종단간 보안 작성

내재된 여러 종단간 보안 시나리오가 있습니다. 이들 각각에 대한 보안 단계가 서로 다를 수 있습니다. 필요한 보안 옵션이 있는 전형적인 여러 가지 시나리오가 제공됩니다.

이 시나리오 모두는 글로벌 보안이 강화된 것으로 가정합니다.
  1. 이 섹션에 제공된 예제 중 보안 필요성에 가장 가까운 예제를 판별하십시오. 특정한 경우에는 둘 이상의 예제가 조합된 정보가 시나리오에 포함됩니다.
  2. 관련 시나리오의 보안 정보를 읽고 보안 필요성에 적용하십시오.

종래의 통합 시나리오 - 인바운드 및 아웃바운드 어댑터

인바운드 요청이 WebSphere Business Integration Adapter에서 나옵니다. 서비스 구성요소 아키텍처(SCA)는 SCA 내보내기를 기반으로 하는 인터페이스 맵을 호출합니다. 요청이 또 다른 인터페이스 맵인 프로세스 구성요소를 거친 후 WebSphere Adapter를 통해 또 다른 EIS(B)로 전달됩니다. 이는 하나의 구성요소가 다음 구성요소의 메소드를 호출하는 SCA 호출입니다.


그림에는 종래의 통합 시나리오를 통한 데이터 진행이 표시되어 있습니다. 왼쪽에서 오른쪽으로
"A"라고 레이블이 표시된 EIS에서 정보가 시작되어 WebSphere Business Integration Adapter를 거쳐 SCA JMS 내보내기를 지난 후 인터페이스 맵을 거쳐 프로세스로 전달됩니다. 그런 다음
프로세스에 의해 요청이 또 다른 인터페이스 맵 및 SCA 가져오기를 거쳐 WebSphere Adapter로 전달되어 "B"라고 레이블이
표시된 또 다른 EIS와 통신됩니다. 두 개의 EIS 및 WebSphere Business Integration Adapter를 제외한 모든 요소가 "WebSphere Process Server"라고 레이블이 표시된 Ellipse로 그룹화됩니다.
화살표는 데이터 플로우의 방향을 표시합니다.

인바운드 어댑터의 인증 메커니즘은 없습니다. 첫 번째 구성요소(이 경우 첫 번째 인터페이스 맵 구성요소)의 SecurityIdentity 규정자를 정의하여 보안 컨텍스트를 설정할 수 있습니다. 이 지점에서 SCA가 한 구성요소에서 다음 구성요소로 보안 컨텍스트를 전달합니다. 각 구성요소의 액세스 제어는 SecurityPermission 규정자를 사용하여 정의합니다.

WebSphere Process Server로의 인바운드 웹 서비스 요청

이 시나리오에서 웹 서비스 클라이언트가 WebSphere Process Server 구성요소를 호출합니다. 요청이 어댑터에 의해 EIS로 전달되기 전에 WebSphere Process Server 환경의 여러 구성요소를 거칩니다.


그림에는 WebSphere Process Server로의 웹 서비스 요청이 표시되어 있습니다. 왼쪽에 "WebServices 클라이언트" 레이블이
표시된 셀이 있으며 "SSL 또는 WS 보안" 레이블이 표시된 이 셀의 화살표가 레이블이 표시되지 않은 다양한 프로세스,
어댑터 및 맵 표시용 셀이 들어 있는 "WebSphere Process Server" 레이블이 표시된 Ellipse를 향합니다. 이 Ellipse에서
EIS를 표시하는 셀 앞쪽의 "SSL" 레이블이 표시된 또다른 화살표가 나타납니다.

HTTP 기본 인증 또는 WS-Security 인증을 사용하여 웹 서비스 클라이언트를 SSL 클라이언트로 인증할 수 있습니다. 클라이언트가 인증되면 SecurityPermission 규정자에 따라 액세스 제어가 적용됩니다. 클라이언트와 WebSphere Process Server 인스턴스 사이에서 SSL 또는 WS-Security를 사용하여 데이터 무결성 및 프라이버시를 보안시킬 수 있습니다. SSL이 파이프 전체를 보안시키는 반면 WS-Security에서는 SOAP 메시지의 일부를 암호화하거나 디지털로 부호화할 수 있습니다. 웹 서비스의 경우 WS-Security가 우선된 표준입니다.

