SAML 발신자-인증 토큰에 대한 클라이언트 및 제공자 바인딩 구성

SAML 발신자-인증 토큰에 대한 클라이언트 및 제공자 정책 세트 첨부 및 바인딩을 구성할 수 있습니다. SAML 발신자-인증 토큰은 발신자-인증 주제 확인 방법을 사용하는 SAML 토큰입니다. 발신자-인증 확인 방법은 서버가 클라이언트 ID 또는 클라이언트 동작을 전파해야 하는 경우 사용됩니다.

시작하기 전에

  • SAML 발신자-인증 토큰을 사용하기 전에 하나 이상의 새 서버 프로파일을 작성하거나 기존 프로파일에 SAML 구성 설정을 추가해야 합니다.

    서버 프로파일 작성에 대한 자세한 정보는 애플리케이션 서버 프로파일 작성 주제를 참조하십시오.

    기존 프로파일에 SAML 구성 설정을 추가하는 방법에 대한 자세한 정보는 SAML 구성 방법을 설명하는 다양한 주제를 참조하십시오.

  • SOAP 메시지 및 SAML 토큰의 무결성을 보호하기 위해 사용할 보안 유형을 판별하십시오. 그러면 수신자가 권한이 없는 당사자가 메시지 컨텐츠 및 SAML 토큰을 수정하지 않도록 확인할 수 있습니다. 메시지 레벨 보안 또는 HTTPS 전송을 사용해야 합니다.

    SAML 토큰 프로파일 스펙의 3.5.2.1 섹션의 설명에 따름:

    "수신자의 연관된 확인 방법 처리를 만족하기 위해 증명하는 엔티티는 다른 당사자가 변경한 경우를 수신자가 판별할 수 있도록 SOAP 메시지 컨텐츠에 대한 인증을 보호해야 합니다. 증명하는 엔티티는 권한이 없는 수정을 감지할 수 있도록 메시지 컨텐츠에 대한 첨부(필요한 경우) 및 바인딩의 인증을 보호합니다. "

    이 SAML 발신자-인증 요구사항을 만족하기 위해 전송 레벨 또는 메시지 레벨 보안을 사용할 수 있습니다.

    발신자-인증 토큰을 보호하려면 메시지 레벨 보안 또는 HTTPS 전송을 사용해야 합니다.
    • HTTP 전송 레벨 보안을 활용하려면 HTTPS 전송을 구성하십시오.
    • 메시지 레벨 보안을 활용하기 위해 SAML 토큰 프로파일 스펙은 증명하는 엔티티가 "관련 메시지 컨텐츠 및 어설션에 서명"하도록 제안합니다.
    관련 메시지 컨텐츠 및 어설션에 서명하려면 적어도 SAML 토큰에 서명해야 합니다(어설션). 관련 컨텐츠는 애플리케이션에 종속됩니다. 스펙은 다음을 권장합니다.
    • 발신자는 관련 메시지 컨텐츠 요구사항을 만족하기 위해 적어도 SOAP 본문 및 SAML 어설션을 함께 서명합니다.
    • 이용자는 SAML 발신자-인증을 사용할 때 SAML 본문에서 SAML 토큰을 서명하는지 확인합니다.

이 태스크 정보

이 프로시저에서는 SAML 토큰에 디지털로 서명하기 위해 완료해야 하는 단계를 설명합니다. 서명해야 하는 메시지 파트와 관련하여 SAML 발신자-인증 또는 SAML Bearer 토큰에 대한 SAML 토큰 프로파일 OASIS 표준 요구사항을 설명하지 않습니다.

이 프로시저에 제공된 예제는 샘플 웹 서비스 애플리케이션 JaxWSServicesSamples를 사용합니다.

발신자-인증 정책 세트를 작성하는 프로시저는 새 SAML 발신자-인증 정책을 작성하여 시작합니다.

프로시저

  1. SAML 발신자-인증 정책을 작성하고 메시지 파트를 구성하십시오.

    SAML 발신자-인증 토큰에 대한 클라이언트 및 제공자 바인딩을 구성하려면 먼저 SAML Bearer 정책에 기반하여 SAML 발신자-인증 정책 세트를 작성해야 합니다. 정책 세트를 작성한 후에는 JAX-WS 클라이언트 및 제공자 애플리케이션에 바인딩을 첨부해야 합니다. Bearer 정책 세트에 대한 자세한 정보는 SAML Bearer 토큰에 대한 클라이언트 및 제공자 바인딩 구성 주제를 참조하십시오.

