인증 생성기 또는 이용자 토큰 설정
인증 토큰은 ID를 확인하거나 검증하는 데 사용됩니다. 일반 바인딩을 편집할 때 메시지 파트에 대한 인증 토큰 설정을 추가하려면 관리 콘솔을 사용하십시오.
인증 토큰을 구성하려면 다음 단계를 완료하십시오.
- 글로벌 보안 기본 정책 세트 바인딩으로 설정된 일반 바인딩을 보고 선택하려면 을 클릭하십시오. 첨부 지점, 서버 또는 보안 도메인에서 대체된 경우를 제외하면 지정된 바인딩이 사용됩니다.
- 일반 바인딩을 액세스 및 구성하고 메시지 파트에 대한 인증 토큰 설정을 추가하려면 을 클릭하십시오.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 기본 메시지 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
- 새 토큰을 클릭하여 새 토큰 생성기 또는 이용자를 작성하거나, 인증 토큰 테이블에서 기존 이용자 또는 생성기 토큰 링크를 클릭하십시오.
- 을 클릭하십시오.
- 웹 서비스를 포함하는 애플리케이션을 선택하십시오. 애플리케이션에 서비스 제공자 또는 서비스 클라이언트가 포함되어야 합니다.
- 웹 서비스 특성 섹션에서 서비스 제공자 정책 세트 및 바인딩 링크 또는 서비스 클라이언트 정책 세트 및 바인딩 링크를 클릭하십시오.
- 바인딩을 선택하십시오. 미리 정책 세트를 첨부하고 애플리케이션 특정 바인딩을 지정해야 합니다.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 기본 메시지 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
- 보호 토큰 테이블에서 이용자 또는 생성기 토큰 링크를 클릭하십시오.
이 관리 콘솔 페이지는 JAX-WS(Java™ API for XML Web Services) 애플리케이션에만 적용됩니다.
이름
구성할 토큰의 이름을 지정합니다. 애플리케이션 특정 바인딩을 사용할 경우, 이 필드는 표시되지 않습니다.
토큰 유형
구성할 토큰의 유형을 지정합니다.
애플리케이션 특정 바인딩을 사용할 경우, 정책 파일에서 토큰 유형이 얻어지며 읽기 전용입니다. 일반 바인딩을 사용할 경우, 목록에서 토큰 유형을 선택하십시오. 사용 가능한 토큰 유형은 다음과 같습니다.
- X509V3 토큰 V1.1
- X509V3 토큰 V1.0
- 사용자 이름 토큰 V1.1
- 사용자 이름 토큰 V1.0
- X509PKCS7 토큰 V1.1
- X509PKCS7 토큰 V1.0
- X509PkiPathV1 토큰 V1.1
- X509PkiPathV1 토큰 V1.0
- LTPA 전파 토큰
- X509V1 토큰 V1.1
- LTPA 토큰
- LTPA 토큰 V2.0
- 사용자 정의 토큰
LTPA 토큰을 토큰 생성기의 토큰 유형으로 선택하는 경우, 싱글 사인온 상호 운용성 모드도 사용 가능하게 설정해야 합니다. 이는 웹의 글로벌 보안 및 SIP 보안에 속하는 설정입니다. 상호 운용성 플래그가 사용 가능(true)으로 설정되지 않은 경우, 해당 바인딩에 첨부된 애플리케이션이 시작되면 오류가 발생합니다. 상호 운용성 플래그의 상태를 확인하지 않고 LTPA 토큰을 사용하려는 경우, 토큰 생성기에서 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 사용자 정의 특성을 설정할 수 있습니다. "LTPA 토큰에 대한 싱글 사인온(SSO) 상호 운용성 모드 사용 또는 사용 안함" 주제에 설명된 대로 관리 콘솔을 사용하여 이 특성을 설정하십시오. 이 특성은 웹 서비스 보안 API를 사용하여 설정할 수 없습니다.
로컬 이름
인증 토큰 생성기 또는 이용자의 로컬 이름을 지정합니다. 로컬 이름 필드는 표시된 토큰 유형을 기반으로 채워집니다. 사용자 정의 토큰 유형만 편집하려면 이 필드를 사용하십시오.
URI
인증 토큰 생성기 또는 이용자의 URI(Uniform Resource Identifier)를 지정합니다. URI 필드는 표시된 토큰 유형을 기반으로 채워집니다. 사용자 정의 토큰 유형만 편집하려면 이 필드를 사용하십시오.
Kerberos 토큰 프로파일 v1.1의 OASIS 웹 서비스 보안 스펙에 정의된 대로 Kerberos 토큰을 생성하는 데 사용자 정의 토큰 유형이 사용되는 경우 이 필드를 공백으로 두십시오.
