액세스 제어 프로파일 구성

이 항목에서는 갤러리 포털 경험에 대한 액세스 제어 프로필을 구성하는 방법에 대해 설명합니다. IP 주소, SSO (단일 사인온) 또는 액세스 코드를 기반으로 액세스를 제어할 수 있습니다.

기본적으로 갤러리 포털 환경이 게시되면 사이트 URL이 있는 모든 사용자가 사이트에 액세스할 수 있습니다. 액세스 제어 프로필을 만들어 갤러리 포털 환경에 대한 액세스를 제한할 수 있습니다. 액세스 제어 프로파일은 갤러리 설정의 일부로 만들어지고 프로파일은 사이트에 할당됩니다. 액세스 제어 프로파일을 생성하여 다음에 따라 액세스를 제한할 수 있습니다.

IP 주소
싱글 사인온
액세스 코드

갤러리 포털 환경은 단일 액세스 제어 프로필로만 구성할 수 있습니다. 각 액세스 제어 프로필에는 하나의 액세스 제한 유형만 있을 수 있습니다. 예를 들어 IP 주소와 액세스 코드를 모두 사용하는 프로필을 만들 수 없습니다. 또한 Single Sign-On을 사용하는 경우 프로필당 하나의 ID 공급자만 구성할 수 있습니다.

액세스 제어 프로필을 만들려면 다음과 같이 하십시오.

갤러리 모듈을 엽니다.
설정 아이콘( ) 홈페이지에서.
왼쪽 탐색에서액세스 제어 프로파일을클릭합니다. 생성된 액세스 제어 프로파일 목록이 표시됩니다.

참고: 계정에 생성하지 않은 액세스 제어 프로필이 표시될 수 있습니다. 갤러리에서 액세스 제어 프로파일을 구현하기 전에 사이트에 대한 IP 제한, SSO 또는 액세스 코드를 구성한 경우 기능이 릴리스될 때 해당 설정이 액세스 제어 프로파일로 저장됩니다.
프로파일 작성을 클릭합니다.
프로파일에이름을 지정합니다 .
( 선택 사항)세션 시간 초과를구성하여 사용자 세션이 지속될 시간을 지정합니다. 몇 가지 참고 사항:
- 이 설정은 SSO 및 액세스 코드를 사용할 때 적용됩니다.
- 이것은 “유휴 시간 초과”입니다. 갤러리 서버에 도달 할 때마다 (사이트에서 페이지를로드하거나 사이트에 대한 API 호출을 통해) 타이머가 재설정됩니다. 이렇게 하면 뷰어가 지정된 제한 시간보다 길게 계속 탐색할 수 있지만 시간 초과보다 오래 유휴 상태가 되면 로그아웃됩니다. 비디오를 시청하는 동안에는 갤러리 서버에 액세스하지 않으므로 시간 초과 값은 가장 긴 비디오보다 길어야 합니다.
- SSO 공급자는 강제로 재인증을 수행하거나 세션 제한 시간이 제한 시간보다 작도록 설정해야 합니다. 그렇지 않은 경우 시간 초과 후 SSO 공급자로 리디렉션하고 사용자가 로그인했다는 응답을 즉시 발행합니다.
사이트를 보호하기 위한 옵션을 선택하십시오. 액세스 제어 프로필당 하나의 옵션만 선택할 수 있습니다 .
저장을 클릭합니다.
필요에 따라 추가 액세스 제어 프로파일을 생성합니다.

액세스 제어 프로파일을 편집하거나 삭제하려면 액세스 제어 프로파일과 연결된 편집 ( ) 또는 삭제 () 단추를 클릭합니다. 액세스 제어 프로파일이 작성되면 사이트 속성의 일부로 사이트에 지정할 수 있습니다. 자세한 내용은포털 환경에 대한 액세스 제어를참조하십시오.

IP 제한 구성

IP 제한을 사용하는 액세스 제어 프로필을 만들 때 미리 정의된 범위를 벗어난 IP 주소를 가진 뷰어는 사이트에 액세스하려고 할 때 오류를 받게 됩니다.

IP 제한을 사용하도록 액세스 제어 프로필을 구성하려면 다음과 같이 하십시오.

