Home
보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
Nomad 연합 로그인
Nomad 연합 로그인을 사용하면 사용자가 웹 브라우저 클라이언트에 HCL Nomad를 설정할 때 HCL Notes ID 비밀번호를 묻는 메시지가 표시되지 않습니다. 대신 Nomad 서버(SafeLinx)를 통해 액세스되는 SAML IdP(ID 제공자)의 신임 정보만 입력하면 됩니다. 즉, 사용자는 Notes ID 비밀번호를 입력할 필요가 없습니다.

보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
- Domino 보안 개요
  조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
- Notes® 사용자, 인터넷 사용자 및 Domino® 서버에 대한 서버 액세스
  다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
- 데이터베이스 ACL
  모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
- Domino® 서버 및 Notes® 사용자 ID
  Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
- 실행 제어 목록(ECL)
  ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
- Domino® 서버 기반 CA(Server-based certification authority)
  CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
- TLS 보안
  TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
- 클라이언트에 대한 TLS 및 S/MIME
  클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 TLS 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
- 암호화
  암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
- 인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
  이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
- TOTP(시간 기반 일회성 비밀번호) 인증
  사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
- 다중 서버 세션 기반 인증(single sign-on)
  다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
- SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
  - SAML 인증 준비
    Domino에서 SAML 인증을 구성하기 전에 이 섹션의 단계를 완료하십시오.
  - 웹 서버의 기본 SAML 인증 구성
    웹 서버용 기본 SAML 인증은 브라우저 클라이언트가 SAML로 인증하여 Domino 웹 서버에 액세스할 수 있도록 지원합니다. 다음 태스크를 완료하여 웹 서버의 기본 SAML 인증을 사용으로 설정합니다.
  - Notes 또는 웹 연합 SAML 로그인용 ID 저장소 서버 구성
    웹 연합 로그인이나 Notes 연합 로그인을 사용하려면 이 섹션의 단계를 완료합니다. 사용으로 설정하면 iNotes 사용자와 Notes 클라이언트 사용자가 비밀번호를 입력하지 않고도 각각 ID 볼트의 Notes ID 파일에 액세스할 수 있습니다. IdP가 ADFS이면 IWA(Windows 통합 인증)도 구성하여 iNotes 사용자나 Notes 클라이언트 사용자에게 IdP 이름 및 비밀번호를 묻는 메시지가 표시되지 않도록 할 수 있습니다.
  - 웹 연합 로그인 사용
    iNotes 사용자가 Notes ID 비밀번호를 입력하지 않고도 메시지 서명 및 복호화와 같은 보안 작업을 수행할 수 있도록 하려면 웹 연합 로그인을 사용으로 설정합니다.
  - Notes 연합 로그인 사용
    Notes 클라이언트 사용자가 Notes ID 비밀번호를 입력하지 않고도 Notes를 시작하고 보안 작업을 수행할 수 있도록 하려면 Notes 연합 로그인을 사용으로 설정합니다.
  - Nomad 연합 로그인
    Nomad 연합 로그인을 사용하면 사용자가 웹 브라우저 클라이언트에 HCL Nomad를 설정할 때 HCL Notes ID 비밀번호를 묻는 메시지가 표시되지 않습니다. 대신 Nomad 서버(SafeLinx)를 통해 액세스되는 SAML IdP(ID 제공자)의 신임 정보만 입력하면 됩니다. 즉, 사용자는 Notes ID 비밀번호를 입력할 필요가 없습니다.
    - Nomad 연합 로그인의 필수 구성요소
      Nomad 연합 로그인을 구성하려면 먼저 다음의 필수 구성요소를 완료해야 합니다.
    - Nomad 연합 로그인 구성 구성요소
      Nomad 연합 로그인을 구성할 때는 다음의 구성요소를 사용합니다. nomadfl_prerequisites.html에 설명된 대로 이러한 구성요소 외에 추가 필수 구성요소가 있습니다.
    - Nomad 연합 로그인을 위한 IdP 구성 문서 작성
      idpcat.nsf에서 Nomad 연합 로그인을 위한 IdP 구성 문서를 작성합니다.
    - Nomad 연합 로그인에 사용되는 ID 저장소 서버에 대한 신뢰 당사자 트러스트 설정
      Nomad 연합 로그인에 대한 IdP 구성 문서를 작성하고 ServiceProvider.xml 파일을 내보낸 후에는 IdP에 대한 신뢰 당사자 트러스트를 설정하고 ServiceProvider.xml 파일을 IdP로 가져옵니다.
    - Nomad 연합 로그인 사용
      신뢰 당사자 트러스트를 설정한 후 ID 저장소에 사용되는 보안 설정 정책 및 ID 저장소 문서에서 Nomad 연합 로그인을 사용 가능으로 설정합니다.
    - Notes 인증서를 deploy.nsf 파일로 내보내기
      Nomad 연합 로그인을 사용 가능으로 설정한 후 Nomad에서 웹 사용자용으로 사용하는 Notes 조직 인증자를 deploy.nsf 데이터베이스로 내보냅니다.
    - Nomad 연합 로그인 문제 해결
      Nomad 연합 로그인이 작동 중인 경우 웹 브라우저용 Nomad를 설정하지 않은 사용자가 설정 중에 Notes ID를 입력할 필요 없이 Nomad 서버에 연결할 수 있습니다. Nomad 연합 로그인에 문제가 발생하는 경우 다음 섹션에서 설명하는 일반적인 문제 및 해결 방법을 참조하십시오.
  - IWA 사용(ADFS 전용)
    IWA가 사용되는 경우 Windows 클라이언트의 사용자가 회사 인트라넷의 서버에 액세스할 때 ADFS 로그인 이름과 비밀번호를 입력하라는 메시지가 표시되지 않습니다. IWA는 기본 SAML 인증, Notes 연합 로그인 및 웹 연합 로그인에 사용할 수 있습니다.
  - SAML 어설션을 암호화하는 인증서 생성
    어설션에 민감한 개인 정보(예: 주민등록번호)를 포함하는 속성이 있는 경우 조직에서 SAML 어설션 암호화를 필요로 할 수 있습니다. Domino®에서는 전체 SAML 어설션을 암호화합니다. 특정 속성의 부분 암호화는 사용할 수 없습니다.
  - 클라이언트 사용자에게 SAML 및 로그아웃에 대해 경고
    Domino® 및 Notes®에서는 싱글 로그아웃 기능을 지원하지 않으므로, 조직에서 SAML을 구성할 경우 사용자가 그들의 데스크탑에서 보안 방법을 채용하도록 하여 Notes 및 Domino 자원에 실제로 액세스하지 못하게 해야 합니다.
- OIDC(OpenID Connect)를 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. 클라이언트 애플리케이션에서 사용자를 인증하는 한 가지 방법으로 OIDC(OpenID Connect) 제공자를 사용합니다.
- 신임 정보 저장소를 사용하여 신임 정보 저장
  Domino® 서버에서는 신임 정보 저장소 애플리케이션을 보안 아티팩트 저장소로 사용할 수 있습니다. 보안 아티팩트의 예로는 인증 신임 정보 및 보안 키가 있습니다.
- Notes 및 Domino의 지원되는 키 크기 히스토리
  Notes® 및 Domino®의 이전 릴리스에서 현재 릴리스까지 지원되는 RSA 키 크기를 이해하십시오.

