient 요소 및 인증 필터를 작성하여 Liberty 프로파일을 여러 OpenID Connect 제공자에 대한 OpenID Connect 신뢰 당사자로 구성할 수 있습니다. 각 openidConnectClient 요소는 한 OpenID Connect 제공자와의 단일 싱글 사인온 관계를 정의하며 authFilterRef 속성을 사용하여 하나의 인증 필터를 참조합니다.
결과
하위 주제
OpenID Connect를 위한 권한 부여 엔드포인트 호출
OpenID Connect에서 권한 부여 엔드포인트는 사용자의 인증 및 권한 부여를 처리합니다.OpenID Connect를 위한 토큰 엔드포인트 호출
OpenID Connect 권한 부여 코드 플로우에서 클라이언트는 토큰 엔드포인트를 사용하여 ID 토큰, 액세스 토큰 및 새로 고치기 토큰을 얻습니다.OpenID Connect를 위한 인트로스펙션 엔드포인트 호출
인트로스펙션 엔드포인트를 사용하면 액세스 토큰 홀더가 액세스 토큰을 실행한 OpenID Connect Provider로부터의 액세스 토큰에 대한 메타데이터 세트를 요청할 수 있습니다. 액세스 토큰은 OpenID Connect 또는 OAuth 인증을 통해 얻은 것이어야 합니다.범위 맵 서비스 호출
범위 맵 서비스는 슬래시로 종료된 URI 접두부의 JavaScript Object Notation(JSON) 배열을 리턴하는 비보호 엔드포인트입니다. URI 접두부의 배열은 싱글 사인온(SSO) 그룹의 일부인 웹 컨텍스트를 지정하므로 클라이언트는 URI 대상에 액세스 토큰을 안전하게 전송할 수 있는지 여부를 알 수 있습니다.OpenID Connect를 위한 사용자 정보 엔드포인트 호출
사용자 정보 엔드포인트는 OpenID Connect 인증으로 인증되는 사용자에 대한 청구를 리턴합니다.OpenID Connect를 위한 세션 관리 엔드포인트 호출
OpenID Connect Relying Parties는 세션 관리 엔드포인트를 사용하여 네트워크 트래픽을 최소화하면서 특정 OpenID Connect Provider(OP)에 대한 사용자의 로그인 상태를 모니터할 수 있습니다. 세션 관리 엔드포인트의 도움으로 Relying Party(RP)는 OpenID Connect Provider에서 로그아웃한 사용자를 로그아웃할 수 있습니다.

Information Center 이용 약관 | 피드백

http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_config_oidc_rp
파일 이름: twlp_config_oidc_rp.html