ID 어설션 인증 메소드

ID 어설션(IDAssertion) 인증 메소드를 사용하는 경우 생성되는 보안 토큰은 <wsse:Username> 요소를 포함하는 <wsse:UsernameToken> 요소입니다.

중요사항: 버전 5.x와 버전 6.0.x 애플리케이션 사이에 중요한 차이가 있습니다. 정보는 WebSphere® Application Server 6.0.x 이상 버전과 함께 사용되는 버전 5.x 애플리케이션만을 지원합니다. 버전 6.0.x 애플리케이션에는 이 정보가 적용되지 않습니다.

요청 송신자 측에서 콜백 핸들러는 보안 토큰을 생성하기 위해 호출됩니다. 요청 수신자 측에서 보안 토큰이 유효성 검증됩니다. 이 두 조작, 토큰 생성 및 토큰 유효성 검증 조작은 다음 절에서 설명됩니다.

ID 어설션 토큰 유효성 검증:

요청 수신자는 SOAP 메시지에서 IDAssertion 보안 토큰을 검색하고 JAAS(Java™ Authentication and Authorization Service) 로그인 모듈을 사용하여 이를 유효성 검증합니다. ID 어설션을 사용하는 특수 처리는 실행 스레드의 설정 ID로 ID를 어설션하기 전에 신뢰를 설정해야 합니다. 이 특수 처리는 배치 디스크립터 파일 ibm-webservices-ext.xmi의 <IDAssertion> 요소로 정의됩니다. 모든 유효성 검증 검사가 성공하면 어설션된 ID가 실행 스레드의 ID로 설정됩니다. 유효성 검증이 실패하면 요청은 SOAP 결함 예외로 거부됩니다.

JAAS 로그인 구성은 바인딩 파일의 <LoginMapping> 요소에 지정됩니다. 기본 바인딩은 ws-security.xml 파일에 지정됩니다. 그렇지만 애플리케이션 특정 ibm-webservices-bnd.xmi 파일로 이 바인딩을 대체할 수 있습니다. 구성 정보는 CallbackHandlerFactory 및 ConfigName으로 구성됩니다. CallbackHandlerFactory는 JAAS CallbackHandler 오브젝트 작성에 사용되는 클래스 이름을 지정합니다. WebSphere Application Server는 com.ibm.wsspi.wssecurity.auth.callback.WSCallbackHandlerFactoryImpl CallbackHandlerFactory 구현을 제공합니다. ConfigName은 JAAS 구성 이름 항목을 지정합니다.

WebSphere Application Server는 security.xml 파일에서 일치하는 구성 이름 항목을 검색합니다. 일치가 발견되지 않으면 wsjaas.conf 파일을 검색합니다. WebSphere Application Server는 ID 어설션 인증 메소드에 적합한 system.wssecurity.IDAssertion 기본 구성 항목을 제공합니다.

배치 디스크립터 파일 ibm-webservices-ext.xmi의 <IDAssertion> 요소는 ID 어설션 인증 메소드를 사용하는 경우 필요한 특수 처리를 지정합니다. <IDAssertion> 요소는 두 개의 하위 요소인 <IDType> 및 <TrustMode>로 작성됩니다.

<IDType> 요소는 ID 어설션 메소드를 지정합니다. ID 어설션에 지원되는 값은 다음과 같습니다.
  • Username
  • 식별 이름(DN)
  • X.509 인증서

<IDType>이 username인 경우 Username 토큰(예: Bob)이 제공됩니다. 이 사용자 이름은 사용자 레지스트리의 사용자에 맵핑되고 성공적인 신뢰 유효성 검증 후에 어설션된 ID입니다. <IDType> 값이 DN인 경우 식별 이름이 포함된 username 토큰이 제공됩니다(예: cn=Bob Smith, o=ibm, c=us). 이 DN은 사용자 레지스트리의 사용자에 맵핑되고 이 사용자는 성공적인 신뢰 유효성 검증 후에 어설션된 ID입니다. <IDType>이 X509Certificate인 경우 X.509 인증서를 포함하는 2진 보안 토큰이 제공되며 인증서의 SubjectDN 값(예: cn=Bob Smith, o=ibm, c=us)이 추출됩니다. 이 SubjectDN 값은 사용자 레지스트리의 사용자에 맵핑되고 이 사용자는 성공적인 신뢰 유효성 검증 후에 어설션된 ID입니다.

<TrustMode> 요소는 신뢰 권한 또는 어설션 권한이 신뢰 정보를 제공하는 방법을 지정합니다. 지원되는 값은 다음과 같습니다.
  • Signature
  • BasicAuth
  • 값이 지정되지 않음

<TrustMode> 값이 Signature인 경우 서명이 유효성 검증됩니다. 그리고 서명자(예: cn=IBM Authority, o=ibm, c=us)가 사용자 레지스트리의 ID(예: IBMAuthority)에 맵핑됩니다. 어설션 권한이 신뢰되도록 하기 위해 맵핑된 ID(예: IBMAuthority)가 신뢰된 ID 목록에 대해 유효성 검증됩니다. <TrustMode> 요소가 BasicAuth인 경우 사용자 이름 및 비밀번호가 포함된 username 토큰이 있으며 이는 어설션 권한의 사용자 이름 및 비밀번호입니다.

사용자 이름 및 비밀번호는 유효성 검증됩니다. 제대로 유효성 검증되면 해당 사용자 이름(예: IBMAuthority)은 신뢰 ID 목록에 대해 유효성 검증됩니다. 값을 <TrustMode>에 대해 지정하지 않으면 신뢰가 추정되고 추가 신뢰 유효성 검증이 수행되지 않습니다. 이 유형의 ID 어설션은 pres추정된 신뢰 모드라고 합니다. 추정된 신뢰 모드는 신뢰가 일부 다른 메커니즘을 사용하여 설정된 환경에서만 사용하십시오.

이전에 설명한 모든 유효성 검증이 성공하면 어설션된 ID(예: Bob)가 실행 스레드의 ID로 설정됩니다. 유효성 검증이 실패하면 요청이 SOAP 결함 예외로 거부됩니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_authidassert
파일 이름:cwbs_authidassert.html