saml 예제

공통 도메인의 가상 예제예로, 영국 예제(example.co.uk)와 예제 도이치랜드(example.de)가 가상 조직 예제 글로벌 얼라이언스(example.com)에 속한다고 가정해 보겠습니다. 이 예제에서는 도메인 example.com 공통 도메인입니다. 예제 영국 및 예제 도이치랜드는 이 도메인에 존재합니다(uk.example.com 및 de.example.com, resp.). 다른 빈을 추가하고 SamL 작업에 참여할 수 있는 모든 SAML 필터 집합과 같은 Saml 보안 필터 체인을 초기화해 보겠습니다. 다음 예제에서는 서비스 공급자와 ID 공급자 모두 HTTP POST 바인딩을 사용합니다. 처음에 서비스 공급자는 XHTML 양식이 포함된 문서로 사용자 에이전트의 요청에 응답합니다. 여기에 입력된 URL은 다음 단계에서 만든 HTML 코드의 “콜백 URL”과 일치해야 합니다. 일반적으로 응용 프로그램에 대한 URL을 입력하지만 이 예제를 간단하게 유지하려면 인증 순서가 끝날 때 반환되는 JASON Web Token에 대한 몇 가지 정보를 제공하는 Auth0 JWT 온라인 도구로 사용자에게 전송됩니다. 인증 문이 포함된 어설션을 암시적으로 요청하는 위의 요소는 서비스 공급자(https://sp.example.com/SAML2)에 의해 명백하게 발행되었으며, 이후에 ID 공급자에게 제공되었습니다( 브라우저)를 참조하십시오.

ID 공급자는 보안 주체를 인증하고(필요한 경우) 인증 응답을 발행하여 다시 브라우저를 통해 서비스 공급자에게 전송됩니다. 이전 예제에서는 각 요소가 디지털 서명된 것으로 표시됩니다. 그러나 실제로는 여러 요소가 요소 아래에 전체 집계에 걸쳐 단일 디지털 서명으로 그룹화됩니다: HTTP 아티팩트 바인딩은 아티팩트 해결 프로토콜과 SAML SOAP 바인딩(HTTP 이상)을 참조하여 SAML 메시지를 해결합니다. 다음 구체적인 예를 살펴보겠습니다. 서비스 공급자가 메시지를 ID 공급자에게 보내려고 한다고 가정합니다. 처음에 서비스 공급자는 HTTP 리디렉션을 통해 ID 공급자에 아티팩트를 전송합니다. 이 섹션의 키 관리자() 구성을 다룹니다. 위의 예제에서 요소에는 다음과 같은 자식 요소가 포함되어 있습니다. 주 서버를 대신하여 요청하는 요청자가 특성에 대한 ID 공급자를 쿼리하는 경우가 많습니다. 아래에서 는 보안 주체가 직접 발급한 쿼리의 예를 들어, 모든 SAML bean 선언 및 구성을 담당하는 SamlSecurityConfig의 주 보안 구성 클래스를 만들어 보겠습니다. 예를 들어 OneLogin URL이 splinkly.onelogin.com 경우 하위 도메인 값으로 splinkly를 입력합니다.

IdP가 시작한 로그인은 사용자가 먼저 IdP(일반적으로 로그인 페이지 또는 대시보드)로 탐색한 다음 SAML 어설션을 사용하여 SP로 이동하면서 시작됩니다. 이것은 손목 밴드 텐트에 먼저 가서 팔찌를 받은 후 맥주 텐트에 가는 것과 같습니다. 사용자가 Salesforce에 로그인하고 맥주를 받는 위의 예는 IdP가 시작되었습니다. 웹 브라우저 SSO의 경우 HTTP 리디렉션 바인딩 및 HTTP POST 바인딩이 일반적으로 사용됩니다. 예를 들어 서비스 공급자는 HTTP 리디렉션을 사용하여 요청을 보내고 ID 공급자는 HTTP POST를 사용하여 응답을 전송할 수 있습니다. 이 예제에서는 엔터티의 바인딩 선택이 파트너의 바인딩 선택과 무관하다는 것을 보여 줍니다. 역할에 따라 끝점을 확보하면 어떻게 해야 하나요? SAML 응답에서 클레임으로 그룹을 반환하지만 @PreAuthorize(“hasRole(`ROLE_USER`)”)를 사용하면 작동하지 않습니다. 예를 들어 이 육각 인코딩 된 유형 0x0004 아티팩트: 사용자가 로그인 한 후 IDP는 SAML 응답을 구성된 URL(예: 구성된 URL)으로 리디렉션합니다.