웹 서비스 보안 SAML 토큰 사용자 정의 특성

웹 서비스 보안 SAML 토큰을 구성할 때, 데이터의 이름 값 쌍을 구성할 수 있습니다. 여기서 이름은 특성 키이고 값은 내부 시스템 구성 특성을 설정하기 위해 사용할 수 있는 문자열 값입니다. 관리 콘솔에 제공되는 옵션과 함께 이러한 구성 특성을 사용하여 SAML 토큰이 생성되거나 이용되는 방법을 제어할 수 있습니다.

이러한 SAML 사용자 정의 특성을 구성하려면 관리 콘솔에서 다음 중 하나를 수행하십시오.

  1. 서비스를 확장하십시오.
  2. 서비스 제공자 또는 서비스 클라이언트를 선택하십시오.
  3. 이름 열에서 적절한 애플리케이션을 클릭하십시오.
  4. 바인딩 열에서 적절한 바인딩을 클릭하십시오.

    이전에 정책 설정을 첨부하고 바인딩을 지정해야 합니다.

or

  1. 애플리케이션 > 애플리케이션 유형을 펼치고 WebSphere 엔터프라이즈 애플리케이션을 클릭하십시오.
  2. 웹 서비스를 포함하는 애플리케이션을 선택하십시오. 애플리케이션은 서비스 공급자 또는 서비스 클라이언트를 포함해야 합니다.
  3. 웹 서비스 특성 표제에서 서비스 제공자 정책 설정 및 바인딩 또는 서비스 클라이언트 정책 설정 및 바인딩을 클릭하십시오.
  4. 바인딩을 선택하십시오. 이전에 정책 설정을 첨부하고 애플리케이션 특정 바인딩을 지정해야 합니다.

그런 다음, 다음 단계를 완료하십시오.

  1. 정책 테이블에서 WS-Security를 클릭하십시오.
  2. 기본 메시지 보안 정책 바인딩 표제에서 인증 및 보호를 클릭하십시오.
  3. 인증 토큰 표제에서 인증 토큰의 이름을 클릭하십시오.
    지원된 구성 지원된 구성: 토큰을 사용할 수 있고, 이는 인증의 경우에만 일반 보안 토큰 로그인 모듈에 의해 처리됩니다. 토큰을 보호 토큰으로 사용할 수 없습니다.sptcfg
  4. 추가 바인딩 표제에서 콜백 핸들러를 클릭하십시오.
  5. 사용자 정의 특성 표제에서 이름 및 값 쌍을 입력하십시오.

다음 섹션은 사용자 정의 특성을 나열하고 각 사용자 정의 특성이 사용되는 방법을 표시합니다.

SAML 토큰 생성기 사용자 정의 특성

다음 테이블에는 SAML 토큰 생성기 바인딩을 구성하기 위해서만 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열됩니다.

