단일 사인온(SSO) 지원을 사용하면 웹 사용자가 여러 WebSphere® Application Server의
웹 자원에 액세스할 때 한 번만 인증할 수 있습니다. 웹 애플리케이션의 양식 로그인 메커니즘에서는
SSO가 사용 가능해야 합니다. 이 주제에서는 처음 SSO(Single Sign-On)를 구성할 수 있습니다.
시작하기 전에
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
SSO는 LTPA(Lightweight Third Party Authentication)가
인증 메커니즘인 경우에만 지원됩니다.
SSO는 LTPA(Lightweight
Third Party Authentication)가 인증 메커니즘인 경우에 지원됩니다.
SSO가 사용 가능하면 LTPA 토큰을 포함하는 쿠키가 작성되고 HTTP 응답에
삽입됩니다. 사용자가 동일한 DNS(Domain Name Service) 도메인의 기타 WebSphere Application Server 프로세스에 있는
다른 웹 자원에 액세스할 때 쿠키가 요청으로 전송됩니다.
그러면 LTPA 토큰이 쿠키에서 추출되어 유효성이 검증됩니다. WebSphere Application Server의
서로 다른 셀 사이에 요청이 있는 경우 SSO가 작업하는 셀 사이에서 LTPA 키와
사용자 레지스트리를 공유해야 합니다.
SSO
도메인에 있는 각 시스템의 영역 이름은 대소문자를 구분하므로 완전히 일치해야
합니다.
로컬 OS의 경우, 도메인이 사용 중이면
영역 이름은 도메인 이름입니다. 도메인이
사용되지 않으면 영역 이름은 시스템 이름입니다.
![[Linux]](../images/linux.gif)
![[AIX HP-UX Solaris]](../images/unix.gif)
영역 이름은 호스트 이름과 동일합니다.
]LDAP(Lightweight Directory
Access Protocol)의 경우 영역 이름은 LDAP 서버의 host:port realm name입니다.
임의의 웹 애플리케이션에서 인증 메소드가 양식 로그인인 경우
LTPA 인증 메커니즘에서는 SSO를 사용할 수 있어야 합니다.
싱글 사인온은 LTPA 서브세트이므로, 자세한 정보는 LTPA(Lightweight Third Party Authentication)에서 읽도록 하십시오.
보안 속성 전파를
사용 가능하게 할 때 다음 쿠키가 항상 응답에 추가됩니다.
- LtpaToken2
- LtpaToken2에는 더 강력한 암호화 기능이 있으므로 여러 속성을 토큰에
추가할 수 있습니다. 이 토큰에는 인증 ID와 추가 정보(예를 들어 원래 로그인 서버에 연결하기 위해 사용되는 속성과 고유성 판별에
ID보다 더 많은 것을 고려할 때 주제를 찾기 위한 고유한
캐시 키)가 있습니다.
참고: 다음 쿠키는 상호 운용성 모드
플래그가 사용 가능하게 설정된 경우 선택적으로 응답에 추가됩니다.
- LtpaToken
- LtpaToken은 WebSphere Application Server의 이전 릴리스와 상호 운용을 위해 사용됩니다. 이 토큰은 인증 ID 속성만 포함합니다.
참고: LtpaToken은
WebSphere Application Server 버전 5.1.0.2 이전
릴리스에 대해 생성됩니다. LtpaToken2는
WebSphere Application Server 버전 5.1.0.2
이상에 대해 생성됩니다.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
참고: LtpaToken은
WebSphere Application Server 버전 5.1.1 이전
릴리스에 대해 생성됩니다. LtpaToken2는
WebSphere Application Server 버전 5.1.1
이상에 대해 생성됩니다.
표 1. LTPA 토큰 유형. 이 테이블은 LTPA 토큰 유형에 대해 설명합니다.토큰 유형 |
목적 |
지정하는 방법 |
LtpaToken 전용 |
이는 기본 토큰 유형입니다. AES-CBC-PKCS5 채우기 암호화
강도(128비트 키 크기)를 사용합니다. 이러한 토큰은 WebSphere Application Server
버전 6.02 이전에 사용된 기존 LtpaToken보다 강력합니다.
이전 릴리스와의
상호 운용성이 필요하지 않은 경우 권장되는 옵션입니다. |
관리 콘솔에서 SSO 구성 분할창에 있는
상호 운용성 모드 옵션을 사용 불가능하게 하십시오.
이 분할창에 액세스하려면 다음 단계를 완료하십시오.
- 보안 > 글로벌 보안을 클릭하십시오.
