SSO LTPA 토큰에서 사용자 이름 맵핑 설정

싱글 사인온을 위해 사용자를 인증하도록 작성된 LTPA 토큰은 인증된 사용자의 이름을 포함합니다. HCLDomino®는 LTPA 토큰을 작성할 때 기본적으로 Domino® 식별 이름을 토큰에 넣습니다. 사용자가 서버에 액세스하려고 할 때 IBM® WebSphere® 애플리케이션 서버 서버가 토큰을 얻는 경우 Websphere 서버는 이 이름 형식을 인식할 수 있어야 합니다. 그렇지 않으면 토큰은 무시되고 싱글 사인온이 실패하며 사용자에게 다시 로그인하라는 메시지가 표시됩니다.

이 태스크 정보

일반적으로 SSO에 참가 중인 다양한 서버에서 여러 디렉토리를 사용하는 일반 사용자 환경 설정에서 이런 상황이 발생하므로 사용자는 결과적으로 다중 ID를 가질 수 있습니다. 예를 들어 사용자가 Websphere LDAP 디렉토리에서 uid=jdoe,cn=sales,dc=renovations, dc=com으로 인식될 수 있지만 Domino® 디렉토리에서는 같은 사용자가 John P Doe/Sales/Renovations입니다. Websphere는 John P Doe/Sales/Renovations와 같은 사용자 이름이 들어 있는 LTPA 토큰을 수신할 경우, Websphere 디렉토리에서 이 사용자를 찾으려고 하며 해당 사용자를 찾을 수 없으면 토큰을 거부합니다.

Domino® 관리자는 이제 Domino 작성 LTPA 토큰에 나타나는 사용자 이름을 WebSphere®에서 사용할 수 있는 이름으로 매핑하여 Domino®WebSphere®가 같은 디렉토리를 공유하지 않는 Domino® 및 Websphere의 혼합 환경에서 이름이 인식되도록 할 수 있습니다.

주: 혼합 릴리스 Domino® 환경에서 LTPA 토큰의 사용자 이름 맵핑은 토큰이 Domino® 7.0 이상의 서버에서 생성된 경우에만 작동합니다. 또한 LTPA 토큰에서 사용되는 사용자 이름 값이 Domino 7.0 이전 서버의 사용자 문서에 있는 전체 이름 필드에 2차 값으로 추가될 경우(예를 들어, 별명 지정을 위해) 사용자는 Domino® 6.02 이상 서버뿐만 아니라 Websphere 서버의 데이터베이스에도 액세스할 수 있습니다.

LTPA 토큰에서 사용될 사용자 이름을 지정하는 방법은 싱글 사인온 환경에서 사용된 디렉토리 환경 설정에 따라 달라집니다.

  • HCLNotes® 사용자 정보가 Domino® 디렉토리에만 있는 경우 사용자 문서에서 사용자 이름 맵핑을 지정합니다.
  • Notes® 사용자 정보가 회사 LDAP 디렉토리에 포함된 경우 디렉토리 보조자에서 사용자 이름 맵핑을 구성합니다.
  • 조직에서 Domino® 및 LDAP 디렉토리를 모두 사용할 경우 Domino® 개인 레코드와 디렉토리 보조자 SSO 정보를 모두 구성합니다.

일반적으로 LDAP 디렉토리 필드와 Domino® 디렉토리 필드는 일대일 대응하지 않으므로 이름 맵핑에 대한 디렉토리 보조자 문서를 사용하면 LDAP 관리자는 LTPA 사용자 이름 필드와 동등한 것으로 사용되어야 하는 LDAP 필드를 지정할 수 있습니다.

주: 맵핑 기능이 SSO 환경 설정 문서에서 사용 가능하지 않은 경우 디렉토리 보조자 문서의 이름 맵핑 환경 설정은 무시됩니다.

Domino® 디렉토리 환경에서 사용자 이름 맵핑을 구성하려면

이 태스크 정보

이 환경에는 Domino® 디렉토리에 개인 레코드가 있는 Domino® SSO 사용자가 있습니다.

프로시저

  1. LTPA 토큰에 대한 이름 맵핑을 사용 가능으로 설정합니다. SSO 환경을 정의하는 웹 SSO 환경 설정 문서에서 LTPA 토큰에서 이름 맵핑 옵션에 대해 사용 가능을 선택합니다.
  2. 사용자 문서에서 관리를 클릭합니다. 클라이언트 정보LTPA 사용자 이름 필드에 WebSphere®에서 사용할 수 있는 사용자 이름 DN을 입력합니다.

