웹 서비스 보안 SAML 토큰 사용자 정의 특성
웹 서비스 보안 SAML 토큰을 구성할 때, 데이터의 이름 값 쌍을 구성할 수 있습니다. 여기서 이름은 특성 키이고 값은 내부 시스템 구성 특성을 설정하기 위해 사용할 수 있는 문자열 값입니다. 관리 콘솔에 제공되는 옵션과 함께 이러한 구성 특성을 사용하여 SAML 토큰이 생성되거나 이용되는 방법을 제어할 수 있습니다.
이러한 SAML 사용자 정의 특성을 구성하려면 관리 콘솔에서 다음 중 하나를 수행하십시오.
- 서비스를 확장하십시오.
- 서비스 제공자 또는 서비스 클라이언트를 선택하십시오.
- 이름 열에서 적절한 애플리케이션을 클릭하십시오.
- 바인딩 열에서 적절한 바인딩을 클릭하십시오.
이전에 정책 설정을 첨부하고 바인딩을 지정해야 합니다.
or
- WebSphere 엔터프라이즈 애플리케이션을 클릭하십시오. 을 펼치고
- 웹 서비스를 포함하는 애플리케이션을 선택하십시오. 애플리케이션은 서비스 공급자 또는 서비스 클라이언트를 포함해야 합니다.
- 웹 서비스 특성 표제에서 서비스 제공자 정책 설정 및 바인딩 또는 서비스 클라이언트 정책 설정 및 바인딩을 클릭하십시오.
- 바인딩을 선택하십시오. 이전에 정책 설정을 첨부하고 애플리케이션 특정 바인딩을 지정해야 합니다.
그런 다음, 다음 단계를 완료하십시오.
- 정책 테이블에서 WS-Security를 클릭하십시오.
- 기본 메시지 보안 정책 바인딩 표제에서 인증 및 보호를 클릭하십시오.
- 인증 토큰 표제에서
인증 토큰의 이름을 클릭하십시오.
지원된 구성: 토큰을 사용할 수 있고, 이는 인증의 경우에만 일반 보안 토큰 로그인 모듈에 의해 처리됩니다. 토큰을 보호 토큰으로 사용할 수 없습니다.sptcfg
- 추가 바인딩 표제에서 콜백 핸들러를 클릭하십시오.
- 사용자 정의 특성 표제에서 이름 및 값 쌍을 입력하십시오.
다음 섹션은 사용자 정의 특성을 나열하고 각 사용자 정의 특성이 사용되는 방법을 표시합니다.
SAML 토큰 생성기 사용자 정의 특성
다음 테이블에는 SAML 토큰 생성기 바인딩을 구성하기 위해서만 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열됩니다.
Name | 값 | 설명 |
---|---|---|
appliesTo | 이 사용자 정의 특성에는 기본값이 없습니다. | WSS API가 사용될 때 요청된 SAML 토큰에 대해 사용할 AppliesTo를 지정합니다. |
audienceRestriction | 올바른 값은 true 및 false입니다. 기본 동작은 true이고, SAML 토큰에 AudienceRestrictionCondition을 포함합니다. | 이 특성은 자체 실행되는 SAML 토큰에만 적용됩니다. 이 사용자 정의 특성을 사용하여 AudienceRestrictionCondition 요소가 SAML 토큰에 포함되는지 여부를 지정하십시오. |
authenticationMethod | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 특성은 자체 실행되는 SAML 토큰에만 적용됩니다. 이 사용자 정의 특성을 사용하여 SAML 토큰의 AuthenticationStatement 요소에서 AuthenticationMethod 속성에 대한 값을 지정하십시오. 이 사용자 정의 특성이 지정될 때, 주제가 AttributeStatement 대신 AuthenticationStatement에 포함됩니다. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 자체 실행된 SAML 토큰을 생성할 때 필수 구성 데이터를 지정하십시오. |
cacheCushion | 기본값은 5분입니다. | SAML 토큰의 만기 시간이 만료되고 새 토큰의 발행이 필요한 시점 이전의 기간(분)입니다. 예를 들어, cacheCushion이 5분으로 설정되고 SAML 토큰이 2분으로 만료되면 이는 재사용되지 않습니다. 새 SAML 토큰이 실행됩니다. 런타임이 SAML 토큰을 캐싱하는 중일 때, 캐시 쿠션을 넘어서는 토큰이 캐시되지 않습니다. |
