이 문서는 공개적으로 사용 가능한 제품을 사용하여 SSO 문제를 해결하기 위한 SAML 추적을 수행하는 데 도움이 됩니다.

환경

Federated Adobe 도메인 및 SSO가 구성된 고객.

단계

SAML 추적이란 무엇입니까?

SAML(Security Assertion Markup Language)은 다른 기능들 중에 SSO(Single Sign On)를 사용할 수 있도록 해주는 XML 기반 ID 연합 언어 표준입니다.

고객의 ID 공급자(IdP) 서비스에서 SAML 2.0 커넥터가 생성되고 Adobe Federated 계정으로 로그인하는 데 이 커넥터가 사용될 때 대개는 사용자에게 보이지 않는 복잡한 작업 과정이 발생합니다.

네 가지 주요 속성의 전달 및 검증이 이러한 작업 과정의 일부입니다.

  • NameID
  • 전자 메일
  • 이름

이러한 속성이 올바로 전달되면 로그인을 시도하는 사용자의 ID를 '검증'하고 ID 공급자(IdP - 고객 서비스)와 서비스 공급자(SP - Adobe 서비스) 사이에 연합된 신뢰를 생성하여 SSO가 이루어집니다.

문제가 있는 경우 Adobe의 고객 및 고객 지원 담당자가 IdP와 SP 사이에서 발생하는 이러한 SAML 검증을 추적할 수 있도록 하는 데 유용합니다.

SAML 추적은 검증 소비자 서비스(Assertion Consumer Service) URL, 발급자 URL 및 네 개의 주요 SAML 2.0 속성과 같은 중요한 값을 보여줍니다.

SAML 추적을 수행하려면 무엇이 필요합니까?

SAML 추적 프로그램은 인터넷 브라우저 추가 기능/확장의 형태로 사용 가능하고, 무료로 다운로드할 수 있으며, 특수 권한이나 기타 소프트웨어가 필요하지 않습니다.

가장 널리 사용되는 추가 기능 중 두 가지는 다음과 같습니다.

Firefox 브라우저 SAML 추적 추가 기능: https://addons.mozilla.org/ko_KR/firefox/addon/saml-tracer/

Google Chrome 브라우저 SAML Chrome 패널 브라우저 확장:

https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=ko

SAML 추적을 수행하려면 어떻게 해야 합니까?

SSO 문제가 발생하는 사용자 계정으로 클라이언트 시스템에서 추적 프로그램을 설치하고 사용하는 것이 좋습니다. 여기에 제공된 링크 및 절차는 게시 시점을 기준으로 합니다.

그와 달리 일반적인 SSO 테스트의 경우 동일한 네트워크에 있는 임의의 클라이언트 시스템 및 임의의 Federated 사용자 계정에서 추적 프로그램을 설치하고 실행할 수 있습니다.

예를 들어 여기에서는 Firefox SAML 추적 추가 기능을 사용하고 있습니다.

  1. Firefox 브라우저를 사용하여 이전에 제공된 링크를 통해 Firefox 브라우저 SAML 추적 추가 기능을 다운로드하고 설치합니다.

  2. 완료되면, 아래와 같이 Firefox 메뉴 막대의 새로운 주황색 SAML 추적 추가 기능 메뉴 항목을 확인합니다.

    rtaimage_7_
  3. SAML 추적 추가 기능 메뉴 항목을 클릭하고 두 부분으로 구성된 새로운 브라우저를 표시합니다. 추적 창이 아래와 같이 표시됩니다. 추적 창의 상반부에는 실시간으로 발생하는 롤링 HTTP POST, GET 및 OPTIONS 메서드가 표시됩니다. 추적 창의 하반부에는 클릭 시 각 메서드의 확장 세부 정보가 표시됩니다.

    참고: SAML 분석을 수행할 때 [자동 스크롤]을 선택 해제하면 사용자의 환경이 개선됩니다.

    rtaimage_8_
  4. 둘 다 동시에 표시되도록 추적 창기본 창을 클릭합니다.  그런 다음 www.adobe.com으로 이동하여 그림과 같이 로그인을 클릭합니다.

    rtaimage_9_
  5. 메시지가 표시되면 계속하여 Enterprise ID를 선택하여 Adobe 계정 로그인 자격 증명을 입력하고 [추적 창]에서 위로 롤링하는 HTTP POST, GET 및 OPTIONS 메서드를 확인합니다.

    SAML 검증이 전달되는 것을 나타내는 주황색 SAML 태그가 맨 오른쪽에 가끔 표시되는 것을 확인합니다.

  6. 로그인이 완료되었거나 로그인으로 인해 조사 중인 문제에 도달한 경우, 그림과 같이 [추적 창]을 보고 accauthlinktest(참고 - ACS URL임)로 끝나는 POST 메서드를 클릭합니다.

    step6-saml
  7. 추적 창의 하반부에 있는 HTTP, 매개 변수 및 SAML의 세 가지 필터 유형을 확인하십시오. SAML을 클릭하여 그림과 같이 SAML 검증을 필터링하십시오.

    rtaimage_11_
  8. 이제 표시되는 결과를 검사하거나 잘라 낸 후 텍스트 편집기에 붙여넣고 다음과 같이 항목에 대한 유효성 검사를 수행할 수 있습니다.

    a. 서명 및 다이제스트 메서드 해시 수준: 이 예에는 SHA-1이 표시됩니다.

    rtaimage_12_

    b. 검증 소비자 서비스(ACS) URL(회신 URL이라고도 함)

    step8b-saml

    c. 발급자 URL/엔티티 ID:

    rtaimage_15_

    d. 형식과 값을 포함하는 4 SAML 속성 검증

    step8d-saml

    e. Idp와 SP 간에 전달되는 X.509 인증서에 대한 유효성 검사

    rtaimage_18_

    f. 현재 허용된 시간 지연 또는 SAML TTL(Time-To-Live) 값 확인

    2018-02-05_10_1806-inbox-everittadobecom-outlook

좋습니다. 이제 그 결과로 어떤 작업을 수행합니까?

  • 이 결과는 의심되는 SSO 문제를 보고할 때 문제의 다른 세부 정보와 함께 수정하지 않고 전체를 Adobe 고객 지원에 제공해야 합니다.
  • NameID, 전자 메일, FirstName 및 LastName과 같은 SAML 검증 필드 이름의 사례 구문은 SSO 성공에 매우 중요하며, 필요한 경우 고객의 IdP 구성에서 빠르게 식별하고 수정할 수 있습니다.
  • 또한 각 어설션의 값은 Adobe 계정 이름과 고객 디렉터리 서비스 계정 이름(예: Active Directory) 간에 유효성이 검증됩니다.
  • SSO 문제가 해결되면 새 SAML 추적을 수행하고 환경에서 성공적인 SSO 로그인의 참조로 사용할 결과 사본을 저장하십시오.

이 작업에는 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License의 라이센스가 부여되었습니다.  Twitter™ 및 Facebook 게시물은 Creative Commons 약관을 적용받지 않습니다.

법적 고지 사항   |   온라인 개인 정보 보호 정책