SAML 속성 전파 구성

이 페이지에서는 SAML(보안 보장 마크업 언어) 속성 전파를 활성화하고 사용하는 방법에 대해 설명합니다. 이 기능을 사용하면 ID 공급업체의 SAML 속성을 IAP(Identity-Aware Proxy)로 보호되는 애플리케이션에 전파할 수 있습니다. SAML 속성을 전파할 때, 전파할 속성과 전파할 방법을 지정할 수 있습니다.

시작하기 전에

SAML 속성 전파 기능을 사용하려면 Chrome Enterprise Premium 라이선스가 있어야 합니다.

SAML V2.0 어설션 및 프로토콜 사양을 잘 알아야 합니다.

데이터 처리 방법 이해

SAML 속성 전파를 사용 설정하기 전에 Google Cloud가 데이터를 관리하는 방법과 이 채널을 통해 전달하거나 전달해서는 안 되는 정보 유형을 이해해야 합니다.

보호된 애플리케이션에 제공하는 정보에 하나 이상의 속성을 포함하도록 IAP를 구성할 수 있습니다. 타사 ID 공급업체를 통해 SSO를 설정하고 ID 공급업체가 SAML 어설션에 <AttributeStatement>를 포함하는 경우 Google Cloud는 사용자의 Google 계정 세션에 연결된 속성을 임시 저장합니다. Google 계정 세션이 만료되면 비동기 프로세스는 일주일 내에 정보를 영구적으로 삭제합니다. 만료일을 구성할 수 있습니다.

계정 사용자 인증 정보, 주민등록번호, 카드 소지자 데이터, 금융 계정 데이터, 의료 정보, 민감한 배경 정보와 같은 민감한 개인 식별 정보(PII)에는 SAML 속성 전파를 사용하지 마세요.

SAML 속성 전파 사용 설정

Google Workspace에서 SSO 프로필을 만들어 SAML 속성 전파를 사용 설정한 다음 Google Cloud CLI 또는 REST API를 사용하여 IAP 설정을 업데이트합니다.

콘솔

  1. Google Cloud 콘솔에서 IAP 페이지로 이동합니다.
    IAP로 이동
  2. 리소스 설정을 열고 속성 전파로 스크롤합니다.
  3. 속성 전파 사용 설정을 선택한 다음 저장을 클릭합니다.
  4. SAML 속성 탭에서 다음 형식을 사용하여 전파하려는 속성을 입력합니다. attribute1, attribute2, attribute3

    커스텀 표현식을 사용하여 속성을 입력할 수도 있습니다. 커스텀 표현식의 속성은 SAML 속성 탭에 표시됩니다. SAML 속성 탭에 속성이 표시되려면 다음 표현 형식을 사용해야 합니다.
    attributes.saml_attributes.filter(attribute, attribute.name in ['attribute', 'attribute2', 'attribute1'])

  5. 전달할 사용자 인증 정보 유형의 경우 IdP에서 수신되는 속성 형식을 하나 이상 선택하여 애플리케이션에 전달합니다.

gcloud

다음 IAP gcloud CLI 명령어를 실행하여 SAML 속성 전파 설정을 업데이트하세요.

gcloud iap settings set SETTING_FILE [--folder=FOLDER --organization=ORGANIZATION --project=PROJECT> --resource-type=RESOURCE_TYPE --service=SERVICE --version=VERSION] [GCLOUD_WIDE_FLAG …]

다음을 바꿉니다.

  • FOLDER: 애플리케이션이 있는 폴더
  • ORGANIZATION: 애플리케이션이 있는 조직
  • PROJECT: 애플리케이션이 있는 프로젝트
  • RESOURCE_TYPE: 리소스 유형
  • SERVICE: 서비스
  • VERSION: 버전 번호입니다.

YAML:

applicationSettings:
 attributePropagationSettings:
  expression: CEL_EXPRESSION
  outputCredentials: ARRAY[OUTPUT_CREDENTIALS]
  enable: BOOLEAN

JSON:

{
   "application_settings":{
      "attribute_propagation_settings": {
        "expression": CEL_EXPRESSION,
        "output_credentials": ARRAY[OUTPUT_CREDENTIALS]
        "enable": BOOLEAN
      }
   }
}

REST API

다음 예시와 같이 IapSettings에서 ApplicationSettings 객체를 사용하여 전파하도록 SAML 속성을 구성할 수 있습니다.

{
 "csmSettings": {
    object (CsmSettings)
  },
  "accessDeniedPageSettings": {
    object (AccessDeniedPageSettings)
  },
 "attributePropagationSettings": {
    object (AttributePropagationSettings)
  },
  "cookieDomain": string,
}

AttributePropagationSettings

{
 "expression": string,
 "output_credentials": array
 "enable": boolean
}

출력 사용자 인증 정보 설정

SAML 속성 전파를 사용하면 출력 사용자 인증 정보를 설정하여 JSON 웹 토큰(JWT) 및 헤더를 포함한 여러 매체에 속성을 전송할 수 있습니다. API에서 사용자 인증 정보를 설정하려면 다음 예시와 같이 쉼표로 구분된 문자열 목록을 지정할 수 있습니다.