표 1. 토큰 생성기 바인딩 전용의 SAML 토큰 콜백 핸들러 사용자 정의 특성.. 이 테이블에는 사용자 정의 특성 이름, 해당 값 및 간략한 설명이 포함됩니다.
Name 설명
appliesTo 이 사용자 정의 특성에는 기본값이 없습니다. WSS API가 사용될 때 요청된 SAML 토큰에 대해 사용할 AppliesTo를 지정합니다.
audienceRestriction 올바른 값은 truefalse입니다. 기본 동작은 true이고, SAML 토큰에 AudienceRestrictionCondition을 포함합니다. 이 특성은 자체 실행되는 SAML 토큰에만 적용됩니다. 이 사용자 정의 특성을 사용하여 AudienceRestrictionCondition 요소가 SAML 토큰에 포함되는지 여부를 지정하십시오.
authenticationMethod 이 사용자 정의 특성에는 기본값이 없습니다. 이 특성은 자체 실행되는 SAML 토큰에만 적용됩니다. 이 사용자 정의 특성을 사용하여 SAML 토큰의 AuthenticationStatement 요소에서 AuthenticationMethod 속성에 대한 값을 지정하십시오. 이 사용자 정의 특성이 지정될 때, 주제가 AttributeStatement 대신 AuthenticationStatement에 포함됩니다.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 자체 실행된 SAML 토큰을 생성할 때 필수 구성 데이터를 지정하십시오.
cacheCushion 기본값은 5분입니다. SAML 토큰의 만기 시간이 만료되고 새 토큰의 발행이 필요한 시점 이전의 기간(분)입니다. 예를 들어, cacheCushion5분으로 설정되고 SAML 토큰이 2분으로 만료되면 이는 재사용되지 않습니다. 새 SAML 토큰이 실행됩니다. 런타임이 SAML 토큰을 캐싱하는 중일 때, 캐시 쿠션을 넘어서는 토큰이 캐시되지 않습니다.
cacheToken 올바른 값은 truefalse입니다. 기본 동작은 true이고, 이는 재사용을 위해 SAML 토큰 캐싱을 허용합니다. 이 사용자 정의 특성을 사용하여 SAML 토큰이 재사용을 위해 캐시될 수 있는지 여부를 지정하십시오.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath 기본값은 ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties입니다. 자체 발행된 SAML 토큰을 생성할 때 사용할 구성 데이터의 파일 경로입니다.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries 기본값은 250입니다. 이 JVM 사용자 정의 특성을 사용하여 유지보수될 수 있는 캐시 항목의 최대 수를 지정하십시오.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout 기본값은 60분입니다. 이 특성은 만기 시간이 알려지지 않은 SAML 토큰에만 사용됩니다(암호화된 토큰 또는 만기가 STS로부터의 응답에 토큰과 함께 포함되지 않음). 만기 시간이 알려지지 않은 SAML 토큰의 경우, SamlTokenCacheTimeout은 만기 시간을 대신하기 위해 사용됩니다. 이 기준에서 캐시를 입력하는 새 SAML 토큰의 경우, 해당 만기 시간은 (current_time)+SamlTokenCacheTimeout입니다. cacheCushion 특성에 대해 설명되는 조건이 여전히 적용됩니다. 따라서, SamlTokenCacheTimeout에 대한 값을 변경할 때 cacheCushion 값을 염두에 두어야 합니다.
com.ibm.wsspi.wssecurity.saml.get.SamlTokencom.ibm.wsspi.wssecurity.saml.put.SamlToken 올바른 값은 true 또는 false입니다. 기본값은 false입니다.  
confirmationMethod 울바른 값은 bearer, holder-of-keysender-vouches를 포함합니다. 기본값은 bearer입니다. SAML 토큰 주제 ConfirmationMethod입니다.
com.ibm.wsspi.wssecurity.saml.get.SamlToken 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 RequestContext에 대한 SAML 토큰을 가져오십시오.
com.ibm.wsspi.wssecurity.saml.put.SamlToken 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 RequestContext에 대한 SAML 토큰을 설정하십시오.
failOverToTokenRequest 올바른 값은 true 또는 false입니다. 기본값은 true이고, 이는 입력 토큰이 올바르지 않으면 웹 서비스 보안 런타임이 항상 새 SAML 토큰을 실행한다는 것을 의미합니다. 이 사용자 정의 특성을 사용하여 RequestContext의 입력 SAML 토큰이 올바르지 않으면 웹 서비스 보안 런타임이 첨부된 정책 설정을 사용하여 새 SAML 토큰을 실행해야 할지 여부를 지정하십시오.
recipientAlias 이 사용자 정의 특성에는 기본값이 없습니다. 인증서의 대상 서비스 별명입니다.
signToken 올바른 값은 truefalse입니다. 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 SAML 토큰이 Application Server로 서명되어야 하는지 여부를 지정하십시오.
sslConfigAlias 값이 이 특성에 대해 지정되지 않으면 시스템의 SSL 구성에 정의되는 기본 SSL 별명이 사용됩니다.

이 특성은 선택적입니다.