    여러 SAML 토큰 애플리케이션 정책 세트 및 여러 일반 클라이언트 및 제공자 샘플이 제품에서 제공됩니다. SAML 발신자-인증 토큰에 사용되는 정책 세트는 SAML Bearer 토큰에 사용되는 정책 세트와 유사합니다. 다음 프로시저에서는 SAML Bearer 토큰 정책 세트에 기반하여 발신자-인증 정책 세트를 작성하는 방법을 설명합니다.

    사본으로 가져오지 않은 경우 SAML 발신자-인증 토큰에서 사용하도록 SAML20 Bearer WSSecurity 기본 및 SAML20 Bearer WSHTTPS 기본 정책을 업데이트할 수 없습니다. SAML20 Bearer WSSecurity 기본 및 SAML20 Bearer WSHTTPS 기본 정책은 SAML 토큰에 서명하도록 구성되지 않습니다. SAML 발신자-인증 요구사항을 만족하려면 SAML 토큰에 서명하도록 정책을 업데이트해야 합니다. 따라서 두 정책 중 하나를 사본으로 가져오거나 정책 사본을 작성해야 합니다. 다음 프로시저에서는 정책 사본을 작성합니다.

    1. 필수 정책 세트를 가져오십시오.

      SAML Bearer 토큰에 대한 클라이언트 및 제공자 바인딩 구성 주제의 시작하기 전에 절에서는 원하는 유형의 Username WSHTTPS 기본 및 SAML Bearer 정책을 가져오는 방법을 설명합니다. 예를 들어, SAML20 Bearer WSSecurity 기본값은 HTTP를 사용하는 SAML 2.0 발신자-인증 토큰에 사용됩니다.

    2. 편집 가능하며 가져온, 원하는 SAML Bearer 정책의 사본을 작성하십시오.
      1. 관리 콘솔에서 서비스 > 정책 세트 > 애플리케이션 정책 세트를 클릭하십시오.
      2. 복사하려는 가져온 SAML Bearer 정책을 선택하십시오.

        예를 들어, SAML20 Bearer WSSecurity 기본값을 선택할 수 있습니다.

      3. 복사...를 클릭하십시오.
      4. 이름 필드에 원하는 이름을 지정하십시오. 예를 들어, SAML20 sender-vouches를 지정할 수 있습니다.
      5. 확인을 클릭하십시오.
    3. 새 SAML 발신자-인증 정책을 편집하여 SAML 토큰의 디지털 서명을 추가하십시오.
      1. 관리 콘솔에서 서비스 > 정책 세트 > 애플리케이션 정책 세트를 클릭하십시오.
      2. 방금 작성한 정책을 선택하십시오.

        이전 예제를 사용하여 SAML20 발신자-인증을 선택합니다.

    4. 관리 콘솔에서 SAML 정책 세트를 편집하고 WS-Security > 기본 정책 > 메시지 파트 보호 요청을 클릭하십시오.
    5. 무결성 보호에서 추가를 클릭하십시오.
    6. 서명할 파트 이름에 대한 파트 이름을 입력하십시오(예: saml_part).
    7. 파트의 요소에서 추가를 클릭하십시오.
    8. XPath 표현식을 선택하십시오.
    9. 두 개의 XPath 표현식을 추가하십시오.
      /*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
      /*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Envelope']/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
    10. 적용저장을 차례로 클릭하십시오.
    11. 이 정책을 사용하여 애플리케이션을 시작한 적이 없으면 추가 조치는 필요하지 않습니다. 그렇지 않으면, 애플리케이션 서버를 다시 시작하거나 정책 세트를 다시 로드하기 위해 애플리케이션 서버에 대한 wsadmin 스크립트를 사용하여 정책 세트 구성 새로 고치기 문서의 지시사항을 수행하십시오.
  2. 신뢰 클라이언트 구성

    외부 STS에 액세스하기 위해 일반 바인딩을 사용하는 경우 클라이언트 애플리케이션에 정책 세트 및 바인딩 첨부 단계를 건너뛰십시오.