WebSphere Process Server의 아웃바운드 웹 서비스 요청

이 시나리오의 경우 인바운드 요청이 어댑터, 웹 서비스 클라이언트 또는 HTTP 클라이언트에서 나올 수 있습니다. WebSphere Process Server 구성요소(예: BPEL 구성요소)가 외부 웹 서비스를 호출합니다.


그림에는 WebSphere Process Server의 웹 서비스 요청이 표시되어 있습니다. 왼쪽에 "EIS A" 레이블이 표시된 셀이 있으며 "SSL" 레이블이 표시된 이 셀의 화살표가 "WebSphere Process Server"
레이블이 표시된 Ellipse를 향하고 이 Ellipse에서 두 개의 화살표가 나타납니다("SSL 또는 WS 보안" 레이블이 표시된 첫 번째
화살표가 "External WebService" 레이블이 표시된 셀에서 끝나고 "SSL" 레이블이 표시된 두 번째 화살표가 또 다른 EIS(B)를
표시하는 셀 앞에 위치함).

인바운드 웹 서비스 요청의 경우 HTTP 기본 인증 또는 WS-Security 인증을 사용하여 외부 웹 서비스를 SSL 클라이언트로 인증할 수 있습니다. LTPACallBackHandler를 콜백 메커니즘으로 사용하여 현재 RunAs주제에서 usernameToken을 추출하십시오. WebSphere Process Server와 대상 웹 서비스 사이에서 WS-Security를 사용하여 데이터 프라이버시 및 무결성을 보장할 수 있습니다.

웹 응용프로그램 - WebSphere Process Server로의 HTTP 인바운드 요청

WebSphere Process Server는 HTTP에 대해 세 가지 유형의 인증을 지원합니다.
  • HTTP 기본 인증
  • HTTP 양식 기반 인증
  • HTTPS SSL 기반 클라이언트 인증
또한 침입자로부터 인트라넷을 보호하도록 웹 서버를 DMZ(Demilitarized Zone)에 위치시키고 WebSphere Process Server를 내부 방화벽 안에 위치시킬 수 있습니다. 이 예에서는 인증을 수행하는 역 프록시로 Webseal을 사용합니다. 이는 방화벽 뒤의 WebSphere Process Server와 신뢰 연관이 있으며 인증된 요청을 전달할 수 있습니다.

그림에는 WebSphere Process Server로 HTTP(인바운드) 요청을 전달하는 웹 응용프로그램이 표시되어 있습니다. 왼쪽에서 오른쪽으로 그림에 "HTTP 또는 WebService Client" 레이블이 표시된 직사각형 셀이 있으며 이 셀에서 방화벽을 표시하는
두꺼운 선을 가로질러 "Webseal" 레이블이 표시된 오각형 셀에서 끝나는 화살표가 나타납니다. 또 다른 방화벽이 "DMZ" 표시 영역에서 이 Webseal 셀을 격리합니다. Webseal 셀에서 두 번째 방화벽을 가로질러 "WebSphere
Process Server" 레이블이 표시된 셀에서 끝나는 화살표("SSL" 레이블 표시)가 나타납니다. 이전 두 화살표와 동일한 궤적을
따라가면 세 번째 화살표가 이 셀의 오른쪽에서 나타나 "EIS" 레이블이 표시된 셀에서 끝납니다. 이미지의 "WebSphere Process Server" Ellipse 바로 아래 다섯 번째 셀이 있습니다. 이 셀은 "Tivoli Access Manager 또는 LDAP" 레이블이 표시되어 있으며
수직 이중 머리 화살표로 "WebSphere Process Server" 셀에 연결되고 두 번째 방화벽 표시용 두꺼운 선을 가로지는
이중 머리 화살표로 "Webseal" 셀에 연결되어 있습니다(이 마지막 화살표에는 "SSL" 레이블이 표시됨).
관련 개념
서비스 통합 버스에 대한 보안 고려사항

이용약관 |

최종 갱신: Fri Jun 2 2006

(c) Copyright IBM Corporation 2005.
이 Information Center는 Eclipse 기술을 기반으로 합니다. (http://www.eclipse.org)