Nomad 연합 로그인

Nomad 연합 로그인을 사용하면 사용자가 웹 브라우저 클라이언트에 HCL Nomad를 설정할 때 HCL Notes ID 비밀번호를 묻는 메시지가 표시되지 않습니다. 대신 Nomad 서버(SafeLinx)를 통해 액세스되는 SAML IdP(ID 제공자)의 신임 정보만 입력하면 됩니다. 즉, 사용자는 Notes ID 비밀번호를 입력할 필요가 없습니다.

Nomad 연합 로그인에서는 Domino ID 저장소 서버가 SAML 서비스 제공자 역할을 합니다. 이 서버는 IdP에서 인증 어설션을 요청하고 가져오므로 사용자의 ID를 신뢰하고 저장소에서 사용자의 Notes ID를 가져올 수 있습니다. Nomad(SafeLinx) 서버는 Domino 서버와 IdP 간의 SAML 통신에 사용됩니다.

웹 브라우저용 Nomad에 대한 자세한 내용은 Nomad 관리 문서 및 웹 브라우저용 Nomad 사용자 문서를 참조하십시오.

다음 다이어그램에서는 사용자가 웹 브라우저용 Nomad를 처음 설정할 때 Nomad 연합 로그인이 구성된 경우 저장소에서 사용자의 Notes ID 파일을 가져오는 단계를 보여 줍니다.

저장소에서 사용자 ID를 가져오는 8단계를 보여 주는 다이어그램

브라우저가 Nomad 서버(SafeLinx)를 통해 저장소에서 ID 다운로드를 요청합니다.
Domino ID 저장소 서버가 저장소 데이터베이스에서 사용자를 검색합니다. idpcat.nsf의 IdP 구성 문서를 사용하여 서명된 SAML 요청을 Nomad 서버를 통해 브라우저에 반환합니다.
브라우저가 이전에 설정된 세션 쿠키를 사용하여 서명된 SAML 요청을 IdP로 보냅니다.
IdP가 쿠키를 통해 사용자를 인증하고 브라우저에 SAML 응답을 자동 게시 양식으로 반환합니다.
브라우저가 SAML 응답을 Nomad 서버에 게시합니다.
Nomad 서버가 다시 브라우저에 SAML 응답을 반영합니다.
브라우저가 Nomad 서버를 통해 SAML 응답으로 ID 다운로드 요청을 계속합니다.
ID 저장소 서버가 SAML 어설션을 확인하고 사용자의 ID 파일을 반환합니다.