웹 서비스 보안 사용자 정의 특성
데이터의 이름-값 쌍을 구성할 수 있으며, 여기서 이름은 특성 키이고 값은 내부 시스템 구성 특성을 설정하는 데 사용할 수 있는 문자열 값입니다. 새 특성을 정의하면 관리 콘솔의 옵션을 통해 사용 가능한 것 이상으로 설정을 구성할 수 있습니다.
JAX-RPC 대 JAX-WS 애플리케이션에 대해 다양한 애플리케이션 서버 레벨로 웹 서비스 보안에 대한 사용자 정의 특성을 설정할 수 있습니다. 다음 사용자 정의 특성 목록은 사용자 정의 특성이 설정되는 위치와 사용 방법에 대한 정보를 제공합니다.
웹 서비스 보안 일반 보안 토큰 로그인 모듈 사용자 정의 특성 및 웹 서비스 보안 SAML 토큰 사용자 정의 특성에 대해서는 다른 정보 주제에 설명되어 있습니다. 이 주제의 관련 참조 절에서 이러한 주제에 대한 링크를 제공합니다.
다음 웹 서비스 보안 사용자 정의 특성을 정의할 수 있습니다.
- com.ibm.websvcs.client.serializeSecurityContext
- com.ibm.ws.wssecurity.createSTR
- com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
- com.ibm.ws.wssecurity.sc.FaultCode
- com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
- com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
- com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 및 com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
- com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
- com.ibm.wsspi.wssecurity.consumer.timestampRequired
- com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
- com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
- com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
- com.ibm.wsspi.wssecurity.generator.useWSSObject
- com.ibm.wsspi.wssecurity.krbtoken.clientRealm
- com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
- com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
- com.ibm.wsspi.wssecurity.nonce.includeEncodingType
- com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
- com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
- com.ibm.wsspi.wssecurity.token.forwardable
- com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
- com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
- com.ibm.wsspi.wssecurity.token.username.addNonce 및 com.ibm.wsspi.wssecurity.token.username.addTimestamp
- com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
- com.ibm.wsspi.wssecurity.token.username.password.forwardable
- com.ibm.wsspi.wssecurity.token.username.verifyNonce 및 com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
- com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
- com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
- com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
- com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
com.ibm.websvcs.client.serializeSecurityContext
javax.xml.ws.BindingProvider bp;
bp.getRequestContext().put("com.ibm.websvcs.client.serializeSecurityContext", "false");
정보 | 값 |
---|---|
데이터 유형 | String |
값 | True, False |
기본값 | True |
com.ibm.ws.wssecurity.createSTR
com.ibm.ws.wssecurity.createSTR 특성은 True 값을 지정할 경우 SOAP 보안 헤더의 보안 토큰에 대한 보안 토큰 참조를 작성합니다.
- 토큰 서명 참조 메커니즘은 STR Dereference Transform, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform입니다.
- WS-Security 정책의 SignedParts 요소에 SecurityTokenReference를 나타내는 XPath 값을 포함합니다.
이 특성은 SAML 토큰 생성기에서 사용자 정의 특성으로 구성됩니다. 이는 콜백 핸들러에서는 구성되지 않습니다.
정보 | 값 |
---|---|
데이터 유형 | String |
값 | True, False |
기본값 | False |
이 특성 값은 대소문자를 구분하지 않습니다.
com.ibm.ws.wssecurity.dsig.SignatureAlgorithm
이 사용자 정의 특성을 사용하여 디지털 서명을 구성하면 웹 서비스 보안 런타임에서 SHA-2 서명 알고리즘을 사용할 수 있습니다.
JAX-WS 애플리케이션의 경우, SHA-2 서명 알고리즘을 사용하려면 요청 또는 응답의 서명 정보 섹션에 다음 사용자 정의 특성을 설정하십시오. 이 사용자 정의 특성을 구성할 때는 클라이언트 및 제공자에 동일한 값을 사용해야 합니다.
정보 | 값 |
---|---|
데이터 유형 | String |
값 | rsa-sha256, rsa-sha384, rsa-sha512, hmac-sha256, hmac-sha384, hmac-sha512 또는 dsa-sha256 |
- 서비스 제공자를 클릭하십시오. 또는
- 을 클릭하십시오.
- 정책에서 WS-Security를 클릭하십시오.
- 메시지 보안 정책 바인딩에서 인증 및 보호를 클릭하십시오.
- 요청 메시지 서명 및 암호화 보호 또는
응답 메시지 서명 및 암호화 보호에서
signature_message_part_reference를 클릭하십시오.
signature_message_part_reference 이름을 선택하면 서명된 메시지 파트 바인딩에 대한 구성에 액세스합니다.
