SOAP 메시지의 ID 어설션
ID 어설션은 SOAP 메시지에서 전송자의 ID(예: 사용자 이름)를 표현하는 메소드입니다. 인증 메소드로 ID 어설션을 사용하면 비밀번호 및 인증과 같은 기타 정보가 아닌 ID 이름에만 기초해서 인증 결정을 수행합니다.
중요사항: 버전 5.x와 버전 6.0.x 애플리케이션 사이에는
중요한 차이가 있습니다. 이 기사의 정보는
WebSphere® Application Server 버전 6.0.x 이상과 같이 사용되는 버전 5.x
애플리케이션만 지원합니다. 버전 6.0.x 이상의 애플리케이션에는
이 정보가 적용되지 않습니다.
ID 어설션은 다음을 포함합니다.
- ID 유형
- WebSphere Application Server에서 웹 서비스 보안 구현은 다음 ID 유형을 처리할 수 있습니다.
- 사용자 이름
- 로컬 운영 체제(예: alice)의 사용자 이름과 같은 사용자 이름을 나타냅니다. 이 이름은 <UsernameToken> 요소 내의 <Username> 요소에 임베드되어 있습니다.
- DN
- 사용자에 대한 식별 이름(DN)(예: "CN=alice, O=IBM, C=US")을 표시합니다. 이 이름은 <UsernameToken> 요소 내의 <Username> 요소에 임베드되어 있습니다.
- X.509 인증서
- 사용자의 ID를 문자열 이름 대신 X.509 인증으로 표현합니다. 이 인증서는 <BinarySecurityToken> 요소에 임베드되어 있습니다.
- 신뢰 관리
- SOAP 메시지 일정에 있는 중개 호스트는 최초 전송자의 청구된 ID를 어설션할 수 있습니다. 이 어설션에 대해서는 두 개의 메소드(신뢰 모드라고 함)가 지원됩니다.
- 기본 인증
- 중개는 메시지에 사용자 이름과 비밀번호 쌍을 추가합니다.
- Signature
- 중개는 최초 전송자의 <UsernameToken> 요소를 디지털
서명합니다. 참고: 이 신뢰 모드는 X.509 인증서 ID 유형을 지원하지 않습니다.
- 일반 시나리오
- ID 어설션은 일반적으로 SOAP 메시지가 하나 이상의 중개 호스트를 통해 전달되는 다중 홉 환경에서 사용됩니다. 중개 호스트는 최초 전송자를 인증합니다. 다음 시나리오는 프로세스를 설명합니다.
- 최초 전송자는 몇몇 임베드된 인증 정보와 함께 SOAP 메시지를 중개 호스트에 전송합니다. 이 인증 정보는 사용자 이름과 비밀번호 쌍 및 LTPA(Lightweight Third Party Authentication) 토큰일 수 있습니다.
- 중개 호스트는 임베디드 인증 정보에 따라 최초 전송자를 인증합니다.
- 중개 호스트는 SOAP 메시지에서 인증 정보를 제거하고 이를 사용자 이름이 들어 있는 <UsernameToken> 요소로 바꿉니다.
- 중개 호스트는 신뢰 모드에 따라 신뢰를 어설션합니다.
- 중개 호스트는 업데이트된 SOAP 메시지를 최종 수신자에게 전송합니다.
- 최종 수신자는 구성된 신뢰 모드에 따라 중개 호스트 정보를 기준으로 신뢰를 검사합니다. 또한 신뢰하는 ID 평가자가 호출됩니다.
- 신뢰가 최종 수신자에 의해 설정된 경우, 수신자는 SOAP 메시지에서 사용자 이름(즉, 최초 전송자)의 권한을 사용하여 웹 서비스를 호출합니다.