Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
[CardSpace 관련 질문] 정리해 좋으신 글 잘 보았습니다. [링크 복사], [링크+제목 복사],
조회: 15924
글쓴 사람
이호정 (mathlead at magicn.com)
홈페이지
첨부 파일
 

먼저 깔끔한 사이트에 깜짝 놀랐습니다. (첨엔 제 Visual Studio가 뜬 줄 알았다는 ^^a;)
CardSpace 관련 자료를 제대로 정리해서 올려놓으신 덕에 아주 잘 공부하고 있습니다.
다만 여기저기 문서를 뒤적거려도 풀리지 않는 부분이 있어서 이렇게 질문을 올리게 되었습니다.

1. Managed Card의 경우 Claim이 특정 값을 가지지 않고, XRI로 indicating하는 것 같은데요.
이 경우, 모든 Claim은 무조건 XRI indicator 형태여야 하는 것일까요? 예를 들면,

예) 이름 : 호정, 나이 : 31, 주소 : www.sysnet.pe.kr/address

이런식으로 일정 Claim만 IDP(Identity Provider)에서 관리를 할 수도 있는 것일까요?

2. Managed Card의 경우 Service Providerd에 제출하려는 카드의 주소 Claim이 위와 같은 경우
www.sysnet.pe.kr/address에서 주소를 불러와야할텐데, 그렇다면 www.sysnet.pe.kr/address로의
인증이 필요할텐데 이부분은 어떻게 동작을 할지...

3. infocard.pingidentity.com 사이트에서의 예를 보면, 사이트 로그인을 self-issued card와
managed-card 양쪽을 사용하여 가능하도록 했는데, 회원가입시 self-issued card 제출과 로그인시
managed-card 제출을 생각하고 있었는데 그게 아니네요. 이런 경우 카드의 PPID를 통해
로그인을 지원하는 것인가요?

이상입니다. 아이쿠 너무 죄송합니다. 초면에 질문이 너무 많았습니다.
CardSpace 쪽에 관심이 있어 공부하다 보니 발생하는 문제랄까요? ^^a;;;;
흠... 어쨌든 정성태님의 sysnet.... 제게는 서광입니닷... ㅋㅎㅎㅎ






[최초 등록일: ]
[최종 수정일: 8/30/2007]

비밀번호
댓글 작성자
 


2007-08-29 05시54분
언급하신 단어들로 보아, OpenID 측을 알고 계신 듯합니다. 저는 그 분야에 대해 생소하기 때문에 아래의 답변에서 용어에 대한 불일치가 있을 수 있음을 감안해 주십시오. ^^

1.
Self-issued card와 Managed card 종류에 상관없이 xri는 사용되지 않습니다. 단지, RP가 요구하는 Claim set에 대해 사용자 PC에 설치된 Managed Card 안에 지정된 IP(Identity Provider)가 구현한 STS 주소로 Claim 목록을 전송하게 됩니다. STS는 해당 Claim과 요청되어진 Token Type에 기반해서 (이전에 사용자가 보관해 두었던) 값으로 구성된 Token을 반환해 주게 됩니다.

IP는 관리할 Claim 들을 임의로 가질 수 있으며, 사용자는 그 정보 중에 필요한 수준만큼 입력해서 보관해 둘 수 있습니다. 물론, RP에 의해서 required로 지정된 claim 정보에 대해서는 필수로 입력을 했어야겠지만.

2.
이 부분의 질문이 명확하게 이해가 되지 않습니다. 아무래도 www.sysnet.pe.kr/address 라는 것을 XRI라고 생각하시는 듯한데요. 각각의 claim에 대해서 IP는 값을 가지고 있을 뿐, 그것을 다시 XRI로 여겨서 정보를 가져오는 동작은 하지 않습니다.

3.
infocard.pingidentity.com 사이트는 접속이 안 되는군요. ^^
self-issued card와 managed card 모두 동일한 "신원"으로 인증이 이뤄지나요? 만약 그렇다면 self-issued card의 PPID 값을 기반으로 managed card를 만들었다고 봐야 할 것 같습니다. 참고로, PPID 하나만으로는 안전하지 않습니다. 그 이유에 대해서는 다음의 토픽을 참고하십시오.

자체 발행 정보 카드에서 보안 토큰을 위한 장기간용 키를 찾으려면 어떻게 해야 합니까?
; http://www.microsoft.com/korea/msdn/msdnmag/issues/06/10/SecurityBriefs/default.aspx
정성태
2007-08-29 05시54분
답변 해주신 내용 잘 봤습니다.
읽기 전에 이리저리 찾아보고 이해한 내용과 거의 일치하는 군요. (내심 뿌듯해 하고 있습니다. ㅎㅎ)

흠 연결되지 않는 사이트는 내부의 링크를 누르시면, 동작하구요. 거기보다는 Higgins에서 publishing한
데모사이트가 훨씬 깔끔하고 좋네요.

https://wag.bandit-project.org/BanditIdP/index.jsp

주소는 위와 같구요. CardSpace 지원하는 데모 사이트 입니다. ^_^
아직 아리송한 것이 STS는 여러 IDP를 가질 수 있느냐는 것인데, 흠흠흠... 한 번 잘 찾아봐야겠습니다.
2. 번의 경우 제가 indicator와 locator를 좀 헤깔렸네요.

훌륭한 답변 감사합니다. ^_^ 건승을 기원할께요~~~
이호정
2007-08-29 05시54분
사실 STS는 만들기 나름일 것 같습니다. IDP들과 STS의 관계만 맺어진다면 못 가질 것이 없겠지요.

