보호 토큰 설정(생성기 또는 처리자)

이 페이지에서 보호 토큰을 구성할 수 있습니다. 보호 토큰은 무결성을 보호하기 위해 메시지에 서명하거나 기밀성을 제공하기 위해 메시지를 암호화합니다.

일반 프로바이더 또는 클라이언트 정책 세트 바인딩을 편집할 때 메시지 파트에 대한 보호 토큰 설정을 추가할 수 있습니다. 또한 정책 세트에 필요한 토큰 및 메시지 파트에 대한 응용프로그램 특정 바인딩을 구성할 수 있습니다.

일반 프로바이더 바인딩을 편집할 때 이 관리 콘솔 페이지를 보려면 다음 조치를 완료하십시오.
  1. 서비스 > 정책 세트 > 일반 프로바이더 정책 세트 바인딩을 클릭하십시오.
  2. 편집할 바인딩의 이름을 클릭하십시오.
  3. 정책 테이블에서 WS-Security 정책을 클릭하십시오.
  4. 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
  5. 새 토큰을 클릭하여 새 토큰 생성기 또는 처리자를 작성하거나, 보호 토큰 테이블에서 기존 처리자 또는 생성기 토큰 링크를 클릭하십시오.
일반 클라이언트 바인딩을 편집할 때 이 관리 콘솔 페이지를 보려면 다음 조치를 완료하십시오.
  1. 서비스 > 정책 세트 > 일반 클라이언트 정책 세트 바인딩을 클릭하십시오.
  2. 편집할 바인딩의 이름을 클릭하십시오.
  3. 정책 테이블에서 WS-Security 정책을 클릭하십시오.
  4. 기본 메시지 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
  5. 새 토큰을 클릭하여 새 토큰 생성기 또는 처리자를 작성하거나 보호 토큰 테이블에서 기존 처리자 또는 생성기 토큰 링크를 클릭하십시오.
정책 세트에 필요한 토큰 및 메시지 파트에 대한 응용프로그램 특정 바인딩을 구성할 때 이 관리 콘솔 페이지를 보려면 다음 조치를 완료하십시오.
  1. 응용프로그램 > Websphere 엔터프라이즈 응용프로그램을 클릭하십시오.
  2. 웹 서비스를 포함하는 응용프로그램을 선택하십시오. 응용프로그램에 서비스 프로바이더 또는 서비스 클라이언트가 포함되어야 합니다.
  3. 웹 서비스 특성 섹션에서 서비스 프로바이더 정책 세트 및 바인딩 링크 또는 서비스 클라이언트 정책 세트 및 바인딩을 클릭하십시오.
  4. 바인딩을 선택하십시오. 정책 세트를 이전에 첨부하고 바인딩을 지정해야 합니다.
  5. 정책 테이블에서 WS-Security 정책을 클릭하십시오.
  6. 보안 정책 바인딩 섹션에서 인증 및 보호 링크를 클릭하십시오.
  7. 보호 토큰 테이블에서 처리자 또는 생성기 토큰 링크를 클릭하십시오.

이 관리 콘솔 패널은 JAX-WS(Java™ API for XML Web Services) 응용프로그램에 적용됩니다.

이름

토큰 생성기 또는 처리자 이름을 지정합니다. 새 인증을 작성할 경우 이 필드에 이름을 입력하십시오.

토큰 유형

토큰 유형을 지정합니다. 바인딩을 사용할 경우, 토큰 유형은 정책에서 판별되며 편집할 수 없습니다.

유효값은 다음과 같습니다.
  • LPTA 토큰 V2.0
  • 보안 통신 토큰 V1.3
  • 보안 통신 토큰 V200502
  • X509V3 토큰 V1.1
  • X509V3 토큰 V1.0
  • X509PKCS7 토큰 V1.1
  • X509PKCS7 토큰 V1.0
  • X509PkiPathV1 토큰 V1.1
  • X509PkiPathV1 토큰 V1.0
  • X509V1 토큰 V1.1
  • 사용자 정의 토큰
WS-Security 정책에 대한 보안 통신 토큰 v200502 토큰 유형은 WS-SecureConversation 스펙의 2005년 2월 레벨에 정의된 대로 보안 컨텍스트 토큰의 요구사항을 나타냅니다.
토큰 버전 강제 시행
로컬 이름

사용자 정의 토큰 생성기 또는 처리자의 로컬 이름을 지정합니다. 로컬 이름 필드는 표시된 토큰 유형을 기반으로 채워집니다. 사용자 정의 토큰 유형만 편집하려면 이 필드를 사용하십시오.

Kerberos 토큰 프로파일 v1.1의 OASIS 웹 서비스 보안 스펙에 정의된 대로 Kerberos 토큰을 생성하는 데 사용자 정의 토큰 유형이 사용되는 경우, 로컬 이름에 아래 나열된 값 중 하나를 사용하십시오. 선택하는 값은 KDC(Key Distribution Center)에서 생성되는 Kerberos 토큰의 스펙 레벨에 따라 다릅니다. 다음 표는 각 값과 연관된 스펙 레벨 및 값을 나열합니다. 상호운영성을 위해 기본 보안 프로파일 V1.1 표준은 로컬 이름 http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ를 사용해야 합니다.

