플랫폼 구성 및 바인딩의 개요

웹 서비스 보안 정책은 웹 서비스 배치 디스크립터의 IBM® 확장(JAX-RPC 프로그래밍 모델 사용 시) 및 정책 세트(JAX-WS 프로그래밍 모델 사용 시)에 지정됩니다. 웹 서비스 보안 정책을 지원하는 바인딩 정보는 JAX-RPC 및 JAX-WS 프로그래밍 모델 둘 모두에 대해 웹 서비스 배치 디스크립터의 IBM 확장에 저장됩니다.

우수 사례 우수 사례: IBM WebSphere® Application Server는 JAX-WS(Java™ API for XML-Based Web Services) 프로그래밍 모델 및 JAX-RPC(Java API for XML-based RPC) 프로그래밍 모델을 지원합니다. JAX-WS는 JAX-RPC 프로그래밍 모델에서 제공되는 기반을 확장하는 차세대 웹 서비스 프로그래밍 모델입니다. 전략적 JAX-WS 프로그래밍 모델을 사용하면 표준 기반 어노테이션 모델의 지원을 통해 웹 서비스 및 클라이언트의 개발이 간소화됩니다. JAX-RPC 프로그래밍 모델과 애플리케이션이 계속해서 지원된다고 해도 구현이 쉬운 JAX-WS 프로그래밍 모델을 이용하여 새 웹 서비스 애플리케이션과 클라이언트를 개발하십시오. best-practices

이러한 파일의 복잡도로 인해, 배치 디스크립터와 바인딩 파일을 텍스트 편집기를 사용하여 수동으로 편집하는 것을 권장하지 않습니다. 오류가 발생할 수도 있기 때문입니다. 그러나 IBM이 제공하는 도구를 사용하여 애플리케이션의 웹 서비스 보안 제한을 구성하도록 권장합니다. 이러한 도구는 WebSphere Application Server 관리 콘솔 또는 어셈블리 도구입니다. IBM 어셈블리 도구에 대한 자세한 정보는 어셈블리 도구 정보를 참조하십시오.

정책 세트 그룹 보안 및 기타 웹 서비스 설정 때문에 웹 서비스 구성을 재사용 가능한 단위로 단순화하기 위한 WebSphere Application Server의 정책 세트 기능을 사용할 수 있습니다. 정책 세트는 서비스 품질이 정의되는 방법에 대한 어설션입니다. 정책 세트는 정책 유형 및 해당 설정을 통합합니다.

애플리케이션 배치 디스크립터 및 바인딩 파일과 더불어 WebSphere Application Server 버전 6 이상에는 셀 레벨과 서버 레벨 구성이 있습니다. 이러한 구성은 모든 애플리케이션에 대해 공통입니다. WebSphere Application Server 버전 6 이상은 5.x 애플리케이션을 지원하므로, 일부 구성이 버전 5.x 애플리케이션에만 유효하며 일부는 버전 6 이상 애플리케이션에만 유효합니다.

다음 그림은 애플리케이션 배치 디스크립터 및 바인딩 파일과 셀(WebSphere Application Server, Network Deployment만) 또는 서버 레벨 구성의 관계를 표시합니다.

애플리케이션 배치 디스크립터 및 바인딩
파일과 애플리케이션 서버와의 관계

플랫폼 구성

관리 콘솔에서는 다음과 같은 옵션이 사용 가능합니다.
Nonce 캐시 제한시간
셀 레벨(WebSphere Application Server, Network Deployment 전용) 및 서버 레벨에 있는 이 옵션이 Nonce의 캐시 제한시간 값(초 단위)을 지정합니다.
Nonce 최대 유효 기간
셀 레벨(WebSphere Application Server, Network Deployment 전용) 및 서버 레벨에 있는 이 옵션이 Nonce의 기본 수명 범위(초 단위)를 지정합니다.
Nonce clock skew
셀 레벨(WebSphere Application Server, Network Deployment 전용)과 서버 레벨에 있는 이 옵션이 네트워크 지연, 처리 지연 등을 설명하기 위해 기본 클럭 스큐를 지정합니다. Nonce 만기 시기를 계산하는 데 사용됩니다. 조치 단위는 초입니다.
Nonce 캐싱 분배
이 기능을 사용하여 Nonce의 캐시를 클러스터에 있는 다른 서버에 분배할 수 있습니다. WebSphere Application Server 버전 6.0.x 이상에서 사용할 수 있습니다.
다음 기능은 애플리케이션 바인딩에서 참조될 수 있습니다.
Key Locator
이 기능은 키가 서명, 암호화 및 복호화을 위해 검색되는 방법을 지정합니다. Key Locator의 구현 클래스가 WebSphere Application Server 버전 6 이상 및 버전 5.x에서 서로 다릅니다.
콜렉션 인증 저장소
이 기능이 인증 경로 유효성 검증을 위한 인증 저장을 지정합니다. 일반적으로, PKCS#7 포맷으로 인코딩된 인증 취소 목록을 사용하여 서명 확인 또는 X.509 토큰 구성 중에 X.509 토큰의 유효성을 검증하는데 사용합니다. 인증 취소 목록은 WebSphere Application Server 버전 6.x 이상 애플리케이션 전용으로 지원됩니다.
신뢰 앵커
이 기능은 서명자 인증의 신뢰 레벨을 지정하며 일반적으로 서명 확인 중 X.509 토큰 유효성 검증에 사용됩니다.
신뢰 ID 평가자
이 기능이 ID의 신뢰 레벨을 확인하는 방법을 지정합니다. 기능은 ID 어설션과 함께 사용됩니다.
로그인 맵핑
이 기능이 인증 메소드의 로그인 구성 바인딩을 지정합니다. 이 기능은 WebSphere Application Server 버전 5.x 애플리케이션에서만 사용되며 더 이상 지원되지 않습니다.

