웹 서비스 보안은 LTPA(버전 1) 및 LTPA 버전 2(LTPA2)
토큰을 모두 지원합니다. 버전 1보다 보안이 강화된 LTPA2 토큰은
JAX-WS 런타임에서만 지원됩니다.
문제점 방지: 이 주제에 있는 지원 설명은
WebSphere® Application
Server의 웹 서비스 보안 구현에 적용되며 웹 서비스가 아닌 기능의 보안 구현에는 적용되지 않습니다.
gotcha
LTPA(Lightweight Third Party Authentication) 토큰은 2진 보안 토큰의 특정 유형입니다. WebSphere
Application Server, 버전 5 이상의 웹 서비스 보안 구현은 LTPA 버전 1 토큰을
지원합니다. WebSphere Application
Server 버전 7 이상에서는 JAX-WS 런타임 환경을 사용한 LTPA 버전 2 토큰을 지원합니다.
LTPA 버전 1과 LTPA 버전 2 모두의 정책에서 동일한 LTPAToken 어설션이
사용되지만 버전 2 토큰의 valuetype 값은 버전 1과는 다릅니다. valuetype
값은 URI 및 로컬 이름으로 구성됩니다. 다음 표는 LTPA 토큰 버전을
정책 세트 바인딩의 토큰 유형으로 선택했을 때의 valuetype 값을
보여줍니다. 이 값은
편집할 수 없습니다.
표 1. LTPA 토큰 버전 및 valuetype 값. 다음 표에는 LTPA(버전 1) 및 LTPA2 토큰의 valuetype 값이 나열되어 있습니다.LTPA 버전 토큰 |
Valuetype 값 |
LTPA(버전 1) |
http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA |
LTPA2 |
http://www.ibm.com/websphere/appserver/tokentype/LTPAv2 |
서로 다른 WebSphere Application Server 버전에서 실행 중인 서버 간에
상호 운용성을 허용하기 위해서 기본적으로 버전 7.0 이상의 JAX-WS 웹 서비스
보안 런타임은 바인딩이 LTPA2 토큰을 기대하도록 구성된 경우에도 LTPA 버전
1 토큰을 이용할 수 있습니다. 하지만 LTPA2 토큰만 허용하도록
JAX-WS 런타임의 바인딩을 구성할 수 있습니다. 자세한 정보는
인증 생성자 또는 이용자 토큰 설정에 대한 문서를 참조하십시오.
웹 서비스 보안 런타임이 인식되지 않는 valuetype 값을
사용하여 토큰을 수신하고 SOAP 보안 헤더에 mustUnderstand 속성 값
'1'이 포함되어 있는 경우,
웹 서비스 보안 런타임에 SOAPFaultException 오류가 발생합니다. mustUnderstand 속성 값이
'0'이면 토큰이 무시됩니다.
mustUnderstand 속성 값이
'1'인
상태(LTPA2 토큰이 지원되지 않음)에서 웹 서비스 보안 런타임에
LTPA2 토큰이 전송되면, 런타임에서 LTPAv2 valuetype 값을 인식하지 않습니다. 따라서 수신하는 런타임에
SOAPFaultException 오류가 발생합니다. 다음 표는 이러한 여러 가지
구성 및 잠재적인 오류 메시지를 보여줍니다.
표 2. LTPA 토큰 구성. 이 표는 LTPA 버전 1 토큰이 선택사항인지
필수인지를 표시하고 연관된 mustUnderstand 속성 값과
해당 런타임을 나열하며, 결과로 나타나는
SOAPFaultException 오류를 제공합니다(해당되는 경우). 런타임 |
LTPA 버전 1 토큰 상태 |
MustUnderstand 속성 값 |
SOAPFaultException 오류 |
JAX-RPC |
필수 |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
|
JAX-RPC |
필수 |
0 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
|
JAX-RPC |
선택사항 |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Unexpected element as the target element:
s:BinarySecurityToken.
|
JAX-RPC |
선택사항 |
0 |
없음 |
JAX-RPC |
구성되지 않음 |
1 |
com.ibm.wsspi.wssecurity.SoapSecurityException:
WSEC5502E: Unexpected element as the target element:
s:BinarySecurityToken.
|
JAX-RPC |
구성되지 않음 |
0 |
없음 |
JAX-WS(버전 6.1 Feature Pack for Web
Services) |
구성되지 않음 |
1 |
CWWSS5502E: The target element:
s:BinarySecurityToken was not expected.
|
JAX-WS(버전 6.1 Feature Pack for Web
Services) |
구성되지 않음 |
0 |
없음 |
JAX-WS(버전 6.1 Feature Pack for Web
Services) |
구성됨 |
1 |
CWWSS5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
|
JAX-WS(버전 6.1 Feature Pack for Web
Services) |
구성됨 |
0 |
CWWSS5509E: A security token whose type is
[{http://www.ibm.com/websphere/appserver/tokentype/5.0.2}LTPA]
is required.
|
LTPA(버전
1) 또는 LTPA2 토큰을 생성하도록 JAX-WS 런타임을 구성할 수 있습니다. 정책 바인딩에서 LTPA 토큰 생성자를 구성하여
LTPA(버전 1) 토큰을 생성하는 경우, 다음 중 하나를 수행해야 합니다.
- 관리 콘솔 내의 싱글 사인온(SSO) 패널에서 사용할 수 있는 싱글 사인온 상호 운용성 모드를 사용 가능하게 하십시오.
이 옵션에 대한 자세한
정보는 싱글 사인온 설정에 대한 문서를 참조하십시오.
- LTPA 토큰 생성자에 대해 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 사용자 정의 특성을
true로 설정하십시오.
이전에 표시된 단계 중 하나 이상을 수행하지 않은 경우, 해당 바인딩에 접속된
애플리케이션이 시작되면 오류가 발생합니다.