- 웹 보안 아래에서 싱글 사인온(SSO)을 클릭하십시오.
|
LtpaToken 및 LtpaToken2 |
WebSphere Application Server 버전 5.1.1 이전 릴리스와 상호 운용하는 데 사용합니다.
이전 LtpaToken 쿠키는 새 LtpaToken2 쿠키와
함께 표시됩니다. LTPA 키가 올바르게 공유되는 경우 이 옵션을 사용하여
모든 WebSphere 버전과 상호 운용할 수 있어야 합니다. |
관리 콘솔에서 SSO 구성 분할창에 있는
상호 운용성 모드 옵션을 사용 가능하게 하십시오.
이 분할창에 액세스하려면 다음 단계를 완료하십시오.
- 보안 > 글로벌 보안을 클릭하십시오.
- 웹 보안 아래에서 싱글 사인온(SSO)을 클릭하십시오.
|
이 태스크 정보
다음 단계는 SSO를 처음 구성하는 경우에만 필요합니다.
프로시저
- 관리 콘솔을 여십시오.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
웹 브라우저에 http://localhost:port_number/ibm/console을 입력하여
관리 콘솔에 액세스하십시오.
웹 브라우저에 http://server_name:port_number/ibm/console을
입력하여 관리 콘솔에 액세스하십시오.
포트 9060이 관리 콘솔에 액세스하기 위한 기본 포트 번호입니다.
하지만 설치 도중에 다른 포트 번호를
지정할 수 있습니다. 적합한 포트 번호를 사용하십시오.
- 보안 > 글로벌 보안을 클릭하십시오.
- 웹 보안 아래에서 싱글 사인온(SSO)을 클릭하십시오.
- SSO가 사용 불가능한 경우, 사용 가능 옵션을 클릭하십시오. 사용 가능
옵션을 클릭한 후, 나머지 단계를 완료하여 보안을 사용 가능하게 하십시오.
- 모든 요청이 HTTPS를 사용하는 것으로 예상되는 경우 SSL 필요를
클릭하십시오.
- SSO가 적용되는 도메인 이름 필드에 완전한 도메인 이름을
입력하십시오. 도메인 이름을 지정할 경우 이 이름은 완전한 이름이어야
합니다. 도메인 이름이 완전하지 않으면 WebSphere Application Server는
LtpaToken 쿠키에 도메인 이름 값을 설정하지 않으며, SSO는 쿠키를
작성한 서버에만 유효합니다.
다중 도메인을 지정할 때 세미콜론(;), 공백( ), 쉼표(,) 또는 파이프(|) 분리문자를
사용할 수 있습니다. WebSphere Application Server는 왼쪽에서 오른쪽 순서로
지정된 도메인을 검색합니다. 각 도메인은 일치사항이 처음 발견될 때까지
HTTP 요청의 호스트 이름과 비교됩니다.
예를 들어, ibm.com®;
austin.ibm.com을 지정하고 ibm.com
도메인에서 먼저 일치 항목을 찾는 경우 WebSphere Application Server에서
austin.ibm.com 도메인의 일치 항목 검색을 계속 수행하지 않습니다. 그러나 일치사항이
ibm.com 또는
austin.ibm.com 도메인에 없으면 WebSphere Application Server는
LtpaToken 쿠키에 대한 도메인을 설정하지 않습니다.
표 2. 도메인 이름 필드 구성 값. 다음 테이블에는 도메인 이름 필드를 구성하는 값에 대해 설명합니다.
도메인 이름 값 유형 |
예제 |
목적 |
공백 |
|
도메인이 설정되지 않았습니다.
이로 인해 브라우저가 도메인을 요청 호스트 이름으로 설정합니다.
사인온은 해당 단일 호스트에서만 유효합니다. |
단일 도메인 이름 |
austin.ibm.com |
요청이 구성된 도메인 내의 호스트에 대한 것이면
사인온은 해당 도메인 내의 모든 호스트에 대해 유효합니다.
그렇지 않으면 사인온은 요청 호스트 이름에서만 유효합니다. |
UseDomainFromURL |
UseDomainFromURL |
요청이 구성된 도메인 내의 호스트에 대한 것이면
사인온은 해당 도메인 내의 모든 호스트에 대해 유효합니다.
