어셈블리 도구를 사용하여 토큰 이용자 구성

시작하기 전에

이 태스크를 완료하기 전에 먼저 다음 단계를 완료해야 합니다.

이 태스크 정보

보안 토큰은 클라이언트가 작성하는 청구 세트를 나타냅니다. 이 청구 세트에는 이름, 비밀번호, ID, 키, 인증서, 그룹, 권한 등이 포함됩니다. 보안 토큰은 SOAP(Simple Object Access Protocol) 헤더 내의 SOAP 메시지에 임베드됩니다. SOAP 헤더의 보안 토큰은 메시지 송신자에게서 의도된 메시지 수신자에게로 전달됩니다. 수신 측에서는 WebSphere® Application Server의 보안 핸들러가 보안 토큰을 인증하고 실행 중인 스레드에 호출자 ID를 설정합니다.

2단계의 클라이언트 측 바인딩 또는 3단계의 서버 측 바인딩에 적합한 토큰 이용자를 구성하려면 다음 단계를 완료하십시오.

프로시저

  1. 창 > 퍼스펙티브 열기 > J2EE를 클릭하십시오.
  2. 옵션: 프로젝트 탐색기 창을 사용하여 클라이언트 측 바인딩을 찾으십시오. 클라이언트 배치 디스크립터 창이 표시됩니다. 이 웹 서비스에는 구성해야 하는 바인딩이 포함되어 있습니다. 클라이언트 측 바인딩을 찾으려면 다음 단계를 완료하십시오.
    1. 웹 서비스 > 클라이언트 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
    2. WS 바인딩 탭을 클릭하고 보안 응답 이용자 구성 절을 펼치십시오.
  3. 옵션: 프로젝트 탐색기 창을 사용하여 서버 측 바인딩을 찾으십시오. 웹 서비스 편집기 창이 표시됩니다. 이 웹 서비스에는 구성해야 하는 바인딩이 포함되어 있습니다. 서버 측 바인딩을 찾으려면 다음 단계를 완료하십시오.
    1. 웹 서비스 > 서비스 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
    2. 바인딩 구성 탭을 클릭하고 요청 이용자 바인딩 구성 세부사항 절을 펼치십시오.
  4. 옵션: X.509 보안 토큰에 적합하게 이 토큰 이용자를 구성 중인 경우에는 신뢰 앵커를 구성하십시오. 다음 단계를 완료하여 신뢰 앵커를 구성하십시오.
    1. 신뢰 앵커 절을 펼치고 추가를 클릭하여 새 항목을 추가하거나 편집을 클릭하여 선택된 항목을 편집하십시오. 신뢰 앵커 대화 상자 창이 표시됩니다.
    2. 신뢰 앵커 이름 필드에 신뢰 앵커 구성의 이름을 지정하십시오.
    3. 키 저장소 storepass 필드에 키 저장소 비밀번호를 지정하십시오. 키 저장소 storepass는 키 저장소 파일에 액세스하는 데 필요한 비밀번호입니다.
    4. 키 저장소 경로 필드에 키 저장소 파일의 경로를 지정하십시오. 키 저장소 경로는 키 저장소가 상주하는 디렉토리입니다. 애플리케이션을 어디에 배치하든 서버가 키 저장소 파일을 찾을 수 있도록 하십시오.
    5. 키 저장소 유형 필드에서 키 저장소 유형을 선택하십시오. 선택한 키 저장소 유형은 키 저장소 경로 필드에 지정된 키 저장소 파일과 일치해야 합니다.
    6. 확인을 클릭하여 신뢰 앵커 구성을 저장하십시오.
  5. 토큰 이용자 절을 펼치고 추가를 클릭하여 새 항목을 추가하거나 편집을 클릭하여 선택된 항목을 편집하십시오. 토큰 이용자 대화 상자 창이 표시됩니다.
  6. 토큰 이용자 이름 필드에 이름을 지정하십시오. 이 토큰 이용자가 X.509 인증서용이고 서명 유효성 검증 또는 복호화에 사용되는 경우 키 정보 대화 상자 창의 토큰 필드에서 토큰 이용자 이름을 참조합니다.
  7. 토큰 이용자 클래스 필드에서 토큰 이용자 클래스를 선택하십시오. 구성 중인 토큰 유형과 일치하는 토큰 이용자 클래스를 선택하십시오. 예를 들어, 수신된 메시지의 X.509 보안 토큰을 처리하는 토큰 이용자를 구성할 경우 com.ibm.wsspi.wssecurity.token.X509TokenConsumer 토큰 이용자 클래스를 선택하십시오.
  8. 보안 토큰 필드에서 보안 토큰 참조를 선택하십시오. 이 필드의 값은 확장 파일에 구성된 보안 토큰을 참조합니다. X.509 보안 토큰에 적합하게 이 토큰 이용자를 구성 중이며 여기서 토큰 이용자 클래스가 com.ibm.wsspi.wssecurity.token.X509tokenConsumer인 경우 이 필드를 공백으로 두십시오.
  9. 값 유형 사용 옵션을 선택하고 값 유형 필드에서 값 유형을 선택하십시오. 구성 중인 토큰 이용자의 유형과 일치하는 보안 토큰의 값 유형을 선택하십시오. 값 유형을 선택하면 값 유형을 통해 지정된 보안 토큰의 유형에 따라 어셈블리 도구가 로컬 이름 및 URI 필드에 자동으로 올바른 값을 입력합니다.
  10. 옵션: jaas.config 사용 옵션을 선택하고 JAAS(Java™ Authentication and Authorization Service) 구성이 보안 토큰에 필수인 경우 jaas.config.name 필드에 JAAS 구성 이름을 지정하십시오. 사용자가 지정하는 JAAS 구성 이름은 이 토큰 이용자에 지정된 보안 토큰에 적합한 것이어야 합니다. 다음 표에는 값 유형을 통해 지정된 여러 보안 토큰의 JAAS 구성 이름이 나열되어 있습니다.
    표 1. JAAS 구성 이름 및 해당 값 유형
    jaas.config 이름 값 유형
    system.wssecurity.UsernameToken 사용자 이름 토큰
    system.wssecurity.IDAssertionUsernameToken 사용자 이름 토큰(IDAssertion용)
    system.wssecurity.X509BST X509 인증 토큰
    system.wssecurity.PkiPath PKIPath의 X509 인증서
    system.wssecurity.PKCS7 PKCS#7의 CRL 및 X509 인증서
  11. 옵션: 이 토큰 이용자에 신뢰할 수 있는 ID 평가자가 필수인 경우 신뢰할 수 있는 ID 평가자 사용 옵션을 선택하여 새 신뢰할 수 있는 ID 평가자를 정의하거나 신뢰할 수 있는 ID 평가자 참조 사용 옵션을 선택하여 기본 바인딩 파일에 정의된 기존 신뢰할 수 있는 ID 평가자를 선택하십시오. 신뢰할 수 있는 ID 평가자는 일반적으로 멀티홉 환경의 대상 웹 서비스에서 중개 웹 서비스의 ID를 신뢰할지 판별하기 위해 사용됩니다. 신뢰할 수 있는 ID 평가자 사용 옵션을 선택하는 경우 다음 단계를 완료하십시오.
    1. 신뢰할 수 있는 ID 평가자 클래스 필드에 신뢰할 수 있는 ID 평가자 구현을 지정하십시오. com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 인터페이스를 구현하는 클래스를 지정하여 신뢰할 수 있는 ID 평가자를 구현합니다. WebSphere Application Server 버전 6에서는 신뢰할 수 있는 ID 평가자의 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 기본 구현을 제공합니다.