- 사용자 정의 특성을 지정하십시오. 예를 들어, com.ibm.ws.wssecurity.dsig.SignatureAlgorithm을 지정하고 앞의 테이블에 식별된 값 중 하나를 사용하여 특성 값으로 원하는 알고리즘을 입력하십시오.
com.ibm.ws.wssecurity.sc.FaultCode
JAAS 로그인 모듈에서 이 사용자 정의 특성을 사용하여 오류 발생 시 SOAP 결함 코드를 설정할 수 있습니다. 이 특성을 지정하지 않으면 SOAP 결함 코드 wsse:FailedAuthentication이 항상 리턴됩니다.
사용자 정의 JAAS 로그인 모듈에서, wssecurity 컨텍스트의 com.ibm.ws.wssecurity.sc.FaultCode 특성을 사용하려는 결함 코드의 QName으로 설정하십시오. 예를 들어 다음과 같습니다.
fcQname = new QName(
"http://schemas.xmlsoap.org/ws/2003/06/secext",
"FailedCheck");
this._context = propertyCallback.getProperties();
_context.put("com.ibm.ws.wssecurity.sc.FaultCode", fcQname);
정보 | 값 |
---|---|
데이터 유형 | String |
기본값 | 없음 |
com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig
호출자 파트에서 구성되는 com.ibm.wsspi.wssecurity.Caller.assertionLoginConfig 특성은 웹 서비스 보안이 WebSphere Application Server 권한 신임 정보를 얻는 데 사용되는 JAAS 로그인 구성의 이름을 지정합니다. 어셈블리 도구(예: Rational® Application Developer)를 사용하여 이 특성을 구성해야 합니다. 자세한 정보는 Rational Application Developer에 대한 이용자 보안 제한조건 주제에서 호출자 구성을 참조하십시오. 이 주제에서 이 사용자 정의 특성은 ID 어설션을 구성할 때 설정됩니다.
WS-Security V1.0 JAX-RPC 애플리케이션에만 이 특성을 사용하십시오.
정보 | 값 |
---|---|
데이터 유형 | String |
기본값 | system.DEFAULT |
com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled
com.ibm.wsspi.wssecurity.config.disableWSSIfApplicationSecurityDisabled 사용자 정의 특성을 true로 설정하면, 애플리케이션 서버에서 애플리케이션 보안이 사용되지 않는 경우 웹 서비스 보안이 구성된 WS-Security 제한조건을 적용하지 않습니다. 이 사용자 정의 특성을 사용하면 웹 서비스 애플리케이션에서 보안 제한조건을 제거하지 않고 비보안 환경에서 서비스를 디버그할 수 있습니다.

정보 | 값 |
---|---|
데이터 유형 | String |
값 | true, false |
Defaultfalse | false |
- 를 펼치십시오.
- 일반 제공자 정책 세트 바인딩 또는 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
- binding_name을 클릭하십시오.
- 정책 표제에서 을 클릭하십시오.
- application.parameters
- application.securityinboundbinding config.properties
com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens
com.ibm.wsspi.wssecurity.config.gen.checkCacheUsernameTokens 사용자 정의 특성은 UsernameToken을 항상 캐시할지(기본 동작) 또는 규칙 세트에 정해진 대로 캐시할지 여부를 지정합니다. 토큰 생성기에 대해 또는 추가 특성으로 이 사용자 정의 특성을 구성할 수 있습니다.
- 애플리케이션이 애플리케이션 서버에서 실행 중이면 UsernameToken을 캐시하지 않습니다.
- UsernameToken의 토큰 생성기에 com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler 콜백 핸들러가 구성되어 있으면 UsernameToken을 캐시합니다.
이 사용자 정의 특성은 JAX-RPC 런타임에만 적용됩니다. 어셈블리 도구(예: Rational Application Developer)를 사용하여 암호화된 메시지 파트 바인딩 내에서 사용자 정의 특성을 설정하십시오.
정보 | 값 |
---|---|
데이터 유형 | String |
값 | true, false |
기본값 | false |
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 및 com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne
이 두 사용자 정의 특성을 사용하여 관리자는 SOAP 보안 헤더에 있는 mustUnderstand 속성의 설정을 제어할 수 있습니다. 이 특성은 아웃바운드 사용자 정의 특성으로 설정됩니다.
- com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 사용자 정의 특성
com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 사용자 정의 특성은 아웃바운드 이용자 요청에 mustUnderstand 설정을 지정합니다. 특성 값이 영(0), no 또는 false로 설정된 경우 mustUnderstand 속성은 아웃바운드 이용자 요청 내의 WS-Security 헤더에 설정되지 않습니다.
정보 값 데이터 유형 String 값 영(0), no, false 기본값 true SOAP 메시지에서 mustUnderstand 속성의 기본값은 영(0)입니다. SOAP 스펙에 따라 속성에 의도된 값이 0인 경우, 속성이 메시지에 존재하지 않아야 합니다.