cacheToken | 올바른 값은 true 및 false입니다. 기본 동작은 true이고, 이는 재사용을 위해 SAML 토큰 캐싱을 허용합니다. | 이 사용자 정의 특성을 사용하여 SAML 토큰이 재사용을 위해 캐시될 수 있는지 여부를 지정하십시오. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | 기본값은 ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties입니다. | 자체 발행된 SAML 토큰을 생성할 때 사용할 구성 데이터의 파일 경로입니다. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries | 기본값은 250입니다. | 이 JVM 사용자 정의 특성을 사용하여 유지보수될 수 있는 캐시 항목의 최대 수를 지정하십시오. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout | 기본값은 60분입니다. | 이 특성은 만기 시간이 알려지지 않은 SAML 토큰에만 사용됩니다(암호화된 토큰 또는 만기가 STS로부터의 응답에 토큰과 함께 포함되지 않음). 만기 시간이 알려지지 않은 SAML 토큰의 경우, SamlTokenCacheTimeout은 만기 시간을 대신하기 위해 사용됩니다. 이 기준에서 캐시를 입력하는 새 SAML 토큰의 경우, 해당 만기 시간은 (current_time)+SamlTokenCacheTimeout입니다. cacheCushion 특성에 대해 설명되는 조건이 여전히 적용됩니다. 따라서, SamlTokenCacheTimeout에 대한 값을 변경할 때 cacheCushion 값을 염두에 두어야 합니다. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken 및 com.ibm.wsspi.wssecurity.saml.put.SamlToken | 올바른 값은 true 또는 false입니다. 기본값은 false입니다. | |
confirmationMethod | 울바른 값은 bearer, holder-of-key 및 sender-vouches를 포함합니다. 기본값은 bearer입니다. | SAML 토큰 주제 ConfirmationMethod입니다. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 RequestContext에 대한 SAML 토큰을 가져오십시오. |
com.ibm.wsspi.wssecurity.saml.put.SamlToken | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 RequestContext에 대한 SAML 토큰을 설정하십시오. |
failOverToTokenRequest | 올바른 값은 true 또는 false입니다. 기본값은 true이고, 이는 입력 토큰이 올바르지 않으면 웹 서비스 보안 런타임이 항상 새 SAML 토큰을 실행한다는 것을 의미합니다. | 이 사용자 정의 특성을 사용하여 RequestContext의 입력 SAML 토큰이 올바르지 않으면 웹 서비스 보안 런타임이 첨부된 정책 설정을 사용하여 새 SAML 토큰을 실행해야 할지 여부를 지정하십시오. |
recipientAlias | 이 사용자 정의 특성에는 기본값이 없습니다. | 인증서의 대상 서비스 별명입니다. |
signToken | 올바른 값은 true 및 false입니다. 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 SAML 토큰이 Application Server로 서명되어야 하는지 여부를 지정하십시오. |
sslConfigAlias | 값이 이 특성에 대해 지정되지 않으면
시스템의 SSL 구성에 정의되는 기본 SSL 별명이
사용됩니다. 이 특성은 선택적입니다. |
WS-Trust 클라이언트가 SAML 토큰을 요청하기 위해 사용하는 SSL 구성에 대한 별명입니다. |
stsURI | 이 사용자 정의 특성에는 기본값이 없습니다. | SecurityTokenService(STS) 주소입니다. |
keySize | 이 사용자 정의 특성에는 기본값이 없습니다. | STS에서 SecretKey를 요청할 때의 KeySize입니다. |
tokenRequest | 올바른 값은 issue, propagation, issueByWSCredential 및 issueByWSPrincipal을 포함합니다. 기본값은 issue입니다. | SAMLToken 요청 메소드입니다. 이 특성에 지정될 수 있는 값에 대한 자세한 정보는 SAML 토큰 전파 주제를 참조하십시오. |
tokenType | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 필수 토큰 유형을 SAMLGenerateCallback으로 설정하십시오. |
