Liberty에 대해 TAI 구성

TAI(Trust Association Interceptors)를 사용하여 써드파티 보안 서비스와 통합하도록 Liberty를 구성할 수 있습니다. 싱글 사인온(SSO) 이전 또는 이후에 TAI를 호출할 수 있습니다.

시작하기 전에

써드파티 보안 서버를 리버스 프록시 서버로 이미 설치했는지 확인하십시오. Liberty 서버가 자체 권한 부여 정책을 프록시 서버가 전달하는 결과 신임 정보에 적용하는 경우, 써드파티 보안 서버는 프론트 엔드 인증 서버의 역할을 수행할 수 있습니다. 또한 com.ibm.wsspi.security.tai.TrustAssociationInterceptor 인터페이스를 구현하는 사용자 정의 TAI 클래스를 포함하는 JAR 파일도 있어야 합니다.
참고: 이 JAR 파일의 변경사항 모니터링은 지원되지 않습니다.

이 태스크 정보

TAI는 써드파티 보안 서버와 Liberty 서버 간의 HTTP 요청을 유효성 검증하는 데 사용됩니다. TAI는 써드파티 보안 서버의 HTTP 요청을 조사하여 보안 속성을 포함하는지 여부를 확인합니다. TAI에 의한 요청의 유효성 검증 프로세스에 성공하는 경우, Liberty 서버는 클라이언트 사용자에게 자원에 액세스하는 데 필요한 권한이 있는지 여부를 검사하여 요청에 권한을 부여합니다.

LTPA에 대한 사용자 정의 TAI 및 SSO 구성에 대한 자세한 정보는 Liberty의 사용자 정의 TAI 개발Liberty에서 LTPA 쿠키를 사용하여 SSO 구성 사용자 정의의 내용을 참조하십시오.

For distributed platforms또한 개발자 도구를 사용하여 TAI 서비스를 구성할 수 있습니다.For distributed platforms 도구 지원에 대한 자세한 정보는 개발자 도구를 사용한 Liberty의 TAI 구성의 내용을 참조하십시오.

프로시저

  1. server.xml 파일에서 appSecurity-2.0 Liberty 기능을 사용하도록 설정하십시오.
    <featureManager>
        <feature>appSecurity-2.0</feature>
    </featureManager>
  2. 애플리케이션을 Liberty 서버에 배치하고, 모든 Liberty 기능(예: jsp-2.2jdbc-4.0)을 사용하십시오.
  3. TAI 구현 라이브러리 simpleTAI.jar를 서버 디렉토리에 배치하십시오.
  4. server.xml 파일을 TAI 구현 라이브러리의 위치 및 TAI 구성 옵션으로 업데이트하십시오.
    다음 server.xml 파일에서는 사용자 정의 TAI가 사용되지만 보호되지 않는 URI에 대한 인증을 수행하지 않으며 TAI 인증에 실패하는 경우 애플리케이션 인증 메소드에 대한 폴백을 허용하지 않습니다. 예제에서 보는 것처럼, TAI 지원을 위해 다음과 같은 구성 요소를 사용할 수 있습니다.
    • trustAssociation
    • interceptors
    • properties
    <trustAssociation id="myTrustAssociation" invokeForUnprotectedURI="false" 
                      failOverToAppAuthType="false">
        <interceptors id="simpleTAI" enabled="true"  
                      className="com.sample.SimpleTAI" 
                      invokeBeforeSSO="true" invokeAfterSSO="false" libraryRef="simpleTAI">
            <properties prop1="value1" prop2="value2"/>
    
        </interceptors>
    </trustAssociation>
    
    <library id="simpleTAI">
        <fileset dir="${server.config.dir}" includes="simpleTAI.jar"/>
    </library>
    ...    

    참고: 특성 이름은 마침표(.), config. 또는 service로 시작할 수 없습니다. 또한, 특성 이름 id 또는 ID는 허용되지 않습니다.
    참고: 기본적으로 invokeBeforeSSO 특성은 true로 설정됩니다. 이 설정을 사용하면 SSO 토큰이 존재하고 유효한 경우에도 TAI가 호출됩니다. 그러나 SSO 토큰이 유효하지 않거나 존재하지 않는 경우에만 TAI를 호출할 것으로 예상되는 경우, 이 특성을 false로 설정하여 사용하지 않고 invokeAfterSSO 특성을 사용할 수 있습니다. 이 설정을 사용하면 SSO 토큰이 존재하지 않거나 유효하지 않은 경우에만 TAI가 호출됩니다. 일부 경우에 이 설정은 시스템의 성능을 향상시킬 수 있습니다.

    <trustAssociation>, <interceptors><properties> 요소에 대한 자세한 정보는 JMX REST 커넥터 1.0을 참조하십시오.


주제의 유형을 표시하는 아이콘 태스크 주제

파일 이름: twlp_sec_tai.html