웹 서비스 보안 호출자 구성

인증 또는 비인증 모드에서 웹 서비스를 실행할 수 있습니다. 사용자의 ID를 기반으로 자원에 대한 액세스 권한을 제한하려는 경우, 웹 서비스는 인증 모드에서 실행해야 합니다. 웹 서비스가 인증 모드에서 실행되는 경우, 사용자 ID는 웹 서비스가 실행되는 동일한 스레드에 배치됩니다.

웹 서비스를 인증 모드에서 실행할 수 있는 두 가지 방법이 있습니다.
HTTP 기본 인증
HTTP 헤더의 ID는 웹 컨테이너에 의해 스레드에 배치됩니다.
WS-Security 호출자 구성
SOAP 보안 헤더에 있는 토큰 중 하나의 ID는 WS-Security 런타임에 의해 스레드에 배치됩니다.

WS-Security 스펙은 SOAP 메시지의 보안 헤더에서 두 개 이상의 토큰이 전달되도록 허용합니다. 웹 서비스가 WS-Security를 사용하여 인증 모드에서 실행하는 데 필요한 경우, ID에 사용할 토큰을 WS-Security 런타임 환경에 알리기 위한 일부 메커니즘이 필요합니다. 이 메커니즘을 호출자 구성이라고 합니다.

WS-Security 호출자 구성은 <callerToken> 요소를 사용하여 server.xml 파일에 지정됩니다.

다음 예제에서는 UsernameToken에 대한 호출자 구성을 포함하는 샘플 WS-Security 제공자 구성을 보여줍니다.
<wsSecurityProvider ...>
  ...
  <callerToken name="UsernameToken" />
  ...
</wsSecurityProvider>
<callerToken> 요소에 다음 값을 지정할 수 있습니다.
  • UsernameToken
  • X509Token
  • SamlToken

X509Token을 호출자 토큰으로서 구성하는 경우, 하나의 클라이언트의 X509Certificate만 보안 헤더에서 분석될 수 있는지 확인하십시오. 예를 들어, 오직 하나의 클라이언트 인증서만 AsymmetricBinding의 Initiator 토큰에서 분석되는지 또는 오직 하나의 클라이언트 인증서만 Endorsing 토큰에서 분석되는지를 확인하십시오.

UsernameToken을 호출자 토큰으로 구성하는 경우, 보안 헤더에는 하나의 UsernameToken만 포함해야 합니다.

SamlToken을 호출자 토큰으로 구성하는 경우, 보안 헤더에는 하나의 SAML 토큰만 포함해야 합니다. 인증된 주제가 작성될 때 프린시펄, 그룹 또는 영역으로서 사용될 수 있는 SAML 속성을 지정하는 데 사용되는 추가 구성 옵션(예: userIdentifier, groupIdentifier 또는 realmIdentifier)이 있습니다. 선택적 SAML callerToken 구성에 대한 자세한 정보는 제품 문서에서 WS-Security SAML 호출자 구성 작성을 참조하십시오.


주제의 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwlp_wssec_caller_config
파일 이름: cwlp_wssec_caller_config.html