    애플리케이션 특정 바인딩을 사용하여 외부 STS에 액세스하는 경우 다음 단계를 완료하십시오.

    1. 바인딩을 구성할 수 있도록 웹 서비스 클라이언트 애플리케이션에 신뢰 클라이언트의 정책 세트를 임시로 첨부하십시오.

      신뢰 클라이언트의 정책 세트를 첨부하면 관리 콘솔을 사용하여 클라이언트 바인딩 문서 바인딩을 작성한 후 수정할 수 있습니다. 애플리케이션 특정 바인딩을 사용하여 외부 STS에 액세스하는 경우에만 이 조치를 완료하면 됩니다.

      1. 관리 콘솔에서 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > JaxWSServicesSamples > 서비스 클라이언트 정책 세트 및 바인딩을 클릭하십시오.
      2. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 선택하십시오.
      3. 클라이언트 정책 세트 첨부를 클릭하십시오.
      4. 정책 세트 사용자 이름 WSHTTPS 기본값을 선택하십시오.
    2. 신뢰 클라이언트 바인딩을 작성하십시오.
      1. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 다시 선택하십시오.
      2. 바인딩 지정을 클릭하십시오.
      3. 애플리케이션-특성 바인딩을 작성하기 위해 새 애플리케이션 특정 바인딩을 클릭하십시오.
      4. 새 애플리케이션 특정 바인딩에 대한 바인딩 구성 이름을 지정하십시오. 이 예제에서 바인딩 이름은 SamlTCSample입니다.
    3. SSL 전송 정책 유형을 바인딩에 추가하십시오.

      추가 > SSL 전송을 클릭하고 확인을 클릭하십시오.

    4. 바인딩에 WS-Security 정책 유형을 추가한 후 신뢰 클라이언트에 대한 인증 설정을 수정하십시오.
      1. WS-Security 정책 유형이 아직 SamlTCSample 바인딩 정의에 없으면 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > JaxWSServicesSamples > 서비스 클라이언트 정책 세트 및 바인딩 > SamlTCSample을 클릭하십시오.
      2. 추가 > WS-Security > 인증 및 보호 > request:uname_token을 클릭하십시오.
      3. 적용을 클릭하십시오.
      4. 콜백 핸들러를 선택하십시오.
      5. 웹 서비스 클라이언트가 외부 STS를 인증하는 데 사용할 사용자 이름 및 비밀번호를 지정하십시오.
      6. 확인, 저장을 차례로 클릭하십시오.
    5. 바인딩 설정을 저장한 후에 서비스 클라이언트 정책 세트 및 바인딩 패널로 돌아가 정책 세트 및 바인딩을 분리하십시오.
      1. 이 페이지의 탐색에서 서비스 클라이언트 정책 세트 및 바인딩을 클릭하거나 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > JaxWSServicesSamples > 서비스 클라이언트 정책 세트 및 바인딩을 클릭하십시오.
      2. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 선택하고 클라이언트 정책 세트 분리를 클릭하십시오.

      방금 작성한 애플리케이션 특정 바인딩 구성은 정책 세트를 분리해도 파일 시스템에서 삭제되지 않습니다. 따라서 신뢰 클라이언트에서 STS에 액세스하기 위해 작성한 애플리케이션 특정 바인딩을 계속 사용할 수 있습니다.

  3. SAML 발신자-인증 정책 세트를 첨부하고 클라이언트 애플리케이션에 대한 새 애플리케이션 특정 바인딩을 작성하십시오.

    발신자-인증에 대한 일반 바인딩 대신 애플리케이션 특정 사용자 정의 바인딩을 사용해야 합니다. 따라서 첨부된 Bearer 토큰 정책 세트 및 바인딩에서 발신자-인증 정책 세트 및 바인딩을 구성하는 경우 지정된 바인딩이 애플리케이션 특정 바인딩인지 확인해야 합니다.

    1. 원하는 SAML 정책 세트를 웹 서비스 클라이언트 애플리케이션에 첨부하십시오.
      1. 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > JaxWSServicesSamples > 서비스 클라이언트 정책 세트 및 바인딩을 클릭하십시오.
      2. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 선택하십시오.
      3. 클라이언트 정책 세트 첨부를 클릭하십시오.
      4. 작성한 SAML 정책을 선택하십시오.

