다운스트림 서버에 대한 ID 어설션
클라이언트가 서버를 인증하면 수신된 신임 정보가 설정됩니다. 인증 엔진이 신임 정보를 확인하여 액세스 허용 여부를 판별하는 경우 호출 신임 정보로 설정합니다. ID 어설션은 다운스트림 서버에 어설션되는 호출 신임 정보입니다.
클라이언트가 서버를 인증하면 수신된 신임 정보가 설정됩니다. 인증 엔진이 신임 정보를 확인하여 액세스 허용 여부를 판별하는 경우 호출 신임 정보로 설정해서 EJB(Enterprise JavaBeans) 메소드가 다른 서버에 대한 다른 EJB 메소드를 호출하는 경우 호출 신임 정보는 다운스트팀 메소드를 시작하기 위해 사용되는 ID가 될 수 있습니다. 엔터프라이즈 Bean에 대한 RunAs 모드에 따라 호출 신임 정보는 원래 클라이언트 ID, 서버 ID 또는 지정된 다른 ID로 설정됩니다. 설정된 ID에 상관없이 ID 어설션이 사용되면 다운스트림 서버에 어설션되는 호출 신임 정보입니다.
호출 신임 정보 ID는 ID 토큰으로 다운스트림 서버에 전송됩니다. 또한, 비밀번호나 토큰을 포함하는
전송 서버 ID는 기본 인증이 사용되는 경우에 클라이언트 인증 토큰으로
전송됩니다. 전송 서버 ID는 클라이언트 인증서 인증이 사용되는 경우
SSL(Secure Sockets Layer) 클라이언트 인증서 인증을 통해 전송됩니다.
기본 인증이 클라이언트 인증서 인증보다 우선적으로 사용됩니다.
- 전송 서버가 수신 서버로 전송한 ID는 GSSUP 토큰(사용자 ID 및 비밀번호) 또는 SSL 클라이언트 인증서입니다. 활성 사용자 레지스트리가 로컬 OS이고 SAF 권한 부여가 사용되는 경우에는 z/OS®에서 MVS™ 시작 태스크 ID가 GSSUP 토큰 대신 전송됩니다.
- 신뢰는 전송되는 ID에 따라 전송 및 수신 서버 사이에서 설정됩니다.
- GSSUP 토큰이 전송되는 경우 신뢰는 전송 서버 ID가 수신 서버의 신뢰 프린시펄 목록에 있는지를 확인하여 설정됩니다.
- MVS 시작 태스크 ID가 전송되면 신뢰는 이 ID가 SAF 데이터베이스의 CB.BIND.<servername> 프로파일에 대해 UPDATE 권한을 가지고 있는지를 확인하여 설정됩니다.
- SSL 클라이언트 인증서가 전송되면 z/OS에서 이 인증서는 SAF(Service Access Facility) 사용자 ID로 맵핑됩니다. 신뢰는 이 사용자 ID가 CB.BIND.<servername> 프로파일에 대해 UPDATE 권한을 가지고 있는지를 확인하여 설정됩니다.
- 전송 서버가 신뢰 목록에 있는지를 판별한 후에 서버는 해당 ID를 확인하기 위해 전송 서버를 인증합니다.
- 서버는 전송 서버의 사용자 ID와 비밀번호를 수신 서버와 비교하여 인증됩니다. 전송 서버의 신임 정보가 인증되고 신뢰되면 서버는 ID 토큰 평가로 진행합니다.
- 수신 서버가 권한 부여용으로 더 많은 신임 정보를 수집하기 위해
어설션된 사용자 ID 존재에 대해 정의된 해당 사용자 레지스트리를 검사합니다(예: 그룹
멤버십). 따라서 수신 서버의 사용자 레지스트리는 모든 어설션된 사용자 ID를 포함해야 합니다. 그렇지 않으면, ID 신뢰가
불가능합니다. stateful 서버에서 이 조치는 ID 토큰이 동일한 전송 서버 및 수신 서버 쌍에 대해
한 번만 발생합니다. 후속 요청은 세션 ID를 통해 수행됩니다. 참고: 다운스트림 서버가 해당 저장소에서 어설션된 사용자 ID에 대한 액세스가 포함된 사용자 레지스트리를 가지고 있지 않은 경우, 권한 검사는 실패하기 때문에 ID 어설션은 사용하지 마십시오. ID 어설션이 사용되지 않도록 하여 수신 서버에서의 권한 검사는 필요하지 않습니다.
대상 서버는 수신 서버의 권한을 유효성 검증하여 클라이언트 인증서별로
ID를 어설션합니다. 클라이언트 인증서는 SAF(Service Access Facility) 사용자 ID에 RACDCERT MAP
필터 또는 SAF 데이터베이스에 정의된 RACMAP 필터를 사용하여 맵핑됩니다. SAF 사용자 ID는 CBIND 클래스의
CB.BIND.<optionSAFProfilePrefix>.cluster_short_name에 대해 UPDATE 권한이 있어야 합니다. 클라이언트 인증서가
전송되지 않으면 CBIND 검사는 전송 서버의 시작된 태스크 ID에 대해 수행됩니다.
- 프린시펄 이름
- 식별 이름
- 인증서 체인
- 익명 ID
ID 형식이 이해되고 구문 분석된 후에 ID는 신임 정보에 맵핑됩니다. ITTPrincipal ID 토큰의 경우 이 ID는 사용자 필드와 1 대 1로 맵핑됩니다.
ITTDistinguishedName ID 토큰의 경우 맵핑은 사용자 레지스트리에 따라 다릅니다. LDAP(Lightweight Directory Access Protocol)의 경우,
구성된 검색 필터는 맵핑 발생 방법을 판별합니다. LocalOS의 경우, 일반적으로
공통 이름과 동일한 식별 이름(DN)의 첫 번째 속성은 레지스트리의 사용자 ID에 맵핑합니다.
ITTDistinguishedName ID 토큰 및 ITTCertChain ID 토큰은 동일한 방식으로 맵핑됩니다. 두
ID 토큰의 유형은 RACDCERT를 사용하거나 RACMAP 필터와 같이 동등한 맵핑 기능을
사용하여 SAF 사용자 ID에 맵핑되는 인증서를 사용합니다. 맵핑은
주제(Subject) 이름 또는 발행자 이름을 기반으로 할 수 있습니다.
ID 어설션은 CSIv2(Common Secure Interoperability Version 2) 프로토콜을
사용하는 경우에만 사용할 수 있습니다.