웹 서비스 보안을 위해 다양한 애플리케이션 및 비즈니스 토폴로지에 대한 인증, 권한 부여, 개인 정보 보호, 신뢰, 무결성, 기밀성, 보안 통신 채널, 연합, 위임, 감사를 포함하여 광범위한 보안 요구사항 세트를 고려해야 합니다. 현재의 비즈니스 환경에서 보안 모델의 가장 중요한 요구사항 중 하나는 이전에는 호환되지 않던 이기종 환경(Microsoft .NET 및 J2EE(Java™ 2 Platform, Enterprise Edition) 에서의 보안 기술(공개 키 인프라, Kerberos 등)을 상호 운용 가능하게 하는 기능입니다.
웹 서비스 보안: SOAP 메시지 보안 1.0 스펙에서 보안 웹 서비스를 빌드하는 데 사용할 수 있는 표준 SOAP 확장 세트에 대한 개요를 보여줍니다. 이 표준은 일반적인 디지털 서명 및 암호화 기술에서 제공되는 무결성 및 기밀성을 준수합니다. 또한 웹 서비스 보안에서는 토큰을 메시지와 연관시키는 일반적인 용도의 메커니즘도 제공합니다. 보안 토큰의 일례는 사용자 이름 토큰으로 사용자 이름과 비밀번호가 텍스트로 포함됩니다. 웹 서비스 보안은 X.509 인증 및 Kerberos 티켓을 사용하여 2진 보안 토큰을 인코딩하는 방법을 정의합니다. 하지만, 필수 보안 토큰은 web Service Security 버전 1.0 스펙에 정의되어 있지 않습니다. 대신 토큰은 사용자 이름 토큰 프로파일, X.509 토큰 프로파일, SAML 프로파일, Kerberos 프로파일, XrML 프로파일 등과 같은 별도의 프로파일에 정의되어 있습니다.
웹 서비스용 v6.1 기능팩 및 v7에서 WebSphere Application Server는 Web Service Security 버전 1.1 스펙, Username Token 버전 1.1 프로파일 및 X.509 Token 버전 1.1 프로파일 구현을 위해 정책 세트 모델을 사용합니다. 정책 세트는 WS-Addressing, WS-ReliableMessaging, WS-SecureConversation 및 WS-Security와 같은 전송 및 메시지 레벨 구성의 설정을 포함하여 구성 설정을 결합합니다.
웹 서비스에 대해 정책 세트를 사용하려면 다음 주제를 참조하십시오. JAX-WS 웹 서비스 및 클라이언트에 대한 정책 세트 관리
다음 서적에는 웹 서비스용 WebSphere Application Server v6.1 기능팩의 정책 세트에 관한 장이 포함되어 있습니다. IBM® Redbooks®: WebSphere Application Server V6.1용 웹 서비스 기능팩
웹 서비스 보안 마법사를 사용하여 웹 서비스 보안을 설정하려면 웹 서비스 보안 마법사를 사용하여 JAX-RPC 웹 서비스 보안 설정
보안 설정을 웹 서비스에 적용하기 위해 마법사를 사용하는 실제적인 예제가 포함된 자세한 정보는 IBM Redbooks: Rational® Application Developer V7 프로그래밍 안내서를 참조하십시오.
WebSphere 런타임 환경을 사용하여 웹 서비스 마법사로 웹 서비스를 작성할 때 네 개의 보안 옵션이 제공됩니다.
웹 서비스 클라이언트와 웹 서비스가 서로 통신하려면 설정이 동일해야 합니다. 예를 들어, 클라이언트가 비안전 또는 XML 암호화 보안 설정인 경우 XML 디지털 서명 안전 서비스를 호출할 수 없습니다.
마법사에서 사용할 수 있는 보안 옵션은 설명을 위해 제공되는 것으로 프로덕션 환경에서는 사용하면 안됩니다. 이는 WebSphere Application Server의 키 저장소와 인증 파일을 지시합니다. WebSphere Application Server에서 제공되는 기본 보안 구성에 대한 추가 정보는 기본 웹 서비스 보안 구성.
프로덕션 환경에서 웹 서비스에 대해 보안을 사용하도록 설정하려면 웹 서비스 보안 마법사를 사용하여 웹 서비스 보안 설정 또는 WS-Security를 기반으로 수동으로 웹 서비스 보안 설정.
웹 서비스 보안 마법사가 사용자의 요구에 맞지 않는 경우, 수동으로 웹 서비스의 보안을 설정하는 옵션이 있습니다. 이 프로세스는 보안 설정에 대해 추가 제어를 제공하지만 마법사를 사용하여 보안을 사용하는 것보다 시간이 더 오래 걸리고 오류가 발생할 가능성도 높습니다.
수동으로 웹 서비스 보안을 사용하는 데 대한 추가 정보는 WS-Security를 기반으로 수동으로 JAX-RPC 웹 서비스 보안 설정
이 Information Center에 제공된 정보 이외에 WebSphere Application Server를 사용한 웹 서비스 보안 설정 방법에 대해 설명하는 몇 가지 유용한 학습서 및 기사가 developerWorks®에 있습니다.