패스키 인증

보안 향상을 위해 Domino 서버 또는 인터넷 사이트에서 패스키 인증을 활성화하는 방법을 알아보세요.

시작하기 전에

원하는 경우 새 인터넷 사이트를 만듭니다.

테스트 목적 등으로 새 DNS 호스트 이름에 대한 암호 키 인증을 활성화하려면 해당 새 호스트 이름에 대한 새 인터넷 사이트를 만듭니다. 자세한 내용은 Domino 서버의 인터넷 사이트 문서 이해를 참조하세요.

세션 인증 활성화
해당 웹사이트에 대한 서버 문서 또는 인터넷 사이트 문서에서 세션 인증을 활성화합니다.
Domino 웹 엔진 탭에서 "세션 인증" 드롭다운을 단일 서버 (DomAuthSessId) 또는 다중 서버(SSO) (LTPAToken)로 설정합니다. "SAML"은 세션 인증 드롭다운 메뉴에 있음에도 불구하고 실제로 세션 인증 형식이 아닙니다.
Domino 웹 엔진 탭의 스크린샷

다중 서버 세션 인증에 대한 자세한 내용은 다중 서버 세션 기반 인증(Single Sign-On)을 참조하세요.

이 작업 정보

  • 패스키 인증은 64비트 Linux 또는 64비트 Windows의 Domino 서버에서만 지원됩니다.
  • 웹 브라우저의 암호 키 기능은 빠르게 발전하고 개선되고 있으므로 최적의 사용자 경험을 위해 최신 웹 브라우저를 사용하는 것이 좋습니다.
  • MacOS 10 이하에서는 암호키를 지원하지 않습니다. MacOS 11(및 Safari 16.1)은 최소 버전입니다.

절차

  1. 암호 키 데이터베이스를 만듭니다.

    passkey.ntf 고급 템플릿에서 passkey.nsf를 만듭니다.

    기본적으로 이 데이터베이스는 데이터 디렉터리의 root 에 있어야 하며 "passkey.nsf"라는 모두 소문자 파일 이름을 가져야 합니다. passkey.nsf의 이름과 위치는 PASSKEY_DATABASE Notes.ini를 사용하여 변경할 수 있으며, 이는 Domino 서버의 데이터 디렉토리에 상대적인 경로로 설정되어야 합니다. 예를 들어, PASSKEY_DATABASE=test\mypasskeys.nsf는 Domino가 데이터 디렉토리 아래의 test 하위 디렉토리에서 mypasskeys.nsf를 열도록 합니다.

    이 데이터베이스에 대한 액세스, 특히 쓰기 액세스를 제한하고 클러스터 대칭 기능을 사용하지 않는 한 이 데이터베이스를 암호화하는 것이 좋습니다.

    여러 Domino 14 서버에 대해 비밀번호 키 인증이 필요한 경우, 한 Domino 서버에 대해 생성된 비밀번호 키를 다른 서버에서 사용할 수 있도록 passkey.nsf를 해당 서버 간에 정기적으로 복제해야 합니다.

  2. 선택 사항: Domino 서버의 신뢰 당사자 이름을 사용자 정의합니다.

    생성 중에 각 암호 키는 단일 신뢰 당사자(RP)로 범위가 지정되며 해당 RP에 속한 웹 원본에서만 사용할 수 있습니다. RP는 다른 RP에 범위가 지정된 암호 키의 속성이나 존재조차 감지할 수 없습니다. 이 범위 지정은 호스트의 도메인 이름(기본적으로 구성표와 포트가 없는 HTTP 원본)을 기반으로 하는 RP ID(Relying Party Identifier)를 통해 수행됩니다. 예를 들어, https://www.domino.example.com:8443 은 www.domino.example.com 이라는 유효 도메인을 갖게 됩니다. WebAuthn을 사용하면 RP가 유효 도메인의 등록 가능한 하위 도메인을 RP ID로 사용할 수도 있습니다. 예를 들어, https://www.domino.example.com:8443은 www.domino.example.com , domino.example.com 또는 example.com 의 RP ID를 가질 수 있지만 .com 또는 login.example은 가질 수 없습니다. com.com.