보안 토큰 참조
보안 토큰 참조를 지정합니다. 보안 토큰 참조 필드는 애플리케이션 특정 바인딩의 인증 토큰에 대해서만 표시됩니다. 이 필드는 기본 바인딩에 사용할 수 없습니다.
JAAS 로그인
바인딩 범위로 지정된 도메인에 대해 유효한 애플리케이션 및 시스템 JAAS(Java Authentication and Authorization Service) 로그인 목록을 지정합니다.
애플리케이션의 범위가 글로벌 보안으로 지정되거나 고유의 JAAS 로그인을 사용자 정의하지 않은 도메인으로 지정된 경우, 글로벌 로그인 목록이 메뉴 목록에 표시됩니다. 글로벌 JAAS 애플리케이션 로그인 콜렉션에 액세스하려면 새 애플리케이션 로그인을 클릭하십시오. JAAS 로그인 메뉴 목록 및 새 애플리케이션 로그인 단추 동작은 바인딩이 첨부와 연관되어 작성되는지 여부에 따라 다릅니다. JAAS 로그인과 같이 이전에 참조된 보안 구성을 다른 보안 도메인에서는 액세스할 수 없을 수 있으므로 보안 도메인을 변경하는 경우 주의를 사용하십시오.
사용자 정의 특성 – 이름
사용자 정의 특성에 사용되는 이름을 지정합니다.
사용자 정의 특성은 처음에 이 열에 표시되지 않습니다. 설명된 조치를 사용 가능하게 하는 다음 단추 중 하나를 클릭하십시오.
단추 | 결과 조치 |
---|---|
새로 작성 | 새 사용자 정의 특성 항목을 작성합니다. 사용자 정의 특성을 추가하려면 이름 및 값을 입력하십시오. |
편집 | 선택된 사용자 정의 특성을 편집할 수 있게 합니다. 이 단추를 클릭하면 입력 필드를 제공하고 편집할 셀 값의 목록을 작성합니다. 편집 단추는 최소 한 개의 사용자 정의 특성이 추가될 때까지 사용할 수 없습니다. |
삭제 | 선택된 사용자 정의 특성을 제거합니다. |
사용자 정의 특성 – 값
사용할 사용자 정의 특성 값을 지정합니다. 값 필드를 사용하여 사용자 정의 특성 값을 입력, 편집 또는 삭제할 수 있습니다.
사용자 정의 토큰 유형이 Kerberos 토큰을 생성하는 데 사용되는 경우, 다음 사용자 정의 특성을 지정하십시오.
사용자 정의 특성 이름 | 값 |
---|---|
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | 대상 서비스의 이름을 지정합니다. 이 특성은 필수입니다. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | myhost.mycompany.com 형식의
대상 서비스와 연관된 호스트 이름을 지정합니다. 이 특성은 필수입니다. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | 대상 서비스와 연관된 영역의 이름을 지정합니다. 이 특성은 단일 Kerberos 영역에 대해 |
com.ibm.wsspi.wssecurity.krbtoken.clientRealm | 클라이언트와 연관된 Kerberos 영역의 이름을
지정합니다. 이 특성은 단일 Kerberos 영역 환경에 대해 선택적입니다. |
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt | 값이 True일 때 Kerberos 로그인을 사용 가능하게 합니다. 기본값은 False입니다. 이 특성은 필수입니다. |
토큰 생성기의 경우, 대상 서비스 이름 및 대상 호스트 이름의 조합이 서비스 프린시펄 이름(SPN)을 형성합니다. 이는 대상 Kerberos 서비스 프린시펄 이름을 나타냅니다. Kerberos 클라이언트는 SPN에 대한 초기 Kerberos AP_REQ 토큰을 요청합니다.
애플리케이션이 각 웹 서비스 요청 메시지에 대해 Kerberos V5 AP_REQ 토큰을 생성하거나 이용하는 경우 애플리케이션에 대한 토큰 생성기 또는 토큰 이용자 바인딩에서 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 사용자 정의 특성을 true로 설정하십시오. 자세한 정보는 웹 서비스 보안 문제점 해결 팁 주제를 참조하십시오.
콜백 핸들러
콜백 핸들러를 구성할 수 있는 콜백 핸들러 페이지에 링크됩니다. 콜백 핸들러 설정은 메시지 헤더에서 보안 토큰이 얻어지는 방법을 판별합니다.
기본 바인딩을 사용 중인 사용자 이름 토큰 또는 LTPA 토큰에 대해 작업할 경우, 사용자 이름 및 비밀번호 예제가 제공될 수 있습니다. 이러한 토큰 유형의 값을 업데이트해야 합니다.