신뢰 연관
신뢰 연관을 사용하면 IBM® WebSphere® Application Server 보안과 써드파티 보안 서버 사이의 통합이 가능합니다. 더 자세하게 설명하면 리버스 프록시 서버는 프론트 엔드 인증 서버로 사용되고 제품은 해당 자체 권한 부여 정책을 프록시 서버로 전달되는 결과 신임 정보에 적용합니다.
이런 통합 구성에 대한 요청이 부각되고 있으며 특히 단일 제품이 모든 고객의 요구사항을 반영할 수 없거나 마이그레이션이 가시적인 솔루션이 아닌 경우는 더더욱 그렇습니다.
이 설정에서 WebSphere Application Server는 자세한 액세스 제어를 사용하는 백엔드 서버로 사용됩니다. 리버스 프록시 서버는 HTTP 요청을 인증된 사용자의 신임 정보를 포함하는 WebSphere Application Server에 전달합니다. WebSphere Application Server는 이 신임 정보를 사용하여 요청을 권한 부여합니다.
신뢰 연관 모델
WebSphere Application Server가 신뢰 연관을 지원하는 아이디어는 제품 애플리케이션 보안이 리버스 프록시 서버에서 수신한 HTTP 요청을 인식하고 처리하는 것을 내포합니다. WebSphere Application Server 및 프록시 서버는 이 제품이 프록시 서버에게 완전한 신뢰를 제공하고 프록시 서버가 WebSphere Application Server로 디스패치된 모든 웹 요청의 인증 정책을 적용하도록 해야 합니다. 이 신뢰는 수신된 모든 요청에 대해 제품 환경에 있는 인터셉터로 유효성 검증됩니다. 유효성 검증 방법은 프록시 서버와 인터셉터에서 동의됩니다.
신뢰 연관 모드에서의 실행은 WebSphere Application Server가 프록시 서버를 통하지 않은 요청을 승인하는 것을 금지하지 않습니다. 이런 경우, 신뢰 유효성 검증에 인터셉터가 필요하지 않습니다.
- com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus
- 새 WebSphere Application Server 인터페이스를 구현하는 이 TAI 인터셉터 구현은
WebSphere Application Server 버전 5.1.1 이상을 지원합니다. 인터페이스는 WebSEAL 버전 5.1을 지원하지만
WebSEAL 버전 4.1은 지원하지 않습니다. 보안 속성 전파에 대한
설명은 보안 속성 전파의 내용을 참조하십시오.
참고: TAI 인터셉터 구현은 z/OS®용 WebSphere Application Server 버전 5.1.0.2도 지원합니다.
- com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl
- 이 인터셉터는 이 릴리스에서 처음 소개됩니다. SPNEGO가 WebSphere Application Server에 대한 웹 인증 프로그램으로 SPNEGO TAI를 대체합니다.

IBM WebSphere Application Server: WebSEAL 통합
WebSEAL 및 WebSphere Application Server 보안 통합은 WebSEAL 서버를 프론트 엔드에 리버스 프록시 서버로 배치하여 수행합니다. WebSEAL 관리 관점에서 접합은 한쪽 끝에서 WebSEAL로 작성되고 제품 웹 서버는 다른 끝에서 작성됩니다. 접합은 WebSEAL 서버에서 다른 서버로 경로를 설정하기 위해 작성되는 논리 연결입니다.
이 설정에서 제품의 보호 도메인에 저장된 웹 자원 요청은 WebSEAL 보안 영역에 대해 인증되는 WebSEAL 서버에 제출됩니다. 요청 사용자가 접합에 액세스하는 경우, 요청은 접합을 통해 WebSphere Application Server HTTP 서버로 전송된 후 애플리케이션 서버로 전송됩니다.
반면에 WebSphere Application Server는 소스가 신뢰 파티이도록 접합을 통해 이동하는 모든 요청을 유효성 검증합니다. 이 프로세스는 신뢰 유효성 검증이라고 하며 WebSEAL 제품 지정 인터셉터로 수행됩니다. 유효성 검증이 성공하면 WebSphere Application Server는 클라이언트 사용자가 웹 자원 액세스에 필요한 권한을 가지고 있는지 확인하여 요청에 권한을 부여합니다. 그러면 웹 자원이 웹 서버를 통해 WebSEAL 서버로 전달되고 자원이 클라이언트 사용자에게 제공됩니다.
WebSEAL 서버
정책 지시자는 모든 웹 요청을 해당 웹 컴포넌트인 WebSEAL 서버에 위임합니다. 서버의 주요 기능 하나는 요청 사용자에 대한 인증 수행입니다. WebSEAL 서버는 LDAP(Lightweight Directory Access Protocol) 디렉토리를 사용합니다. 이는 원래 사용자 ID를 다른 사용자 ID로 맵핑하며 예를 들어 글로벌 싱글 사인온(GSO)이 사용되는 경우입니다.

