보호 토큰 설정(생성기 또는 이용자)
보호 토큰을 구성하려면 이 페이지를 사용하십시오. 보호 토큰은 무결성을 보호하거나 기밀성을 제공하기 위해 메시지를 암호화하기 위해 메시지에 서명합니다.
일반 제공자 또는 클라이언트 정책 세트 바인딩을 편집할 때 메시지 파트에 대한 보호 토큰 설정을 추가할 수 있습니다. 정책 세트에서 요청되는 토큰 및 메시지 파트에 대한 애플리케이션 특정 바인딩을 구성할 수도 있습니다.
- 을 클릭하십시오.
- 편집하려는 바인딩의 이름에서 클릭하십시오.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 보안 정책 바인딩 섹션에 인증 및 보안 링크를 클릭하십시오.
- 새 토큰 생성기 또는 이용자를 작성하기 위해 새 토큰을 클릭하거나 보호 토큰 테이블에서 기존 이용자 또는 생성자 토큰 링크를 클릭하십시오.
- 을 클릭하십시오.
- 편집하려는 바인딩의 이름에서 클릭하십시오.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 기본 메시지 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
- 새 토큰 생성기 또는 이용자를 작성하거나 보호 토큰 테이블로부터 기존 이용자 또는 생성기 토큰 링크를 클릭하기 위해 새 토큰을 클릭하십시오.
- 을 클릭하십시오.
- 웹 서비스를 포함하는 애플리케이션을 선택하십시오. 애플리케이션에는 서비스 제공자 또는 서비스 클라이언트가 포함되어야 합니다.
- 웹 서비스 특성 섹션에서 서비스 제공자 정책 세트 및 바인딩 링크 또는 서비스 클라이언트 정책 세트 및 바인딩을 클릭하십시오.
- 바인딩을 선택하십시오. 분명 이전에 정책 세트를 첨부하고 바인딩을 지정했습니다.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 보안 정책 바인딩 섹션에 인증 및 보안 링크를 클릭하십시오.
- 보호 토큰 테이블에서 이용자 또는 생성기 토큰 링크를 클릭하십시오.
이 관리 콘솔 페이지는 JAX-WS(Java™ API for XML Web Services) 애플리케이션에만 적용됩니다.
Name
토큰 생성기 또는 이용자 이름을 지정합니다. 새 토큰을 작성할 때 이 필드에서 이름을 입력하십시오.
토큰 유형
토큰의 유형을 지정합니다. 바인딩을 사용할 때, 토큰 유형은 정책으로부터 판별되고 편집될 수 없습니다.
- LPTA Token V2.0
- Secure Conversation Token V1.3
- Secure Conversation Token V200502
- X509V3 Token V1.1
- X509V3 Token V1.0
- X509PKCS7 Token V1.1
- X509PKCS7 Token V1.0
- X509PkiPathV1 Token V1.1
- X509PkiPathV1 Token V1.0
- X509V1 Token V1.1
- 사용자 정의 토큰
토큰 버전을 강제 실행
LTPA Token v2.0이 토큰 유형으로 선택될 때, LTPA 버전 1과 LTPA 버전 2 토큰 모두 이용될 수 있습니다. LTPA Token v2.0 토큰 유형으로 토큰 이용을 제한하기 위해 이 선택란을 선택하십시오.
로컬 이름
사용자 정의 토큰 생성기 또는 이용자의 로컬 이름을 지정합니다. 로컬 이름 필드는 표시된 토큰 유형을 기반으로 채워집니다. 이 필드를 사용하여 사용자 정의 토큰 유형만을 편집합니다.
사용자 정의 토큰 유형이 Kerberos Token Profile V1.1에 대해 OASIS 웹 서비스 보안 스펙에 정의되는 것처럼 Kerberos 토큰을 생성하기 위해 사용되는 경우, 로컬 이름에 대해 나열된 다음 값 중 하나를 사용하십시오. 선택하는 값은 키 분배 센터(KDC)에 의해 생성된 Kerberos 토큰의 스펙 레벨에 따라 다릅니다. 다음 표는 각 값과 연관된 값과 명세서 레벨을 나열합니다. 상호 운용성 목적으로, BSP(Basic Security Profile) V1.1 표준은 로컬 이름 (http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ)의 사용을 요청합니다.
Kerberos 토큰에 대한 로컬 이름 값 | 연합된 스펙 레벨 |
---|---|
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ | Kerberos 스펙에서 정의되는 것처럼 Kerberos v5 AP-REQ. Kerberos 티켓이 AP 요청일 때 이 값을 사용하십시오. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ | RFC-1964 [1964], Sec. 1.1 및 해당 후임자 RFC-4121, Sec. 4.1에 정의된 대로 KRB_AP_REQ 메시지를 포함하는 GSS-API Kerberos V5 메커니즘 토큰. Kerberos 티켓이 AP 요청(ST + Authenticator)일 때 이 값을 사용하십시오. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 | RFC1510에 정의된 것처럼 Kerberos v5 AP-REQ. Kerberos 티켓이 RFC1510당 AP 요청일 때 이 값을 사용하십시오. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 | RFC-1964, Sec. 1.1 및 해당 후임자 RFC-4121, Sec. 4.1에 정의된 대로 KRB_AP_REQ 메시지를 포함하는 GSS-API Kerberos V5 메커니즘 토큰. Kerberos 티켓이 RFC1510당 AP 요청(ST + Authenticator)일 때 이 값을 사용하십시오. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 | RFC4120에 정의된 것처럼 Kerberos v5 AP-REQ. Kerberos 티켓이 RFC4120당 AP 요청일 때 이 값을 사용하십시오. |
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 | RFC-1964, Sec. 1.1 및 해당 후임자 RFC-4121, Sec. 4.1에 정의된 대로 KRB_AP_REQ 메시지를 포함하는 GSS-API Kerberos V5 메커니즘 토큰. Kerberos 티켓이 RFC4120당 AP 요청(ST + Authenticator)일 때 이 값을 사용하십시오. |
URI
사용자 정의 토큰 생성기 또는 이용자의 URI(Uniform Resource Identifier)를 지정합니다. URI 필드는 표시된 토큰 유형을 기반으로 채워집니다. 이 필드를 사용하여 사용자 정의 토큰 유형만을 편집하십시오.