WS-Trust 클라이언트가 SAML 토큰을 요청하기 위해 사용하는 SSL 구성에 대한 별명입니다.
stsURI 이 사용자 정의 특성에는 기본값이 없습니다. SecurityTokenService(STS) 주소입니다.
keySize 이 사용자 정의 특성에는 기본값이 없습니다. STS에서 SecretKey를 요청할 때의 KeySize입니다.
tokenRequest 올바른 값은 issue, propagation, issueByWSCredentialissueByWSPrincipal을 포함합니다. 기본값은 issue입니다. SAMLToken 요청 메소드입니다. 이 특성에 지정될 수 있는 값에 대한 자세한 정보는 SAML 토큰 전파 주제를 참조하십시오.
tokenType 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 필수 토큰 유형을 SAMLGenerateCallback으로 설정하십시오.
usekeyType 이 사용자 정의 특성은 선택사항입니다. 올바른 값은 KeyValue, X509CertificateX509IssuerSerial입니다. 이 사용자 정의 특성을 사용하여 Usekey 유형을 지정하십시오. 이는 클라이언트가 키 정보의 특정 유형을 생성하도록 합니다.
WSSConsumingContext 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 WS-Trust 클라이언트가 SAML 토큰을 요청하기 위해 사용하는 WSSConsumingContext 오브젝트를 지정하십시오.
WSSGenerationContext 이 사용자 정의 특성에는 기본값이 없습니다. 이 사용자 정의 특성을 사용하여 WS-Trust 클라이언트가 SAML 토큰을 요청하기 위해 사용하는 WSSGenerationContext 오브젝트를 지정하십시오.
NameID 이 사용자 정의 특성에는 기본값이 없습니다. 이 특성은 자체 발행된 SAML 토큰의 주제에서 NameID를 설정합니다. 생성기가 토큰을 자체 발행하도록 구성될 때 NameID 특성이 지정되지 않으면, runAs 주제에서 SAML 토큰으로부터 토큰을 작성하려는 시도가 이루어집니다. runAs 주제에 SAML 토큰이 없는 경우에는 토큰이 처음부터 빌드되며 주제의 NameID가 UNAUTHENTICATED로 설정됩니다. WS-Security 바인딩의 설정을 사용한 자체 발행 SAML 토큰의 생성에 대한 자세한 정보는 SAML 발행자 구성 특성을 참조하십시오.
   

SAML 토큰 이용자 사용자 정의 특성

다음 테이블에는 SAML 토큰 이용자 바인딩을 구성하기 위해서만 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열됩니다.

표 2. 토큰 이용자 바인딩 전용의 SAML 토큰 콜백 핸들러 사용자 정의 특성.. 이 테이블에는 사용자 정의 특성 이름, 해당 값 및 간략한 설명이 포함됩니다.
Name 설명
allowUnencKeyInHok 올바른 값은 true 또는 false입니다. 기본값은 true이고, 이는 복호화된 키가 허용된다는 의미입니다. 이 특성을 사용하여 SAML holder-of-key 토큰에서 복호화된 키를 승인하도록 SAML 토큰 이용자를 지시하십시오.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries 정수. 기본값은 1000입니다. 유지보수가 가능한 서명 캐시 항목의 수입니다. SAML 이용자 토큰의 경우.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout 정수. 기본값은 60분입니다. SAML 토큰이 캐시될 수 있는 시간(분)입니다. 서명 유효성 검증은 SAML 토큰이 캐시되는 동안 반복될 필요가 없습니다.
keyAlias 이 사용자 정의 특성에는 기본값이 없습니다. 키 저장소에서 정의된 복호화 개인 키의 별명입니다.
keyName 이 사용자 정의 특성에는 기본값이 없습니다. 키 저장소 파일에 정의된 복호화 개인 키의 이름입니다. 이 이름은 참조를 위한 것이고 런타임에 의해 평가되지 않습니다.
keyPassword 이 사용자 정의 특성에는 기본값이 없습니다. 키 저장소 파일에 정의된 복호화 개인 키의 비밀번호입니다(비밀번호는 XOR 인코딩되어야 함). 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오.
keyStorePassword 이 사용자 정의 특성에는 기본값이 없습니다. 키 저장소 파일의 비밀번호입니다. 비밀번호는 XOR 인코딩될 수 있습니다. 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오.
keyStorePath 이 사용자 정의 특성에는 기본값이 없습니다. 복호화 키가 포함된 키 저장소 파일의 파일 경로입니다.
keyStoreRef 이 사용자 정의 특성에는 기본값이 없습니다. 복호화 키가 포함된 security.xml의 관리 키 저장소에 대한 참조입니다.

