ID 어설션 구성

이 태스크 정보

ID 어설션은 WebSphere® Application Server 버전 6의 개선사항 중 하나지만, VPN(Virtual Private Network) 또는 HTTPS와 같은 보안 환경에서만 사용해야 합니다. 보안 환경에서는 신뢰할 수 있는 다른 신임 정보(예: 서버 ID)가 있으면 신임 정보가 없는 요청자 ID를 전송할 수 있습니다. ID 어설션과 관련하여, WebSphere Application Server는 다음과 같은 신뢰 모드 유형을 지원합니다.
없음
신뢰할 수 있는 신임 정보를 SOAP(Simple Object Access protocol) 메시지에 첨부하지 않도록 지정합니다.
BasicAuth
사용자 이름과 비밀번호가 포함된 사용자 이름 토큰을 신뢰할 수 있는 신임 정보로 사용하도록 지정합니다.
서명
X.509 인증 보안 토큰을 디지털 서명에 사용하도록 지정합니다.

특정한 ID 어설션 구성은 서비스 구성에서만 이용자측에 필요합니다. 생성기측에서는 클라이언트 구성에 2개의 토큰 생성기(요청자 토큰과 신뢰 파티의 토큰으로 각각 1개씩)를 구성해야 합니다.

ID 어설션 애플리케이션을 구성하려면 다음 단계를 완료하십시오. 구성을 완료하려면 이용자와 생성기를 모두 구성해야 합니다.

프로시저

  1. 창 > 퍼스펙티브 열기 > Java™ EE를 클릭하십시오.
  2. 엔터프라이즈 탐색기에서 웹 서비스 > 서비스 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
  3. 확장 탭을 클릭하고 응답 이용자 서비스 구성 세부사항 > 호출자 파트 절을 펼쳐 호출자 토큰을 구성하십시오.
  4. 이용자의 호출자 토큰을 구성하십시오. 이용자의 호출자 토큰을 구성하려면 다음 단계를 완료하십시오.
    1. 호출자 파트를 구성하려면 추가를 클릭하십시오. 호출자 파트 대화 상자 창이 표시됩니다. 이 창에서 호출자(요청자) 신임 정보로 사용할 토큰과 신뢰 파티의 토큰을 모두 구성하십시오.
    2. 이름 필드에 호출자 토큰의 이름을 지정하십시오.
    3. 토큰 유형 필드에서 호출자 토큰의 유형을 선택하십시오. 예를 들어 사용자 이름 토큰을 호출자 토큰으로 사용할 경우 사용자 이름을 선택하십시오. 토큰 유형을 선택하면 로컬 이름이 자동으로 지정됩니다.
    4. 옵션: 토큰 유형 필드에서 사용자 정의 토큰을 선택할 경우 사용자 정의 토큰의 로컬 이름과 URI(Uniform Resource Identifier)를 지정해야 합니다. URI 필드는 사용자 정의 토큰에만 사용됩니다.
    5. 옵션: 호출자 토큰을 필수 무결성 또는 기밀성 파트의 인증으로도 사용할 경우, 무결성 또는 기밀성 파트 필드에서 파트 이름을 선택하십시오. 목록에는 이용자에 대한 필수 무결성 및 필수 기밀성 절에 정의된 무결성 및 기밀성 파트의 이름이 포함됩니다. 예를 들어, X.509 인증 토큰을 본문 요소의 호출자 토큰과 서명 인증으로 사용할 경우 토큰 유형 필드에서 X.509 인증 토큰을 선택하고 무결성 및 기밀성 파트 필드에서 reqint_body1을 선택할 수 있습니다. 이 예제에서는 reqint_body1이 필수 무결성 구성인 것으로 가정합니다.
  5. 이용자에 대한 신뢰 파티 토큰을 구성하십시오. 신뢰 파티 토큰을 구성하려면 다음 단계를 완료하십시오.
    1. IDAssertion 사용 옵션을 선택하여 이 호출자와 신뢰 메소드를 연관시키고 중개자(호출자)로부터 어설션된 ID를 확인하십시오.
    2. 신뢰 메소드 이름 필드에서 신뢰 메소드의 이름을 선택하십시오. 다음과 같은 선택사항이 지원됩니다.
      없음
      신뢰할 수 있는 신임 정보를 SOAP 메시지에 첨부하지 않도록 지정하려면 이 옵션을 선택하십시오.
      BasicAuth
      사용자 이름과 비밀번호가 포함된 사용자 이름 토큰을 신뢰할 수 있는 신임 정보로 사용하도록 지정하려면 이 옵션을 선택하십시오.
      서명
      X.509 인증 보안 토큰을 디지털 서명에 사용하도록 지정하려면 이 옵션을 선택하십시오.

      BasicAuth 또는 서명을 선택할 경우, URI 및 로컬 이름 필드가 자동으로 지정됩니다.

