콜백 핸들러 구성 설정

이 페이지에서는 SOAP(Simple Object Access Protocol) 메시지 내의 웹 서비스 보안 헤더에 삽입된 보안 토큰을 확보하는 방법을 지정합니다. 토큰 획득은 보안 토큰을 획득하기 위해 JAAS(Java™ Authentication and Authorization Service) javax.security.auth.callback.CallbackHandler 인터페이스를 활용하는 플러그 가능한 프레임워크입니다.
서버 레벨에서 콜백 핸들러의 이 WebSphere® Application Server 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
  2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
  3. 기본 생성기 바인딩에서 토큰 생성기 > token_generator_name을 클릭하십시오.
  4. 추가 특성에서 콜백 핸들러를 클릭하십시오.
애플리케이션 레벨에서 콜백 핸들러의 이 WebSphere Application Server 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
  2. 관련 항목에서 EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
  3. 추가 특성에서 다음 바인딩에 필요한 콜백 핸들러 정보에 액세스할 수 있습니다.
    • 요청 생성기(송신기) 바인딩의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 요청 생성기(송신기) 바인딩에서 사용자 정의 편집을 클릭하십시오. 추가 특성에서 토큰 생성기를 클릭하십시오. 새로 작성을 클릭하여 새 토큰 생성기 구성을 작성하거나 기존 구성의 이름을 클릭하여 구성 설정을 수정하십시오. 추가 특성에서 콜백 핸들러를 클릭하십시오.
    • 응답 생성기(송신기) 바인딩의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 응답 생성기(송신기) 바인딩에서 사용자 정의 편집을 클릭하십시오. 추가 특성에서 토큰 생성기를 클릭하십시오. 새로 작성을 클릭하여 새 토큰 생성기 구성을 작성하거나 기존 구성의 이름을 클릭하여 구성 설정을 수정하십시오. 추가 특성에서 콜백 핸들러를 클릭하십시오.

콜백 핸들러 클래스 이름

보안 토큰 프레임워크를 플러그인하는 데 사용되는 콜백 핸들러 구현 클래스의 이름을 지정합니다.
지정된 콜백 핸들러 클래스는 javax.security.auth.callback.CallbackHandler 클래스를 구현해야 합니다. JAAS javax.security.auth.callback.CallbackHandler 인터페이스의 구현에서는 다음 구문을 사용하여 생성자를 제공해야 합니다.

MyCallbackHandler(String username, char[] password, java.util.Map properties)

여기서 각 항목은 다음과 같습니다.
username
구성으로 전달할 사용자 이름을 지정합니다.
password
구성으로 전달할 비밀번호를 지정합니다.
properties
구성으로 전달할 기타 구성 특성을 지정합니다.
WebSphere Application Server에서는 다음 기본 콜백 핸들러 구현을 제공합니다.
com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
이 콜백 핸들러는 로그인 프롬프트를 사용하여 사용자 이름 및 비밀번호 정보를 수집합니다. 그러나 이 패널에서 사용자 이름 및 비밀번호를 지정하는 경우 프롬프트가 표시되지 않으며 이 패널에 사용자 이름 및 비밀번호가 지정된 경우 WebSphere Application Server가 토큰 생성기에 사용자 이름 및 비밀번호를 리턴합니다. J2EE(Java 2 Platform, Enterprise Edition) 애플리케이션 클라이언트에서만 이 구현을 사용하십시오.
com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
이 콜백 핸들러는 프롬프트를 발행하지 않으며 이 패널에 사용자 이름 및 비밀번호가 지정된 경우 이를 리턴합니다. 웹 서비스가 클라이언트 역할을 하는 경우, 이 콜백 핸들러를 사용할 수 있습니다.
com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
이 콜백 핸들러에서는 표준 입력 프롬프트를 사용하여 사용자 이름 및 비밀번호를 수집합니다. 그러나 이 패널에 사용자 이름 및 비밀번호가 지정된 경우에는 WebSphere Application Server가 프롬프트를 발행하지 않지만 토큰 생성기에 사용자 이름 및 비밀번호를 리턴합니다. J2EE(Java 2 Platform, Enterprise Edition) 애플리케이션 클라이언트에서만 이 구현을 사용하십시오.
com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
이 콜백 핸들러는 실행 도구 호출 주제에서 LTPA(Lightweight Third Party Authentication) 보안 토큰을 얻는 데 사용됩니다. 이 토큰은 SOAP 메시지 내의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입됩니다. 그러나 사용자 이름 및 비밀번호가 이 패널에서 지정된 경우 WebSphere Application Server가 실행 도구 주제에서 LTPA 보안 토큰을 얻지 않고 사용자 이름 및 비밀번호를 인증하여 LTPA 보안 토큰을 얻습니다. 웹 서비스가 애플리케이션 서버에서 클라이언트 역할을 하는 경우에만 이 콜백 핸들러를 사용하십시오. J2EE 애플리케이션 클라이언트에서는 이 콜백 핸들러를 사용하지 않는 것이 좋습니다.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
이 콜백 핸들러는 SOAP 메시지 내의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입되는 X.509 인증서를 작성하는 데 사용됩니다. 이 콜백 핸들러에는 키 저장소 및 키 정의가 필수입니다.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
이 콜백 핸들러는 PKCS#7 형식으로 인코드되는 X.509 인증서를 작성하는 데 사용됩니다. 이 인증서는 SOAP 메시지의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입됩니다. 이 콜백 핸들러에는 키 저장소가 필수입니다. 콜렉션 인증서 저장소에 인증서 폐기 목록(CRL)을 지정해야 합니다. CRL은 PKCS#7 형식의 X.509 인증서로 인코드됩니다.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
이 콜백 핸들러는 PkiPath 형식으로 인코드되는 X.509 인증서를 작성하는 데 사용됩니다. 이 인증서는 SOAP 메시지 내의 웹 서비스 보안 헤더에 2진 보안 토큰으로 삽입됩니다. 이 콜백 핸들러에는 키 저장소가 필수입니다. 이 콜백 핸들러에서는 CRL이 지원되지 않습니다. 따라서 콜렉션 인증서 저장소가 필수가 아니거나 사용되지 않습니다.