usekeyType | 이 사용자 정의 특성은 선택사항입니다. 올바른 값은 KeyValue, X509Certificate 및 X509IssuerSerial입니다. | 이 사용자 정의 특성을 사용하여 Usekey 유형을 지정하십시오. 이는 클라이언트가 키 정보의 특정 유형을 생성하도록 합니다. |
WSSConsumingContext | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 WS-Trust 클라이언트가 SAML 토큰을 요청하기 위해 사용하는 WSSConsumingContext 오브젝트를 지정하십시오. |
WSSGenerationContext | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 사용자 정의 특성을 사용하여 WS-Trust 클라이언트가 SAML 토큰을 요청하기 위해 사용하는 WSSGenerationContext 오브젝트를 지정하십시오. |
NameID | 이 사용자 정의 특성에는 기본값이 없습니다. | 이 특성은 자체 발행된 SAML 토큰의 주제에서 NameID를 설정합니다. 생성기가 토큰을 자체 발행하도록 구성될 때 NameID 특성이 지정되지 않으면, runAs 주제에서 SAML 토큰으로부터 토큰을 작성하려는 시도가 이루어집니다. runAs 주제에 SAML 토큰이 없는 경우에는 토큰이 처음부터 빌드되며 주제의 NameID가 UNAUTHENTICATED로 설정됩니다. WS-Security 바인딩의 설정을 사용한 자체 발행 SAML 토큰의 생성에 대한 자세한 정보는 SAML 발행자 구성 특성을 참조하십시오. |
SAML 토큰 이용자 사용자 정의 특성
다음 테이블에는 SAML 토큰 이용자 바인딩을 구성하기 위해서만 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열됩니다.
Name | 값 | 설명 |
---|---|---|
allowUnencKeyInHok | 올바른 값은 true 또는 false입니다. 기본값은 true이고, 이는 복호화된 키가 허용된다는 의미입니다. | 이 특성을 사용하여 SAML holder-of-key 토큰에서 복호화된 키를 승인하도록 SAML 토큰 이용자를 지시하십시오. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries | 정수. 기본값은 1000입니다. | 유지보수가 가능한 서명 캐시 항목의 수입니다. SAML 이용자 토큰의 경우. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout | 정수. 기본값은 60분입니다. | SAML 토큰이 캐시될 수 있는 시간(분)입니다. 서명 유효성 검증은 SAML 토큰이 캐시되는 동안 반복될 필요가 없습니다. |
keyAlias | 이 사용자 정의 특성에는 기본값이 없습니다. | 키 저장소에서 정의된 복호화 개인 키의 별명입니다. |
keyName | 이 사용자 정의 특성에는 기본값이 없습니다. | 키 저장소 파일에 정의된 복호화 개인 키의 이름입니다. 이 이름은 참조를 위한 것이고 런타임에 의해 평가되지 않습니다. |
keyPassword | 이 사용자 정의 특성에는 기본값이 없습니다. | 키 저장소 파일에 정의된 복호화 개인 키의 비밀번호입니다(비밀번호는 XOR 인코딩되어야 함). 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오. |
keyStorePassword | 이 사용자 정의 특성에는 기본값이 없습니다. | 키 저장소 파일의 비밀번호입니다. 비밀번호는 XOR 인코딩될 수 있습니다. 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오. |
keyStorePath | 이 사용자 정의 특성에는 기본값이 없습니다. | 복호화 키가 포함된 키 저장소 파일의 파일 경로입니다. |
keyStoreRef | 이 사용자 정의 특성에는 기본값이 없습니다. | 복호화 키가 포함된 security.xml의 관리 키 저장소에 대한 참조입니다. 샘플: name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode |
keyStoreType | 이 사용자 정의 특성에는 기본값이 없습니다. | 키 저장소 파일의 키 저장소 유형입니다. |
signatureRequired | 기본값은 true입니다. | 이 사용자 정의 특성을 사용하여 서명이 SAML 어설션에서 요청되는지 여부를 지정하십시오. |
