Juniper Secure Connect의 SAML 인증
Juniper Secure Connect의 SAML(Security Assertion Markup Language) 기반 사용자 인증에 대해 알아보려면 이 주제를 읽어보세요.
SAML 개요
SAML(Security Assertion Markup Language)은 SP(서비스 공급자)와 IdP(ID 공급자) 간에 인증 및 권한 부여 데이터를 교환하기 위한 XML 기반 프레임워크입니다. SAML은 사용자가 한 번 로그인한 다음 매번 자격 증명을 다시 입력할 필요 없이 여러 애플리케이션에 원활하게 액세스할 수 있는 SSO(Single Sign-On)를 지원합니다.
Juniper Secure Connect는 SAML 버전 2(SAML 2.0)를 사용하여 원격 사용자 인증을 지원합니다. iked 프로세스를 사용하여 VPN 서비스를 실행할 때 SRX 시리즈 방화벽은 이 기능을 지원합니다.
Juniper Secure Connect를 위한 SAML 구성 요소
다음은 Juniper Secure Connect를 위한 SAML의 주요 구성 요소입니다.
-
Principal (User)(주체(사용자)) - 원격 액세스 VPN 연결과 같은 서비스를 요청하는 사용자입니다. Juniper Secure Connect의 모든 원격 사용자가 보안 주체입니다. 사용자의 장치에서 사용할 수 있는 브라우저(예: Windows 랩톱)는 SSO의 에이전트로 사용됩니다.
-
ID 공급자(IdP) - 사용자를 인증하고 서비스 공급자에게 ID 어설션을 제공하는 엔터티입니다. IdP는 사용자가 인증되었음을 나타내는 인증 어설션을 생성합니다. Okta와 Microsoft Azure가 IdP의 예입니다.
-
SP(서비스 프로바이더) - 사용자에게 서비스를 제공하는 엔터티입니다. IdP의 어설션에 의존하여 사용자에게 액세스 권한을 부여합니다. Juniper Secure Connect에서 SRX 시리즈 방화벽은 원격 액세스 VPN 서비스를 제공하는 SP로서 작동합니다.
-
SAML 어설션 - 사용자의 인증 및 권한 부여 정보를 전달하는 XML 기반 메시지입니다. 어설션은 IdP에서 SP로 사용자 ID 정보를 전송하는 데 사용됩니다.
-
SAML 바인딩 - IdP와 SP 간에 SAML 메시지가 전송되는 방식을 정의합니다. SRX 시리즈 방화벽은 HTTP 리디렉션 및 HTTP POST 바인딩을 통해 SP 시작 SSO 프로필을 지원합니다.
-
SAML 메타데이터 - 엔티티 ID, 인증서, 바인딩, URL 등과 같은 IdP 및 SP 속성을 설명하는 XML 기반 데이터입니다. 이러한 엔터티는 서로 상호 작용합니다. SRX 시리즈 방화벽을 사용하면 IdP 메타데이터를 가져오고 SP 메타데이터를 내보낼 수 있습니다.
표 1 에는 SRX 시리즈 방화벽에서 SAML 기능이 지원하는 목록이 나와 있습니다.
| SAML 기능 |
지원 |
|---|---|
| SAML 버전 |
SAMLv1과 호환되지 않습니다. |
| SAML 프로필 |
|
| SAML 바인딩 |
|
| 서비스 프로바이더 해시 알고리즘 |
기본값은 SHA-256입니다. |
| 어설션 캐시 |
|
| 고가용성 지원 |
진행 중인 인증 세션에 대한 고가용성 지원이 없습니다. |
혜택
-
사용자 경험 개선 - SAML은 다중 애플리케이션 액세스 시나리오에서 SSO 기능을 제공합니다. Juniper Secure Connect 외에도 한 번의 로그인으로 여러 서비스 프로바이더가 제공하는 여러 애플리케이션에 연결할 수 있습니다. 응용 프로그램마다 다른 자격 증명을 입력할 필요가 없습니다.
