서비스 통합 보안 계획

메시징 시스템의 보안을 계획하는 경우 사용 가능한 옵션 범위는 자주 질문되는 내용 세트를 통해 설명할 수 있습니다.

다음은 메시징 보안 계획을 시작할 때 가질 수 있는 질문 중 일부입니다.
  • 버스 보안 방법
  • 버스에 액세스할 수 있는 권한 보유자
  • 버스 대상에 액세스할 수 있는 권한 보유자
  • 보안해야 하는 연결
  • 버스와 외부 버스 사이에 플로우하는 메시지에 저장되는 사용자 ID
  • 필수 데이터 저장소 보안 레벨

웹 서비스와 함께 서비스 통합을 사용하려는 경우, 버스 사용 웹 서비스 보안의 내용을 참조하십시오.

버스 보안 방법
기본적으로 WebSphere® Application Server 글로벌 보안 제공이 사용 가능하고 사용자 레지스트리가 구성되고 새로 작성된 서비스 통합 버스가 보안 설정됩니다. 버스 정의의 버스 보안 사용 플래그가 기본적으로 선택됩니다. 이는 메시징 엔진이 모든 연결 클라이언트 애플리케이션을 인증하고 버스 자원에 액세스하려고 시도하는 모든 클라이언트 애플리케이션에서 권한 검사를 수행함을 의미합니다. 버스 보안 사용 가능에 대한 자세한 정보는 메시징 보안을 참조하십시오.

새 버스를 작성하거나 기존 버스의 보안을 설정할 때, 버스 보안 마법사가 보안 도메인을 지정하도록 프롬프트합니다. 보안 도메인은 버스의 보안 설정을 포함합니다. 버스 멤버의 버전에 따라 기본 글로벌 도메인을 지정하거나 대체 도메인을 지정할 수 있습니다.

글로벌 도메인
이는 기본 보안 도메인입니다. 혼합 버전의 버스에 대한 글로벌 도메인을 지정해야 합니다.
셀 레벨 및 사용자 정의 도메인
버스에 WebSphere Application Server 버전 7.0 이상 버스 멤버만 있는 경우, 버스를 구성하여 셀 기본 보안 도메인 또는 사용자 정의 보안 도메인을 사용할 수 있습니다. 사용자 정의 보안 도메인에는 일반적으로 특정 버스에만 해당하는 보안 설정이 포함되어 있습니다. UserRepository와 같은 사용자 애플리케이션에 대해 추가적인 별도의 보안 도메인을 구성할 수 있습니다. 버스에 대한 다중 보안 도메인 사용에 대한 자세한 정보는 메시징 보안 및 다중 보안 도메인을 참조하십시오.
새 보안 버스를 추가하는 방법에 대한 자세한 정보는 보안 버스 추가를 참조하십시오. 기존 버스를 보안하려면 글로벌 보안 도메인을 사용하여 기존 버스 보안다중 보안 도메인을 사용하여 기존 버스 보안을 참조하십시오. 기존 보안 버스를 글로벌 보안 도메인에서 셀 레벨 또는 사용자 정의 보안 도메인으로 마이그레이션하려면 기존 보안 버스를 다중 도메인 보안으로 마이그레이션를 참조하십시오.
버스에 액세스할 수 있는 권한 보유자
클라이언트 애플리케이션이 버스에 대한 연결을 시도할 때, 메시징 엔진이 사용자 레지스트리에 대해 클라이언트 애플리케이션의 신임(ID 및 비밀번호)을 인증합니다. 클라이언트가 인증되면, 메시징 엔진은 클라이언트에게 버스에 연결할 권한이 있는지 확인합니다. 사용자 레지스트리에 유효한 사용자 ID 및 비밀번호가 있는 모든 클라이언트 애플리케이션을 인증할 수 있지만, 모든 클라이언트 애플리케이션이 버스에 연결할 권한을 부여하지 않으려 할 수 있습니다. 버스에 대한 액세스를 제어하려면 버스의 버스 커넥터 역할에 특정 클라이언트 애플리케이션에 대한 권한을 부여해야 합니다. 사용자 저장소에 그룹을 작성하고 클라이언트 애플리케이션의 ID를 그룹에 추가한 다음 그룹을 버스에 대한 버스 커넥터 역할에 추가합니다. 자세한 정보는 버스 커넥터 역할 관리의 내용을 참조하십시오.
버스 대상에 액세스할 수 있는 권한 보유자
각 대상에 대해, 버스 대상에서 조작을 수행할 수 있는 권한이 필요한 클라이언트와 해당 클라이언트가 수행해야 하는 조작(또는 역할)을 결정해야 합니다. 권한은 그룹 및 그룹 멤버를 역할에 추가하여 부여됩니다. 예를 들어, MyGroup이라는 클라이언트 애플리케이션 그룹이 MyQueue라는 큐 대상에 메시지를 전송하도록 하려면 MyGroupMyQueue에 대한 송신자 역할에 추가합니다. 자세한 정보는 대상 역할 관리의 내용을 참조하십시오.

