SSO에 대한 인터넷 비밀번호 변경사항 캐싱
웹 사용자가 인터넷 비밀번호를 변경할 때 HCLDomino® HTTP 서버는 캐시에 있는 새 인터넷 비밀번호를 기억합니다. 비밀번호 변경사항은 Domino® 관리 서버에 의해 처리되고 Domino® 환경 전체에 복제되어야 합니다. 따라서 이 변경사항을 적용하려면 시간이 걸리므로 캐싱을 수행해야 합니다.
사용자의 새 비밀번호를 캐싱하면 Domino® 환경에서 비밀번호 변경 정보를 복제할 수 없더라도 HTTP 서버가 즉시 사용자의 새 인터넷 비밀번호를 인식하고 로그인에 사용할 수 있습니다.
SSO에 대한 HTTP 서버가 설정되면 비밀번호 변경사항이 캐시됩니다. 이것은 변경사항이 시스템 전체로 여전히 복제 중이더라도 사용자는 새 인터넷 비밀번호를 사용하여 SSO 환경에 로그인하고 인터넷 비밀번호를 변경한 후 로그아웃하고 다시 로그인할 수 있음을 의미합니다.
캐싱 위치 및 기간
사용자의 캐시된 새 인터넷 비밀번호는 비밀번호 변경이 요청된 HTTP 서버에만 저장됩니다. SSO 환경의 다른 서버는 캐시된 정보에 액세스할 수 없습니다. 따라서 다른 서버에서 사용자에게 비밀번호를 요청할 경우 사용자는 새 비밀번호가 아닌 이전 비밀번호를 지정해야 합니다. 캐시된 정보가 없는 서버에서는 사용자가 디렉토리에서 서버가 찾은 비밀번호 정보와 일치하는 비밀번호를 제공해야 합니다.
SSO 사용자의 경우 처음 로그인으로 전체 SSO 환경에 액세스할 수 있습니다. 따라서 모든 로그인 활동을 새 비밀번호를 캐시한 서버에서 일관적으로 수행할 수 있으면 문제가 발생하지 않습니다. 사용자는 대상 서버의 URL에 액세스를 시도하고 캐시된 새 비밀번호가 없는 서버에 비밀번호를 제공하는 대신 대상 서버의 비밀번호 요청 메시지를 받을 수 있습니다.
기본적으로 캐시된 새 인터넷 비밀번호는 48시간 동안 HTTP 서버에 저장됩니다. 정보가 캐시되는 시간은 서버 NOTES.INI 매개변수 HTTP_PWD_CHANGE_CACHE_HOURS
를 사용하여 구성할 수 있습니다. 정보 시간이 캐시에서 초과되면 Domino® 디렉토리에서 서버가 찾은 비밀번호 정보에 대해 확인할 수 있는 비밀번호만 사용하여 로그인할 수 있습니다.
비밀번호 캐싱 및 SSO 로그인 이름
새 비밀번호 사용은 캐시에서 사용자를 찾는 HTTP 서버에 따라 결정됩니다. 캐시된 새 인터넷 비밀번호를 사용하려면 이전에 로그인했을 때와 동일한 철자의 사용자 이름으로 로그인해야 합니다. 예를 들어 이전에 "John Doe"로 로그인한 경우 비밀번호를 변경할 때 나중에 새 비밀번호와 유효한 다른 이름(예: "jdoe")으로 로그인할 수 없습니다. 사용자는 전과 같이 "John Doe"를 사용하여 새 비밀번호로 로그인해야 합니다.
SSO 비밀번호 캐싱을 위한 최적의 사용
최상의 결과를 얻기 위해 사용자는 다음 단계를 수행해야 합니다.
- SSO 비밀번호 캐싱을 지원하는 Domino® HTTP 서버에 로그인합니다.
- 서버에서 ChangePassword URL을 호출하여 인터넷 비밀번호 변경 요청을 제출합니다. 예를 들어, 다음과 같습니다.
http://myserver.mycompany.com/names.nsf?changepassword)
비밀번호 변경사항이 SSO 환경의 모든 서버에 적용될 때까지 시간이 걸릴 수 있습니다. 이 시간 동안 사용자는 로그인할 때마다 이전과 동일한 사용자 로그인 이름을 사용하고 새 비밀번호를 제공하여 비밀번호 변경을 요청한 서버에 항상 먼저 로그인해야 합니다.
사용자의 새 비밀번호가 비밀번호 변경을 요청한 서버에서 승인되지 않으면 사용자는 식별 이름 형식의 사용자 이름(예: John Doe/MyCompany)과 새 비밀번호를 사용하여 다시 시도해야 합니다.
