다중 서버 세션 기반 인증(single sign-on)
다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino® 또는 WebSphere® 서버에 액세스할 수 있습니다.
이 태스크 정보
서버가 생성한 인증 토큰이 쿠키로 브라우저에 발송된 후부터 사용자 웹 브라우저에서 쿠키 사용이 가능해야 합니다.
다음 작업을 수행하여 이 항목을 설정합니다.
- Domino® 디렉토리에 도메인 범위 환경 설정 문서(웹 SSO 환경 설정 문서) 작성 (Domino® 도메인 또는 디렉토리에 여러 웹 SSO 구성 문서가 있을 수 있습니다.) 인터넷 사이트를 사용 중인 경우 각 인터넷 사이트의 SSO 구성 문서를 작성할 수 있습니다. 그러나 모든 프로토콜이 인터넷 사이트 구성을 준수하지는 않습니다.
- 웹 사이트 문서 또는 서버 문서에 세션 기반 인증에 대한 다중 서버(SSO) 옵션 설정
여러 Domino® 도메인에서 SSO를 사용으로 설정할 수 있습니다.
SSO 기능을 통해 사용자는 혼합 환경에서 더 쉽게 다중 서버에 로그인하여 서버를 사용할 수 있습니다. 다음 목록을 사용하여 Domino® 환경을 구성하면 SSO를 성공적으로 구성할 수 있습니다.
일반적인 문제
이 태스크 정보
- SSO 그룹에 참가 중인 모든 서버는 인터넷 액세스를 설정하기 위해 동일한 메커니즘을 사용하는 것이 중요합니다. 서버는 모두 인터넷 사이트 문서를 사용해야 하거나 모두 서버 문서에서 설정된 인터넷 액세스 권한을 가지고 있어야 합니다.
- 참가 중인 SSO 서버에 적용되는 DNS 도메인은 SSO 환경 설정 문서에서 지정됩니다. SSO에 대해 설정된 서버로 발송된 URL은 호스트 이름이나 IP 주소가 아닌 전체 DNS 서버 이름을 지정해야 합니다. 브라우저가 서버 그룹에 쿠키를 발송할 수 있도록 DNS 도메인이 환경 설정에서 지정된 대로 쿠키에 포함되어야 하고 쿠키의 DNS 도메인은 서버 URL과 일치해야 합니다. 이런 이유로 쿠키를 TCP/IP 도메인 전체에서 사용할 수 없습니다.
- 클러스터된 서버는 웹 사이트 또는 서버 문서의 호스트 이름 필드에 전체 DNS 서버 이름을 가지고 있어야 합니다. 그러면 ICM(Internet Cluster Manager)이 SSO를 사용하여 클러스터 구성원의 방향을 리디렉션할 수 있습니다. DNS 서버 호스트 이름이 없을 경우, 기본적으로 ICM은 TCP/IP 호스트 이름만 가지고 클러스터된 웹 서버로 URL 방향을 리디렉션하고, DNS 도메인이 URL에 없으므로 쿠키를 발송할 수 없습니다.
- 서버 문서에서 인터넷 사이트를 사용 가능으로 설정할 경우 기존 SSO 환경 설정은 자동으로 사용 불가능으로 설정됩니다.
WebSphere® 실행
이 태스크 정보
- WebSphere® 및 Domino®에서 동일한 LDAP 디렉토리를 구성할 필요는 없지만 WebSphere® 및 Domino®에서 동일한 디렉토리를 공유하지 않으면 다중 ID 문제를 계획하고 해결해야 할 가능성이 있습니다.
- Websphere는 Domino® LTPA 토큰을 사용할 수 없습니다. 동일한 LTPA 그룹에 Domino® 및 WebSphere®를 포함하려면 WebSphere®에서 LTPA 토큰을 내보낸 후 Domino®로 가져와야 합니다.
- WebSphere®와의 상호 운용성을 위해 WebSphere® 키를 Domino® SSO 구성으로 가져온 경우 SSO 유휴 제한시간을 지정할 수 없습니다. WebSphere® 서버에서는 유휴 제한시간을 적용하지 않습니다.
- SSO에 참가하는 서버 그룹에 Domino® LDAP 디렉토리를 사용하는 WebSphere® 서버가 들어 있을 경우, 해당 디렉토리에 무계층 이름이 있는 사용자는 SSO를 사용할 수 없습니다. (참가 중인 서버가 모든 Domino®일 경우, SSO는 무계층 사용자 이름과 함께 사용됩니다.)