    기본적으로 Domino는 웹 사이트의 유효 도메인을 RP ID로 사용하고 인터넷 사이트 문서의 기본 탭에 있는 "이 사이트에 대한 설명 이름" 필드를 RP의 "친숙한" 이름으로 사용합니다. 친숙한 이름은 일부 상황에서 웹 브라우저에 표시되며 사이트별로 암호 키를 정렬할 때 passkey.nsf에서 사용됩니다. 인터넷 사이트 문서가 사용되지 않는 경우 PASSKEY_SERVER_FRIENDLY_NAME Notes.ini가 아래 설명된 대로 사용되지 않는 한 표시 이름은 비어 있습니다.

    다음 Notes.ini 변수를 사용하여 RP ID에 등록 가능한 하위 도메인을 사용하도록 Domino를 구성할 수 있습니다. 그러면 하나의 Domino 서버에 등록된 비밀번호 키를 다른 관련 서버에서 사용할 수 있습니다.
    참고: PASSKEY_SKIP_LEVEL=NPASSKEY_DOMAIN_LEVELS=N 은 상호 배타적입니다.
    • PASSKEY_SKIP_LEVEL=N

      RP ID를 구성할 때 유효 도메인의 처음 N 부분을 건너뛰는 데 사용합니다. 예를 들어, PASSKEY_SKIP_LEVEL=1을 사용하면 server01.domino.example.com , server02.domino.example.comserver03.domino.example.com이 모두 domino.example.com의 RP ID를 사용하고 패스키를 공유할 수 있습니다. . 이러한 사이트가 다른 Domino 서버에서 호스팅된 경우 passkey.nsf는 두 서버 간에 복제되어야 합니다.

    • PASSKEY_DOMAIN_LEVELS=N

      RP ID를 구성할 때 유효 도메인의 마지막 N 부분만 사용하는 데 사용할 수 있습니다.

      예를 들어, PASSKEY_DOMAIN_LEVELS=3을 사용하면 server01.domino.example.com , www.mytest.domino.example.comdomino.example.com이 모두 domino.example.com의 RP ID를 사용하고 패스키를 공유할 수 있습니다. . 이러한 사이트가 다른 Domino 서버에서 호스팅된 경우 passkey.nsf는 두 서버 간에 복제되어야 합니다.

    • PASSKEY_SERVER_FRIENDLY_NAME=my_friend_site_name

      RP의 표시 이름을 변경하는 데 사용합니다. 이는 관리자가 여러 인터넷 사이트 문서에서 암호 키를 공유하고 해당 문서가 모두 단일 사이트나 서비스로 인식되기를 원하는 경우에 유용합니다.

  3. 패스키 인증을 활성화합니다.

    서버 문서 또는 인터넷 사이트 문서에서 패스키 인증을 활성화합니다.

    보안 탭의 "TLS 인증" 카테고리에서 비밀번호(WebAuthn)를 예로 설정하세요.

  4. 선택 사항: domcfg.nsf를 사용하여 암호 키 로그인 양식을 구성합니다.

    Domino의 기본 세션 로그인 양식에는 사용자 이름 또는 비밀번호 필드와의 상호 작용을 통한 비밀번호 키 자동 완성과 비밀번호 키로 로그인 버튼을 통한 비밀번호 키 모달 로그인이 포함되어 있습니다.

    domcfg.nsf(또는 해당 데이터베이스의 기본 로그인 양식)에 저장되거나 이를 기반으로 하는 사용자 정의 로그인 양식을 사용하는 경우 domcfg5.ntf 템플릿에는 암호 키 자동 채우기 및 암호 키 모달 기능이 포함된 $$LoginUserFormPasskey 양식이 포함됩니다. 이 양식은 있는 그대로 사용하거나 이 양식의 논리를 사용자 정의 로그인 양식에 통합할 수 있습니다.

    패스키 로그인 양식을 사용하려면 domcfg.nsf를 열고 매핑 추가 버튼을 클릭하세요.

    그런 다음 "$$LoginUserFormPasskey"로 설정된 대상 양식을 사용하여 새 "로그인" 양식 매핑을 만듭니다.

    HTML 로그인 양식 사용자 정의에 대한 자세한 내용은 HTML 로그인 양식 사용자 정의를 참조하십시오.

다음에 무엇을할지

선택적으로 마지막 로그인 시간 업데이트, 증명, 암호 키 등록 제한, 사용자 확인 등 다른 암호 키 인증 설정을 구성할 수 있습니다. 자세한 내용은 선택적 암호 키 구성을 참조하세요.