SSO에 대한 인터넷 비밀번호 캐싱 문제 해결
다음 목록에서는 SSO 환경에서 인터넷 비밀번호 캐싱을 설정 및 사용할 경우 발생하는 몇 가지 공통적인 문제를 설명합니다.
- 사용자가 대체 철자의 이름을 제공합니다. 이전에 "John Doe"로 로그인하고 비밀번호 변경을 요청한 후 사용자가 "jdoe"로 로그인하려는 경우를 가정합니다. 사용자 "jdoe"는 디렉토리에 있는 비밀번호 정보와 일치하는 비밀번호를 제공해야 합니다. 이것은 사용자의 이전 비밀번호일 수 있습니다.
- 사용자는 처음에 어떤 SSO 서버에 로그인한 후 다른 서버에서 비밀번호 변경을 요청합니다. 사용자가 SSO 서버에 로그인할 때 사용자의 브라우저는 다시 로그인할 필요 없이 환경 설정의 다른 서버에 액세스할 수 있도록 해주는 SSO 토큰을 수신합니다. 그런 다음 사용자가 비밀번호 변경이 요청된 두 번째 서버에 액세스하면 두 번째 서버는 사용자의 SSO 토큰을 수신하고 해당 토큰에 저장된 사용자만 인식합니다. 두 번째 서버는 사용자가 로그인할 때 제공한 이름을 인식하지 못합니다.
사용자가 두 번째 서버에서 비밀번호를 변경할 경우 두 번째 서버는 해당 사용자의 새 인터넷 비밀번호를 캐시합니다. 이런 경우 사용자가 다른 위치에서 먼저 로그인했기 때문에 서버는 사용자의 로그인 이름을 가지지 않습니다. 두 번째 서버는 새 비밀번호를 기억하지만 새 비밀번호가 해당 Domino® 식별 이름을 가지는 사용자에게 적용됨을 기억합니다. 사용자가 로그아웃한 후 나중에 새 인터넷 비밀번호로 서버에 직접 로그인하려면 식별 이름(예: John Doe/MyCompany)을 제공해야 합니다.
- 사용자의 초기 로그인 인증은 DSAPI 필터 라이브러리에 의해 완료됩니다. HTTP 서버는 하나 이상의 DSAPI 필터 라이브러리를 추가하여 확장될 수 있습니다. 이 때 HTTP 서버가 인증 요청을 DSAPI 라이브러리로 전달해야 하도록 설정할 수 있습니다. DSAPI 라이브러리는 서버 URL의 하위 집합만 제어할 수 있습니다. 서버에 액세스하기 위해 사용자가 입력하는 URL이 특정 DSAPI 라이브러리와 연결된 경우 사용자의 로그인 이름(예: "John Doe") 및 비밀번호는 DSAPI 라이브러리에 전달되어 이 라이브러리는 사용자를 인증할 수 있는지 여부를 결정할 수 있습니다. 인증이 승인되면 DSAPI 라이브러리는 다시 HTTP 서버에 방금 인증된 사용자의 이름을 전달합니다. 일반적으로 HTTP 서버에 전달되는 이름은 Domino® 식별 이름입니다. 이 이름은 사용자가 HTTP 서버에 의해 알려진 이름이며, HTTP 서버가 사용자를 "John Doe"로 인식하지 않을 수 있지만, 사용자를 "John Doe/MyCompany"로 대신 인식함을 나타냅니다. 사용자는 로그인 시 DSAPI 필터 라이브러리에 의해 인증된 후 비밀번호 변경을 요청할 수 있습니다.주: 요청된 새 비밀번호에 대한 비밀번호 변경 정보는 DSAPI 라이브러리에 전달되지 않으며, 비밀번호 변경사항이 해당 사용자의 Domino® 디렉토리 정보에 영향을 미치는 반면 DSAPI 라이브러리의 사용자 비밀번호 표시는 바뀌지 않습니다.
사용자가 비밀번호 변경을 요청할 때 HTTP 서버는 이 사용자를 인식하는 이름을 사용하여 해당 사용자의 새 인터넷 비밀번호를 캐시합니다. 사용자가 로그아웃한 후 나중에 DSAPI 라이브러리와 연결되지 않은 서버의 URL에 새 비밀번호로 로그인하려면 HTTP 서버는 사용자의 이름 및 비밀번호를 확인하려고 시도합니다. 디렉토리에 대한 비밀번호 변경사항이 여전히 보류 중이면 HTTP 서버는 사용자의 새 비밀번호를 캐시에서 찾은 경우에만 확인할 수 있습니다. 캐시에서 사용자를 찾으려면 사용자는 캐시에 있는 이름(DSAPI에서 전달된 이름)과 일치하는 이름을 제공해야 합니다(예:
"CN=John Doe/O=MyCompany"
).