        예를 들어, SAML20 sender-vouches를 선택할 수 있습니다.

    2. 클라이언트에 대한 새 애플리케이션 특정 바인딩을 작성하십시오.
      1. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 다시 선택하십시오.
      2. 바인딩 지정을 클릭하십시오.
      3. 새 애플리케이션 특정 바인딩...을 선택하십시오.
      4. 새 애플리케이션 특정 바인딩에 대한 바인딩 구성 이름을 지정하십시오.

        이 예제에서 바인딩 이름은 SamlSenderVouchesClient입니다.

      5. 추가 > WS-Security를 클릭하십시오.
  4. 애플리케이션 특정 클라이언트 바인딩에서 SAML 토큰 생성기를 편집하십시오.
    1. 인증 및 보호를 클릭하십시오.
    2. 인증 토큰에서 request:SAMLToken20Bearer 또는 request:SAMLToken11Bearer를 클릭하십시오.
    3. 적용을 클릭하십시오.
    4. 콜백 핸들러를 클릭하십시오.
    5. 다음 사용자 정의 특성을 추가하십시오.
      • confirmationMethod=sender-vouches
      • keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      • stsURI=SecurityTokenService_address

        예를 들어, SecurityTokenService_address에 대해 https://example.com/Trust/13/UsernameMixed를 지정할 수 있습니다.

      • wstrustClientPolicy=Username WSHTTPS default.
      • wstrustClientBinding=value

        wstrustClientBinding에 지정된 값은 이전 단계에서 작성한 신뢰 클라이언트의 애플리케이션 특정 바인딩 이름과 일치해야 합니다. 예를 들어 이전 단계에서 이름이 SamlTCSample인 애플리케이션 특정 바인딩을 작성한 경우 wstrustClientBinding 특성에 대한 값으로 SamlTCSample을 지정해야 합니다.

      • wstrustClientSoapVersion=value

        SOAP 버전 1.1을 사용하려는 경우 이 특성에 대한 1.1의 값을 지정합니다.

        SOAP 버전 1.2를 사용하려는 경우 이 특성에 대한 1.2의 값을 지정합니다.