trustAnySigner | 기본값은 false입니다. | 이 사용자 정의 특성을 사용하여 수신인이 SAML 어설션에 서명하는 인증서를 신뢰할 수 있을지 여부를 지정하십시오. |
trustedAlias | 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 신뢰 STS 인증서의 별명입니다. |
trustedIssuer_ | 이름이 trustedIssuer_n으로서 지정되고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. | 신뢰 발행자의 이름입니다. |
trustedSubjectDN_ | 지정된 값이 trustedSubjectDN_n 형식이어야 하고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. | 신뢰 발행자에 대한 X509Certificate의 SubjectDN 이름입니다. |
trustStorePassword | 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 신뢰 저장소 비밀번호입니다. |
trustStorePath | 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 신뢰 저장소 경로입니다. |
trustStoreRef | 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 신뢰 저장소 참조입니다. 샘플: name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode |
trustStoreType | 이 사용자 정의 특성에는 기본값이 없습니다. | 신뢰 저장소의 키 저장소 유형입니다. |
validateAudienceRestriction | 올바른 값은 true 또는 false입니다. 기본값은 false이고, AudienceRestriction 어설션 유효성 검증이 필요하지 않다는 것을 의미합니다. | 이 사용자 정의 특성을 사용하여 AudienceRestriction 어설션이 유효성 검증되어야 하는지 여부를 지정하십시오. |
validateOneTimeUse | 올바른 값은 true 또는 false입니다. 기본값은 true이고, OneTimeUse 어설션 유효성 검증이 필요하다는 것을 의미합니다. | 이 사용자 정의 특성을 사용하여 SAML 2.0의 OneTimeUse 어설션 또는 SAML 1.1의 DoNotCacheCondition이 유효성 검증되어야 하는지 여부를 지정하십시오. |
CRLPATH | 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 폐기된 인증서의 목록에 대한 파일 경로입니다. |
X509PATH | 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 중간 X509 인증서 파일 경로입니다. |
CRLPATH_ | 지정된 값이 trustedSubjectDN_n 형식이어야 하고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 폐기된 X509 인증서의 목록에 대한 파일 경로입니다. |
X509PATH_ | 지정된 값이 X509_path_n 형식이어야 하고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. | SAML 이용자 토큰에 대한 중간 X509 인증서의 파일 경로입니다. |
토큰 생성기 및 토큰 이용자 모두에 대한 SAML 토큰 이용자 특성
다음 테이블에는 SAML 토큰 생성기 및 SAML 토큰 이용자 바인딩 모두를 구성하기 위해 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열됩니다.
Name | 값 | 설명 |
---|---|---|
clockSkew | 기본값은 3분입니다. | SAMLGenerateLoginModule이 작성하는 자체 발행된 SAML 토큰의 시간에 대한 조정 시간(분)입니다. clockSkew 사용자 정의 특성은 SAMLGenerateLoginModule 클래스를 사용하는 SAML 토큰 생성기의 콜백 핸들러에 설정됩니다. 이 사용자 정의 특성에 지정되는 값은 숫자여야 하고 분으로 지정됩니다. 값이 이 사용자 정의 특성에
지정될 때, 다음 시간 조정이 SAMLGenerateLoginModule이 작성하는 자체 실행된 SAML 토큰에
작성됩니다.