문제점 방지: com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 특성 설정 지시사항은 com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 설정 지시사항과 동일하며 아래 나열됩니다. gotcha
- com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 사용자 정의 특성
com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 사용자 정의 특성은 제공자가 항상 SOAP 보안 헤더에 mustUnderstand="1" 속성이 있는 상태로 응답하도록 지정합니다. 값을 1, yes 또는 true로 설정하면 제공자는 WS-Security 헤더에 mustUnderstand="1" 속성이 있는 상태에서 응답합니다. 속성의 기본값은 false입니다.
정보 값 데이터 유형 String 값 1, yes 또는 true 기본값 false 기본적으로 응답에 요청과 동일한 mustUnderstand 속성이 포함됩니다. 예를 들어, 인바운드 요청에 mustUnderstand="1"이 있으면 응답에도 mustUnderstand="1"이 포함됩니다. 요청에 mustUnderstand 속성이 없으면 응답에도 mustUnderstand 속성이 포함되지 않습니다.
JAX-WS 애플리케이션의 경우, com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 및 com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 사용자 정의 특성을 정책 세트 바인딩에 대한 아웃바운드 사용자 정의 특성 또는 인바운드 및 아웃바운드 사용자 정의 특성으로 설정할 수 있습니다. 사용자 정의 특성을 설정하기 위해 관리 콘솔에서 다음 단계를 완료하십시오.- 를 펼치십시오.
- 일반 제공자 정책 세트 바인딩 또는 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
- binding_name을 클릭하십시오.
- 정책 표제에서 을 클릭하십시오.
wsadmin 도구를 사용하여 com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 및 com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 사용자 정의 특성을 애플리케이션에서 매개변수 또는 아웃바운드 바인딩 특성으로 설정할 수도 있습니다. 다음 WS-Security 정책 유형 특성 이름이 setBinding에서 사용됩니다.- application.parameters
- application.securityinboundbindingconfig.properties
JAX-RPC 애플리케이션의 경우, 관리 콘솔의 다음 위치에 두 특성을 지정할 수 있습니다.- JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오. JAX-RPC 기본 생성기 바인딩에서 특성을 클릭하십시오. 을 클릭하십시오. 보안 아래에서
- JAX-WS 및 JAX-RPC 보안 런타임을 클릭하십시오. 사용자 정의 특성에서 사용자 정의 특성을 클릭하십시오. 을 클릭하십시오. 보안 아래에서
JAX-RPC WS-Security 버전 1.0 애플리케이션에서 어셈블리 도구를 사용할 경우, 보안 요청 생성기 확장 또는 바인딩에 com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 사용자 정의 특성을 설정할 수 있습니다. 응답 생성기 확장 또는 바인딩에 com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 사용자 정의 특성을 설정할 수 있습니다. 바인딩의 설정이 확장의 설정에 우선합니다.
JAX-RPC WS-Security 스펙 초안 13–레벨 애플리케이션에 어셈블리 도구를 사용 중인 경우 com.ibm.wsspi.wssecurity.config.request.setMustUnderstand 사용자 정의 특성을 포트 규정 이름 바인딩에서 매개변수로 설정할 수 있습니다. com.ibm.wsspi.wssecurity.config.response.forceMustUnderstandEqualsOne 사용자 정의 특성을 포트 컴포넌트 바인딩의 매개변수로 설정할 수 있습니다.
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure 사용자 정의 특성은 애플리케이션 서버 시작 후 신뢰 저장소를 다시 로드할 수 있는지 여부를 지정합니다.
신뢰 저장소는 키 저장소입니다. 기본적으로 JAX-WS WS-Security는 애플리케이션 서버 실행 중에 키 저장소 새로 고치기를 수신확인하지 않습니다. 성능 상의 이유로 각 애플리케이션이 시작될 때 키 저장소가 메모리에서 캐시됩니다. 캐시는 애플리케이션 사이에서 공유되므로 단일 애플리케이션이 중지된 경우라도 그 키 저장소는 캐시에 남습니다. 따라서 애플리케이션 서버 시작 후 X.509 토큰 이용자가 사용하는 신뢰할 수 있는 인증서가 신뢰 저장소에 추가될 경우 신뢰 유효성 검증이 실패합니다.
com.ibm.wsspi.wssecurity.config.token.inbound.retryOnceAfterTrustFailure 특성을 true로 설정하면, 신뢰 유효성 검증이 발생할 때 WS-Security 런타임에서 구성된 신뢰 저장소를 다시 로드하여 신뢰 유효성 검증을 한 번 더 시도합니다. 다시 로드된 신뢰 저장소는 이러한 단일 유효성 재검증 시도에만 사용됩니다. 키 저장소 오브젝트 대체로 인하여 동시성 문제가 발생할 수 있기 때문에 캐시에 있는 키 저장소 오브젝트는 대체되지 않습니다.