    6. 확인을 클릭하십시오.
    7. 이 페이지의 탐색에서 WS-Security를 클릭하십시오.
  5. 클라이언트 바인딩에서 일반 디지털 서명을 구성하십시오.
    1. 인증서 저장소를 구성하십시오.
      1. 키 및 인증서를 클릭하십시오.
      2. 인증서 저장소 아래에서 새 인바운드...를 클릭하십시오.
      3. name=clientCertStore를 지정하십시오.
      4. Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer을 지정하십시오.
      5. 확인을 클릭하십시오.
    2. 신뢰 앵커를 구성하십시오.
      1. 신뢰 앵커 아래에서 새로 작성...을 클릭하십시오.
      2. name=clientTrustAnchor를 지정하십시오.
      3. 외부 키 저장소를 클릭하십시오.
      4. Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks를 지정하십시오.
      5. Password=client를 지정하십시오.
      6. 확인을 클릭하십시오.
      7. 이 페이지의 탐색에서 WS-Security를 클릭하십시오.
    3. 서명 생성기를 구성하십시오.
      1. 인증 및 보호 > AsymmetricBindingInitiatorSignatureToken0(서명 생성기)을 클릭하고 적용을 클릭하십시오.
      2. 콜백 핸들러를 클릭하십시오.
      3. Keystore=custom을 지정하십시오.
      4. 사용자 정의 키 저장소 구성을 클릭하고 다음을 지정하십시오.
        • Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
        • Keystore password=client
        • Name=client
        • Alias=soaprequester
        • Password=client
      5. 확인, 확인, 확인을 차례로 클릭하십시오.
    4. 서명 이용자를 구성하십시오.
      1. AsymmetricBindingRecipientSignatureToken0(서명 이용자)을 클릭하고 적용을 클릭하십시오.
      2. 콜백 핸들러를 클릭하십시오.
      3. 인증서에서 인증서 저장소 방사형 단추를 클릭하고 다음을 지정하십시오.
        • Certificate store=clientCertStore
        • Trusted anchor store=clientTrustAnchor
      4. 확인, 확인을 차례로 클릭하십시오.
    5. 요청 서명 정보를 구성하십시오.
      1. request:app_signparts를 클릭하고 Name=clientReqSignInfo를 지정하십시오.
      2. 서명 키 정보에서 새로 작성을 클릭하고 다음을 지정하십시오.
        • Name=clientReqSignKeyInfo
        • Type=Security Token reference
        • Token generator 또는 consumer name=AsymmetricBindingInitiatorSignatureToken0
      3. 확인, 적용을 차례로 클릭하십시오.
      4. 메시지 파트 참조에서 request:app_signparts를 선택하십시오.
      5. 편집을 클릭하십시오.
      6. 변환 알고리즘에서 새로 작성을 클릭하십시오.
      7. URL=http://www.w3.org/2001/10/xml-exc-c14n#을 지정하십시오.
      8. 확인, 확인, 확인을 차례로 클릭하십시오.
    6. 응답 서명 정보를 구성하십시오.
      1. response:app_signparts를 클릭하고 Name=clientRespSignInfo를 지정하십시오.
      2. 적용을 클릭하십시오.
      3. 서명 키 정보에서 새로 작성을 클릭하고 다음을 지정하십시오.
        • Name=clientRspSignKeyInfo
        • Token generator 또는 consumer name=AsymmetricBindingRecipientSignatureToken0
      4. 확인을 클릭하십시오.
      5. 서명 키 정보에서 clientRspSignKeyinfo를 클릭하고 추가를 클릭하십시오.
      6. 메시지 파트 참조에서 response:app_signparts를 선택하십시오.
      7. 편집을 클릭하십시오.
      8. 변환 알고리즘에서 새로 작성을 클릭하십시오.
      9. URL=http://www.w3.org/2001/10/xml-exc-c14n#을 지정하십시오.
      10. 확인, 확인, 확인을 차례로 클릭하십시오.
  6. 클라이언트 바인딩에서 SAML 토큰에 대한 디지털 서명을 구성하십시오.
    1. 작성한 새 SAML 파트를 포함하도록 현재 구성된 아웃바운드 서명된 메시지 파트 바인딩을 수정하십시오.

      요청 메시지 서명 및 암호화 보호에서 상태가 구성됨으로 설정된 파트 참조를 선택하십시오. 이 파트 참조는 request:app_signparts일 수 있습니다.

      1. 메시지 파트 참조 아래 사용 가능 목록에서, 1단계에서 작성한 대로, 서명할 파트 이름을 선택하십시오(예: saml_part).
      2. 추가, 적용을 차례로 클릭하십시오.
      3. 메시지 파트 참조 아래 지정됨 목록에서 추가한 파트 이름을 강조표시하십시오(예: saml_part).
      4. 편집을 클릭하십시오.
      5. 변환 알고리즘 설정의 경우 새로 작성을 클릭하십시오.
      6. http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 선택하십시오.
      7. 확인, 확인을 차례로 클릭한 후 다시 한 번 확인을 클릭하십시오.
    2. 보안 토큰 참조의 디지털 서명을 표시하도록 사용자 정의 특성으로 SAML 토큰 GENERATOR를 업데이트하십시오.

      인증 토큰에서 서명할 SAML 토큰을 선택 및 편집하십시오.

      1. 사용자 정의 특성에서 새로 작성을 클릭하십시오.
      2. com.ibm.ws.wssecurity.createSTR을 사용자 정의 특성 이름으로 입력하십시오.
      3. 사용자 정의 특성 값으로 true를 입력하십시오.
      4. 적용, 저장을 차례로 클릭하십시오.
    3. 애플리케이션을 다시 시작하십시오.
  7. SAML 발신자-인증 정책 세트를 첨부하고 제공자 애플리케이션에 대한 새 애플리케이션 특정 바인딩을 작성하십시오.
    1. 원하는 SAML 정책 세트를 웹 서비스 클라이언트 애플리케이션에 첨부하십시오.
      1. 애플리케이션 > 애플리케이션 유형 > WebSphere 엔터프라이즈 애플리케이션 > JaxWSServicesSamples > 서비스 제공자 정책 세트 및 바인딩을 클릭하십시오.
      2. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 선택하십시오.
      3. 정책 세트 첨부를 클릭하십시오.
      4. 작성한 SAML 정책을 선택하십시오.

