SAML 발행자 구성 특성

새 자체 발행된 SAML 토큰을 작성할 때 토큰이 구성되는 방법을 제어하기 위해 구성 특성을 지정할 수 있습니다. 구성 특성은 발행자 위치, 키 저장소 및 신뢰 저장소 파일 경로와 같은 제공자 측 정보에 대해 설명하는 이름/값 쌍입니다.

SAML 발행자 구성 특성은 SAMLIssuerConfig.properties라고 하는 특성 파일에 저장될 수 있습니다. SAMLIssuerConfig.properties 파일 사용법은 WebSphere Application Server 버전 8에서 더 이상 사용되지 않습니다.

WebSphere Application Server 버전 8로 시작하면 WS-Security 정책 바인딩 또는 WSS(Web Services Security) API(Application Programming interface) WSSGenerationContext에서 이러한 특성을 지정할 수도 있습니다.

관리 콘솔에서 특성이 WS-Security 아웃바운드 사용자 정의 특성으로 설정됩니다. 예제 경로는 서비스 > 정책 세트 > 일반 클라이언트 정책 세트 바인딩 > Saml Bearer 클라이언트 샘플 > WS-Security > 사용자 정의 특성입니다. setSAMLIssuerConfigInBinding 관리 태스크를 사용하여 WS-Security 정책 바인딩에서 정책을 설정할 수도 있습니다. 자세한 정보는 wsadmin 명령을 사용하여 자체 발행 SAML 토큰 구성 관리를 참조하십시오.

WS-Security 바인딩에서 이러한 특성은 SAML 토큰 이용자 또는 SAML 토큰 이용자 콜백 핸들러에서 설정될 수도 있습니다. 높은 곳에서 낮은 곳으로의 우선순위는 콜백 핸들러, 토큰 이용자, 일반 사용자 정의 특성입니다.

SAML 토큰 생성기가 WS-Security 바인딩을 사용하여 SAML 토큰을 자체 발행하기 위해 사용되는 경우, 토큰을 생성하기 위해 사용될 수 있는 두 개의 경로가 있습니다.
  1. 스크래치에서 자체 발행된 토큰을 생성하십시오.
  2. runAs 주제에 존재하는 토큰을 기반으로 자체 발행된 토큰을 생성하십시오. 제목에 토큰이 존재하지 않으면 토큰이 스크래치에서 빌드됩니다.
문제점 방지 문제점 방지: 자체 발행된 토큰이 스크래치에서 생성된다는 것을 확인하려면 NameID 사용자 정의 특성은 SAML 토큰 생성기 콜백 핸들러에서 설정되어야 합니다. NameID 특성이 토큰 생성기 콜백 핸들러에서 설정되지 않고 runAs 제목에 SAML 토큰이 없다면 토큰에 있는 제목의 NameID가 UNAUTHENTICATED로 설정됩니다.gotcha

SAML 토큰 생성기가 WSSAPI를 사용하여 SAML 토큰을 자체 발행하기 위해 사용되는 경우, 사용자 정의 특성이 HashMap을 사용하여 직접적으로 com.ibm.websphere.wssecurity.wssapi.WSSGenerationContext에 추가됩니다. 자세한 정보는 com.ibm.websphere.wssecurity.wssapi.WSSGenerationContext에 대한 javadoc를 참조하십시오.

자체 발행된 SAML 토큰이 com.ibm.websphere.wssecurity.wssapi.token.SAMLTokenFactory WSSAPI를 사용하여 작성되면 SAMLTokenFactory.newDefaultProviderConfig() 메소드는 SAMLIssuerConfig.properties 파일에 지정되는 특성에 대한 오브젝트 값 세트가 있는 com.ibm.wsspi.wssecurity.saml.config.ProviderConfig 오브젝트를 리턴합니다. 권장되는 프로그래밍 스타일인 SAMLIssuerConfig.properties 파일이 지정되지 않으면, 비어 있는 컨텐츠를 가진 ProviderConfig 오브젝트가 리턴됩니다. ProviderConfig setter 메소드를 사용하여 해당 컨텐츠를 채우십시오. 자세한 정보는 com.ibm.websphere.wssecurity.wssapi.token.SAMLTokenFactory에 대한 javadoc를 참조하십시오.

SAMLIssuerConfig.properties 파일 위치

제공자 측 특성을 포함하는 단일 구성 파일(SAMLIssuerConfig.properties)이 각 서버에서 작성되고 저장됩니다. WebSphere® 서버에서 파일이 서버 레벨 저장소 또는 셀 레벨 저장소에 위치합니다. WebSphere를 기반으로 하지 않는 환경에서 파일 위치가 Java™ 시스템 특성에 의해 정의됩니다. 이 특성의 이름은 com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath입니다.

예를 들어, WebSphere 서버의 서버 레벨에서 파일의 위치는 app_server_root/profiles/$PROFILE/config/cells/$CELLNAME/nodes/$NODENAME/servers/$SERVERNAME/SAMLIssuerConfig.properties입니다.

WebSphere 서버의 셀 레벨에서 파일의 위치는 app_server_root/profiles/$PROFILE/config/cells/$CELLNAME/sts/SAMLIssuerConfig.properties입니다.