두 번째 유효성 검증 시도가 실패하면 클라이언트에 신뢰 유효성 검증 실패가 리턴됩니다.

com.ibm.wsspi.wssecurity.consumer.timestampRequired
com.ibm.wsspi.wssecurity.consumer.timestampRequired 특성은 보안 헤더에 시간소인 포함 설정이 WS-Security 정책에 대해 선택되었을 때의 응답으로 시간소인이 보안 헤더에 예상되지 않는지 여부를 지정합니다.
JAX-WS WS-Security 런타임은 OASIS WS-SecurityPolicy 1.2 스펙 시간소인 필수 요구사항을 준수하도록 업데이트됩니다. 아웃바운드 시간소인이 구성되어 있는 경우에 인바운드 시간소인이 필요 없도록 애플리케이션을 구성하려면, 웹 서비스 보안 설정에 com.ibm.wsspi.wssecurity.consumer.timestampRequired 사용자 정의 특성을 추가하여 이 특성을 false로 설정하면 됩니다. 이 특성이 false로 설정될 때, 보안 헤더에 시간소인 포함이 WS-Security 정책에 대해 설정으로 선택되더라도 시간소인이 응답에 대한 보안 헤더에서 예상되지 않습니다.
이 특성의 기본값은 true입니다.

정보 | 값 |
---|---|
데이터 유형 | 부울 |
기본값 | true |
com.ibm.wsspi.wssecurity.dsig.inclusiveNamespaces
JAX-RPC 및 JAX-WS 애플리케이션 모두에 적용되는 이 사용자 정의 특성은 XML 디지털 서명에 포함 네임스페이스 접두부 목록을 사용할지 여부를 지정합니다. WebSphere Application Server는 기본적으로 웹 서비스 보안을 위해 디지털 서명에 접두부를 포함합니다. 포함 네임스페이스를 요소로 설정하지 않으려는 경우 이 사용자 정의 특성을 false로 설정할 수 있습니다. 웹 서비스 보안의 일부 구현은 이 접두부 목록을 처리할 수 없습니다. 서명된 SOAP 메시지를 전송할 때 서명 유효성 검증이 실패하고 사용자 환경에서 다른 벤더를 사용 중인 경우, 이 특성을 사용 불가능하게 설정하기 전에 서비스 제공자에 해당 구현에 사용 가능한 수정사항이 있는지 확인하십시오.
- 을 클릭하십시오.
- 을 클릭하십시오.
- 웹 서비스 보안 특성에서 웹 서비스: 클라이언트 보안 바인딩 또는 웹 서비스: 서버 보안 바인딩을 클릭하십시오.
- 요청 생성기(전송자) 바인딩 또는 응답 생성기(전송자) 바인딩에서 사용자 정의 편집을 클릭하십시오.
- 필수 특성에서 을 클릭하십시오.
- 사용자 정의 특성 및 해당 값을 지정하십시오.
- 또는 를 클릭하십시오.
- 을 클릭하십시오.
- 정책에서 WS-Security를 클릭하십시오.
- 메시지 보안 정책 바인딩에서 인증 및 보호를 클릭하십시오.
- 요청 메시지 서명 및 암호화 보호 또는 응답 메시지 서명 및 암호화 보호에서 signature_message_part_reference를 클릭하십시오. signature_message_part_reference 이름을 클릭하면 서명된 메시지 파트 바인딩 구성에 액세스합니다.
- 사용자 정의 특성 및 해당 값을 지정하십시오.
com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature
이 특성을 com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM 사용자 정의 특성과 같이 사용하여 WS-Security 런타임이 버전 7.0.0.21 이하에서 아웃바운드 XML 디지털 서명 작성 또는 인바운드 검증에 대해 수행했던 것처럼 요약 값을 계산하도록 하려는 WS-Security 런타임에 표시하십시오. 자세한 정보는 JVM(Java™ Virtual Machine) 사용자 정의 특성에서 이 JVM 사용자 정의 특성이 사용되는 경우에 대한 설명을 참조하십시오.
이 특성은 WS-Security 정책 세트 바인딩의 인바운드, 아웃바운드, 또는 인바운드 및 아웃바운드 사용자 정의 특성으로 지정됩니다.
com.ibm.wsspi.wssecurity.enc.MTOM.Optimize
암호화된 데이터에 대한 암호 텍스트에 대해 MTOM(Message Transmission Optimization Mechanism)을 사용하려면 이 사용자 정의 특성 값을 true로 설정하십시오. 이 특성은 클라이언트 요청이나 서버 응답에 대한 아웃바운드 암호화 파트의 WS-Security 정책 바인딩에 설정됩니다.
com.ibm.wsspi.wssecurity.generator.useWSSObject
이 사용자 정의 특성은 WS-Security 런타임이 아웃바운드 SOAP 메시지에서 전송되는 SOAP 보안 헤더를 빌드하는 방법을 판별합니다. 기본적으로 런타임은 보안 헤더를 빌드하기 위해 내부 웹 서비스 보안(WSS) 오브젝트 표시를 사용하는 빠른 경로를 사용합니다. 대체 방법으로 Axis2 런타임 및 오브젝트를 사용하여 보안 헤더를 빌드할 수 있습니다.