Kerberos Token Profile V1.1에 대해 OASIS Web Services Security Specification에 정의된 대로 사용자 정의 토큰 유형이 Kerberos 토큰을 생성하기 위해 사용되는 경우 이 필드를 공백으로 두십시오.
JAAS 로그인
JAAS(Java Authentication and Authorization Service) 애플리케이션 로그인 정보를 지정합니다. 새 JAAS 애플리케이션 로그인 또는 JAAS 시스템 로그인 항목을 추가하려면 새로 작성을 클릭하십시오.
서버가 특정 시스템 또는 애플리케이션 로그인을 포함하는 보안 도메인에 있다면, 이러한 로그인은 글로벌 로그인 뿐만 아니라 JAAS 로그인 메뉴에 나열됩니다.
새 애플리케이션 로그인
현재 보안 도메인에 대해 효과적인 JAAS 로그인 콜렉션으로 이동하도록 클릭하십시오.
사용자 정의 특성 - 이름
사용자 정의 특성의 이름을 지정합니다. 추가될 때까지 사용자 정의 특성은 처음에 이 열에 표시되지 않습니다.
사용자 정의 특성에 대해 다음 조치 중 하나를 선택하십시오.
단추 | 결과 조치 |
---|---|
새로 작성 | 새 사용자 정의 특성 항목을 작성합니다. 사용자 정의 특성을 추가하려면 이름과 값을 입력하십시오. |
편집 | 선택된 사용자 정의 특성을 편집할 수 있도록 지정합니다. 입력 필드를 제공하고 편집의 셀 값의 리스트 작성을 하기 위해 이 조치를 선택하십시오. 최소 하나 이상의 사용자 정의 특성이 추가될 때까지 Edit 단추를 사용할 수 없습니다. |
삭제 | 선택된 특성을 제거합니다. |
사용자 정의 특성 이름 | 값 |
---|---|
대상 서비스의 이름을 지정하십시오. com.ibm.wsspi.wssecurity.krbtoken.targetServiceName | 대상 서비스의 이름을 지정합니다. 이 특성은 필수입니다. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost | 다음 형식으로 대상 서비스와 연관된 호스트 이름을 지정합니다. myhost.mycompany.com. 이 특성은 필수입니다. |
com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm | 대상 서비스와 연관된 영역의 이름을 지정합니다. 이 특성은 단일 Kerberos 영역에 대해 선택적입니다. targetServiceRealm 특성이 지정되지 않은 경우 Kerberos 구성 파일로부터의 기본 영역 이름이 영역 이름으로 사용됩니다. |
애플리케이션이 각 웹 서비스 요청 메시지를 위한 Kerberos V5 AP_REQ 토큰을 생성하거나 이용하면, 애플리케이션을 위한 토큰 생성기와 토큰 이용자 바인딩에서 true에 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 사용자 정의 특성을 설정하십시오. 자세한 정보는 웹 서비스 보안 문제점 해결 팁 주제를 참조하십시오.
사용자 정의 특성 - 값
사용자 정의 특성 값을 지정합니다. 값 필드를 사용하여 사용자 정의 특성의 값을 입력, 편집 또는 삭제하십시오.
콜백 핸들러
보호 토큰 페이지에서 기타 모든 구성이 적용되거나 저장된 후, 이 섹션이 표시되고 콜백 핸들러에 대한 구성 설정에 링크합니다. 메시지 핸들러에서 보안 토큰이 획득되는 방법을 판별하는 콜백 핸들러 설정을 저장하려면 이 링크를 클릭하십시오.
Secure Conversation Token V200502를 허용
WS-Security 정책에 대한 Secure Conversation Token V200502 토큰 유형은 WS-SecureConversation 스펙의 2005년 2월 레벨에서 정의된 것처럼 Secure Conversation Token에 대한 요구사항을 나타냅니다. 이 옵션은 제공자가 secure conversation token V1.3 및 secure conversation token V200502 모두를 처리할지 여부를 지정합니다. 기본적으로, 제공자는 두 버전 모두를 처리합니다. 제공자가 V1.3 토큰만 처리하도록 선택란 선택사항을 제거하기 위해 클릭하여 이 동작을 변경할 수 있습니다.
Information | 값 |
---|---|
데이터 유형 | 선택란 |
범위 | 선택되거나 지워김 |
기본값 | 선택됨 |