        예를 들어, SAML20 sender-vouches를 선택할 수 있습니다.

    2. 제공자에 대한 새 애플리케이션 특정 바인딩을 작성하십시오.
      1. 웹 서비스 클라이언트 자원(JaxWSServicesSamples)을 다시 선택하십시오.
      2. 바인딩 지정을 클릭하십시오.
      3. 새 애플리케이션 특정 바인딩...을 선택하십시오.
      4. 새 애플리케이션 특정 바인딩에 대한 바인딩 구성 이름을 지정하십시오.

        이 예제에서 바인딩 이름은 SamlSenderVouchesProvider입니다.

      5. 추가 > WS-Security를 클릭하십시오.
  8. 애플리케이션 특정 제공자 바인딩에서 SAML 토큰 이용자를 편집하십시오.
    1. 인증 및 보호를 클릭하십시오.
    2. 인증 토큰에서 request:SAMLToken20Bearer 또는 request:SAMLToken11Bearer를 클릭하십시오.
    3. 적용을 클릭하십시오.
    4. 콜백 핸들러를 클릭하십시오.
    5. 다음 사용자 정의 특성을 추가하십시오.
      • confirmationMethod=sender-vouches
      • keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      • signatureRequired=true
    6. 옵션: 서명자 인증서 유효성 검증을 허용하지 않으려는 경우 trustAnySigner 사용자 정의 특성을 true로 설정하십시오.

      SAML 서명 유효성 검증을 위해 모든 인증서 신뢰 구성 설정은 무시됩니다. 이 특성은 signatureRequired 사용자 정의 특성이 true로 설정된 경우에만 유효합니다(이 특성의 기본값임).

    7. STS에서 어설션에 서명하고 signatureRequired 사용자 정의 특성이 기본값, true로 설정되었으며 trustAnySigner 사용자 정의 특성이 기본값, false로 설정된 경우 다음 조치를 완료하십시오.
      • 외부 STS 서명 인증서에 대해 STS 서명 인증서 자체 또는 해당 루트 CA 인증서와 같은 신뢰 유효성 검증을 통과할 수 있도록 제공자에 대한 신뢰 저장소에 인증서를 추가하십시오.
      • trustStorePath 사용자 정의 특성을 신뢰 저장소 파일 이름과 일치하는 값으로 설정하십시오. 이 값은 완전한 값이거나 ${USER_INSTALL_ROOT}와 같은 키워드를 사용할 수 있습니다.
      • trustStoreType 사용자 정의 특성을 키 저장소 유형과 일치하는 값으로 설정하십시오. 지원되는 키 저장소 유형은 jks, jceks, pkcs12를 포함합니다.
      • trustStorePassword 사용자 정의 특성을 신뢰 저장소 비밀번호와 일치하는 값으로 설정하십시오. 비밀번호는 사용자 정의 특성으로 저장되며, 관리 콘솔에서 인코딩됩니다.
      • 선택사항: trustedAlias 사용자 정의 특성을 samlissuer와 같은 값으로 설정하십시오. 이 특성을 지정하면 별명으로 표시되는 X.509 인증서는 SAML 서명 검증에 대해 신뢰되는 유일한 STS 인증서입니다. 사용자 정의 특성을 지정하지 않으면 웹 서비스 런타임 환경은 SAML 어설션 내 서명 인증서를 사용하여 SAML 서명 유효성을 검증하고 구성된 신뢰 저장소에서 인증서를 확인합니다.
    8. 옵션: 발행자 이름, SAML 어설션에서 발행자의 인증서 SubjectDN 또는 둘 다의 유효성을 검증하도록 수신자를 구성하십시오.

      신뢰할 수 있는 발행자 이름 목록 또는 신뢰할 수 있는 인증서 SubjectDN 목록을 작성하거나 두 유형의 목록을 모두 작성할 수 있습니다. 발행자 이름 및 SubjectDN 목록 모두 작성하면 발행자 이름 및 SubjectDN 모두 확인됩니다. 수신된 SAML 발행자 이름 또는 서명자 SubjectDN이 신뢰할 수 있는 목록에 없으면 SAML 유효성 검증에 실패하고 예외가 발행됩니다.