|
clientLabel | 이 사용자 정의 특성에는 기본값이 없습니다. | WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 클라이언트 레이블(바이트)입니다. |
serviceLabel | 이 사용자 정의 특성에는 기본값이 없습니다. | WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 서비스 레이블(바이트)입니다. |
keylength | 이 사용자 정의 특성에는 기본값이 없습니다. | WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 파생된 키 길이(바이트)입니다. |
nonceLength | 기본값은 128입니다. | WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 파생된 난스(nonce) 길이(바이트)입니다. |
requireDKT | 기본값은 false입니다. | 이 사용자 정의 특성을 사용하여 WSS API가 요청된 SAML 토큰으로 사용될 때마다 파생 키에 대한 옵션을 지정하십시오. |
useImpliedDKT | 기본값은 false입니다. | 이 사용자 정의 특성을 사용하여 WSS API가 요청된 SAML 토큰으로 사용될 때마다 Implied 파생 키와 함께 사용되는 옵션을 지정하십시오. |
자체 발행된 토큰에 대한 SAML 토큰 생성기 특성
다음 표에는 자체 발행된 SAML 토큰에 대한 SAML 토큰 생성기 바인딩의 구성에만 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열되어 있습니다.
정책 바인딩 특성 이름 | 샘플 특성 값 | 특성 설명 |
---|---|---|
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature | true | com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM 사용자 정의 특성을 true로 설정하는 경우에만 사용하십시오. 이 JVM 사용자 정의 특성을 사용하려고 할 때에 대한 설명은 JVM(Java Virtual Machine) 사용자 정의 특성 주제를 참조하십시오. |
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName | SAML 토큰에서 발행자 요소의 형식 속성에 대한
값. 참고: 형식 속성을 발생자 요소에 추가하려는 경우,
이 특성을 지정해야 합니다.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI | http://www.websphere.ibm.com/SAML/SelfIssuer | 발행자의 URI. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds | 3600000 | 토큰의 만기 이전의 시간량. 이 특성은 토큰에서 NotOnOrAfter 속성을 설정하기 위해 사용됩니다. NotOnOrAfter가 (currentTime)+TimeToLive+(currentClockSkew)로 설정됩니다. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef | name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode | 서명 키를 포함하는 security.xml의 관리 키 저장소에 대한 참조. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath | app_server_root/etc/ws-security/samples/dsig-receiver.ks | 서명 키를 포함하는 키 저장소 파일의
위치. 참고: 시스템에 대한 경로 위치를 일치시키기 위해 기본값으로부터 이 값을 수정해야 합니다.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType | JKS | 키 저장소 유형. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword | 비밀번호 | 키 저장소 파일의 비밀번호(비밀번호는 XOR 인코딩되어야 함). 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias | soapprovider | 키 저장소에서 정의되는 것처럼 서명 개인 키의 별명. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName | CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP | 키 저장소 파일에 정의되는 것처럼 서명 개인 키의 이름. 이 이름은 참조를 위한 것이고 런타임에 의해 평가되지 않습니다. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword | 비밀번호 | 키 저장소 파일에 정의된 것처럼 개인 키의 비밀번호(비밀번호는 XOR 인코딩되어야 함). |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef | name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode | 암호화 인증을 포함하는 security.xml의 관리 키 저장소에 대한 참조. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath | app_server_root/etc/ws-security/samples/dsig-receiver.ks | 암호화 인증을 포함하는 저장소 파일의 위치. 참고: 시스템에 대한 경로 위치를 일치시키기 위해 기본값으로부터 이 값을 수정해야 합니다.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType | JKS | 암호화 인증을 포함하는 저장소 파일의 저장 유형. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword | 비밀번호 | 암호화 인증을 포함하는 저장소 파일의 비밀번호. |
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider | com.mycompany.SAML.AttributeProviderImpl | 속성 제공자의 구현 클래스. 참고: 클래스는 javax.security.auth.callback.CallbackHandler를 구현해야 합니다.
