보안 모델 혼합

WebSphere® Application Server 버전 6 프로그래밍 환경에는 다중 프로토콜 및 채널이 존재할 수 있습니다. 예를 들어 HTTP 전송을 통해 서블릿, JSP(JavaServer pages) 파일, HTML 등의 웹 기반 애플리케이션에 액세스할 수 있습니다. RMI/IIOP(Remote Method Invocation over the Internet Inter-ORB) 프로토콜을 통해 엔터프라이즈 애플리케이션에 액세스할 수 있으며, HTTP를 통한 SOAP(Simple Object Access Protocol), JMS(Java™ Message Service)를 통한 SOAP 또는 RMI/IIOP를 통한 SOAP 프로토콜을 사용하여 웹 서비스 애플리케이션에 액세스할 수 있습니다. 이러한 각 애플리케이션은 서로 다른 비즈니스 요구를 처리합니다. 뿐만 아니라, 웹 서비스는 JavaBean 또는 EJB 파일이 포함된 서블릿으로 구현되는 경우가 많습니다. 따라서 웹 및 EJB 컴포넌트에 사용되는 J2EE(Java 2 Platform, Enterprise Edition) 보안 모델과 웹 서비스 보안 모델을 혼합하여 사용할 수 있습니다. 웹 서비스 보안은 WebSphere Application Server 버전 6의 J2EE 역할 기반 보안과 보안 런타임을 보완하기 위한 것입니다.

또한 웹 서비스 보안은 J2EE의 보안 기능과 WebSphere Application Server 버전 6의 보안 런타임을 활용할 수 있습니다. 예를 들어, 웹 서비스 보안은 다음과 같은 보안 기능을 사용하여 단말간 보안 배치를 제공할 수 있습니다.

다음 그림은 애플리케이션 서버로 인증 정보를 전송할 때 사용되는 여러 가지 보안 프로토콜을 보여줍니다. 웹 서비스의 경우, SSL(Secure Sockets Layer)을 사용하는 HTTP 기본 인증이나 암호화를 사용하는 웹 서비스 보안 사용자 이름 토큰을 사용할 수 있습니다. 다음 그림에서, bob이라는 웹 서비스 보안 ID가 인증되어 SOAP 메시지 요청의 호출자 ID로 설정되면, 호출이 서비스 구현(이 경우, 엔터프라이즈 Bean)에 디스패치되기 전에 J2EE 엔터프라이즈 JavaBean(EJB) 컨테이너가 bob을 사용하여 인증을 수행합니다.

Application Server로 인증 정보를 전송하는 데
사용되는 보안 프로토콜

전송 계층 보안을 사용하여 웹 서비스의 보안을 설정할 수 있습니다. 예를 들어, HTTP를 통한 SOAP를 사용할 경우 HTTPS를 사용하여 웹 서비스 보안을 설정할 수 있습니다. 그러나 전송 계층 보안은 지점간 보안만 제공합니다. 특정 시나리오에서는 이 보안 계층만으로 충분할 수 있으나, SOAP 메시지가 대상 엔드포인트에서 이용되기 전에 중개 서버(멀티홉)를 순환해야 할 경우에는 JMS(Java Message Service)를 통한 SOAP를 사용할 수 있습니다. 사용법 시나리오 및 보안 요구사항이 웹 서비스의 보안을 설정하는 방법을 설명합니다. 요구사항은 운영 환경과 비즈니스 요구에 따라 달라집니다. 그러나 웹 서비스 보안은 전송 계층과 관계가 없으므로, HTTP를 통한 SOAP, JMS를 통한 SOAP 또는 RMI/IIOP를 통한 SOAP에도 동일한 웹 서비스 보안 제한조건을 사용할 수 있다는 큰 장점이 있습니다.


피드백