외부 IDP(설명됨)
IDP 은(는) Identity Provider 의 약어입니다. 외부 IDP는 사용자 ID 정보를 저장하고 관리하며 다른 시스템에 사용자 인증 서비스를 제공하는 외부 응용 프로그램과 서비스입니다. 외부 IDP를 XProtect 비디오 관리 소프트웨어와 연결할 수 있습니다.
XProtect은 OpenID 연결(OIDC)과 호환되는 외부 IDP를 지원합니다.
사용자 인증
외부 IDP가 구성된 경우 XProtect 클라이언트는 추가 인증 옵션으로 외부 IDP 사용을 지원합니다.
클라이언트 로그인 화면의 컴퓨터 주소가 외부 IDP 가 구성된 XProtect 비디오 관리 소프트웨어를 가리키면 API 호출이 트리거되고 로그인 화면에서 외부 IDP의 인증 옵션을 사용할 수 있게 됩니다. API 호출은 클라이언트가 시작될 때와 주소가 변경될 때마다 활성화됩니다.
클라이언트가 쿼리하는 특정 API는 사용자 인증이 필요하지 않은 퍼블릭 API이므로 이 정보는 항상 클라이언트에서 읽을 수 있습니다.
클레임
클레임은 사용자 또는 응용 프로그램과 같은 엔터티가 만드는 명령문입니다.
클레임은 클레임 이름과 클레임 값으로 구성됩니다. 예를 들어 클레임은 클레임 값 콘텐츠를 설명하는 일반적인 이름일 수 있으며, 클레임 값은 그룹명일 수 있습니다. 외부 IDP의 클레임에 대한 추가 예를 참조하십시오. 외부 IDP의 클레임 예시 에서 확인하십시오.
클레임은 필수가 아닙니다. 그러나 사용자의 권한을 결정하기 위해 외부 IDP 사용자를 XProtect 비디오 관리 소프트웨어의 역할에 자동으로 연결하기 위해서는 클레임이 필요합니다. 클레임은 외부 IDP의 사용자 ID 토큰에 포함되어 있으며 역할과 연결하여 XProtect에서 사용자의 권한을 결정합니다.
외부 IDP 사용자에 대해 XProtect 비디오 관리 소프트웨어 역할과 관련된 클레임이 제공되지 않은 경우 외부 IDP 사용자가 처음 로그인할 때 XProtect 비디오 관리 소프트웨어에서 외부 IDP 사용자를 생성할 수 있습니다. 이러한 경우 외부 IDP 사용자는 어떤 역할에도 연결되지 않습니다. 그러면 XProtect 비디오 관리 소프트웨어 관리자가 수동으로 사용자를 역할에 추가해야 합니다.
외부 IDP 전제 조건
비디오 관리 소프트웨어에서 구성하기 전에 외부 IDP에서 다음 단계를 완료해야 합니다.
-
XProtect 비디오 관리 소프트웨어에 사용할 클라이언트 ID와 암호는 외부 IDP에서 생성해야 합니다. 자세한 정보는 외부 IDP 사용자의 고유 사용자 이름 를 참조하십시오.
-
외부 IDP의 인증 기관을 알고 있어야 합니다. 자세한 내용은 옵션 대화 상자에 있는 외부 IDP의 인증 기관에 대한 정보를 참조하십시오.
-
XProtect 비디오 관리 소프트웨어에 대한 리디렉션 URI는 IDP에 구성되어 있어야 합니다. 자세한 정보는 웹 클라이언트용 리디렉션 URI 추가를 참조하십시오.
-
선택 사항으로 IDP의 사용자 또는 그룹에 대해 비디오 관리 소프트웨어 관련 클레임이 구성되어 있어야 합니다.
-
모든 통신이 암호화된 https를 통해 이루어지도록 XProtect 비디오 관리 소프트웨어를 인증서로 완전히 구성해야 합니다. 그렇지 않으면 대부분의 외부 IDP가 XProtect 비디오 관리 소프트웨어와 해당 클라이언트의 요청을 수락하지 않거나 통신 흐름 및 보안 토큰 교환의 일부가 실패하게 됩니다.
-
XProtect 비디오 관리 소프트웨어와 외부 IDP를 사용해야 하는 모든 클라이언트 컴퓨터 또는 스마트폰이 외부 IDP 로그인 주소에 연결할 수 있어야 합니다.
외부 IDP의 XProtect VMS에 대한 로그인 권한을 사용자에게 부여하기
-
외부 IDP에서 사용자를 생성하고 사용자를 XProtect 비디오 관리 소프트웨어에서 IDP 사용자로 식별할 수 있도록 클레임을 생성합니다. 클레임 생성은 필수 단계는 아니지만 사용자를 역할에 자동 연결하도록 활성화하는 방법입니다. 자세한 정보는 클레임를 참조하십시오.
-
XProtect 비디오 관리 소프트웨어에서 비디오 관리 소프트웨어에 내장된 Identity Provider이(가) 외부 IDP에 연결할 수 있도록 하는 구성을 만듭니다. 외부 IDP에 대한 구성을 만드는 방법에 대한 자세한 내용은 외부 IDP 추가 및 구성을 참고하십시오.