      다음 예제에서는 신뢰할 수 있는 발행자 및 신뢰할 수 있는 SubjectDN의 목록을 작성하는 방법을 보여줍니다. 신뢰할 수 있는 각 발행자 이름의 경우 trustedIssuer_n을 사용하십시오. 여기서 n은 양의 정수입니다. 신뢰할 수 있는 각 SubjectDN의 경우 trustedSubjectDN_n을 사용하십시오. 여기서 n은 양의 정수입니다. 두 유형의 목록을 작성하는 경우 정수 n은 동일한 SAML 어설션의 두 목록에서 일치해야 합니다. 정수 n은 1부터 시작하고 1씩 증가합니다.

      이 예제에서는 서명자의 SubjectDN에 상관없이 발행자 이름 WebSphere/samlissuer로 SAML 어설션을 신뢰하므로 다음 사용자 정의 특성을 추가합니다.
       <properties value="WebSphere/samlissuer" name="trustedIssuer_1"/>
      또한 서명자의 SubjectDN이 ou=websphere,o=ibm,c=us인 경우 IBM/samlissuer를 통해 실행된 SAML 어설션을 신뢰할 수 있습니다. 따라서 다음 사용자 정의 특성을 추가합니다.
      <properties value="IBM/samlissuer" name="trustedIssuer_2"/> 
      <properties value="ou=websphere,o=ibm,c=us" name="trustedSubjectDN_2"/>  
    9. 적용을 클릭하십시오.
    10. 이 페이지의 탐색에서 WS-Security를 클릭하십시오.
  9. 제공자 바인딩에서 일반 디지털 서명을 구성하십시오.
    1. 인증서 저장소를 구성하십시오.
      1. 키 및 인증서를 클릭하십시오.
      2. 인증서 저장소 아래에서 새 인바운드...를 클릭하십시오.
      3. 다음을 지정하십시오.
        • Name=providerCertStore
        • Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
      4. 확인을 클릭하십시오.
    2. 신뢰 앵커를 구성하십시오.
      1. 신뢰 앵커 아래에서 새로 작성...을 클릭하십시오.
      2. Name=providerTrustAnchor를 지정하십시오.
      3. 외부 키 저장소를 클릭하고 다음을 지정하십시오.
        • Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
        • Password=server
      4. 확인을 클릭하고 이 페이지 탐색에서 WS-Security를 클릭하십시오.
    3. 서명 생성기를 구성하십시오.
      1. 인증 및 보호 > AsymmetricBindingRecipientSignatureToken0(서명 생성기)을 클릭하고 적용을 클릭하십시오.
      2. 콜백 핸들러를 클릭하십시오.
      3. Keystore=custom을 지정하십시오.
      4. 사용자 정의 키 저장소 구성을 클릭하고 다음을 지정하십시오.
        • Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
        • Keystore password=server
        • Name=server
        • Alias=soapprovider
        • Password=server
      5. 확인, 확인, 확인을 차례로 클릭하십시오.
    4. 서명 이용자를 구성하십시오.
      1. AsymmetricBindingInitiatorSignatureToken0(서명 이용자)을 클릭하고 적용을 클릭하십시오.
      2. 콜백 핸들러를 클릭하십시오.
      3. 인증서에서 인증서 저장소 방사형 단추를 클릭하고 다음을 지정하십시오.
        • Certificate store=providerCertStore
        • Trusted anchor store=providerTrustAnchor
      4. 확인을 클릭하십시오.
      5. 이 페이지의 탐색에서 인증 및 보호를 클릭하십시오.
    5. 요청 서명 정보를 구성하십시오.
      1. request:app_signparts를 클릭하고 Name=reqSignInf를 지정하십시오.
      2. 적용을 클릭하십시오.
      3. 서명 키 정보에서 새로 작성을 클릭하고 다음을 지정하십시오.
        • Name=reqSignKeyInfo
        • Token generator 또는 consumer name=AsymmetricBindingInitiatorSignatureToken0
      4. 확인을 클릭하십시오.
      5. 서명 키 정보에서 reqSignKeyinfo를 클릭하고 추가를 클릭하십시오.
      6. 메시지 파트 참조에서 request:app_signparts를 클릭하십시오.
      7. 편집을 클릭하십시오.
      8. 변환 알고리즘에서 새로 작성을 클릭하고 URL=http://www.w3.org/2001/10/xml-exc-c14n#을 지정하십시오.
      9. 확인, 확인, 확인을 차례로 클릭하십시오.
    6. 응답 서명 정보를 구성하십시오.
      1. response:app_signparts를 클릭하고 Name=rspSignInfo를 지정하십시오.
      2. 적용을 클릭하십시오.
      3. 서명 키 정보에서 새로 작성을 클릭하고 다음을 지정하십시오.
        • Name=rspSignKeyInfo
        • Type=Security Token reference
        • Token generator 또는 consumer name=AsymmetricBindingRecipientSignatureToken0
      4. 확인, 적용을 차례로 클릭하십시오.
      5. 메시지 파트 참조에서 response:app_signparts를 선택하십시오.
      6. 편집을 클릭하십시오.
      7. 변환 알고리즘에서 새로 작성을 클릭하십시오.
      8. URL=http://www.w3.org/2001/10/xml-exc-c14n#을 지정하십시오.
      9. 확인, 확인, 확인을 차례로 클릭하십시오.
  10. 제공자 바인딩에서 SAML 토큰에 대한 디지털 서명을 구성하십시오.
    1. 이 페이지의 탐색에서 WS-Security를 클릭하고 인증 및 보호를 클릭하십시오.
    2. 작성한 새 SAML 파트를 포함하도록 현재 구성된 인바운드 서명된 메시지 파트 바인딩을 수정하십시오.