"output_credentials": ["HEADER", "JWT", "RCTOKEN"]

Common Expression Language를 사용하여 SAML 속성 필터링

Common Expression Language(CEL) 함수를 사용하여 SAML 속성을 필터링할 수 있습니다.

SAML 속성 전파로 CEL 표현식을 사용할 때 다음과 같은 제한사항이 있습니다.

  • 표현식은 속성 목록을 반환해야 합니다.
  • 표현식에서 속성을 최대 45개까지 선택할 수 있습니다.
  • 표현식 문자열은 1,000자(영문 기준)를 초과할 수 없습니다.

다음은 IAP SAML 속성 전파 기능을 사용할 때 지원되는 CEL 함수입니다.

함수는 대소문자를 구분하며 작성된 그대로 사용되어야 합니다. 함수 호출을 연결할 때 strictemitAs 함수의 순서는 중요하지 않습니다.

함수 설명
필드 선택 a.b 프로토콜 a에서 b 필드를 선택합니다. b 문자는 다른 proto, 목록 아니면 문자열과 같은 간단한 값 유형일 수 있습니다.
목록 필터링 list.Filter(iter_var, condition) 항목이 condition을 충족하는 list 하위 집합을 반환합니다.
목록 멤버십 b에 대해 a a 값이 b 목록의 구성원인 경우 true를 반환합니다.
selectByName list.selectByName("name") 목록에서 name = "name"인 속성을 선택합니다.
append list.append(attribute) 지정된 속성을 지정된 목록에 추가합니다.
strict attribute.strict() HEADERS를 출력 사용자 인증 정보로 사용하는 경우 x-goog-iap-attr- 프리픽스 없이 속성을 내보냅니다.
emitAs attribute.emitAs("new_name") 이름이 "new_name"인 지정된 속성을 선택한 모든 출력 사용자 인증 정보에 출력합니다.

CEL 표현식 예시

SAML 어설션을 가정합니다.

<saml2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <saml2:Attribute Name="my_saml_attr_1">
    <saml2:AttributeValue xsi:type="xsd:string">value_1</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_2</saml2:AttributeValue>
  </saml2:Attribute>
 <saml2:Attribute Name="my_saml_attr_2">
    <saml2:AttributeValue xsi:type="xsd:string">value_3</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_4</saml2:AttributeValue>
  </saml2:Attribute>
 <saml2:Attribute Name="my_saml_attr_3">
    <saml2:AttributeValue xsi:type="xsd:string">value_5</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_6</saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

my_saml_attr_1을 선택하려면 다음 CEL 표현식을 사용하세요.

attributes.saml_attributes.filter(attribute, attribute.name in ["my_saml_attr_1"])

my_saml_attr_1my_saml_attr_2를 선택하려면 다음 CEL 표현식을 사용합니다.

attributes.saml_attributes.filter(attribute, attribute.name in ["my_saml_attr_1", "my_saml_attr_2"])

속성 형식

선택한 모든 속성이 선택한 모든 출력 사용자 인증 정보에 완전히 복제됩니다.

예: SAML 어설션 가정

<saml2:AttributeStatement xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <saml2:Attribute Name="my_saml_attr_1">
    <saml2:AttributeValue xsi:type="xsd:string">value_1</saml2:AttributeValue>
    <saml2:AttributeValue xsi:type="xsd:string">value_2</saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

JWT 및 RC 토큰

JWT 토큰은 additional_claims 필드를 통해 속성을 제공합니다. 필드는 객체이며 속성 값 목록에 대한 속성 이름 매핑을 포함합니다. 속성 이름은 제공된 SAML 어설션에서 변경되지 않습니다.

예시 SAML 어설션의 경우 IAP JWT에는 다음이 포함됩니다.

{
  "additional_claims": {
    "my_saml_attr_1": ["value_1", "value_2"]
  }
}

SAML 어설션의 헤더

헤더에서 속성, 키, 이름 값은 RFC 3986에 따라 URL 이스케이프 처리되며 쉼표로 조인됩니다. 예를 들어 header&name: header$valuex-goog-iap-attr-header%26name: header%24value가 됩니다.

IAP 헤더를 고유하게 식별하기 위해 각 헤더에는 IAP 프리픽스 x-goog-iap-attr-이 포함됩니다. 보안상의 이유로 부하 분산기는 x-goog-iap-attr 프리픽스가 있는 모든 요청 헤더를 삭제합니다. 이렇게 하면 앱에서 수신한 헤더가 IAP에서 생성됩니다.

예시 SAML 어설션의 경우 헤더는 다음과 같습니다.