샘플:

name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode
keyStoreType 이 사용자 정의 특성에는 기본값이 없습니다. 키 저장소 파일의 키 저장소 유형입니다.
signatureRequired 기본값은 true입니다. 이 사용자 정의 특성을 사용하여 서명이 SAML 어설션에서 요청되는지 여부를 지정하십시오.
trustAnySigner 기본값은 false입니다. 이 사용자 정의 특성을 사용하여 수신인이 SAML 어설션에 서명하는 인증서를 신뢰할 수 있을지 여부를 지정하십시오.
trustedAlias 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 신뢰 STS 인증서의 별명입니다.
trustedIssuer_ 이름이 trustedIssuer_n으로서 지정되고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. 신뢰 발행자의 이름입니다.
trustedSubjectDN_ 지정된 값이 trustedSubjectDN_n 형식이어야 하고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. 신뢰 발행자에 대한 X509Certificate의 SubjectDN 이름입니다.
trustStorePassword 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 신뢰 저장소 비밀번호입니다.
trustStorePath 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 신뢰 저장소 경로입니다.
trustStoreRef 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 신뢰 저장소 참조입니다.

샘플:

name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode
trustStoreType 이 사용자 정의 특성에는 기본값이 없습니다. 신뢰 저장소의 키 저장소 유형입니다.
validateAudienceRestriction 올바른 값은 true 또는 false입니다. 기본값은 false이고, AudienceRestriction 어설션 유효성 검증이 필요하지 않다는 것을 의미합니다. 이 사용자 정의 특성을 사용하여 AudienceRestriction 어설션이 유효성 검증되어야 하는지 여부를 지정하십시오.
validateOneTimeUse 올바른 값은 true 또는 false입니다. 기본값은 true이고, OneTimeUse 어설션 유효성 검증이 필요하다는 것을 의미합니다. 이 사용자 정의 특성을 사용하여 SAML 2.0의 OneTimeUse 어설션 또는 SAML 1.1의 DoNotCacheCondition이 유효성 검증되어야 하는지 여부를 지정하십시오.
CRLPATH 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 폐기된 인증서의 목록에 대한 파일 경로입니다.
X509PATH 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 중간 X509 인증서 파일 경로입니다.
CRLPATH_ 지정된 값이 trustedSubjectDN_n 형식이어야 하고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 폐기된 X509 인증서의 목록에 대한 파일 경로입니다.
X509PATH_ 지정된 값이 X509_path_n 형식이어야 하고, 여기서 n은 정수입니다. 이 사용자 정의 특성에는 기본값이 없습니다. SAML 이용자 토큰에 대한 중간 X509 인증서의 파일 경로입니다.

토큰 생성기 및 토큰 이용자 모두에 대한 SAML 토큰 이용자 특성

다음 테이블에는 SAML 토큰 생성기 및 SAML 토큰 이용자 바인딩 모두를 구성하기 위해 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열됩니다.

표 3. 토큰 생성기 및 토큰 이용자 바인딩에 대한 SAML 토큰 콜백 핸들러 사용자 정의 특성. 이 테이블에는 사용자 정의 특성 이름, 해당 값 및 간략한 설명이 포함됩니다.
Name 설명
clockSkew 기본값은 3분입니다. SAMLGenerateLoginModule이 작성하는 자체 발행된 SAML 토큰의 시간에 대한 조정 시간(분)입니다.

clockSkew 사용자 정의 특성은 SAMLGenerateLoginModule 클래스를 사용하는 SAML 토큰 생성기의 콜백 핸들러에 설정됩니다. 이 사용자 정의 특성에 지정되는 값은 숫자여야 하고 분으로 지정됩니다.