SAML 토큰 특성

다음 테이블은 제공자 구성 특성에 대해 설명합니다.
표 1. 새 SAML 토큰에 대한 제공자 정보를 구성하기 위한 특성. 이러한 특성을 사용하여 토큰이 작성되는 방법을 제어하십시오. 이 테이블은 SAMLIssuerConfig.properties 파일 및 WS-Security 정책 바인딩에 사용되는 특성을 표시합니다.
SAMLIssuerConfig.properties 특성 이름 정책 바인딩 특성 이름 샘플 특성 값 특성 설명
com.ibm.wsspi.wssecurity.dsig.oldEnvelopedSignature com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature true com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM 사용자 정의 특성을 true로 설정하는 경우에만 사용하십시오. 이 JVM 사용자 정의 특성을 사용하려고 할 때에 대한 설명은 JVM(Java Virtual Machine) 사용자 정의 특성 주제를 참조하십시오.
IssuerFormat com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName SAML 토큰에서 발행자 요소의 형식 속성에 대한 값.
참고: 형식 속성을 발생자 요소에 추가하려는 경우, 이 특성을 지정해야 합니다.
IssuerURI com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI http://www.websphere.ibm.com/SAML/SelfIssuer 발행자의 URI.
TimeToLiveMilliseconds com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 토큰의 만기 이전의 시간량. 이 특성은 토큰에서 NotOnOrAfter 속성을 설정하기 위해 사용됩니다. NotOnOrAfter가 (currentTime)+TimeToLive+(currentClockSkew)로 설정됩니다.
KeyStoreRef com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode 서명 키를 포함하는 security.xml의 관리 키 저장소에 대한 참조.
KeyStorePath com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath app_server_root/etc/ws-security/samples/dsig-receiver.ks 서명 키를 포함하는 키 저장소 파일의 위치.
참고: 시스템에 대한 경로 위치를 일치시키기 위해 기본값으로부터 이 값을 수정해야 합니다.
KeyStoreType com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType JKS 키 저장소 유형.
KeyStorePassword com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword 비밀번호 키 저장소 파일의 비밀번호(비밀번호는 XOR 인코딩되어야 함). 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오.
KeyAlias com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias soapprovider 키 저장소에서 정의되는 것처럼 서명 개인 키의 별명.
KeyName com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP 키 저장소 파일에 정의되는 것처럼 서명 개인 키의 이름. 이 이름은 참조를 위한 것이고 런타임에 의해 평가되지 않습니다.
KeyPassword com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword 비밀번호 키 저장소 파일에 정의된 것처럼 개인 키의 비밀번호(비밀번호는 XOR 인코딩되어야 함).
TrustStoreRef com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode 암호화 인증을 포함하는 security.xml의 관리 키 저장소에 대한 참조.
TrustStorePath com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath app_server_root/etc/ws-security/samples/dsig-receiver.ks 암호화 인증을 포함하는 저장소 파일의 위치.
참고: 시스템에 대한 경로 위치를 일치시키기 위해 기본값으로부터 이 값을 수정해야 합니다.
TrustStoreType com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType JKS 암호화 인증을 포함하는 저장소 파일의 저장 유형.
TrustStorePassword com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword 비밀번호 암호화 인증을 포함하는 저장소 파일의 비밀번호.
AttributeProvider com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider com.mycompany.SAML.AttributeProviderImpl 속성 제공자의 구현 클래스.
참고: 클래스는 javax.security.auth.callback.CallbackHandler를 구현해야 합니다. 클래스는 com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback 또는 com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback 콜백 오브젝트를 수신해야 하고, 그런 다음 해당 오브젝트에서 호출되는 getSAMLAttributes 메소드로부터 수신되는 SAMLAttribute 목록을 업데이트해야 합니다.

자세한 정보는 API를 사용하여 자체 발행된 SAML 토큰에 속성을 추가하는 것에 대해 참조하십시오.

EncryptingAlias com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias soaprecipient SAML 토큰을 암호화하기 위해 사용되는 공용 인증서를 포함하는 TrustStore 특성에 제공된 저장소 파일의 항목. API로 자체 발행된 토큰을 생성할 때, setKeyAliasForAppliesTo 메소드를 사용하여 RequesterConfig에서 설정되는 별명이 이 특성에 제공된 값보다 우선합니다.
EncryptSAML com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML true 암호화된 SAML 토큰을 생성하려는 경우 이 특성을 true로 설정하십시오. 이 특성의 기본값은 false입니다.

API로 자체 발행된 토큰을 생성할 때, RequesterConfig 오브젝트에서 setEncryptSAML(true) 메소드를 사용하여 SAML 토큰을 암호화하려고 한다는 것을 표시할 수도 있습니다. RequesterConfig 오브젝트에서 setEncryptSAML=true이거나 EncryptSAML 사용자 정의 특성이 true로 설정되면 SAML 토큰이 암호화됩니다.

NameIDProvider com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider com.mycompany.SAML.NameIDProviderImpl 이름 ID 제공자의 구현 클래스.
참고: 클래스는 javax.security.auth.callback.CallbackHandler를 구현해야 합니다. 클래스는 com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback 콜백 오브젝트를 수신한 다음 NameID를 업데이트할 해당 오브젝트에서 setSAMLNameID 메소드를 호출해야 합니다.

자세한 정보는 API를 사용하여 자체 발행된 SAML 토큰에 대한 NameID 사용자 정의를 참조하십시오.

UseSha2ForSignature com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature true SAML 토큰을 서명할 때 SHA-2 서명 알고리즘(http://www.w3.org/2001/04/xmldsig-more#rsa-sha256)을 사용하려면 이 특성을 true로 설정하십시오.

예제

SAML 토큰 구성 특성 파일의 다음 예제를 참조하십시오.
IssuerURI=http://www.websphere.ibm.com/SAML/SelfIssuer
TimeToLiveMilliseconds=3600000
KeyStorePath=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
KeyStoreType=JKS
KeyStorePassword={xor}LDotKTot
KeyAlias=soapprovider
KeyName=CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP
KeyPassword={xor}LDotKTot
TrustStorePath=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
TrustStoreType=JKS
TrustStorePassword={xor}LDotKTot 

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_samltokenproperties
파일 이름:rwbs_samltokenproperties.html