      요청 메시지 서명 및 암호화 보호에서 상태가 구성됨으로 설정된 파트 참조를 선택하십시오. 이 파트 참조는 request:app_signparts일 수 있습니다.

      1. 메시지 파트 참조 아래 사용 가능 목록에서, 1단계에서 작성한 대로, 서명할 파트 이름을 선택하십시오(예: saml_part).
      2. 추가, 적용을 차례로 클릭하십시오.
      3. 메시지 파트 참조 아래 지정됨 목록에서 추가한 파트 이름을 강조표시하십시오(예: saml_part).
      4. 편집을 클릭하십시오.
      5. 변환 알고리즘 설정의 경우 새로 작성을 클릭하십시오.
      6. http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 선택하십시오.
      7. 확인, 확인을 차례로 클릭한 후 다시 한 번 확인을 클릭하십시오.
      8. 저장을 클릭하십시오.
  11. 옵션: 요청자 ID를 표시하기 위해 SAML 토큰을 선택하도록 호출자 바인딩을 구성할 수 있습니다. 웹 서비스 보안 런타임 환경은 지정된 JAAS 로그인 구성을 사용하여 사용자 이름으로 SAML 토큰 NameId 또는 NameIdentifier를 통해 사용자 레지스트리에서 사용자 보안 이름 및 그룹 멤버십 데이터를 가져옵니다.
    1. WebSphere 엔터프라이즈 애플리케이션 > JaxWSServicesSamples > 서비스 제공자 정책 세트 및 바인딩 > SAML Bearer 제공자 샘플 > WS-Security > 호출자를 클릭하십시오.
    2. 새로 작성을 클릭하여 호출자 구성을 작성하십시오.
    3. 이름(예: caller)을 지정하십시오.
    4. 호출자 ID 로컬 파트에 대한 값을 입력하십시오.

      SAML 1.1 토큰의 경우 다음을 입력하십시오.

      http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1

      SAML 2.0 토큰의 경우 다음을 입력하십시오.

      http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0
    5. 적용저장을 차례로 클릭하십시오.
  12. 정책 세트 첨부 수정을 적용할 수 있도록 웹 서비스 제공자 애플리케이션을 다시 시작하십시오.

결과

JaxWSServicesSamples 웹 서비스 애플리케이션에서 새 SAML 발신자-인증 정책 세트, SAML 발신자-인증 애플리케이션 특정 클라이언트 바인딩, SAML 발신자-인증 애플리케이션 특정 제공자 바인딩을 사용할 수 있습니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsamlsendervouches
파일 이름:twbs_configsamlsendervouches.html