애플리케이션 레벨에서 토큰 이용자 구성

이 태스크 정보

이 태스크에서는 애플리케이션 레벨에서 토큰 이용자를 지정하는 데 필요한 단계를 설명합니다. 이 정보는 이용자측에서 보안 토큰을 통합하는 데 사용됩니다.

애플리케이션 레벨에서 토큰 이용자를 구성하려면 다음 단계를 완료하십시오.

프로시저

  1. WebSphere® Application Server 관리 콘솔에서 토큰 이용자 패널을 찾으십시오.
    1. 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
    2. 관련 항목에서, EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
    3. 추가 특성 절에서 다음 바인딩에 대한 토큰 이용자에 액세스할 수 있습니다.
      • 요청 이용자(수신기) 바인딩의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
      • 응답 이용자(수신기) 바인딩의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
    4. 필수 특성 절에서 토큰 이용자를 클릭하십시오.
    5. 새로 작성을 클릭하여 토큰 이용자 구성을 작성한 후 삭제를 클릭하여 기존 구성을 삭제하거나, 기존 토큰 이용자 구성의 이름을 클릭하여 설정을 편집하십시오. 새 구성을 작성하려는 경우, 토큰 이용자 이름 필드에 고유한 이름을 입력하십시오. 예를 들어 con_signtgen을 지정할 수 있습니다.
  2. 토큰 이용자 클래스 이름 필드에 클래스 이름을 지정하십시오. 토큰 이용자 클래스는 com.ibm.wsspi.wssecurity.token.TokenConsumerComponent 인터페이스를 구현해야 합니다. 요청 이용자와 응답 이용자의 토큰 이용자 클래스 이름은 요청 생성기와 응답 생성기의 토큰 생성기 클래스 이름과 유사해야 합니다. 예를 들어, 애플리케이션에 사용자 이름 토큰 이용자가 필요한 경우 애플리케이션 레벨에 대한 토큰 생성기 패널에 com.ibm.wsspi.wssecurity.token.UsernameTokenGenerator 클래스 이름을 지정하고 이 필드에 com.ibm.wsspi.wssecurity.token.UsernameTokenConsumer 클래스 이름을 지정할 수 있습니다.
  3. 옵션: 파트 참조 필드에서 파트 참조를 선택하십시오. 파트 참조는 배치 디스크립터에 정의된 보안 토큰의 이름을 표시합니다. 예를 들어, 사용자 이름 토큰이 포함된 요청 메시지를 수신하는 경우 사용자 이름 토큰 이용자에서 토큰을 참조할 수 있습니다.
    중요사항: 애플리케이션 레벨에서 배치 디스크립터에 보안 토큰을 지정하지 않는 경우 파트 참조 필드가 표시되지 않습니다. 배치 디스크립터에 user_tcon이라는 보안 토큰을 정의할 경우 파트 참조 필드의 옵션으로 user_tcon이 표시됩니다.
  4. 옵션: 필요한 경우, 패널의 인증서 경로 절에서 인증서 저장소의 유형을 선택하고 신뢰 앵커 및 인증서 저장소 이름을 지정하십시오. 이러한 옵션과 필드는 토큰 이용자 클래스 이름을 com.ibm.wsspi.wssecurity.token.X509TokenConsumer로 지정할 때 필요합니다. 신뢰 앵커 및 콜렉션 인증서 저장소의 이름은 토큰 이용자 아래의 인증서 경로에 작성됩니다. 다음 옵션 중 하나를 선택할 수 있습니다.
    없음
    이 옵션을 선택하면 인증서 경로가 지정되지 않습니다.
    모두 신뢰
    이 옵션을 선택하면 모든 인증이 신뢰됩니다. 수신된 토큰을 이용할 때 Application Server에서 인증서 경로의 유효성을 검증하지 않습니다.
    전용 서명 정보
    이 옵션을 선택할 경우, 신뢰 앵커 및 인증서 저장소 구성을 선택할 수 있습니다. 신뢰 인증의 신뢰 앵커나 인증서 저장소를 선택할 때는 인증서 경로를 설정하기 전에 신뢰 앵커와 인증서 저장소를 구성해야 합니다.
    신뢰 앵커
    신뢰 앵커는 신뢰된 루트 인증이 포함된 키 저장소 구성 목록을 지정합니다. 이러한 구성은 X.509 형식으로 수신되는 보안 토큰의 인증서 경로의 유효성을 검증하는 데 사용됩니다. 신뢰 앵커의 키 저장소 오브젝트는 CertPath API에서 인증 체인에 대한 신뢰성을 검증하는 데 사용되는 신뢰된 루트 인증을 포함합니다. install_dir/java/jre/bin/keytool 파일에 있는 키 도구 유틸리티를 사용하여 키 저장소 파일을 작성해야 합니다.