콜백 핸들러 구현에서는 필수 보안 토큰을 얻어 토큰 생성기에 이를 전달합니다. 토큰 생성기는 SOAP 메시지 내의 웹 서비스 보안 헤더에 보안 토큰을 삽입합니다. 또한 토큰 생성기는 플러그 가능한 보안 토큰 프레임워크의 플러그인 지점입니다. 서비스 제공자는 자체 구현을 제공할 수 있으나, 구현이 com.ibm.wsspi.wssecurity.token.TokenGeneratorComponent 인터페이스를 사용해야 합니다.

ID 어설션 사용

IBM® 확장 배치 디스크립터에 ID 어설션이 정의된 경우 이 옵션을 선택하십시오.

이 옵션은 초기 송신기의 ID만 필수이며 SOAP 메시지의 웹 서비스 보안 헤더에 이 ID가 삽입됨을 표시합니다. 예를 들어, WebSphere Application Server는 사용자 이름 TokenGenerator에 대한 원래 호출자의 사용자 이름만 전송합니다. X.509 토큰 생성기의 경우 애플리케이션 서버가 원래 서명자 인증만 전송합니다.

실행 도구 ID 사용

IBM 확장 배치 디스크립터에 ID 어설션이 정의되어 있으며 다운스트림 호출에 대한 ID 어설션에 초기 호출자 ID 대신 실행 도구 ID를 사용하려는 경우 이 옵션을 선택하십시오.

이 옵션은 사용자 이름 TokenGenerator를 토큰 생성기로 구성한 경우에만 유효합니다.

기본 인증 사용자 ID

콜백 핸들러 구현의 생성자에 전달되는 사용자 이름을 지정합니다.
WebSphere Application Server에서 제공하는 다음 기본 콜백 핸들러 구현 중 하나를 선택하는 경우 기본 인증 사용자 이름 및 비밀번호가 사용됩니다.
  • com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
  • com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler

이 문서의 콜백 핸들러 클래스 이름 필드 설명에 이들 구현에 대해 자세히 설명되어 있습니다.

기본 인증 비밀번호

콜백 핸들러의 생성자에 전달되는 비밀번호를 지정합니다.
WebSphere Application Server에서 제공하는 다음 기본 콜백 핸들러 구현 중 하나를 선택하는 경우 키 저장소 및 이와 관련된 구성이 사용됩니다.
com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
인증서 경로를 사용하여 X.509 인증서를 빌드하는 데 키 저장소를 사용합니다.
com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
인증서 경로를 사용하여 X.509 인증서를 빌드하는 데 키 저장소를 사용합니다.
com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
X.509 인증서를 검색하는 데 키 저장소를 사용합니다.

키 저장소 비밀번호

키 저장소 파일에 액세스하는 데 사용되는 비밀번호를 지정합니다.

키 저장소 경로

키 저장소 파일의 위치를 지정합니다.

${USER_INSTALL_ROOT} 변수가 사용자 시스템의 WebSphere Application Server 경로까지 포함하므로 경로 이름에 이 변수를 사용하십시오. 이 변수에서 사용되는 경로를 변경하려면 환경 > WebSphere 변수를 클릭한 후 USER_INSTALL_ROOT를 클릭하십시오.

키 저장소 유형

키 저장소 파일 형식의 유형을 지정합니다.
이 필드에 다음 값 중 하나를 선택할 수 있습니다.
JKS
키 저장소에서 JKS(Java Keystore) 형식을 사용하는 경우 이 옵션을 사용하십시오.
JCEKS
SDK(Software Development Kit)에 Java Cryptography Extension이 구성된 경우 이 옵션을 사용하십시오. 기본 IBM JCE는 WebSphere Application Server에 구성됩니다. 이 옵션에서는 삼중 DES 암호화를 사용하여 저장된 개인 키를 더 안전하게 보호합니다.
PKCS11KS(PKCS11)
키 저장소 파일에서 PKCS#11 파일 형식을 사용하는 경우 이 옵션을 사용하십시오. 이 형식을 사용하는 키 저장소 파일은 암호화 하드웨어에 대한 RSA(Rivest Shamir Adleman) 키를 포함하고 있거나 암호화 하드웨어를 사용하는 키를 암호화하여 확실히 보호할 수 있도록 합니다.
PKCS12KS(PKCS12)
키 저장소 파일에서 PKCS#12 파일 형식을 사용하는 경우 이 옵션을 사용하십시오.

피드백