인증이 성공하려면 요청 요구 시에 서버가 WebSphere Application Server 클라이언트의 역할을 수행해야 합니다. 서버는 자체를 WebSphere Application Server에 식별하기 위해 자체 사용자 ID와 비밀번호가 필요합니다. 이 ID는 WebSphere Application Server의 보안 영역에서 유효해야 합니다. WebSEAL 서버는 HTTP 요청에서 기본 인증 정보를 자체 사용자 ID와 비밀번호로 대체합니다. 또한, WebSphere Application Server는 적합한 서버가 해당 권한 부여 의사결정에 대한 기본으로 사용할 ID를 포함하도록 요청 클라이언트의 신임 정보를 판별해야 합니다. 이 정보는 Tivoli® Access Manager 사용자 신임 정보를 해당 값으로 사용해서 iv-creds 헤더를 작성하여 HTTP 요청을 통해 전송됩니다.
HTTP 서버
WebSEAL 서버에서 작성되는 접합은 제품 프론트 엔드로 사용되는 HTTP 서버에 가져와야 합니다. 그렇지만 HTTP 서버는 신뢰 연관이 사용되는 것을 알지 못합니다. 이에 대해서 WebSEAL 제품은 정상 루틴의 일부인 다른 HTTP 클라이언트일 뿐이고 HTTP 요청을 제품으로 전송합니다. HTTP 서버의 유일한 요구사항은 서버 인증만 사용하는 SSL(Secure Sockets Layer) 구성입니다. 이 요구사항은 접합 내에서 플로우하는 요청을 보호합니다.
웹 협력자
- 요청은 인증되어야 합니다.
- 요청은 권한 부여되어야 합니다.
웹 인증자
웹 협력자는 웹 인증자에게 제공된 HTTP 요청 인증을 요구합니다. 신뢰 연관이 사용되고 웹 인증자의 태스크가 적절한 신뢰 연관 인터셉터를 찾아서 요청 처리를 지시합니다. 웹 인증자는 모든 사용 가능한 인터셉터를 조회합니다. 대상 인터셉터를 찾을 수 없는 경우, 웹 인증자가 신뢰 연관을 사용할 수 없더라도 요청을 처리합니다.
WebSphere Application Server 버전 4 - WebSphere Application Server 버전 6.x는 com.ibm.websphere.security.TrustAssociationInterceptor.java 인터페이스를 지원합니다. WebSphere Application Server 버전 7.0.x 이상은 com.ibm.ws.security.spnego.TrustAssociationInterceptorImpl 인터페이스를 지원합니다.
신뢰 연관 인터셉터 인터페이스
신뢰 연관 인터셉터 인터페이스는 리버스 프록시 보안 서버(RPSS)가 인증 및 큰 단위의 권한 부여를 수행하는 입력 위치로 노출되도록 하고 WebSphere Application Server는 세분화된 액세스 제어를 적용하도록 하기 위해 사용됩니다. 신뢰 연관은 범위 및 위험 노출을 줄여서 보안을 향상시킵니다.
일반적인 e-business 인프라에서 회사의 분산 환경은 웹 애플리케이션 서버, 웹 서버, 기존 시스템, 하나 이상의 RPSS(예: Tivoli WebSEAL 제품)로 구성됩니다. 이런 리버스 프록시 서버, 프론트 엔드 보안 서버 또는 웹 서버에 등록된 보안 플러그인은 HTTP 액세스 요청을 웹 서버 및 웹 애플리케이션 서버에 대해 보호합니다. URI(Uniform Resource Identifier)에 대한 액세스가 보호되는 동안 이 RPSS는 인증, 큰 단위의 권한 부여, 대상 애플리케이션 서버로의 요청 라우팅을 수행합니다.
- com.ibm.websphere.ssl.direct_connection_peer_certificates 속성에는 직접 피어를 위한 인증의 X509Certificate[] 오브젝트가 포함됩니다.
- com.ibm.websphere.ssl.direct_connection_cipher_suite 속성에는 직접 암호 스위트의 문자열 오브젝트가 포함됩니다.
- com.ibm.websphere.webcontainer.is_direct_connection 속성에는 연결이 웹 서버를 통하는지 WebSphere Application Server에 직접 연결되는지를 표시하는 부울 오브젝트가 포함됩니다.
이 속성에 대한 자세한 정보는 웹 컨테이너 요청 속성 주제를 참조하십시오.