이 특성은 WS-Security 정책 세트 바인딩에 아웃바운드 사용자 정의 특성 또는 인바운드 및 아웃바운드 사용자 정의 특성으로 설정됩니다. 이 특성은 true 또는 false로 설정할 수 있습니다. 이 특성을 true로 설정하면 WSS 오브젝트가 보안 헤더를 빌드하는 데 사용됩니다. 이 특성을 false로 설정하면 Axis2 오브젝트가 보안 헤더를 빌드하는 데 사용됩니다.
인바운드 및 아웃바운드 메시지에 WS-Security 및 WS-Addressing 정책을 모두 사용할 경우, 아웃바운드 SOAP 메시지의 헤더 요소에 본문 요소가 표시되는 문제점이 발생할 수 있습니다. 이 오류가 발생하면 com.ibm.wsspi.wssecurity.generator.useWSSObject 사용자 정의 특성을 false로 설정하십시오.
기본값은 true입니다.
com.ibm.wsspi.wssecurity.krbtoken.clientRealm
이 JAX-WS Kerberos 토큰 생성기 사용자 정의 특성은 클라이언트와 연관되는 Kerberos 범주의 이름을 지정하고, Kerberos 클라이언트 범주에서 Kerberos 로그인이 시작될 수 있도록 지정합니다.
이 특성은 단일 Kerberos 영역 환경에 대해 선택사항이며 특성은 기본 Kerberos 영역 이름을 기본값으로 사용합니다. 크로스 또는 신뢰 Kerberos 영역 환경에서 웹 서비스 보안을 구현하는 경우, 이 특성 값을 제공해야 합니다.
이 특성은 Kerberos 토큰 생성기의 콜백 핸들러에서 사용자 정의 특성으로 설정됩니다. 관리 콘솔에서 특성을 설정하려면 binding_name > WS-Security > 인증 및 보호 > kerberos_token_name > 콜백 핸들러를 클릭하십시오. WS-Security WSS API를 사용하는 애플리케이션의 경우, 이 특성은 토큰 생성기에 대한 Kerberos 콜백 핸들러에 설정할 수도 있습니다.
com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
Kerberos 로그인을 사용하려면 JAX-WS Kerberos 토큰 생성기 사용자 정의 특성을 true로 설정하십시오.
이 특성은 Kerberos 토큰 생성기의 콜백 핸들러에서 사용자 정의 특성으로 설정됩니다. 관리 콘솔에서 특성을 설정하려면 binding_name > WS-Security > 인증 및 보호 > kerberos_token_name > 콜백 핸들러를 클릭하십시오. WS-Security WSS API를 사용하는 애플리케이션의 경우, 이 특성은 토큰 생성기에 대한 Kerberos 콜백 핸들러에 설정할 수도 있습니다.
이 특성의 기본값은 false입니다.
com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes
com.ibm.wsspi.wssecurity.login.useSoap12FaultCodes 사용자 정의 특성은 SOAP 1.2 메시지에 대한 응답으로 리턴되는 경우 적합한 SOAP 1.2 결함 코드를 생성하기 위해 WS-Security 런타임이 업데이트되는지 여부를 지정합니다.
이 특성이 true로 설정되면 WS-Security 런타임이 SOAP 1.2 메시지에 대한 응답으로 SOAP 1.2 결함 코드를 리턴합니다.
이 특성이 false로 설정되면 WS-Security 런타임은 SOAP 1.2 메시지에 대한 응답으로 SOAP 1.1 결함 코드를 리턴합니다.
이 특성의 기본값은 true입니다.
이 특성은 특정 바인딩의 WS-Security 인바운드 또는 인바운드 및 아웃바운드 사용자 정의 특성으로 설정해야 합니다.
