보안 속성 전파를 위해 사용자 정의 단일 싱글 사인온 토큰 구현

사용자 고유의 싱글 사인온 토큰 구현을 작성할 수 있습니다. 싱글 사인온 토큰 구현은 로그인 제목에 설정되고 HTTP 응답에 HTTP 쿠키로서 추가됩니다.

이 태스크 정보

쿠키 이름은 SingleSignonToken.getName API(Application Programming Interface) 및 SingleSignonToken.getVersion API의 결합입니다. 분리문자는 없습니다. 싱글 사인온 토큰을 제목에 추가하면 이는 또한 수평으로 전파되고 제목이 다른 웹 요청에 사용되는 경우에 다운스트림으로 전파됩니다. 전파 로그인으로부터 사용자 정의 싱글 사인온을 수신하면 이를 직렬화 해제해야 합니다. 다음 태스크 중 하나를 수행하고 싶은 경우에는 사용자 고유의 구현을 작성하는 것을 고려하십시오.
  • 사용자 고유의 구현 내에서 속성을 고립시키십시오.
  • 사용자 정의 직렬화를 사용하여 정보를 직렬화하십시오. 정보가 HTTP 응답 밖에 있고 인터넷에서 사용 가능하므로 정보를 암호화하십시오. 대상에서 바이트를 직렬화 해제하거나 복호화하고 해당 정보를 제목에 다시 추가해야 합니다.
  • getUniqueID API를 사용하여 제목의 전체적인 고유성에 영향을 미칩니다.

사용자 정의 싱글 사인온 토큰을 구현하려면 다음 단계를 완료하십시오.

프로시저

  1. SingleSignonToken 인터페이스의 사용자 정의 구현을 작성하십시오.

    SingleSignonToken 인터페이스를 구현하기 위해 여러 가지 메소드를 사용 가능합니다. 그러나 SingleSignonToken 인터페이스 및 토큰 인터페이스가 필요로 하는 메소드가 완전히 구현되는지 확인하십시오.

    [AIX Solaris HP-UX Linux Windows][z/OS]이 인터페이스를 구현한 후에는 이를 app_server_root/classes 디렉토리에 놓을 수 있습니다. 또는 클래스를 개인 디렉토리에 놓을 수 있습니다. 그러나 WebSphere Application Server 클래스 로더가 클래스를 찾을 수 있는지와 적합한 권한이 부여되는지를 확인하십시오. 이 클래스를 포함하는 JAR(Java™ archive) 파일 또는 디렉토리를 서버 코드가 필요로 하는 필수 권한이 있도록 server.policy 파일에 추가할 수 있습니다.

    [IBM i]이 인터페이스를 구현한 후에는 이를 profile_root/classes 디렉토리에 놓을 수 있습니다. 클래스에 대한 자세한 정보는 사용자 정의 클래스를 위해 프로파일에 클래스 서브디렉토리 작성의 내용을 참조하십시오.

    팁: 전파 프레임워크에 의해 정의되는 모든 토큰 유형에는 유사한 인터페이스가 있습니다. 기본적으로 토큰 유형은 com.ibm.wsspi.security.token.Token 인터페이스를 구현하는 마커 인터페이스입니다. 이 인터페이스는 대부분의 메소드를 정의합니다. 둘 이상의 토큰 유형을 구현할 계획이면 com.ibm.wsspi.security.token.Token 인터페이스를 구현하는 추상 클래스를 작성할 것을 고려하십시오. 싱글 사인온 토큰을 포함하여 모든 토큰 구현은 추상 클래스를 확장할 수 있고 그러면 대부분의 작업이 완료됩니다.

    싱글 사인온 토큰의 구현을 보려면 예제: com.ibm.wsspi.security.token.SingleSignonToken 구현의 내용을 참조하십시오.

  2. WebSphere Application Server 로그인 동안 사용자 정의 싱글 사인온 토큰을 추가하고 수신하십시오. 이 태스크는 일반적으로 사용자 정의 로그인 모듈을 다양한 애플리케이션 및 시스템 로그인 구성에 추가하여 수행됩니다. 그러나 정보를 직렬화 해제하기 위해서는 후속 단계에서 설명된 사용자 정의 로그인 모듈을 플러그인해야 합니다. 오브젝트가 로그인 모듈에서 인스턴스화된 후에는 커미트 메소드 동안에 이를 제목에 추가할 수 있습니다.

    예제: 사용자 정의 싱글 사인온 토큰 로그인 모듈의 코드 샘플은 로그인이 초기 로그인 또는 전파 로그인인지 여부를 판별하는 방법을 보여줍니다. 차이는 WSTokenHolderCallback 콜백에 전파 데이터가 포함되는지 여부입니다. 콜백에 전파 데이터가 포함되지 않으면 새 사용자 정의 싱글 사인온 토큰 구현을 초기화하고 이를 제목에 설정하십시오. 또한 HTTP 요청 오브젝트를 콜백에서 사용할 수 있으면 HTTP 요청으로부터 HTTP 쿠키를 찾으십시오. 수평 전파 로그인 및 HTTP 요청 둘 모두로부터 사용자 정의 싱글 사인온 토큰을 얻을 수 있습니다. 그러나 정보는 해당 서버가 전파를 지원하지 않더라도 정보는 프론트 엔드 Application Server에 도착하므로 두 장소 모두에서 토큰이 사용 가능하게 만드는 것이 좋습니다.

    로그인 모듈의 커미트 단계에서 싱글 사인온 토큰을 읽기 전용으로 만들 수 있습니다. 토큰을 읽기 전용으로 만들면 속성은 애플리케이션 내에 추가할 수 없습니다.

    제한사항:
    • HTTP 쿠키에는 크기 제한이 있습니다. 크기 제한은 특정 브라우저의 문서에 포함되어야 합니다.
    • WebSphere Application Server 런타임은 이 런타임이 생성하지 않은 쿠키를 처리하지 않으므로 이 쿠키는 런타임에 의해 사용되지 않습니다.
    • 제목에서 SingleSignonToken 오브젝트는 getUniqueID 메소드에서 무언가를 리턴하는 경우 제목의 캐시 검색에 영향을 미칩니다.
  3. 로그인 동안 HTTP 요청 오브젝트로부터 또는 애플리케이션으로부터 HTTP 쿠키를 구하십시오. 예제: HTTP 쿠키 검색에 있는 샘플 코드는 HTTP 요청으로부터 HTTP 쿠키를 검색하고, 쿠키가 원본 바이트로 돌아갈 수 있도록 복호화하고, 바이트로부터 사용자 정의 SingleSignonToken 오브젝트를 작성하는 방법을 보여줍니다.
  4. 사용자 정의 로그인 모듈을 이미 사용자 정의 전파 토큰의 직렬화된 버전을 수신하기 위해 com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule을 포함하는 WebSphere Application Server 시스템 로그인 구성에 추가하십시오. 이 로그인 모듈은 com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule 로그인 모듈이 추가한 sharedState 상태에 있는 정보에 의존하므로 이 로그인 모듈을 com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule 로그인 모듈 뒤에 추가하십시오.

    사용자 정의 로그인 모듈을 기존 로그인 구성에 추가하는 방법에 대한 자세한 정보는 JAAS의 시스템 로그인 구성을 위해 사용자 정의 로그인 모듈 개발을 참조하십시오.

결과

이러한 단계를 완료한 후 사용자 정의 싱글 사인온 토큰을 구현했습니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_custssoimpl
파일 이름:tsec_custssoimpl.html