      신뢰할 수 있는 ID 이름의 목록으로 구현을 초기화합니다. 신뢰할 수 있는 ID는 바인딩 파일에 trustedIDEvaluator 특성으로 지정됩니다. 이름이 평가되면 신뢰할 수 있는 ID 이름의 목록에 대해 이름을 확인합니다. 목록에 이름이 있는 경우 이름을 신뢰할 수 있으며 이름이 목록에 없는 경우에는 신뢰할 수 없습니다.

    2. 신뢰할 수 있는 ID 평가자 특성 절에서 추가를 클릭하여 새 항목을 추가하거나 제거를 클릭하여 선택된 항목을 삭제하십시오. 각 특성 항목은 신뢰할 수 있는 ID를 나타냅니다.
    3. 이름 필드에 trustedId_trustmode를 지정하고 값 필드에 중개 ID를 지정하십시오.
    신뢰할 수 있는 ID 평가자 참조 사용 옵션을 선택하는 경우 신뢰할 수 있는 ID 평가자 참조 필드에 기존 신뢰할 수 있는 ID 평가자의 이름을 지정하십시오.
  12. 옵션: 특성에서 추가를 클릭하여 이 토큰 이용자의 새 특성을 추가하거나 제거를 클릭하여 선택된 특성을 삭제하십시오. 이 토큰 이용자가 사용자 이름 토큰에 포함된 임시값 및 시간소인을 처리해야 하는 경우 다음 표의 특성을 정의하십시오.
    표 2. 임시값 및 시간소인 특성
    이름
    com.ibm.wsspi.wssecurity.token.username.verifyNonce true
    com.ibm.wsspi.wssecurity.token.username.verifyTimestamp true
  13. 옵션: X.509 보안 토큰에 적합하게 이 토큰 이용자를 구성 중인 경우 인증서 경로 설정 사용 옵션을 선택하십시오.
  14. X.509 보안 토큰에 적합하게 이 토큰 이용자를 구성 중인 경우 인증서 경로 참조 옵션 또는 모든 인증서 신뢰 옵션을 선택하십시오.
    중요사항: X.509 인증 토큰에 적합하게 토큰 이용자를 구성할 때 모든 인증서 신뢰 옵션을 선택하는 경우 주의하십시오. 이 옵션을 선택하면 모든 인증서를 사용하여 SOAP 메시지가 서명되거나 암호화되도록 허용하여 웹 서비스 애플리케이션의 보안이 훼손될 수 있습니다. 신뢰 앵커 및 인증서 저장소 목록을 사용하여 수신된 SOAP 메시지에 임베드된 X.509 인증서의 유효성을 검증하는 것이 좋습니다.

    인증서 경로 참조 옵션을 선택하는 경우 다음 단계를 완료하십시오.

    1. 신뢰 앵커 참조 필드의 목록에서 신뢰 앵커 참조를 선택하십시오. 이 참조는 신뢰할 수 있는 루트 인증 기관(CA) 인증서가 들어 있는 키 저장소를 지정하는 신뢰 앵커의 이름입니다.
    2. 인증서 저장소 참조 필드에서 인증서 저장소를 선택하십시오. 인증서 저장소 목록에는 비루트 CA 인증서(또는 중개 인증서) 및 인증서 폐기 목록(CRL) 둘 다 포함됩니다.
  15. 확인을 클릭하여 구성을 저장하십시오.

다음에 수행할 작업

이 토큰 이용자 구성이 X.509 보안 토큰용인 경우 키 정보를 구성하십시오. 자세한 정보는 이용자 바인딩에 필요한 키 정보 구성을 참조하십시오.

피드백