-
보안 강화 - SAML은 보안 IdP를 사용하여 단일 인증 지점을 제공하여 Juniper Secure Connect 원격 사용자에게 향상된 보안을 제공합니다. SAML은 서비스 공급자와 사용자 자격 증명을 공유하지 않습니다. SAML은 ID 정보만 서비스 공급자에게 전송하므로 자격 증명이 모든 서비스 공급자가 아닌 IdP에만 전송되도록 합니다.
-
손쉬운 통합 - 개방형 표준인 SAML은 Juniper Secure Connect 원격 사용자 인증을 위해 모든 IdP와 쉽게 통합할 수 있습니다.
-
비용 절감 - SAML을 사용하면 서비스 제공업체가 여러 사용자 계정 세부정보를 유지 관리하는 비용을 절감할 수 있습니다.
SAML이 Juniper Secure Connect에서 작동하는 방식
Juniper Secure Connect에 SAML을 사용하여 원격 사용자 인증을 구성할 때 다음 사항을 고려하십시오.
-
Juniper Secure Connect에서 원격 사용자 인증을 위해 SAML을 선택하는 경우 IdP와 계약을 체결해야 합니다. 서비스 공급자가 알고 있어야 하는 IdP 관련 구성 설정에 대해 알고 있어야 합니다.
-
SAML을 액세스 프로필의 인증 방법으로 설정합니다. authentication-order(액세스 프로파일)를 참조하십시오.
-
IdP(ID 공급자) 및 SP(서비스 프로바이더) 설정과 같은 SAML 액세스 매개 변수를 구성합니다. saml을 참조하십시오.
-
액세스 프로필에 대한 SAML 설정을 지정합니다. saml(액세스 프로필)을 참조하십시오.
-
IdP에서 SAML 어설션을 캐시하지 않으려면 SAML 옵션에서 기본 설정을 지정합니다. saml-options를 참조하십시오.
-
SAML을 사용하여 Juniper Secure Connect 원격 사용자를 인증하려면 원격 액세스 VPN 프로필과 IKE 게이트웨이 AAA 액세스 프로필이 모두 SAML 기반이어야 합니다.
그림 1 은 Juniper Secure Connect의 SAML 기반 사용자 인증 워크플로우를 보여줍니다.
를 통한 SAML 인증 워크플로우
Juniper Secure Connect 원격 사용자가 특정 사용자 이름과 연결 프로필을 지정하여 SRX 시리즈 방화벽에 연결 요청을 보냅니다.
SRX 시리즈 방화벽은 액세스 프로필을 검사하여 프로필이 SAML을 인증 방법으로 사용하는지 확인합니다. 액세스 프로필에는 여러 도메인에 대한 여러 IdP가 포함될 수 있습니다. 사용자의 도메인에 따라 IdP의 선택이 결정됩니다. 예를 들어, 사용자 이름이 user1@domain1이고 domain1이 액세스 프로필 내에 구성된 경우 방화벽은 domain1에 해당하는 IdP를 선택합니다. domain1이 구성되지 않은 경우 방화벽은 도메인 아래에 구성된 IdP를
any사용합니다. 마찬가지로 사용자 이름에 user1과 같은 이메일 형식이 포함되어 있지 않은 경우 방화벽은 기본적으로 도메인 아래에 구성된 IdP를any선택합니다.방화벽은 SAML 인증 요청을 Juniper Secure Connect로 보냅니다.
Juniper Secure Connect는 웹 브라우저(user-agent)를 시작하고 SAML 인증 요청을 IdP로 리디렉션합니다.
IdP가 사용자를 인증합니다.
인증에 성공하면 IdP는 HTTP POST 요청을 사용하여 SAML 어설션을 보냅니다.
웹 브라우저는 SAML 어설션을 SRX 시리즈 방화벽으로 전달합니다.
SRX 시리즈 방화벽은 SAML 어설션을 수신하고 이를 검증합니다.
SAML 어설션이 유효하면 방화벽은 유효한 SAML 어설션 토큰과 함께 인증 결과를 Juniper Secure Connect로 보냅니다.
Juniper Secure Connect는 SAML 인증 후 SRX 시리즈 방화벽으로 원격 액세스 VPN 터널을 설정합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.