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv=" http://www.w3.org/2003/05/soap-envelope">
<soapenv:Body>
<soapenv:Fault>
<soapenv:Code>
<soapenv:Value>soapenv:Sender</soapenv:Value>
<soapenv:Subcode>
<soapenv:Value xmlns:axis2ns1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
axis2ns1:FailedAuthentication</soapenv:Value>
</soapenv:Subcode>
</soapenv:Code>
<soapenv:Reason>
<soapenv:Text>CWWSS6521E: The Login failed because
of an exception: javax.security.auth.login.LoginException:
CWWSS7062E: Failed to check username [user1] and password in
the UserRegsitry: WSSUserRegistryProcessor.checkRegistry()=false
</soapenv:Text>
</soapenv:Reason>
<soapenv:Detail></soapenv:Detail>
</soapenv:Fault> </soapenv:Body>
</soapenv:Envelope>
com.ibm.wsspi.wssecurity.nonce.includeEncodingType
EncodingType 속성이 Nonce 요소에 추가되도록 표시하기 위해 이 JAX-WS 사용자 정의 특성이 WebSphere WS-Security 런타임에 추가됩니다. 이 사용자 정의 특성을 true로 설정하면, EncodingType 속성이 SOAP Security 헤더에 있는 모든 Nonce 요소에 추가됩니다.
- 아웃바운드 사용자 정의 특성
- 인바운드 및 아웃바운드 사용자 정의 특성
com.ibm.wsspi.wssecurity.token.cert.useRequestorCert
이 JAX-WS 사용자 정의 특성이 true로 설정되면 SOAP 요청의 서명자 인증서가 SOAP 응답 암호화에 사용됩니다. 이 프로세스는 서명자 인증서 암호화라고 합니다.
이 특성은 암호화 토큰 생성기의 콜백 핸들러에서 사용자 정의 특성으로 설정됩니다. 관리 콘솔에서 특성을 설정하려면 binding_name > WS-Security > 인증 및 보호 > token_name > 콜백 핸들러를 클릭하십시오. WS-Security WSS API를 사용하는 애플리케이션의 경우, 이 특성은 토큰 생성기에 대한 콜백 핸들러에 설정할 수도 있습니다.
이 특성의 기본값은 false입니다.
com.ibm.wsspi.wssecurity.token.enableCaptureTokenContext
이 특성은 메시지 컨텍스트의 tokenHolder에서 해당 토큰을 얻기 위해 토큰 이용자 및/또는 토큰 생성기가 사용 가능한지 여부를 표시합니다.
이 특성은 JAX-WS 애플리케이션에만 유효합니다.
이 특성에 올바른 값은 true 및 false입니다. 기본값은 false입니다.
- 를 펼치십시오.
- 일반 제공자 정책 세트 바인딩 또는 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
- 바인딩 이름을 클릭하십시오.
- 정책 표제에서 를 클릭하십시오.
- 사용자 정의 특성 이름 및 값 필드에 이 특성 및 해당 값을 추가하십시오.
com.ibm.wsspi.wssecurity.token.enableCaptureTokenInboundMsg
이 특성은 해당 토큰을 얻기 위해 인바운드 메시지의 SecurityTokens 세트에서 토큰 이용자 및/또는 토큰 생성기를 사용할 수 있는지 여부를 나타냅니다. 토큰 생성기 값 유형과 일치하는 인바운드 메시지에 둘 이상의 토큰이 있는 경우 선택된 토큰을 판별할 수 없습니다.
이 특성은 JAX-WS 애플리케이션에만 유효합니다.
이 특성에 올바른 값은 true 및 false입니다. 기본값은 false입니다.
tokenHolder 목록에 대한 자세한 정보는 com.ibm.wsspi.wssecurity.core.config.IssuedTokenConfigConstants에서 passThroughToken을 참조하십시오.
- 를 펼치십시오.
- 일반 제공자 정책 세트 바인딩 또는 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
- 바인딩 이름을 클릭하십시오.
- 정책 표제에서 를 클릭하십시오.
- 사용자 정의 특성 이름 및 값 필드에 이 특성 및 해당 값을 추가하십시오.
com.ibm.wsspi.wssecurity.token.forwardable
JAX-WS 프로그래밍 모델에 대해 SecurityToken 이용자 바인딩을 구성할 때 이 특성을 사용하여 수신 토큰이 다른 서버로 전파되는지 여부를 지정합니다. 이 특성에 true 값을 지정하면 토큰이 다른 서버로 전파 가능합니다. 이 특성에 false 값을 지정하면 토큰이 다른 서버로 전파되지 않습니다. 기본값은 true이며 이 값은 대소문자가 구분되지 않습니다.
com.ibm.wsspi.wssecurity.token.IDAssertion.isUsed
이 특성은 ID 어설션 시나리오에서 사용할 수 있습니다. ID 토큰에 대한 콜백 핸들러 구성에서 이 특성을 true로 설정하십시오.
UsernameToken 생성기에서 이 특성을 true로 설정하면 생성기는 비밀번호 없이 UsernameToken을 생성할 수 있습니다. UsernameToken 생성기 또는 이용자에 이 특성을 사용하려는 경우 ID 어설션 구성의 나머지는 필요하지 않습니다.