값이 이 사용자 정의 특성에 지정될 때, 다음 시간 조정이 SAMLGenerateLoginModule이 작성하는 자체 실행된 SAML 토큰에 작성됩니다.
  • 새 NotBefore 시간 설정은 clockSkew 사용자 정의 특성에 지정되는 시간의 양을 제외하고 초기 NotBefore 시간 설정과 동일합니다.
  • 새 NotAfter 시간 설정은 clockSkew 사용자 정의 특성에 지정되는 시간의 양 뿐만 아니라 초기 NotAfter 시간 설정과 동일합니다.
clientLabel 이 사용자 정의 특성에는 기본값이 없습니다. WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 클라이언트 레이블(바이트)입니다.
serviceLabel 이 사용자 정의 특성에는 기본값이 없습니다. WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 서비스 레이블(바이트)입니다.
keylength 이 사용자 정의 특성에는 기본값이 없습니다. WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 파생된 키 길이(바이트)입니다.
nonceLength 기본값은 128입니다. WSS API가 요청된 SAML 토큰과 함께 사용될 때마다 파생된 키에 사용할 파생된 난스(nonce) 길이(바이트)입니다.
requireDKT 기본값은 false입니다. 이 사용자 정의 특성을 사용하여 WSS API가 요청된 SAML 토큰으로 사용될 때마다 파생 키에 대한 옵션을 지정하십시오.
useImpliedDKT 기본값은 false입니다. 이 사용자 정의 특성을 사용하여 WSS API가 요청된 SAML 토큰으로 사용될 때마다 Implied 파생 키와 함께 사용되는 옵션을 지정하십시오.

자체 발행된 토큰에 대한 SAML 토큰 생성기 특성

다음 표에는 자체 발행된 SAML 토큰에 대한 SAML 토큰 생성기 바인딩의 구성에만 사용될 수 있는 콜백 핸들러 사용자 정의 특성이 나열되어 있습니다.

표 4. 자체 발행된 SAML 토큰 생성을 위한 SAML 토큰 콜백 핸들러 사용자 정의 특성. . 이 테이블에는 사용자 정의 특성 이름, 해당 값 및 간략한 설명이 포함됩니다.
정책 바인딩 특성 이름 샘플 특성 값 특성 설명
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature true com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty JVM 사용자 정의 특성을 true로 설정하는 경우에만 사용하십시오. 이 JVM 사용자 정의 특성을 사용하려고 할 때에 대한 설명은 JVM(Java Virtual Machine) 사용자 정의 특성 주제를 참조하십시오.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName SAML 토큰에서 발행자 요소의 형식 속성에 대한 값.
참고: 형식 속성을 발생자 요소에 추가하려는 경우, 이 특성을 지정해야 합니다.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI http://www.websphere.ibm.com/SAML/SelfIssuer 발행자의 URI.
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 토큰의 만기 이전의 시간량. 이 특성은 토큰에서 NotOnOrAfter 속성을 설정하기 위해 사용됩니다. NotOnOrAfter가 (currentTime)+TimeToLive+(currentClockSkew)로 설정됩니다.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode 서명 키를 포함하는 security.xml의 관리 키 저장소에 대한 참조.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath app_server_root/etc/ws-security/samples/dsig-receiver.ks 서명 키를 포함하는 키 저장소 파일의 위치.
참고: 시스템에 대한 경로 위치를 일치시키기 위해 기본값으로부터 이 값을 수정해야 합니다.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType JKS 키 저장소 유형.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword 비밀번호 키 저장소 파일의 비밀번호(비밀번호는 XOR 인코딩되어야 함). 자세한 정보는 파일에서 인코딩 비밀번호에 대해 읽으십시오.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias soapprovider 키 저장소에서 정의되는 것처럼 서명 개인 키의 별명.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP 키 저장소 파일에 정의되는 것처럼 서명 개인 키의 이름. 이 이름은 참조를 위한 것이고 런타임에 의해 평가되지 않습니다.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword 비밀번호 키 저장소 파일에 정의된 것처럼 개인 키의 비밀번호(비밀번호는 XOR 인코딩되어야 함).
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode 암호화 인증을 포함하는 security.xml의 관리 키 저장소에 대한 참조.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath app_server_root/etc/ws-security/samples/dsig-receiver.ks 암호화 인증을 포함하는 저장소 파일의 위치.
참고: 시스템에 대한 경로 위치를 일치시키기 위해 기본값으로부터 이 값을 수정해야 합니다.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType JKS 암호화 인증을 포함하는 저장소 파일의 저장 유형.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword 비밀번호 암호화 인증을 포함하는 저장소 파일의 비밀번호.
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider com.mycompany.SAML.AttributeProviderImpl 속성 제공자의 구현 클래스.
참고: 클래스는 javax.security.auth.callback.CallbackHandler를 구현해야 합니다. 클래스는 com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback 또는 com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback 콜백 오브젝트를 수신해야 하고, 그런 다음 해당 오브젝트에서 호출되는 getSAMLAttributes 메소드로부터 수신되는 SAMLAttribute 목록을 업데이트해야 합니다.

