개요
IdP에서 Security Cloud Sign On(으)로 보내는 SAML 응답은 SAML 응답 요구 사항에 설명된 대로 몇 가지 규칙을 준수해야 합니다.
또한 IdP에서 필요한 SAML 메타데이터를 가져와야 합니다.
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
중요사항 |
Enterprise Manager가 사용이 중지되었습니다. 이제 보안 클라우드 제어 를 사용하여 ID 공급자 통합을 관리할 수 있습니다. 자세한 내용은 ID 공급자 통합 가이드를 참조하십시오. 모든 기존 ID 공급자 통합 데이터는 보안 클라우드 컨트롤을 통해 사용할 수 있습니다. |
IdP에서 Security Cloud Sign On(으)로 보내는 SAML 응답은 SAML 응답 요구 사항에 설명된 대로 몇 가지 규칙을 준수해야 합니다.
또한 IdP에서 필요한 SAML 메타데이터를 가져와야 합니다.
ID 공급자가 반환한 SAML 응답은 SHA-256 서명 알고리즘으로 서명되어야 합니다. Security Cloud Sign On은(는)서명되지 않았거나 다른 알고리즘으로 서명된 응답은 거부합니다.
IdP가 전송한 SAML 응답의 어설션에는 다음 속성 이름이 포함되어야 하며 IdP의 해당 속성에 매핑되어야 합니다.
SAML 어설션 속성 이름 |
IdP 사용자 속성 |
---|---|
firstName |
사용자의 이름입니다. |
lastName |
사용자의 성입니다. |
|
사용자 이메일입니다. 이 값은 SAML 응답의 <NameID> 요소 값과 일치해야 합니다. |
<saml2:AttributeStatement>
<saml2:Attribute Name="firstName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">John
</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="lastName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Doe
</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">jdoe@example.com
</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
IdP에서 보낸 SAML 응답의 <NameID> 요소에는 유효한 이메일 주소가 값으로 있어야 하며, 이메일은 SAML 응답 속성의 email 속성 값과 일치해야 합니다.
<NameID>의 Format 속성은 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 또는 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress로 설정해야 합니다.
아래는 <NameID>
요소의 예입니다.
<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">jdoe@example.com</saml2:NameID>
Security Cloud Sign On과(와) 통합하려면 IdP의 SAML 애플리케이션에 있는 다음 메타데이터가 필요합니다.
SSO(Single Sign-On) 서비스 초기 URL – "SSO URL" 또는 "로그인 URL"이라고도 합니다. 이 URL은 Security Cloud Sign On에 대한 IdP 시작 인증을 시작하는 데 사용할 수 있습니다.
엔터티 ID URI – IdP의 전역 고유 이름입니다. 이를 "발급자"라고도 합니다.
X.509 서명 인증서 – IdP가 SAML 어설션 서명에 사용하는 공개/개인 키 쌍의 공개 키입니다.