메시지 레벨에서 SAML 토큰 서명

어설션 서명을 사용하여 메시지 레벨에서 SAML 토큰을 보안합니다.

시작하기 전에

SAML 토큰에 대한 서명을 구성하기 전에 메시지 레벨 무결성 보호를 통해 인증 지원 토큰으로 SAML 토큰을 작성하기 위해 SAML 정책 세트 및 바인딩을 구성해야 합니다. 자세한 정보는 SAML을 사용하여 메시지 보안을 참조하십시오. 또한 첨부된 SAML 바인딩은 일반 바인딩이 아닌 애플리케이션 특정 바인딩이어야 합니다. SAML 어설션 서명에 사용된 변환 알고리즘은 다른 서명된 파트와 다르지만, 일반 바인딩에서는 하나의 변환 알고리즘만 사용됩니다.

이 태스크 정보

이 태스크에서는 특별히 SAML 토큰에 디지털 서명하는 방법의 단계를 설명합니다. 이 태스크에서는 서명해야 하는 메시지 파트와 관련하여 SAML 발신자-인증 또는 SAML Bearer 토큰에 대한 SAML 토큰 프로파일 OASIS 표준 요구사항을 설명하지 않습니다. SAML 어설션에 서명하려면 SOAP 메시지가 <wsse:Security> 헤더 블록에 <wsse:SecurityTokenReference> 요소를 포함해야 합니다. SecurityTokenReference(STR)는 <ds:Reference> 요소를 사용하여 메시지 서명으로 참조됩니다. 보안 토큰 참조는 참조된 어설션 ID를 지정하여 ValueType 값이 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID 또는 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID인 <wsse:KeyIdentifier> 요소를 포함해야 합니다. <ds:Reference> 요소는 STR-transform 알고리즘의 URI, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsssoap-message-security-1.0#STR-Transform을 포함해야 합니다. STR-transform을 사용하면 <wsse:SecurityTokenReference> 요소뿐만 아니라, SAML 어설션 자체에 서명하도록 보장합니다.

이 구성 단계를 수행하여 메시지 레벨에서 SAML 토큰 서명을 사용합니다.

문제점 방지 문제점 방지: SAML 속성 콜백 핸들러의 사용은 초기 작성 시 SAMLToken에 사용자 정의 속성을 추가하는 유일한 방법입니다. SAMLToken.addAttribute 메소드를 사용하여 SAMLToken에 속성을 추가할 수 있어도 토큰에 디지털 서명(있는 경우)이 제거됩니다. 또한 암호화된 SAML 토큰 또는 암호화된 속성을 사용할 수 없습니다. gotcha

프로시저

  1. 메시지 파트를 구성하십시오.
    1. 관리 콘솔에서 SAML 정책 세트를 편집하고 WS-Security > 기본 정책 > 메시지 파트 보호 요청을 클릭하십시오.
    2. 무결성 보호에서 추가를 클릭하십시오.
    3. 서명할 파트 이름에 대한 파트 이름을 입력하십시오(예: saml_part).
    4. 파트의 요소에서 추가를 클릭하십시오.
    5. XPath 표현식을 선택하십시오.
    6. 두 개의 XPath 표현식을 추가하십시오.
      /*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
      /*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Envelope']/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
    7. 적용저장을 차례로 클릭하십시오.
    8. 이 정책을 사용하여 애플리케이션을 시작한 적이 없으면 추가 조치는 필요하지 않습니다. 그렇지 않으면, 애플리케이션 서버를 다시 시작하거나 정책 세트를 다시 로드하기 위해 애플리케이션 서버에 대한 wsadmin 스크립트를 사용하여 정책 세트 구성 새로 고치기 문서의 지시사항을 수행하십시오.
  2. SAML 토큰에 서명하도록 클라이언트 바인딩을 수정하십시오.
    1. 서비스 클라이언트 정책 세트 및 바인딩 패널에서 WS-Security > 인증 및 보호를 클릭하십시오.
    2. 작성한 새 SAML 파트를 포함하도록 현재 구성된 아웃바운드 서명된 메시지 파트 바인딩을 수정하십시오.

      요청 메시지 서명 및 암호화 보호에서 상태가 구성됨으로 설정된 파트 참조를 선택하십시오. 이 파트 참조는 request:app_signparts일 수 있습니다.

      1. 메시지 파트 참조 아래 사용 가능 목록에서, 1단계에서 작성한 대로, 서명할 파트 이름을 선택하십시오(예: saml_part).
      2. 추가, 적용을 차례로 클릭하십시오.
      3. 메시지 파트 참조 아래 지정됨 목록에서 추가한 파트 이름을 강조표시하십시오(예: saml_part).
      4. 편집을 클릭하십시오.
      5. 변환 알고리즘 설정의 경우 새로 작성을 클릭하십시오.
      6. http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 선택하십시오.
      7. 확인, 확인을 차례로 클릭한 후 다시 한 번 확인을 클릭하십시오.
    3. 보안 토큰 참조의 디지털 서명을 표시하도록 사용자 정의 특성으로 SAML 토큰 GENERATOR를 업데이트하십시오.

      인증 토큰에서 서명할 SAML 토큰을 선택 및 편집하십시오.

      1. 사용자 정의 특성에서 새로 작성을 클릭하십시오.
      2. com.ibm.ws.wssecurity.createSTR을 사용자 정의 특성 이름으로 입력하십시오.
      3. 사용자 정의 특성 값으로 true를 입력하십시오.
      4. 적용, 저장을 차례로 클릭하십시오.
    4. 애플리케이션을 다시 시작하십시오.
  3. 서명된 SAML 토큰을 승인하도록 제공자 바인딩을 수정하십시오.
    1. 서비스 제공자 정책 세트 및 바인딩 패널에서 WS-Security > 인증 및 보호를 클릭하십시오.
    2. 작성한 새 SAML 파트를 포함하도록 현재 구성된 인바운드 서명된 메시지 파트 바인딩을 수정하십시오.

      요청 메시지 서명 및 암호화 보호에서 상태가 구성됨으로 설정된 파트 참조를 선택하십시오. 이 파트 참조는 request:app_signparts일 수 있습니다.

      1. 메시지 파트 참조 아래 사용 가능 목록에서, 1단계에서 작성한 대로, 서명할 파트 이름을 선택하십시오(예: saml_part).
      2. 추가, 적용을 차례로 클릭하십시오.
      3. 메시지 파트 참조 아래 지정됨 목록에서 추가한 파트 이름을 강조표시하십시오(예: saml_part).
      4. 편집을 클릭하십시오.
      5. 변환 알고리즘 설정의 경우 새로 작성을 클릭하십시오.
      6. http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform을 선택하십시오.
      7. 확인, 확인을 차례로 클릭한 후 다시 한 번 확인을 클릭하십시오.
      8. 저장을 클릭하십시오.
    3. 애플리케이션을 다시 시작하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_signsamltoken
파일 이름:twbs_signsamltoken.html