정보 | 값 |
---|---|
데이터 유형 | String |
값 | true, false |
기본값 | false |
com.ibm.wsspi.wssecurity.token.IDAssertion.useRunAsIdentity
이 특성은 UsernameToken 생성자에 의해 사용됩니다. 이 특성이 UsernameToken 생성기에 대한 콜백 핸들러에서 true로 설정될 때, 현재 runAs 주제에서 프린시펄 이름이 UsernameToken에서 Username으로 사용됩니다. 이 특성을 true로 설정한 경우 널이 아닌 사용자 이름을 UsernameToken에 설정하려면 기본 보안이 사용 가능해야 하고 runAs 주제는 현재 실행 스레드에 설정해야 합니다.
IDAssertion.useRunAsIdentity=true의 경우 IDAssertion.isUsed=true도 설정해야 합니다.
정보 | 값 |
---|---|
데이터 유형 | String |
값 | true, false |
기본값 | false |
com.ibm.wsspi.wssecurity.token.username.addNonce 및 com.ibm.wsspi.wssecurity.token.username.addTimestamp
JAX-WS 프로그래밍 모델에 대해 사용자 이름 토큰을 구성할 때 반복 공격으로부터 보호하려면 토큰 생성을 위한 콜백 핸들러 구성에 사용자 정의 특성 com.ibm.wsspi.wssecurity.token.username.addNonce 및 com.ibm.wsspi.wssecurity.token.username.addTimestamp를 추가할 것을 적극 권장합니다. 이러한 사용자 정의 특성은 메시지 인증에 대한 난스(nonce) 및 시간소인을 사용 및 확인하십시오. 특성 값은 true로 설정해야 합니다.
com.ibm.wsspi.wssecurity.token.username.emitPasswordDigest
이 특성은 UNTGenerateLoginModule이 비밀번호를 요약하고 UsernameToken에 대해 #PasswordText가 아니라 #PasswordDigest의 PasswordType을 생성하도록 합니다.
- 를 클릭하십시오.
- 일반 제공자 정책 세트 바인딩 또는 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
- 바인딩 이름을 클릭하십시오.
- 정책 설정에서
- 이 특성 및 해당 값을 사용자 정의 특성 이름 및 값 필드에 추가하십시오.
정보 | 값 |
---|---|
값 | true, false |
기본값 | false |
com.ibm.wsspi.wssecurity.token.username.password.forwardable
JAX-WS 프로그래밍 모델에 대해 UsernameToken 이용자 바인딩을 구성할 때, 이 특성을 사용하여 UsernameToken이 다른 서버로 전파되는 동안 비밀번호가 UsernameToken과 함께 전파되는지 여부를 지정하십시오. 이 특성에 true 값을 지정하면 전파 중에 비밀번호가 유지됩니다. 이 특성에 false 값을 지정할 경우, UsernameToken 전파 전에 비밀번호를 제거해야 합니다. 기본값은 true이며 이 값은 대소문자가 구분되지 않습니다.
com.ibm.wsspi.wssecurity.token.username.verifyNonce 및 com.ibm.wsspi.wssecurity.token.username.verifyTimestamp
JAX-WS 프로그래밍 모델에 대해 사용자 이름 토큰을 구성할 때 반복 공격으로부터 보호하려면 토큰 이용자에 대한 콜백 핸들러 구성에 사용자 정의 특성 com.ibm.wsspi.wssecurity.token.username.verifyNonce 및 com.ibm.wsspi.wssecurity.token.username.verifyTimestamp를 추가할 것을 적극 권장합니다. 이러한 사용자 정의 특성은 메시지 인증에 대한 난스(nonce) 및 시간소인을 사용 및 확인하십시오. 특성 값은 true로 설정해야 합니다.
com.ibm.wsspi.wssecurity.token.UsernameToken.digestPasswordCallbackHandler
이 사용자 정의 특성은 #PasswordDigest의 PasswordType을 처리하는 UsernameToken 이용자에서 사용되는 사용자 정의 콜백 핸들러를 정의합니다. 애플리케이션에 콜백 핸들러를 사용할 수 있어야 하며 javax.security.auth.callback.CallbackHandler 인터페이스를 구현해야 합니다. UsernameToken 이용자의 Username 요소 값이 javax.security.auth.callback.NameCallback 오브젝트의 콜백 핸들러에 전달됩니다. 사용자 이름에 연관된 비밀번호는 javax.security.auth.callback.PasswordCallback 오브젝트에 리턴됩니다. 리턴되는 비밀번호가 요약되고 UsernameToken 이용자의 비밀번호 값에 비교됩니다.