자세한 정보는 API를 사용하여 자체 발행된 SAML 토큰에 속성을 추가하는 것에 대해 참조하십시오.

com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias soaprecipient SAML 토큰을 암호화하기 위해 사용되는 공용 인증서를 포함하는 TrustStore 특성에 제공된 저장소 파일의 항목. API로 자체 발행된 토큰을 생성할 때, setKeyAliasForAppliesTo 메소드를 사용하여 RequesterConfig에서 설정되는 별명이 이 특성에 제공된 값보다 우선합니다.
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML true

암호화된 SAML 토큰을 생성하려는 경우 이 특성을 true로 설정하십시오. 이 특성의 기본값은 false입니다.

API로 자체 발행된 토큰을 생성할 때, RequesterConfig 오브젝트에서 setEncryptSAML(true) 메소드를 사용하여 SAML 토큰을 암호화하려고 한다는 것을 표시할 수도 있습니다. RequesterConfig 오브젝트에서 setEncryptSAML=true이거나 EncryptSAML 사용자 정의 특성이 true로 설정되면 SAML 토큰이 암호화됩니다.

com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider com.mycompany.SAML.NameIDProviderImpl 이름 ID 제공자의 구현 클래스.
참고: 클래스는 javax.security.auth.callback.CallbackHandler를 구현해야 합니다. 클래스는 com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback 콜백 오브젝트를 수신한 다음 NameID를 업데이트할 해당 오브젝트에서 setSAMLNameID 메소드를 호출해야 합니다.

자세한 정보는 API를 사용하여 자체 발행된 SAML 토큰에 대한 NameID 사용자 정의를 참조하십시오.

com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature true SAML 토큰을 서명할 때 SHA-2 서명 알고리즘, http://www.w3.org/2001/04/xmldsig-more#rsa-sha256을 사용하려면 이 특성을 true로 설정하십시오.

신뢰 클라이언트 사용자 정의 특성

다음 테이블에는 신뢰 클라이언트를 구성하기 위해 사용될 수 있는 사용자 정의 특성이 나열됩니다. SAML 토큰 생성기와 함께 사용될 때, 이러한 사용자 정의 특성이 SAML 토큰 생성기 콜백 핸들러에 추가됩니다.

표 5. 신뢰 클라이언트에 대한 사용자 정의 특성.. 이 테이블에는 사용자 정의 특성 이름, 해당 값 및 간략한 설명이 포함됩니다.
Name 설명
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries 기본값은 1000입니다. 유지보수가 가능한 STS 서비스 인스턴스 캐시 항목의 최대 수입니다.
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout 기본값은 60분입니다. STS 서비스 인스턴스가 클라이언트측 캐시에 보관될 수 있는 시간의 길이(분)입니다.
keyType 다음 keyTypes는 WS-Trust 1.2에 지정될 수 있습니다.
  • http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey

다음 KeyTypes는 WS-Trust 1.3에 대해 지정될 수 있습니다.