    다음 단계를 완료하여 애플리케이션 레벨의 신뢰 앵커를 구성할 수 있습니다.
    1. 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
    2. 관련 항목에서, EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
    3. 다음 바인딩에서 토큰 이용자에 액세스하십시오.
      • 요청 이용자(수신기) 바인딩의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
      • 응답 이용자(수신기) 바인딩의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
    4. 추가 특성에서 신뢰 앵커를 클릭하십시오.
    콜렉션 인증서 저장소
    콜렉션 인증서 저장소는 신뢰하지 않는 잠정 인증서 목록과 인증서 폐기 목록(CRL)을 포함합니다. 콜렉션 인증서 저장소는 X.509 형식으로 수신되는 보안 토큰의 인증서 경로가 유효한지 검증하는 데 사용됩니다. 다음 단계를 완료하여 애플리케이션 레벨의 콜렉션 인증서 저장소를 구성할 수 있습니다.
    1. 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
    2. 관련 항목에서, EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
    3. 다음 바인딩에서 토큰 이용자에 액세스하십시오.
      • 요청 이용자(수신기) 바인딩의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
      • 응답 이용자(수신기) 바인딩의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신기) 바인딩에서 사용자 정의 편집을 클릭하십시오.
    4. 추가 특성에서 콜렉션 인증서 저장소를 클릭하십시오.
  5. 옵션: 신뢰할 수 있는 ID 평가자를 지정하십시오. 신뢰할 수 있는 ID 평가자는 수신된 ID를 신뢰하는지 여부를 판별하는 데 사용됩니다. 다음 옵션 중 하나를 선택할 수 있습니다.
    없음
    이 옵션을 선택하면 신뢰할 수 있는 ID 평가자가 지정되지 않습니다.
    기존 평가자 정의
    이 옵션을 선택할 경우, 구성되어 있는 신뢰할 수 있는 ID 평가자 중 하나를 선택할 수 있습니다. 예를 들어, WebSphere Application Server에 예제로 포함된 SampleTrustedIDEvaluator를 선택할 수 있습니다.
    바인딩 평가자 정의
    이 옵션을 선택할 경우, 신뢰할 수 있는 ID 평가자 이름 및 클래스 이름을 지정하여 새로운 신뢰할 수 있는 ID 평가자를 구성할 수 있습니다.
    신뢰할 수 있는 ID 평가자 이름
    애플리케이션 바인딩에서 기본 바인딩에 정의된 신뢰할 수 있는 ID 평가자를 참조할 때 사용될 이름을 지정합니다.
    신뢰할 수 있는 ID 평가자 클래스 이름
    신뢰할 수 있는 ID 평가자의 클래스 이름을 지정합니다. 지정된 신뢰할 수 있는 ID 평가자 클래스 이름은 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 인터페이스를 구현해야 합니다. 기본 TrustedIDEvaluator 클래스는 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl입니다. 이 기본 TrustedIDEvaluator 클래스를 사용할 때는 기본 신뢰할 수 있는 ID 평가자의 이름 및 값 특성을 지정하여 평가할 신뢰 ID 목록을 작성해야 합니다. 이름 및 값 특성을 지정하려면 다음 단계를 완료하십시오.
    1. 추가 특성에서 특성 > 새로 작성을 클릭하십시오.
    2. 특성 필드에 신뢰할 수 있는 ID 평가자 이름을 지정하십시오. 이름은 trustedId_n 형태로 지정해야 합니다. 여기서 _n은 0 - n 범위의 정수입니다.
    3. 값 필드에 신뢰 ID를 지정하십시오.
    예를 들면 다음과 같습니다.
    property name="trustedId_0", value="CN=Bob,O=ACME,C=US"
    property name="trustedId_1, value="user1"