클래스는 com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback
또는 com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback
콜백 오브젝트를 수신해야 하고, 그런 다음 해당 오브젝트에서 호출되는 getSAMLAttributes 메소드로부터 수신되는 SAMLAttribute 목록을 업데이트해야 합니다.
자세한 정보는 API를 사용하여 자체 발행된 SAML 토큰에 속성을 추가하는 것에 대해 참조하십시오. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias | soaprecipient | SAML 토큰을 암호화하기 위해 사용되는 공용 인증서를 포함하는 TrustStore 특성에 제공된 저장소 파일의 항목. API로 자체 발행된 토큰을 생성할 때, setKeyAliasForAppliesTo 메소드를 사용하여 RequesterConfig에서 설정되는 별명이 이 특성에 제공된 값보다 우선합니다. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML | true | 암호화된 SAML 토큰을 생성하려는 경우 이 특성을 true로 설정하십시오. 이 특성의 기본값은 false입니다. API로 자체 발행된 토큰을 생성할 때, RequesterConfig 오브젝트에서 setEncryptSAML(true) 메소드를 사용하여 SAML 토큰을 암호화하려고 한다는 것을 표시할 수도 있습니다. RequesterConfig 오브젝트에서 setEncryptSAML=true이거나 EncryptSAML 사용자 정의 특성이 true로 설정되면 SAML 토큰이 암호화됩니다. |
com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider | com.mycompany.SAML.NameIDProviderImpl | 이름 ID 제공자의 구현 클래스. 참고: 클래스는 javax.security.auth.callback.CallbackHandler를 구현해야 합니다.
클래스는 com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback
콜백 오브젝트를 수신한 다음 NameID를 업데이트할 해당 오브젝트에서 setSAMLNameID 메소드를
호출해야 합니다.
자세한 정보는 API를 사용하여 자체 발행된 SAML 토큰에 대한 NameID 사용자 정의를 참조하십시오. |
com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature | true | SAML 토큰을 서명할 때 SHA-2 서명 알고리즘, http://www.w3.org/2001/04/xmldsig-more#rsa-sha256을 사용하려면 이 특성을 true로 설정하십시오. |
신뢰 클라이언트 사용자 정의 특성
다음 테이블에는 신뢰 클라이언트를 구성하기 위해 사용될 수 있는 사용자 정의 특성이 나열됩니다. SAML 토큰 생성기와 함께 사용될 때, 이러한 사용자 정의 특성이 SAML 토큰 생성기 콜백 핸들러에 추가됩니다.
Name | 값 | 설명 |
---|---|---|
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries | 기본값은 1000입니다. | 유지보수가 가능한 STS 서비스 인스턴스 캐시 항목의 최대 수입니다. |
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout | 기본값은 60분입니다. | STS 서비스 인스턴스가 클라이언트측 캐시에 보관될 수 있는 시간의 길이(분)입니다. |
keyType | 다음 keyTypes는
WS-Trust 1.2에 지정될 수 있습니다.
다음 KeyTypes는 WS-Trust 1.3에 대해 지정될 수 있습니다.
