구성 개요

웹 서비스 보안 제한조건은 J2EE(Java™ 2 Platform, Enterprise Edition)용 IBM® 웹 서비스 배치 디스크립터 확장에 정의되어 있습니다. 웹 서비스 보안에 사용되는 IBM 확장 배치 디스크립터 및 바인딩은 IBM의 소유입니다. 이러한 파일은 매우 복잡하기 때문에, 문서 편집기로 배치 디스크립터 및 바인딩 파일을 직접 편집할 경우 오류가 발생할 수 있습니다. 따라서 이러한 파일을 편집하는 것은 권장되지 않습니다. 그러나 IBM에서 제공되는 도구를 사용하여 애플리케이션에 대한 웹 서비스 보안 제한조건을 구성하는 것은 권장됩니다. 이러한 도구로는 Rational® Application Developer, Application Server Toolkit 및 WebSphere® Application Server 관리 콘솔이 있습니다.

다음 표는 클라이언트 및 서버에 대한 배치 디스크립터 및 바인딩 파일의 이름을 제공합니다.
파일 유형 클라이언트측 서버측
배치 디스크립터 ibm-webservicesclient-ext.xmi ibm-webservices-ext.xmi
바인딩 파일 ibm-webservicesclient-bnd.xmi ibm-webservices-bnd.xmi

배치 디스크립터는 "대상"(예: 서명할 메시지 파트, 암호화할 토큰)을 지정합니다. 바인딩 파일은 "방법"(예: 메시지에 서명하는 방법, 보안 토큰을 생성하고 이용하는 방법)을 지정합니다.

애플리케이션 배치 디스크립터 및 바인딩 파일과 별개로, WebSphere Application Server 버전 6에는 서버 레벨의 WSS 구성이 포함되어 있습니다. 이러한 구성은 모든 애플리케이션에 전역적으로 적용됩니다. WebSphere Application Server 버전 6은 5.x 애플리케이션을 지원하므로, 이러한 구성 중 일부는 버전 5.x 애플리케이션에서만, 또 다른 일부는 버전 6 애플리케이션에서만 유효할 수 있습니다.

다음 그림은 셀 또는 서버 레벨 구성에 대한 애플리케이션 배치 디스크립터 파일과 바인딩 파일의 관계를 나타냅니다.

애플리케이션 서버에 대한 애플리케이션
배치 디스크립터 파일과 바인딩 파일의 관계

플랫폼 구성 개요

WebSphere Application Server 관리 콘솔에서는 다음과 같은 옵션이 제공됩니다.
임시값 캐시 제한시간
이 옵션은 셀 레벨(Network Deployment만 해당) 및 서버 레벨에서만 표시되며, 임시값의 캐시 제한시간 값을 초 단위로 지정합니다.
임시값 최대 수명
이 옵션은 셀 레벨(Network Deployment만 해당) 및 서버 레벨에서만 표시되며, 임시값의 기본 수명 범위를 초 단위로 지정합니다.
임시값 클럭 오차
이 옵션은 셀 레벨(Network Deployment만 해당) 및 서버 레벨에서만 표시되며, 네트워크 지연, 처리 지연 등에 대한 기본 클럭 오차를 지정합니다. 이 옵션은 임시값의 만기 시점을 계산하는 데 사용됩니다. 이 옵션은 초 단위를 사용합니다.
임시값 캐싱 분배
이 기능을 사용하면 임시값 캐시를 클러스터 내의 다른 서버로 분배할 수 있습니다. 이는 WebSphere Application Server 버전 6의 새 기능입니다.
애플리케이션 바인딩에서는 다음과 같은 기능을 참조할 수 있습니다.
키 위치 지정자
이 기능은 서명, 암호화 및 복호화를 위해 키를 검색하는 방법을 지정합니다. 키 위치 지정자의 구현 클래스는 WebSphere Application Server 버전 6 및 버전 5.x에서 각각 다릅니다.
콜렉션 인증서 저장소
이 기능은 인증서 경로의 유효성 검증에 사용할 인증서 저장소를 지정합니다. 이 기능은 서명 검증 시 X.509 토큰의 유효성을 검증하거나 PKCS#7 형식으로 인코딩된 인증서 폐기 목록을 사용하여 X.509 토큰을 생성하는 데 사용됩니다. 인증서 폐기 목록은 WebSphere Application Server 버전 6 애플리케이션에만 지원됩니다.
신뢰 앵커
이 기능은 서명자 인증에 대한 신뢰 레벨을 지정하며 서명 검증 시 X.509 토큰의 유효성을 검증하는 데 주로 사용됩니다.
신뢰할 수 있는 ID 평가자
이 기능은 해당 ID의 신뢰 레벨을 검증하는 방법을 지정합니다. 이 기능은 ID 어설션과 함께 사용됩니다.
로그인 맵핑
이 기능은 인증 메소드에 대한 로그인 구성 바인딩을 지정합니다. 이 기능은 WebSphere Application Server 버전 5.x 애플리케이션에서만 사용되며 더 이상 사용되지 않습니다.

기본 바인딩

기본 바인딩은 애플리케이션에서 웹 서비스 보안을 위한 애플리케이션 바인딩 파일에 바인딩을 정의할 필요가 없도록 기본 바인딩을 지정합니다. 기본 바인딩 세트는 단 하나뿐이며, 여러 애플리케이션에서 이 기본 바인딩을 공유할 수 있습니다. 이 기능은 WebSphere Application Server 버전 6 애플리케이션에만 제공됩니다.

다음 그림은 애플리케이션 엔터프라이즈 아카이브(EAR) 파일과 ws-security.xml 파일의 관계를 나타냅니다.

엔터프라이즈 아카이브(EAR) 파일과
ws-security.xml 파일의 관계

애플리케이션 EAR 1과 EAR 2의 경우, 특정 바인딩이 애플리케이션 바인딩 파일에 정의되어 있습니다. 그러나 애플리케이션 EAR 3 및 EAR 4는 애플리케이션 바인딩 파일에 바인딩이 정의되지 않았고, 그 대신에 ws-security.xml 파일에 정의된 기본 바인딩을 사용합니다. 이 구성은 계층 구조의 최근접 구성을 기반으로 설명됩니다. 예를 들어 "mykeylocator"라는 키 위치 지정자가 애플리케이션 바인딩 파일, 서버 레벨 및 셀 레벨에 각각 1개씩 정의되어 있는 경우, 애플리케이션 바인딩에서 mykeylocator를 참조하면, 애플리케이션 바인딩에 정의된 키 위치 지정자가 사용됩니다. 데이터의 가시성 범위는 데이터가 정의된 위치에 따라 달라집니다. 데이터를 애플리케이션 바인딩에 정의하면 이 데이터의 가시성 범위는 해당되는 특정한 애플리케이션으로 한정됩니다. 데이터를 서버 레벨에 정의하면 가시성 범위가 해당 서버에 배치된 모든 애플리케이션으로 지정됩니다. 데이터를 셀 레벨에 정의하면 가시성 범위는 해당 셀에 있는 서버에 배치된 모든 애플리케이션으로 지정됩니다. 데이터를 다른 애플리케이션과 공유하지 않을 경우, 해당 구성을 애플리케이션 바인딩 레벨에 정의하십시오.

다음 그림은 애플리케이션 레벨, 서버 레벨 및 셀 레벨에 정의된 바인딩의 관계를 나타냅니다.

애플리케이션, 서버 및 셀 레벨에 정의된
바인딩의 관계


피드백