    식별 이름(DN)을 사용할 경우 비교를 위해 공백이 제거됩니다. com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 인터페이스를 구현하는 방법에 대한 설명은 문서의 프로그래밍 모델 정보를 참조하십시오. 자세한 정보는 웹 서비스 보안 서비스 제공자 프로그래밍 인터페이스의 기본 구현을 참조하십시오.

    참고: 애플리케이션 레벨 대신, 서버 레벨에서 신뢰할 수 있는 ID 평가자를 정의하십시오. 서버 레벨에서 신뢰할 수 있는 ID 평가자를 정의하려면 다음 단계를 완료하십시오.
    1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
    2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
    3. 추가 특성에서 신뢰할 수 있는 ID 평가자를 클릭하십시오.
    4. 새로 작성을 클릭하여 새 신뢰할 수 있는 ID 평가자를 정의하십시오.

    신뢰할 수 있는 ID 평가자 구성은 서버측 애플리케이션 레벨의 토큰 이용자에만 사용할 수 있습니다.

  6. 옵션: 임시값 확인 옵션을 선택하십시오. 이 옵션은 토큰 이용자의 사용자 이름 토큰에 임시값을 지정한 경우 임시값을 확인할지 여부를 지정합니다. 임시값은 메시지에 임베드되는 고유한 암호화 번호로, 사용자 이름 토큰의 반복적인 무단 공격을 차단하는 데 도움이 됩니다. 임시값 확인 옵션은 통합 토큰 유형이 사용자 이름 토큰일 때만 유효합니다.
  7. 옵션: 시간소인 확인 옵션을 선택하십시오. 이 옵션은 사용자 이름 토큰에서 시간소인을 확인할지 여부를 지정합니다. 임시값 확인 옵션은 통합 토큰 유형이 사용자 이름 토큰일 때만 유효합니다.
  8. 로컬 이름 필드에 값 유형 로컬 이름을 지정하십시오. 이 필드는 이용되는 토큰에 대한 값 유형의 로컬 이름을 지정합니다. 사용자 이름 토큰 및 X.509 인증 보안 토큰의 경우, WebSphere Application Server가 값 유형에 대한 사전 정의된 로컬 이름을 제공합니다. 다음 로컬 이름 중 하나를 지정할 경우 값 유형 URI를 지정할 필요가 없습니다.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#UsernameToken
    이 로컬 이름은 사용자 이름 토큰을 지정합니다.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
    이 로컬 이름은 X.509 인증 토큰을 지정합니다.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
    이 로컬 이름은 공개 키 인프라(PKI) 경로에 X.509 인증을 지정합니다.
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7
    이 로컬 이름은 X.509 인증 목록과 인증서 폐기 목록을 PKCS#7 형식으로 지정합니다.
    LTPA
    이 로컬 이름은 LTPA(Lightweight Third Party Authentication) 토큰을 지정합니다.
    중요사항: 값 유형 로컬 이름에 LTPA를 지정할 경우 값 유형 URI(Uniform Resource Identifier)를 http://www.ibm.com/websphere/appserver/tokentype/5.0.2로 지정할 필요가 없습니다.
  9. 옵션: URI 필드에 값 유형 URI를 지정하십시오. 이 항목은 이용되는 토큰에 대한 값 유형의 네임스페이스 URI를 지정합니다.
    알아두기: 사용자 이름 토큰 또는 X.509 인증 보안 토큰의 토큰 이용자를 지정할 경우, 값 유형 URI를 지정할 필요가 없습니다.

    다른 토큰을 지정하려는 경우 로컬 이름과 URI를 모두 지정해야 합니다. 예를 들어, 고유한 사용자 정의 토큰을 구현할 경우 로컬 이름 필드에 CustomToken을 지정하고 URI를 http://www.ibm.com/custom으로 지정할 수 있습니다.