Managed Card 발행에 대한 Microsoft 예제 실습 (2) - STS 구현
; https://www.sysnet.pe.kr/2/0/385

위의 토픽에서, [STS 빌드 및 실행] 절을 보면, GetTokenAttributes라는 코드가 있습니다. RP로는 그 부분에서 채워진 값들이 보내집니다. 즉, 해당 코드에서 채워지는 claim의 값들이 다른 IDP에서 조회해 온다고 해서 이상할 것은 없습니다.

다시 지난번 질문을 읽어보니, 예전 2번 질문이 위의 것과 비슷한 내용으로 이해가 되는데요. 그렇게 되면 STS 서비스 프로그램과 원격지 IDP 간에 인증은 어떻게 동작을 할 것인지를 물으신 것으로 이해가 됩니다. 다소 뻔한 시나리오지만, ^^ 이 부분은 일반 B2B 시나리오처럼 생각하셔도 무리가 없을 듯 싶습니다. 별도의 (AD 같은 경우에 ADFS를 구현하는 것처럼) 트러스트 관계를 맺는 식도 있을 것입니다.

근본적으로 살펴보면, cardspace도 여러 가지 Identity 문제를 해결하려고 시도한 결과에 불과할 뿐이죠. 즉, 2-factor 인증을 도입한 여러 가지 인증 방식 중의 하나일 것입니다. 그에 비춰서 볼 때, STS와 IDP들이 어떻게 서로를 인증하느냐는 수많은 방법 중의 하나를 택하는 것이라고 생각됩니다.

이번에도, 역시나 제가 질문을 잘 이해한 건지 걱정이 되는군요. ^^

그나저나... 이 분야로 한 번 일을 진행해 봐야 저도 좀 뭔가 확실히 답변을 드릴 수 있을 텐데... 그냥 머릿속으로만 알고 적용을 해본 적이 없어서 맴돌고만 있습니다. ^^
정성태
2007-08-29 05시54분
재답변 해주신 내용 맞는 것 같습니다.
사실 심증은 있으나 물증이 없어서, 하나의 STS가 여러 IDP를 가질 수 있는지 궁금했었는데
https://sts.labs.live.com/
의 내용과 다른 문서들의 정보를 조합하건데,
걍 IDP에서 STS로 Certification만 준다면 trust는 될 터이니
STS가 Discovery 역할도 할 수 있는 것 같습니다.
아.. 이제 하는 일의 실마리가 나름 풀리고 있답니다. ㅠ_ㅠ ㅎㅎㅎ

그나저나 참으로 관련분야에서 박학다식하신 것 같습니다.
저희 같은 질문자에게는 가뭄의 단비 같은 분이시네요. 다시 한 번 감사드립니다. ^_^
이호정
... 61  62  63  64  65  66  67  68  69  [70]  71  72  73  74  75  ...
NoWriterDateCnt.TitleFile(s)
831채승수10/13/200918113스마트 클라이언트 GAC 등록 문제 여쭤봅니다... [2]
829박찬용10/9/200930682WebBrowser 컨트롤 사용시 새창을 띄울시 세션/쿠키 공유가 왜 안될까요?? [1]파일 다운로드1
827송창훈9/24/200915672[질문]CAS 설정
828정성태9/28/200918763    답변글 [답변]: [질문]CAS 설정 [1]
825김재영9/18/200916763프레임워크별 비트 지원에 대해서 문의를 드립니다. [2]
821채승수8/27/200916149클릭원스를 비스타에서 실행시 [1]
822채승수8/28/200921223    답변글 [답변]: 클릭원스를 비스타에서 실행시 [2]
818개발돌이8/14/200919023ActiveX개발한 dll을 임베디드 할때 UI에 대한 질문 [1]파일 다운로드1
817채승수8/13/200918448클릭원스 관련 질문드립니다.~ [1]
816박진오7/29/200917735다국어 사이트의 컨텐츠 저장 방식에 대해.. [2]
814서광원7/16/200926530IWebBrowser2를 이용한 프로그램에서 javascript의 alert 창 무시하는 법? [1]
813윤상균7/16/200917451비관리코드와의 상호운용에서 마샬링 질문 [1]
812김현우7/13/200918023usercontrol은 mdi container가 될수 없는데 이를 구현할 방법은 무엇일런지요? [2]
811조민수7/3/200917430MSDN Magazine 한글화 않되나요? [1]
810세경6/29/200923011SmartClient Vista 64bit IE7 [4]
809윤석준6/24/200922747IE -nomerge 옵션으로 새창을 열려고 합니다. [1]
808한승훈6/4/200922012dll import하기 위해 struct 구성시에 struct가 struct를 가지고 있고 포함된 struct가 ByValArray형태일때 해결 [1]
806곰티5/26/200920029defcon pro 설치 원천 봉쇄 방법 문의 [3]
802채승수5/8/200919067신뢰사이트 등록/적용에 관해 질문드립니다. [1]
801채승수4/15/200919917IE8 새세션을 코드로 구현할수 없을까요 [1]
800신동열4/7/200920123IE8에서 스마트 클라이언트 로딩 문제 [2]
7993/27/200923112이벤트 로그 오류 [1]
798천해3/26/200920228IE8.0 에 관해 질문 드립니다. [2]
797궁금..3/23/200920155IE 8 관련 질문.. [2]
796정성태3/20/200918687스마트클라이언트와 ActiveX에 관한 질문 [1]
795김기용3/19/200918065[질문] DHTML 다이얼로그 관련 [2]
... 61  62  63  64  65  66  67  68  69  [70]  71  72  73  74  75  ...