    3. 옵션: 신뢰 파티 토큰에 디지털 서명이나 암호화가 필요한 경우, 무결성 또는 기밀성 파트 필드에서 무결성 또는 기밀성 파트의 이름을 선택하십시오. 예를 들어 신뢰 메소드 이름 필드에서 서명을 선택하고, 신뢰 파티 토큰이 본문 요소에 서명해야 할 경우 무결성 및 기밀성 파트 필드에서 reqint_body2를 선택하십시오. 이 예제에서는 reqint_body2가 필수 무결성 구성인 것으로 가정합니다.
  6. 옵션: 신뢰 메소드 이름 필드에서 BasicAuth 또는 서명을 선택할 경우 바인딩 구성의 토큰 이용자 대화 상자 창에 신뢰할 수 있는 ID 평가자를 지정하십시오. 신뢰할 수 있는 ID 평가자를 지정하려면 다음 단계를 완료하십시오.
    1. 웹 서비스 편집기에서 바인딩 구성을 클릭하십시오.
    2. 토큰 이용자 절을 펼친 후 추가를 클릭하십시오.
    3. 신뢰할 수 있는 ID 평가자 사용 옵션을 클릭하십시오.
    4. 신뢰할 수 있는 ID 평가자 클래스 필드에 클래스 이름을 지정하십시오. 클래스는 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator 인터페이스를 구현하고 신뢰 파티 토큰이 유효한지 검증합니다. WebSphere Application Server는 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl 클래스를 제공합니다. 이 클래스는 TrustedIDEvaluator 인터페이스의 샘플 구현입니다. 이 클래스를 사용하려면 신뢰할 수 있는 ID 평가자 클래스 필드에 com.ibm.wsspi.wssecurity.id.TrustedIDEvaluatorImpl을 지정하고 추가를 클릭하여 아래의 신뢰할 수 있는 ID 평가자 특성을 추가하십시오.
      • 이름 필드에 trustedid를 지정하십시오.
      • 값 필드에 CN=Alice,O=IBM,C=US를 지정하십시오.
      특성의 값은 신뢰 파티 토큰의 사용자 이름 또는 X.509 인증 토큰의 식별 이름입니다.
    5. 확인을 클릭하여 구성을 저장하십시오.
  7. 엔터프라이즈 탐색기에서 웹 서비스 > 클라이언트 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
  8. WS 확장 탭을 클릭하고 요청 생성기 구성 > 보안 토큰 절을 펼치십시오.
  9. 생성기의 호출자 토큰을 지정하십시오. 토큰을 서명 또는 암호화에 사용할 경우 필수 토큰에 토큰을 지정하지 마십시오. 그러나 독립형 토큰의 경우에는 필수 토큰에 토큰을 지정해야 합니다. 독립형 토큰은 서명 또는 암호화에 사용되지 않는 토큰입니다. 호출자 토큰의 유형이 사용자 이름 토큰이거나 X.509 인증 토큰이고 호출자 토큰을 서명 또는 암호화에 사용하지 않을 경우, 이 호출자 토큰에 대한 보안 토큰을 지정하십시오.
    1. 보안 토큰을 구성하려면 추가를 클릭하십시오.
    2. 이름 필드에 호출자 토큰의 이름을 지정하십시오.
    3. 토큰 유형 필드에서 사용자 이름 또는 X.509 인증 토큰 옵션을 선택하십시오. 이 2가지 옵션 중 하나를 선택하면 로컬 이름 필드 값이 자동으로 정의됩니다.
    4. 확인을 클릭하여 구성을 저장하십시오.
    5. WS 바인딩 탭을 클릭하고 보안 요청 생성기 바인딩 구성 > 토큰 생성기 절을 펼치십시오.
    6. 추가를 클릭하고 호출자 토큰에 대한 토큰 생성기 구성을 추가하십시오.
    7. 확인을 클릭하여 구성을 저장하십시오.
  10. 신뢰 파티 토큰을 구성하십시오. 앞에서 신뢰 모드를 없음으로 지정한 경우, 호출자 토큰만 첨부되며 신뢰 파티의 보안 토큰을 지정할 필요가 없습니다. 신뢰 모드가 BasicAuth 또는 서명인 경우, 신뢰 파티 토큰의 사용자 이름 토큰 또는 X.509 인증 토큰을 지정해야 합니다. 그러나 신뢰 파티의 X.509 인증 토큰을 디지털 서명 또는 암호화에도 사용할 경우, 신뢰 파티의 보안 토큰을 지정할 필요가 없습니다. 신뢰 파티 토큰을 구성하려면 다음 단계를 완료하십시오.
    1. 엔터프라이즈 탐색기에서 웹 서비스 > 클라이언트 섹션을 펼친 후 웹 서비스의 이름을 두 번 클릭하십시오.
    2. WS 확장 탭을 클릭하고 요청 생성기 구성 > 보안 토큰 절을 펼치십시오.
    3. 보안 토큰을 구성하려면 추가를 클릭하십시오.
    4. 이름 필드에 신뢰 파티 토큰의 이름을 지정하십시오.
    5. 토큰 유형 필드에서 사용자 이름 또는 X.509 인증 토큰 옵션을 선택하십시오. 이 2가지 옵션 중 하나를 선택하면 로컬 이름 필드 값이 자동으로 정의됩니다.
    6. 확인을 클릭하여 구성을 저장하십시오.
    7. WS 바인딩 탭을 클릭하고 보안 요청 생성기 바인딩 구성 > 토큰 생성기 절을 펼치십시오.
    8. 추가를 클릭하고 신뢰 파티 토큰에 대한 토큰 생성기 구성을 추가하십시오.
    9. 확인을 클릭하여 구성을 저장하십시오.

다음에 수행할 작업

ID 어설션을 위한 환경이 구성되었습니다.

피드백