그렇지 않으면 사인온은 요청 호스트 이름에서만 유효합니다. |
다중 도메인 이름 |
austin.ibm.com;raleigh.ibm.com |
사인온은 요청 호스트 이름을 가진 도메인 내의 모든 호스트에 대해 유효합니다. 주의: 상호 도메인 SSO는
지원되지 않습니다. 예: chicago.xxx.com과 cleveland.yyy.com(여기서 DNS 도메인이 다름).
|
다중 도메인 이름 및 UseDomainFromURL |
austin.ibm.com;raleigh.ibm.com; UseDomainFromURL |
사인온은 요청 호스트 이름을 가진 도메인 내의 모든 호스트에 대해 유효합니다. 주의: 상호 도메인 SSO는
지원되지 않습니다. 예: chicago.xxx.com과 cleveland.yyy.com(여기서 DNS 도메인이 다름).
|
UseDomainFromURL을 지정할 경우,
WebSphere Application Server는
SSO 도메인 이름 값을, 요청할 호스트의 도메인으로 설정합니다. 예를 들어, HTTP 요청이 server1.raleigh.ibm.com에서 나오면
WebSphere Application Server는 SSO 도메인 이름 값을
raleigh.ibm.com으로 설정합니다.
팁: UseDomainFromURL 값은 대소문자 구분합니다. 이 값을 사용하려면
usedomainfromurl을 입력할 수 있습니다.
자세한 정보는
싱글 사인온 설정의 내용을 참조하십시오.
- 옵션: WebSphere Application Server 버전 5.1.1 이상에서
SSO 연결이 이전 버전의 Application Server와 상호 운용되도록 지원하려면
상호운영성 모드 옵션을 사용 가능하게 하십시오.
이 옵션은 이전 양식의 LtpaToken 토큰을 응답으로 설정하므로
이 토큰 유형으로만 작동하는 다른 서버에 전송될 수 있습니다. 그렇지 않으면 LtpaToken2 토큰만 응답에 추가됩니다.
성능을 고려하고 LtpaToken에 의존하여 실행되고 있는 제품이 아닌
버전 6.1 이상의 서버만 연결하는 경우 상호 운용성 모드를 사용 가능하게 설정할 수 있습니다. 상호 운용성 모드가
사용 가능하지 않으면 응답에 LtpaToken이 리턴되지 않습니다.
- 옵션: 특정 프론트 엔드 서버에서 로그인하는 동안
다른 프론트 엔드 서버에 전달하기 위해 정보를 추가하려면
웹 인바운드 보안 속성 전파 옵션을 사용 가능하게 하십시오. SSO 토큰은 민감한 속성을 포함하지 않지만 직렬화된 정보를
검색하기 위해 해당 서버에 연결해야 하는 경우 원래 로그인 서버가
존재하는 곳을 인식합니다. 또한 두 프론트 엔드 서버 모두
동일 DRS 복제 도메인에 구성된 경우 DynaCache에서 직렬화된 정보를 찾기 위한
캐시 검색 값도 포함하고 있습니다.자세한 정보는
보안 속성 전파의 내용을 참조하십시오.
중요사항: 다음 문장이 적용될 경우, 성능을 위해
웹 인바운드 보안 속성 전달
옵션을 사용 불가능하게 할 것을 권장합니다.
- 로그인 중 다른 프론트 엔드 서버에서 확보할 수 없는 특정 정보는
주제에 추가되도록 하면 안됩니다.
- WSSecurityHelper API(application programming interface)를 사용하여 기본 PropagationToken 토큰에
사용자 정의 속성을 추가하지 않았습니다.
주제에서 누락된 사용자 정의 정보를 찾으면
웹 인바운드 보안 속성 전파 옵션을 다시 사용 가능하게 하여
정보가 다른 프론트 엔드 애플리케이션 서버에 제대로 전파되었는지 볼 수 있습니다.
다음 두 개의 사용자 정의 특성은 보안 속성 전파가 사용 가능한 경우
성능 향상에 도움이 될 수 있습니다.
- com.ibm.CSI.propagateFirstCallerOnly
이 특성의 기본값은 true입니다. 이 사용자 정의 특성을
true로 설정하면 보안 속성 전파가 사용 가능한 경우
스레드에 유지되는 전파 토큰의 첫 번째 호출자가 로그됩니다. 이 특성이 false로 설정되면,
모든 호출자 전환이 로그되어 성능에 영향을 줄 수 있습니다.
- com.ibm.CSI.disablePropagationCallerList
이 사용자 정의 특성을
true로 설정하면 호출자 또는 호스트 목록을 전파 토큰에
추가할 수 있는 기능이 완전히 사용 불가능하게 설정됩니다. 이 기능은
전파 토큰의 호출자 또는 호스트 목록이 환경에 필요하지 않은 경우에 유용합니다.
- 확인을 클릭하십시오.
다음에 수행할 작업
변경사항을
적용하려면 모든 제품 배치 관리자, 노드 및 서버를 저장, 중지
및 다시 시작하십시오.