IP 주소로 제한옵션을 선택합니다.
사이트에 액세스할 수 있는 IP 주소 범위를 입력합니다. CIDR 블록 표기법도지원됩니다.
저장을 클릭합니다.

단일 사인온 구성

SSO를 사용하는 액세스 제어 프로필을 만들 때 사이트 방문자는 사이트에 액세스하기 전에 유효한 자격 증명으로 로그인하라는 메시지가 표시됩니다. 갤러리는 보안 도메인 간에 인증 및 권한 부여 데이터를 교환하기 위한 보안 어설션 마크업 언어 2.0 (SAML 2.0) 표준을 지원합니다.

갤러리는 다음을 포함하여 대부분의 주요 자격 증명 공급자를 지원합니다.

핑
원로그인
애드프스 2.0
구글 G 스위트
시보레스
옥타
세일즈포스닷컴

SAML 2.0 표준을 사용하는 다른 공급자도 작동합니다. 갤러리는여권 - saml라이브러리를 사용합니다. 갤러리는 이 라이브러리에서 작동하지 않는 ID 공급자를 지원하지 않습니다.

SSO 공급자에게 어설션 소비자 서비스 URL (ACS URL) 이 필요합니다. ACS URL은 액세스 제어 프로파일 테이블의 SSO 섹션에 나열됩니다.

ACS URL은 기본적으로 으로 설정됩니다https://auth.bcvp0rtal.com/login/callback . 고유한 URL을 제공하여 ACS URL을 재정의할 수도 있습니다. 이 두 옵션 모두 엄격한 SSO 공급자를 구성하는 데 사용할 수 있습니다. 기존 사이트의 경우http(s)://<site-root-url>/login/callback은 계속 작동하지만 브라이트코브는 게시자가 사용할 것을 권장합니다https://auth.bcvp0rtal.com/login/callback . 이 끝점은 도메인의 경로를 사용하는 사이트에 대해 SAML 데이터를 올바른 사이트로 전달하는 작업을 처리합니다.

참고: ID 시작 SSO 워크플로를 사용하는 경우 SSO 소프트웨어에 지정된 ACS URL은 해당 액세스 제어 프로파일로 구성된 갤러리 사이트를 가리켜야 합니다. 이 경우https://auth.bcvp0rtal.com/login/callback URL을 사용해서는 안됩니다.

SSO를 사용 하도록 액세스 제어 프로필을 구성 하려면 다음과이 같이 하십시오.

SSO 옵션을 선택합니다.
SAML 2.0 메타데이터의 내보내기 파일이 있는 경우파일 선택을클릭하여 메타데이터 파일을 찾아 선택합니다. 이렇게 하면SAML 2.0 끝점및X.509 인증서필드가 미리 채워집니다.
SAML 2.0 끝점 (HTTP)에 대한 값을 입력합니다. 이 값은 SAML 공급자에서 사용할 수 있어야 합니다.
X.509 인증서값을 입력합니다. 이 값은 SAML 공급자에서 사용할 수 있어야 합니다.
(선택 사항) SAML 발급자/엔티티 ID 재정의를입력합니다. SAML 발급자를 선택적으로 재정의하려면 여기에 값을 입력합니다.
(선택 사항) ACS URL 재정의를입력합니다. 필요에 따라 ACS URL을 재정의하려면 여기에 값을 입력합니다.
(선택 사항) SAML 인증 컨텍스트 재지정을입력합니다. SAML AuthnContext를 선택적으로 재정의하려면 여기에 값을 입력합니다.
(선택 사항) Default AuthnContext 를 비활성화하도록 선택합니다. 기본적으로 SSO 프로필의 경우 Gallery는 PasswordProtectedTransport를 SAML 인증 컨텍스트로 보냅니다. 경우에 따라 이는 ID 공급자가 지원하지 않습니다. 이 옵션을 선택하면 갤러리에서 인증 컨텍스트 요청을 보내지 않습니다.
(선택 사항) 외부 JavaScript에 전달할 SAML 속성을 입력합니다.
(선택 사항) 모든 속성 노출을선택하여 외부 JavaScript에서 사용할 SAML 속성을 모두 노출합니다.
저장을 클릭합니다.