이 특성은 UsernameToken 콜백 핸들러 사용자 정의 특성으로 구성됩니다. 자세한 정보는 PasswordDigest와 같이 UsernameToken 이용을 참조하십시오.
com.ibm.wsspi.wssecurity.token.UsernameToken.disableUserRegistryCheck
이 특성을 사용하면 JAX-WS의 ID 토큰에 대한 사용자 레지스트리 검사를 건너뛸 수 있습니다. 즉, ID 어설션 시나리오에서 ID 토큰에 연관된 사용자 이름이 레지스트리 오류를 생성하지 않고도 UNTConsumeLoginModule을 통해 전달 가능함을 나타냅니다. 일반적으로 ID 토큰은 비밀번호를 포함하면 안되고 신뢰 토큰은 있거나 없을 수도 있습니다. 예를 들어, 맹목적 신뢰가 있을 수 있습니다.
이 특성은 비밀번호를 포함하는 어떤 UsernameToken에도 영향을 주지 않습니다.
비밀번호를 포함하는 UsernameToken에 대한 레지스트리 검사를 생략해야 하는 경우, 누적 JAAS 로그인 모듈 주제를 사용하여 UsernameToken 이용자의 인증 메소드 대체를 참조하십시오. 호출자 구성이 UsernameToken에 필요한 경우, 레지스트리 상호작용이 없는 UsernameToken 호출자 구성 구성하기 주제를 참조하십시오.
특성이 true로 설정되면 UsernameToken이 비밀번호를 포함하지 않는 경우에만 UNTConsumeLoginModule이 인바운드 UsernameToken의 유효성을 검증하지 않습니다.
이 특성에 올바른 값은 true 및 false입니다. 기본값은 false입니다.
- 를 펼치십시오.
- 일반 제공자 정책 세트 바인딩 또는 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
- 바인딩 이름을 클릭하십시오.
- 정책 표제에서 를 클릭하십시오.
- 사용자 정의 특성 이름 및 값 필드에 이 특성 및 해당 값을 추가하십시오.
com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule.disableUserRegistryCheck
이 특성을 사용하면 JAX-RPC의 UsernameToken에 대한 사용자 레지스트리 검사를 건너뛸 수 있습니다. 이는 사용자 이름이 레지스트리 오류를 생성하지 않고 UsernameLoginModule을 통과할 수 있음을 의미합니다.
이 특성에 올바른 값은 true 및 false입니다. 기본값은 false입니다.
이 특성은 wssecurity.UsernameToken JAAS 구성에서 com.ibm.wsspi.wssecurity.auth.module.UsernameLoginModule 모듈의 사용자 정의 특성에 추가하거나 제공자 애플리케이션에 대한 UsernameToken 이용자의 JAAS 구성 사용자 정의 특성에 추가할 수 있습니다.
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7
웹 서비스 보안은 LTPA(버전 1) 및 LTPA 버전 2(LTPA2) 토큰을 모두 지원합니다. 버전 1보다 더 안전한 LTPA2 토큰은 JAX-WS 런타임에서만 지원됩니다. 토큰 생성기에서 토큰 버전 적용 상호 운용성 옵션을 설정하여 요청 메시지가 수신될 때 LTPA(버전 1) 또는 LTPA2 토큰을 검색할지 여부를 결정할 수 있습니다. 그러나 런타임이 LTPA(버전 1) 토큰만 사용하도록 하려는 경우에는 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 사용자 정의 특성을 true로 설정할 수 있습니다.
- 구성할 바인딩을 찾으십시오.
- 정책 테이블에서 WS-Security 정책을 클릭하십시오.
- 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
- 구성하려는 토큰 생성기를 클릭하십시오.
- 사용자 정의 특성 섹션에서 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7을 true로 지정하십시오.
com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 사용자 정의 특성 값 | 토큰 버전 적용 값 | 결과 |
---|---|---|
false | 사용 불가능 | 런타임에서 LTPA(버전 1) 및 LTPA2 토큰을 모두 사용할 수 있습니다. |
지정 안함(false 값을 의미) | 사용 불가능 | 런타임에서 LTPA(버전 1) 및 LTPA2 토큰을 모두 사용할 수 있습니다. |
true | 사용 불가능 | 런타임에서 LTPA(버전 1) 토큰만 사용할 수 있습니다. |
true | 사용 가능 | 런타임에서 LTPA(버전 1) 토큰만 사용할 수 있습니다. |
자세한 정보는 LTPA 토큰에 대한 단일 사인온 상호운영성 모드 사용 또는 사용 안함에 대한 문서를 참조하십시오.
com.ibm.wsspi.wssecurity.useMTOMWithCustomComponents
MTOM을 포함하는 메시지가 XML 문서에 base64Binary 데이터를 잘못 포함하는 경우, 이 JAX-WS 사용자 정의 특성을 true로 설정하십시오. 이 특성이 true로 설정되면 WS-Security 런타임이 확장되지 않고 문서 요소를 미리 마샬링하지 않습니다. 이 특성은 클라이언트 WS-Security 정책 세트 바인딩에서 아웃바운드, 또는 인바운드 및 아웃바운드 사용자 정의 특성으로 지정됩니다. 이 특성의 기본값은 false입니다.