  10. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.
  11. 토큰 이용자 구성의 이름을 클릭하십시오.
  12. 추가 특성에서 JAAS 구성을 클릭하십시오. JAAS(Java™ Authentication and Authorization Service) 서비스 구성은 JAAS 로그인 패널에 정의되는 JASS 구성의 이름을 지정합니다. JAAS 구성은 토큰이 이용자측에 로그인하는 방법을 지정합니다.
  13. JASS 구성 이름 필드에서 JAAS 구성을 선택하십시오. 이 필드는 JAAS 시스템 애플리케이션 로그인 구성의 이름을 지정합니다. 보안 > 글로벌 보안을 클릭하면 JAAS 시스템 및 애플리케이션 구성을 추가로 지정할 수 있습니다. 인증 절에서 JAAS 구성을 클릭한 다음, 애플리케이션 로그인 > 새로 작성 또는 시스템 로그인 > 새로 작성을 클릭하십시오. 사전 정의된 시스템 또는 애플리케이션 로그인 구성을 제거하지 마십시오. 그러나 이러한 구성 내에서 모듈 클래스 이름을 추가하고 WebSphere Application Server가 각 모듈을 로드하는 순서를 지정할 수 있습니다. WebSphere Application Server에는 다음과 같은 JAAS 구성이 사전 정의되어 있습니다.
    ClientContainer
    이 선택사항은 클라이언트 컨테이너 애플리케이션에서 사용되는 로그인 구성을 지정합니다. 이 구성은 클라이언트 컨테이너의 배치 디스크립터에 정의된 CallbackHandler API(Application Programming Interface)를 사용합니다. 이 구성을 수정하려면 애플리케이션 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    WSLogin
    이 선택사항은 모든 애플리케이션이 WSLogin 구성을 사용하여 보안 런타임에 대한 인증을 수행할 수 있는지 여부를 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    DefaultPrincipalMapping
    이 선택사항은 J2C(Java 2 Connectors)에서 J2C 인증 데이터 항목에 정의된 프린시펄로 사용자를 맵핑할 때 사용되는 로그인 구성을 지정합니다. 이 구성을 수정하려면 애플리케이션 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.IDAssertion
    이 선택사항은 버전 5.x 애플리케이션에서 ID 어설션을 사용하여 사용자 이름을 WebSphere Application Server 신임 프린시펄로 맵핑할 수 있도록 지정합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.Signature
    이 선택사항은 버전 5.x 애플리케이션에서 서명된 인증의 식별 이름(DN)을 WebSphere Application Server 신임 프린시펄로 맵핑할 수 있도록 지정합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.LTPA_WEB
    이 선택사항은 서블릿, JSP(JavaServer Pages) 파일과 같은 웹 컨테이너에서 사용되는 로그인 요청을 처리합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.WEB_INBOUND
    이 선택사항은 서블릿, JSP(JavaServer Pages)를 비롯한 웹 애플리케이션에 대한 로그인 요청을 처리합니다. WebSphere Application Server 버전 5.1.1에서 이 로그인 구성을 사용합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.RMI_INBOUND
    이 선택사항은 인바운드 RMI(Remote Method Invocation) 요청의 로그인을 처리합니다. WebSphere Application Server 버전 5.1.1에서 이 로그인 구성을 사용합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.DEFAULT
    이 선택사항은 내부 인증 및 기타 대다수 프로토콜에서 생성되는 인바운드 요청의 로그인을 처리합니다(웹 애플리케이션 및 RMI 요청 제외). WebSphere Application Server 버전 5.1.1에서 이 로그인 구성을 사용합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.RMI_OUTBOUND
    이 선택사항은 com.ibm.CSI.rmiOutboundLoginEnabled 또는 com.ibm.CSIOutboundPropagationEnabled 특성이 true인 경우, 아웃바운드로 다른 서버에 전송되는 RMI 요청을 처리합니다. 이러한 특성은 CSIv2 인증 패널에서 설정됩니다.

    이 패널에 액세스하려면 보안 > 글로벌 보안을 클릭하십시오. 인증 절에서 인증 프로토콜 > CSIv2 아웃바운드 인증을 클릭하십시오. com.ibm.CSI.rmiOutboundLoginEnabled 특성을 설정하려면 사용자 정의 아웃바운드 맵핑 옵션을 선택하십시오. com.ibm.CSIOutboundPropagationEnabled 특성을 설정하려면 보안 속성 전달 옵션을 선택하십시오. 이 JAAS 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.

    system.wssecurity.X509BST
    이 선택사항은 인증 및 인증서 경로의 유효성을 검사하여 X.509 2진 보안 토큰(BST)을 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.PKCS7
    이 선택사항은 PKCS7 오브젝트(인증 체인과 인증서 폐기 목록 중 하나 또는 둘 다 포함 가능) 내의 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.PkiPath
    이 선택사항은 공개 키 인프라(PKI) 경로에서 X.509 인증을 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.UsernameToken
    이 선택사항은 기본 인증(사용자 이름 및 비밀번호) 데이터를 확인합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    system.wssecurity.IDAssertionUsernameToken
    이 선택사항은 버전 6 애플리케이션에서 ID 어설션을 사용하여 사용자 이름을 WebSphere Application Server 신임 프린시펄로 맵핑하도록 지원합니다. 이 구성을 수정하려면 시스템 로그인에 대한 JAAS 구성 패널을 참조하십시오.
    없음
    이 선택사항은 JAAS 로그인 구성을 지정하지 않을 때 사용합니다.
  14. 확인, 저장을 차례로 클릭하여 구성을 저장하십시오.

결과

애플리케이션 레벨에서 토큰 이용자를 구성했습니다.

다음에 수행할 작업

애플리케이션 레벨에서 이와 유사한 토큰 생성기 구성을 지정해야 합니다.

피드백