기본 바인딩

기본 셀 레벨 및 기본 서버 레벨 바인딩의 구성은 WebSphere Application Server에서 변경되었습니다. 이전에는 셀에 대해 하나의 기본 바인딩 세트만 구성했으며 각 서버에 대해 하나의 기본 바인딩 세트를 선택적으로 구성할 수 있습니다. 버전 7.0 이상에서는 하나 이상의 일반 제공자 바인딩 및 하나 이상의 일반 클라이언트 바인딩을 구성할 수 있습니다. 그러나 하나의 일반 제공자 바인딩과 하나의 일반 클라이언트 바인딩이 기본값으로 지정될 수도 있습니다.

다음 그림에서는 EAR(Enterprise Archive) 파일과 ws-security.xml 파일 간의 관계를 보여줍니다.

EAR(Enterprise Archive) 파일과
ws-security.xml 파일의 관계

애플리케이션 EAR 1 및 EAR 2에는 애플리케이션 바인딩 파일의 특정 바인딩이 있습니다. 그러나 애플리케이션 EAR 3 및 EAR 4의 애플리케이션 바인딩 파일에 바인딩이 없습니다. ws-security.xml 파일에 정의된 기본 바인딩을 사용하려면 이를 참조해야 합니다. 계층 구조의 가장 가까운 구성으로 해당 구성을 해석합니다. 예를 들어, 애플리케이션 바인딩 파일, 서버 레벨 및 셀 레벨에 정의된 mykeylocator라는 세 가지 Key Locator가 있을 수도 있습니다.

mykeylocator가 애플리케이션 바인딩에서 참조되면 애플리케이션 바인딩에 정의된 Key Locator가 사용됩니다. 데이터의 가시성 범위는 데이터가 정의된 위치에 따라 다릅니다. 데이터가 애플리케이션 바인딩에 정의된 경우, 가시성은 해당 특정 애플리케이션에 한정됩니다. 데이터가 서버 레벨에서 정의된 경우, 가시성 범위는 해당 서버에서 배치된 모든 애플리케이션입니다. 데이터가 셀 레벨에서 정의된 경우, 가시성 범위는 해당 셀의 서버에서 배치된 모든 애플리케이션입니다. 일반적으로, 데이터가 기타 애플리케이션에 의해 공유되지 않도록 된 경우, 애플리케이션 바인딩 레벨에 구성을 정의하십시오.

다음 그림은 애플리케이션, 서버 및 셀(WebSphere Application Server, Network Deployment만) 레벨의 바인딩 관계를 표시합니다.

애플리케이션,
서버 및 셀 레벨의 바인딩 관계

일반 바인딩

일반 바인딩은 셀 레벨 또는 서버 레벨에서 기본 바인딩으로 사용됩니다. WebSphere Application Server와 함께 제공되는 일반 바인딩은 처음에 기본 바인딩으로 설정되지만, 사용자가 다른 바인딩을 기본값으로 선택하거나 기본값으로 사용되어야 하는 바인딩의 레벨(예를 들어, 셀 레벨 바인딩에서 서버 레벨 바인딩으로)을 변경할 수 있습니다.

버전 7.0 이상에서는 두 가지 유형의 바인딩, 애플리케이션 특정 바인딩과 일반 바인딩이 있습니다. 두 유형의 바인딩 모두 WS-Security 정책 세트에 대해 지원됩니다. 일반 바인딩은 여러 애플리케이션에서 그리고 신뢰 서비스 첨부용으로 공유할 수 있습니다. 일반 바인딩은 두 가지 유형이 있으며 하나는 서비스 제공자이고 다른 하나는 서비스 클라이언트입니다. 제공자 및 클라이언트에 대해 다중 일반 바인딩이 정의될 수도 있습니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_configv6overview
파일 이름:cwbs_configv6overview.html