|
STS에 대한 WS-Trust 요청을 작성할 때 사용할 keyType입니다. |
wstrustActAsRequired | 올바른 값은 true 및 false이며, 기본값은 false입니다. | SAML 토큰이 ActAs 요소의 STS 요청에 삽입될 때 이 특성을 true로 설정합니다. SAML 토큰은 현재 runAs 주제 또는 JAAS 로그인 공유 상태 오브젝트에 존재해야 합니다. JAAS 로그인 공유 상태의 토큰은 runAs 주제의 토큰에 우선합니다. onBehalfOfRequired 및 actAsRequired 모두가 true로 설정된 경우에는 OnBehalfOf 요소만 STS 요청에 삽입됩니다. 자세한 정보는 "스택 JAAS 로그인 모듈을 사용하여 SAML 토큰 생성 및 이용"을 참조하십시오. |
wstrustActAsTokenType | 올바른 값은 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 및 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0입니다. 기본값은 SAML 생성기 콜백 핸들러로 생성되는 토큰의 유형입니다. | STS 요청에서 ActAs 요소의 메시지에 삽입할 SAML 토큰의 토큰 유형으로 이 특성을 설정합니다. |
wstrustActAsReIssue | 올바른 값은 true 및 false이며, 기본값은 false입니다. | STS 요청에 있는 ActAsReIssue 요소에 SAML 토큰을 삽입하거나 SAML 생성기 콜백 핸들러의 서명 및 암호화 설정으로 재발행된 runAs 주제에서 SAML 토큰을 가져오려면 이 특성을 true로 설정합니다. JAAS 로그인 공유 상태 오브젝트에서 가져온 SAML 토큰은 재발행될 수 없습니다. |
wstrustClientBinding | 이 사용자 정의 특성에는 기본값이 없습니다. | WS-trust 클라이언트의 바인딩 이름입니다. |
wstrustClientBindingScope | 이 사용자 정의 특성에는 기본값이 없습니다. | WS-Trust 클라이언트에 연결된 정책 세트에 대한 바인딩 범위입니다. |
wstrustClientCollectionRequest | 올바른 값은 true 또는 false입니다. 기본값은 false이고, 이는 RequestSecurityToken이 RequestSecurityTokenCollection 대신 사용된다는 것을 의미합니다. | 이 사용자 정의 특성을 사용하여 RequestSecurityTokenCollection이 WS-Trust 요청에 필요한지 여부를 지정하십시오. |
wstrustClientPolicy | 이 사용자 정의 특성에는 기본값이 없습니다. | WS-Trust 클라이언트에 대한 정책 세트 이름입니다. |
wstrustClientSoapVersion | 올바른 값은 1.1 및 1.2입니다. 값이 지정되지 않으면 SOAP 버전이 애플리케이션 클라이언트가 사용 중인 SOAP 버전으로 기본값을 지정하십시오. | WS-Trust 요청의 SOAP 버전입니다. |
wstrustClientWSTNamespace | 기본값은 trust13입니다. 올바른 값은 trust12 및 trust13입니다. | WS-Trust 요청의 WS-Trust 네임스페이스입니다. |
wstrustOnBehalfOfRequired | 올바른 값은 true 및 false입니다. 기본값은 false입니다. | SAML 토큰이 OnBehalfOf 요소의 STS 요청에 삽입될 때 이 특성을 true로 설정합니다. SAML 토큰은 현재 runAs 주제 또는 JAAS 로그인 공유 상태 오브젝트에 존재해야 합니다. JAAS 로그인 공유 상태의 토큰은 runAs 주제의 토큰에 우선합니다. 자세한 정보는 twbs_gen_con_token_JAAS_mod를 참조하십시오. |
wstrustOnBehalfOfTokenType | 올바른 값은 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 및 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0입니다. 기본값은 SAML 생성기 콜백 핸들러로 생성되는 토큰의 유형입니다. | STS 요청에서 OnBehalfOf 요소의 메시지에 삽입할 SAML 토큰의 토큰 유형으로 이 특성을 설정합니다. |
wstrustOnBehalfOfReIssue | 올바른 값은 true 및 false이며, 기본값은 false입니다. | SAML 생성기 콜백 핸들러의 서명 및 암호화 설정으로 재발행된 runAs 주제의 SAML 토큰을 STS 요청의 OnBehalfOf 요소로 SAML 토큰을 삽입하려면 이 특성을 true로 설정합니다. JAAS 로그인 공유 상태 오브젝트에서 가져온 SAML 토큰은 재발행될 수 없습니다. |