"x-goog-iap-attr-my_saml_attr_1": "value_1,value_2"

다음 예시에서는 value&1, value$2, value,3과 같은 헤더에서 속성을 전파할 때 IAP가 특수 문자를 이스케이프 처리하는 방법을 보여줍니다.

"x-goog-iap-attr-my_saml_attr_1": "value%261,value%242,value%2C3"

다음은 헤더 이름이 이스케이프되는 방법의 예입니다.

헤더 이름:

"iap,test,3": "iap_test3_value1,iap_test3_value2"

이스케이프 처리된 헤더 이름:

"X-Goog-IAP-Attr-iap%2Ctest%2C3": "iap_test3_value1,iap_test3_value2"

속성 맞춤설정

selectByName, append, strict, emitas 함수를 사용하여 전파된 속성 이름을 수정하고 일부 속성에 헤더 프리픽스를 사용할지 여부를 지정한 후 새 IAP 제공 속성을 선택할 수 있습니다.

SAML 속성 전파는 필요 없지만 SM_USER 필드에 이메일 주소, 기기 ID 또는 타임스탬프가 필요한 경우 iap_attributes list: attributes.iap_attributes…에서 이러한 속성을 선택할 수 있습니다.

IAP는 user_email, device_id, timestamp 속성을 제공합니다.

예시

다음 예시에서는 selectByName, append, strict, emitas 함수를 사용하여 속성을 맞춤설정하는 방법을 보여줍니다.

예시 SAML 어설션을 가정합니다.

selectByName

selectByName 함수를 사용하여 주어진 목록에서 이름별로 단일 속성을 선택합니다. 예를 들어 my_saml_attr_1을 선택하려면 다음 표현식을 사용합니다.

attributes.saml_attributes.selectByName("my_saml_attr_1")

append

append 함수를 사용하여 속성 목록에 속성을 추가합니다. 지원되는 IAP 속성 목록 중 하나에서 이 속성을 선택해야 합니다. 예를 들어 my_saml_attr_1이 포함된 목록에 my_saml_attr_2를 추가하려면 다음 표현식을 사용합니다.

attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(attributes.saml_attributes.selectByName("my_saml_attr_2"))

"my_saml_attr_2"를 필터 목록에 추가할 수 있습니다. 다음과 같이 연결을 연결하여 속성 여러 개를 추가하고 목록에 추가할 수도 있습니다.

attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(
attributes.saml_attributes.selectByName("my_saml_attr_2")).append(
attributes.saml_attributes.selectByName("my_saml_attr_3"))

단일 속성 추가는 strictemitAs 기능과 함께 사용할 때 가장 유용합니다.

strict

IAP에서 x-goog-iap-attr- 프리픽스를 이름에 추가하지 않도록 strict 함수를 사용하여 속성에 플래그를 지정합니다. 이는 백엔드 애플리케이션의 속성 이름이 정확해야 하는 경우에 유용합니다. 예를 들면 다음과 같습니다.

attributes.saml_attributes.selectByName("my_saml_attr_1").strict()

emitAs

emitAs 함수를 사용하여 속성의 새 이름을 지정합니다. 지정한 이름이 모든 사용자 인증 정보에 출력됩니다. 예를 들어 my_saml_attr_1custom_name으로 바꾸려면 다음 표현식을 사용합니다.

attributes.saml_attributes.selectByName("my_saml_attr_1").emitAs("custom_name")

다양한 함수를 사용하여 특정 사용 사례에 맞게 속성을 맞춤설정할 수 있습니다. 예를 들어 다음 표현식을 사용하여 IAP 속성에서 다른 SAML 속성과 함께 사용자의 이메일을 "SM_USER"로 전파할 수 있습니다.

attributes.saml_attributes.filter(x, x.name in ["my_saml_attr_1"]).append(
attributes.iap_attributes.selectByName("user_email").emitAs("SM_USER").strict())

출력 헤더는 다음과 같습니다.

"x-goog-iap-attr-my_saml_attr_1": "value_1,value_2"
"SM_USER": "email@domain.com"

SAML 속성 전파 사용 시 제약조건

로그인 시, ID 공급업체에서 들어오는 속성의 SAML 속성 데이터는 2KB로 제한됩니다. 2KB 한도를 초과하는 어설션은 거부되고 로그인에 실패합니다.

대부분의 웹 서버는 요청 크기 한도가 8KB입니다. 이렇게 하면 헤더의 중복 속성을 비롯하여 발신 커스텀 속성의 크기가 제한됩니다. 이름에 값이 추가된 속성이 복제 및 인코딩되었을 때 크기가 5,000바이트를 초과하면 IAP가 요청을 거부하고 IAP 오류 코드 401을 반환합니다.

SAML 속성 전파의 유니코드 문자

이 기능은 유니코드 및 UTF-8 문자를 지원하지 않으므로 속성 값은 하위 ASCII 문자열이어야 합니다. 어설션이 하위 ASCII가 아닌 경우 로그인에 실패합니다.