-
XProtect VMS에서 사용자 클레임을 외부 IDP에서 XProtect 역할로 매핑하여 사용자 인증을 설정합니다. 클레임을 역할에 매핑하는 방법에 관한 자세한 내용은 Map claims from an external IDP to roles in XProtect를 참조하십시오.
-
사용자 인증을 위해 외부 IDP를 사용하여 XProtect 클라이언트에 로그인하려면 외부 IDP를 통한 로그인을(를) 참조하십시오.
리디렉션 URI
URI 리디렉션은 인증에 성공한 후 사용자가 전송되는 페이지를 지정합니다. 외부 IDP에서 관리 서버의 주소를 정의한 후에 XProtect Management Client에서 정의한 콜백 경로를 추가해야 합니다. 예: https://management-server-computer.company.com/idp/signin-oidc
XProtect 비디오 관리 소프트웨어에 액세스하는 방법, 네트워크, 서버 및 Microsoft Active Directory의 구성 방식에 따라 여러 리디렉션 URI가 필요할 수 있으며 아래에서 몇 가지 예를 확인할 수 있습니다.
예시
URL에 도메인이 포함되거나 포함되지 않은 관리 서버:
-
“https://[server_name]/idp/signin-oidc”
-
“https://[server_name].[domain_name]/idp/signin-oidc”
URL에 도메인이 포함되거나 포함되지 않은 모바일 서버:
-
“https://[server_name]:[mobile_port]/idp/signin-oidc”
-
“https://[server_name].[domain_name]:[mobile_port]/idp/signin-oidc”
모바일 서버가 인터넷을 통해 액세스하도록 설정된 경우 공개 주소와 포트도 추가해야 합니다.
외부 IDP 사용자의 고유 사용자 이름
외부 IDP를 통해 Milestone XProtect에 로그인하는 사용자에 대해 사용자 이름이 자동으로 생성됩니다.
외부 IDP는 XProtect의 사용자에게 자동으로 이름을 생성해주는 클레임 세트를 제공하며, XProtect에서는 VMS 데이터베이스에서 특별한 외부 IDP에서 나온 이름을 선택하는데 알고리즘이 사용됩니다.
외부 IDP의 클레임 예시
클레임은 클레임 이름과 클레임 값으로 구성됩니다. 예:
클레임 이름 | 클레임 값 |
---|---|
이름 | Raz Van |
이메일 | 123@domain.com |
amr | pwd |
idp | 00o2ghkgazGgi9BIE5d7 |
preferred_username | 321@domain.com |
vmsRole | 운영자 |
locale | ko-KR |
given_name | Raz |
family_name | Lindberg |
zoneinfo | America/Los_Angeles |
email_verified | 참 |
클레임 일련 번호를 사용하여 XProtect 에서 사용자 이름 생성
XProtect 에서, XProtect VMS에서 사용자 생성 시 검색 우선 순위는 아래 표에 있는 클레임 일련 번호에 따라 제어됩니다. 가장 먼저 이용 가능한 클레임 이름이 XProtect VMS에서 사용됩니다.
클레임 이름 | 일련 번호 | 설명 |
---|---|---|
UserNameClaimType | 1 | 사용자 이름 정의를 위한 하나의 클레임과의 구성된 매핑. 클레임은 도구 > 옵션 아래 외부 IDP 탭의 사용자 이름 생성에 사용할 클레임 필드에서 정의된 것입니다. |
preferred_username | 2 | 외부 IDP에서 올 수 있는 클레임. Oidc(OpenID Connect)에서 이를 위해 일반적으로 사용되는 표준 클레임입니다. |
이름 | 3 | |
given_name family_name | 4 | Bob Johnson과 같은 성과 이름의 조합. |
이메일 | 5 | |
가장 먼저 이용할 수 있는 클레임 + #(가장 먼저 이용할 수 있는 숫자) | 6 | 예를 들어, Bob#1 |
XProtect 에서의 사용자 이름 생성을 위한 특정 클레임 정의
XProtect 관리자는 XProtect VMS에서 사용자 이름 생성에 사용되어야 하는 외부 IDP에서 특정 클레임을 정의할 수 있습니다. 관리자가 XProtect VMS에서 사용자 이름 생성에 사용하기 위해 클레임을 정의할 때, 그러한 클레임은 외부 IDP에서 나온 클레임 이름과 정확히 일치하도록 입력해야 합니다.
-
사용자 이름에 사용할 클레임은 도구 > 옵션 아래 외부 IDP 탭의 사용자 이름 생성에 사용할 클레임 필드에서 정의된 것입니다.
외부 IDP 사용자 삭제
외부 IDP 로그인으로 XProtect에서 생성된 사용자는 기본 사용자와 같은 방식으로 삭제할 수 있으며 그러한 사용자는 생성 후 언제든지 삭제할 수 있습니다.
사용자가 XProtect에서 삭제되고 해당 사용자가 외부 IDP에서 다시 로그인하면, XProtect에서 새로운 사용자가 생성됩니다. 그러나 XProtect 의 사용자와 관련된 데이터(예: 개인 뷰 및 역할)은 상실되며 이 정보는 XProtect 에서의 사용자를 위해 다시 생성되어야 합니다.
Management Client에서 외부 IDP가 삭제되면 외부 IDP를 통해 VMS에 연결된 모든 사용자도 삭제됩니다.