    이 필드에 입력한 값은 고유해야 합니다. 즉, 이 값은 조직에서 둘 이상의 사용자와 일치하지 않아야 합니다. 일반적으로 이것은 사용자의 LDAP 식별 이름(DN)이 됩니다. 여러 이름 컴포넌트는 슬래시(/)로 구분해야 합니다. 예를 들어 LDAP DN이 다음과 같은 경우

    uid=jdoe,cn=sales,dc=renovations, dc=com

    값을 다음과 같이 입력하십시오. 

    uid=jdoe/cn=sales/dc=renovations/dc=com

결과

이름을 LTPA 사용자 이름 필드에 Domino® 형식으로 입력하더라도 Domino®는 구성된 LTPA 사용자 이름을 Domino 작성 LTPA 토큰에 삽입하기 전에 Websphere에 사용할 수 있는 적합한 LDAP 형식으로 변환합니다.

회사 LDAP 디렉토리 환경(혼합 Domino® 및 LDAP 디렉토리 환경)에서 사용자 이름 맵핑을 구성하려면

이 태스크 정보

이 환경에서 일부 또는 모든 Domino® 사용자는 Domino® 디렉토리에 개인 레코드가 없습니다. 대신, 이러한 Domino® 사용자는 디렉토리 보조자를 통해 Domino®에 액세스할 수 있는 외부 LDAP 디렉토리에 레코드가 있습니다.

프로시저

  1. LTPA 토큰에 대한 이름 맵핑을 사용 가능으로 설정합니다. SSO 환경을 정의하는 웹 SSO 환경 설정 문서에서 LTPA 토큰에서 이름 맵핑 옵션에 대해 사용 가능을 선택합니다.
  2. LDAP 디렉토리에 대한 디렉토리 보조자 문서를 엽니다. [SSO 환경 설정] 섹션에서 현재 사용자에 대해 작성된 SSO 토큰에서 이름으로 사용되는 LDAP 속성을 입력합니다. 이 속성은 LTPA_UserNm 필드를 요청할 때 LTPA 토큰에서 사용됩니다. 선택한 필드에 WebSphere®에서 사용할 수 있는 사용자 이름이 포함되어 있는지 확인하는 것이 중요합니다. 이 필드에 대한 옵션은 다음과 같습니다.
    • 사용자를 고유하게 식별하는 올바른 LDAP 속성
    • LDAP 식별 이름을 사용할 $DN 값. 이것은 가장 일반적인 구성으로, 사용자의 LDAP DN이 임의의 LDAP 필드에 있는 이름이 아닌 WebSphere®에서 사용할 수 있는 이름임을 나타냅니다.
    • Domino® 식별 이름을 기본값으로 사용하려면 이 필드를 공백으로 둡니다. 그렇지 않을 경우 LDAP 식별 이름이 기본값입니다.

결과

특정 사용자의 검색에서 Domino® 디렉토리 및 LDAP 디렉토리 모두에서 일치 항목을 찾도록 디렉토리 보조자가 구성된 경우 Domino®Domino® 개인 레코드와 LDAP 레코드 간에 일관성을 유지해야 합니다. Domino®는 추가 단계를 수행하여 두 디렉토리 모두에 있는 인터넷 이메일 주소와 일치하는 값이 있는지 확인합니다. 이 작업을 수행하기 위해 DA는 사용자의 LDAP mail 속성을 검색합니다. 이 값은 Domino® 개인 레코드 필드 인터넷 주소에 있는 정보와 일치해야 합니다.

1. SSO가 성공하려면 일치해야 할 값
LDAP 디렉토리의 속성 Domino® 디렉토리의 속성

메일: Jbond@secret.spies.com

InternetAddress Jbond@secret.spies.com

이름 맵핑을 설정할 때 다음의 추가 고려사항을 유의하십시오.

  • 별명 지정을 지원하려면 사용자 문서에서 LDAP 이름을 LTPA_UserNm 필드에 모두 추가하고 사용자 이름(예: 문서 특성 Fullname) 필드에 2차 값으로 추가합니다.
  • HCLSametime® 서버는 인터넷 사이트 구성을 지원하지 않습니다.
  • 사용자 정보가 축약된 디렉토리 카탈로그에 저장되어 있을 때 LTPA 토큰의 이름 맵핑은 지원되지 않습니다.