  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey
  • ttp://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
STS에 대한 WS-Trust 요청을 작성할 때 사용할 keyType입니다.
wstrustActAsRequired 올바른 값은 truefalse이며, 기본값은 false입니다. SAML 토큰이 ActAs 요소의 STS 요청에 삽입될 때 이 특성을 true로 설정합니다. SAML 토큰은 현재 runAs 주제 또는 JAAS 로그인 공유 상태 오브젝트에 존재해야 합니다. JAAS 로그인 공유 상태의 토큰은 runAs 주제의 토큰에 우선합니다. onBehalfOfRequired 및 actAsRequired 모두가 true로 설정된 경우에는 OnBehalfOf 요소만 STS 요청에 삽입됩니다. 자세한 정보는 "스택 JAAS 로그인 모듈을 사용하여 SAML 토큰 생성 및 이용"을 참조하십시오.
wstrustActAsTokenType 올바른 값은 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0입니다. 기본값은 SAML 생성기 콜백 핸들러로 생성되는 토큰의 유형입니다. STS 요청에서 ActAs 요소의 메시지에 삽입할 SAML 토큰의 토큰 유형으로 이 특성을 설정합니다.
wstrustActAsReIssue 올바른 값은 truefalse이며, 기본값은 false입니다. STS 요청에 있는 ActAsReIssue 요소에 SAML 토큰을 삽입하거나 SAML 생성기 콜백 핸들러의 서명 및 암호화 설정으로 재발행된 runAs 주제에서 SAML 토큰을 가져오려면 이 특성을 true로 설정합니다. JAAS 로그인 공유 상태 오브젝트에서 가져온 SAML 토큰은 재발행될 수 없습니다.
wstrustClientBinding 이 사용자 정의 특성에는 기본값이 없습니다. WS-trust 클라이언트의 바인딩 이름입니다.
wstrustClientBindingScope 이 사용자 정의 특성에는 기본값이 없습니다. WS-Trust 클라이언트에 연결된 정책 세트에 대한 바인딩 범위입니다.
wstrustClientCollectionRequest 올바른 값은 true 또는 false입니다. 기본값은 false이고, 이는 RequestSecurityToken이 RequestSecurityTokenCollection 대신 사용된다는 것을 의미합니다. 이 사용자 정의 특성을 사용하여 RequestSecurityTokenCollection이 WS-Trust 요청에 필요한지 여부를 지정하십시오.
wstrustClientPolicy 이 사용자 정의 특성에는 기본값이 없습니다. WS-Trust 클라이언트에 대한 정책 세트 이름입니다.
wstrustClientSoapVersion 올바른 값은 1.11.2입니다. 값이 지정되지 않으면 SOAP 버전이 애플리케이션 클라이언트가 사용 중인 SOAP 버전으로 기본값을 지정하십시오. WS-Trust 요청의 SOAP 버전입니다.
wstrustClientWSTNamespace 기본값은 trust13입니다. 올바른 값은 trust12trust13입니다. WS-Trust 요청의 WS-Trust 네임스페이스입니다.
wstrustOnBehalfOfRequired 올바른 값은 truefalse입니다. 기본값은 false입니다. SAML 토큰이 OnBehalfOf 요소의 STS 요청에 삽입될 때 이 특성을 true로 설정합니다. SAML 토큰은 현재 runAs 주제 또는 JAAS 로그인 공유 상태 오브젝트에 존재해야 합니다. JAAS 로그인 공유 상태의 토큰은 runAs 주제의 토큰에 우선합니다. 자세한 정보는 twbs_gen_con_token_JAAS_mod를 참조하십시오.
wstrustOnBehalfOfTokenType 올바른 값은 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0입니다. 기본값은 SAML 생성기 콜백 핸들러로 생성되는 토큰의 유형입니다. STS 요청에서 OnBehalfOf 요소의 메시지에 삽입할 SAML 토큰의 토큰 유형으로 이 특성을 설정합니다.
wstrustOnBehalfOfReIssue 올바른 값은 truefalse이며, 기본값은 false입니다. SAML 생성기 콜백 핸들러의 서명 및 암호화 설정으로 재발행된 runAs 주제의 SAML 토큰을 STS 요청의 OnBehalfOf 요소로 SAML 토큰을 삽입하려면 이 특성을 true로 설정합니다. JAAS 로그인 공유 상태 오브젝트에서 가져온 SAML 토큰은 재발행될 수 없습니다.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_customproperties
파일 이름:rwbs_saml_customproperties.html