버스의 모든 대상에 적용하는 기본 권한 세트를 정의할 수 있습니다. 예를 들어, MyMediations라는 그룹의 모든 멤버에게 선택한 버스의 모든 대상에 메시지를 전송할 수 있는 권한을 부여하려면 MyMediations를 기본 송신자 역할에 추가할 수 있습니다. 기본적으로, 모든 로컬 대상은 기본 자원에서 역할을 상속합니다. 선택한 대상에 대한 기본 상속을 대체하도록 선택할 수 있습니다. 기본 역할에 대한 자세한 정보는 기본 역할 관리를 참조하십시오. 기본 역할 상속 대체에 대한 자세한 정보는 기본 자원에서 상속 사용 불가능을 참조하십시오.

클라이언트 애플리케이션의 그룹이 토픽에 공개 및 등록하는 경우, 해당 토픽이 토픽 영역에 존재합니다. 토픽에 공개되는 모든 클라이언트의 ID는 토픽 영역에 대한 송신자 역할을 가진 그룹에 속해야 합니다. 토픽에 등록되는 모든 클라이언트 애플리케이션은 토픽 영역에 대한 수신자 역할을 가진 그룹에 속해야 합니다. 자세한 정보는 토픽 영역 루트 역할 관리의 내용을 참조하십시오. 기본적으로, 토픽 레벨에서 권한에 대한 검사가 있습니다. 토픽 레벨 검사를 사용 불가능하게 하거나 선택한 토픽에 액세스할 권한을 부여하려는 클라이언트 애플리케이션의 그룹을 결정할 수 있습니다.

보안해야 하는 연결
SSL로 보안하려면 다음 연결에서 결정하십시오.
  • 클라이언트와 서버(메시징 엔진) 사이의 연결
  • 버스 내의 메시징 엔진 사이의 연결
  • 버스 사이의 연결

자세한 정보는 메시징 버스 사이에 메시징 보안의 내용을 참조하십시오.

버스와 외부 버스 사이에 플로우하는 메시지에 저장되는 사용자 ID
메시지가 전송될 때 송신자의 사용자 ID가 메시지에 저장되며 메시지에 대한 후속 액세스 제어 검사에 사용됩니다. 버스 사이에 링크가 존재하는 위치에서, 링크에 대한 인바운드 ID 및 아웃바운드 ID를 구성하여 로컬 버스와 외부 버스 사이에 플로우하는 메시지에 저장되는 사용자 ID를 제어할 수 있습니다.
인바운드 ID는 링크를 통해 버스에 플로우되는 모든 메시지의 사용자 ID를 바꿉니다. 인바운드 ID는 버스 내의 메시지에 대한 액세스를 제어하는 데 사용됩니다. 다음 이유로 인바운드 ID를 구성하려 할 수 있습니다.
  • 로컬 버스 및 외부 버스가 개벌 보안 도메인에 존재합니다.
  • 외부 버스가 보안되지 않습니다.
  • 모든 메시지가 동일한 사용자 ID를 갖는 경우 액세스 제어를 더 쉽게 관리할 수 있습니다.

아웃바운드 ID는 링크를 통해 버스 외부로 플로우되는 모든 메시지의 사용자 ID를 바꿉니다. 원래 사용자 ID가 외부 버스의 메시지에 포함되지 않도록 하려는 경우 아웃바운드 ID를 구성해야 할 수 있습니다.

자세한 정보는 메시징 엔진 간 링크 보안의 내용을 참조하십시오.

필수 데이터 저장소 보안 레벨
메시징 시스템은 데이터 저장소(데이터베이스)를 사용하여 디스크에 메시지를 저장할 수 있습니다. 데이터 저장소의 메시지는 사용자 이름 및 비밀번호로 보호될 수 있습니다. 데이터 저장소에 대해 보안이 충분한지 여부를 고려해야 합니다. 데이터베이스가 추가 보안 옵션(예: 데이터 암호화)을 제공할 수 있습니다. 자세한 정보는 데이터베이스 액세스 보안의 내용을 참조하십시오.

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0010_
파일 이름:cjr0010_.html