Kerberos 토큰의 로컬 이름 값 연관된 스펙 레벨 레벨
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerb erosv5_AP_REQ Kerberos 스펙에 정의된 Kerberos v5 AP-REQ입니다. Kerberos 티켓이 AP 요청인 경우 이 값을 사용하십시오.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ RFC-1964 [1964], 섹션 1.1 및 후속 RFC-4121, 섹션 4.1에 정의된 대로 KRB_AP_REQ 메시지를 포함하는 GSS-API Kerberos V5 메커니즘 토큰입니다. Kerberos 티켓이 AP 요청(ST + 인증기)인 경우 이 값을 사용하십시오.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510 RFC1510에 정의된 Kerberos v5 AP-REQ입니다. Kerberos 티켓이 RFC1510당 AP 요청인 경우 이 값을 사용하십시오.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510 RFC-1964, 섹션 1.1 및 후속 RFC-4121, 섹션 4.1에 정의된 대로 KRB_AP_REQ 메시지를 포함하는 GSS-API Kerberos V5 메커니즘 토큰입니다. Kerberos 티켓이 RFC1510당 AP 요청(ST + 인증기)인 경우 이 값을 사용하십시오.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120 RFC4120에 정의된 Kerberos v5 AP-REQ입니다. Kerberos 티켓이 RFC4120당 AP 요청인 경우 이 값을 사용하십시오.
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120 RFC-1964, 섹션 1.1 및 후속 RFC-4121, 섹션 4.1에 정의된 대로 KRB_AP_REQ 메시지를 포함하는 GSS-API Kerberos V5 메커니즘 토큰입니다. Kerberos 티켓이 RFC4120당 AP 요청(ST + 인증기)인 경우 이 값을 사용하십시오.
URI

사용자 정의 토큰 생성기 또는 처리자의 URI(Uniform Resource Identifier)를 지정합니다. URI 필드는 표시된 토큰 유형을 기반으로 채워집니다. 사용자 정의 토큰 유형만 편집하려면 이 필드를 사용하십시오.

Kerberos 토큰 프로파일 V1.1의 OASIS 웹 서비스 보안 스펙에 정의된 대로 Kerberos 토큰을 생성하는 데 사용자 정의 토큰 유형이 사용되는 경우 이 필드를 공백으로 두십시오.

JAAS 로그인

JAAS(Java Authentication and Authorization Service) 응용프로그램 로그인 정보를 지정합니다. 새 JAAS 응용프로그램 로그인 또는 JAAS 시스템 로그인 항목을 추가하려면 새로 작성을 클릭하십시오.

서버가 특정 시스템 또는 응용프로그램 로그인을 포함하는 보안 도메인에 있는 경우, 이러한 로그인은 JAAS 로그인 메뉴뿐만 아니라 글로벌 로그인에도 나열됩니다.

새 응용프로그램 로그인
사용자 정의 특성 – 이름

사용자 정의 특성의 이름을 지정합니다. 사용자 정의 특성은 추가될 때까지 처음에는 이 열에 표시되지 않습니다.

사용자 정의 특성에 대한 다음 조치 중 하나를 선택하십시오.

단추 결과 조치
새로 작성 새 사용자 정의 특성 항목을 작성합니다. 사용자 정의 특성을 추가하려면 이름 및 값을 입력하십시오.
편집 선택된 사용자 정의 특성을 편집할 수 있음을 지정합니다. 입력 필드를 제공하고 편집할 셀 값 목록을 작성하려면 이 조치를 선택하십시오. 편집 단추는 최소 한 개의 사용자 정의 특성이 추가될 때까지 사용할 수 없습니다.
삭제 선택한 특성을 제거합니다.
Kerberos 토큰을 생성하는 데 사용자 정의 토큰 유형이 사용되는 경우 다음 사용자 정의 특성을 지정하십시오.
사용자 정의 특성 이름
com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 대상 서비스의 이름을 지정합니다.

이 특성은 필수입니다.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 대상 서비스와 연관된 호스트 이름을 myhost.mycompany.com 형식으로 지정합니다.

이 특성은 필수입니다.

com.ibm.wsspi.wssecurity.krbtoken.targetServiceRealm 대상 서비스와 연관된 범주의 이름을 지정합니다.

이 특성은 단일 Kerberos 범주에 대해
선택적입니다. targetServiceRealm 특성이 지정되지 않으면, Kerberos 구성 파일의
기본 범주 이름이 범주 이름으로 사용됩니다. 교차 또는 신뢰 범주 환경에서는 targetServiceRealm 특성에 값을 제공해야 합니다.

토큰 생성기의 경우, 대상 서비스 이름과 대상 호스트 이름을 조합하여 대상 Kerberos 서비스 프린시펄 이름을 나타내는 SPN(Service Principal Name)을 형성합니다. Kerberos 클라이언트가 SPN에 대해 초기 Kerberos AP_REQ 토큰을 요청합니다.

응용프로그램이 각각의 웹 서비스 요청 메시지에 대해 Kerberos V5 AP_REQ 토큰을 생성하거나 이용하는 경우, 응용프로그램에 대한 토큰 생성기 및 토큰 처리자 바인딩에서 com.ibm.wsspi.wssecurity.kerberos.attach.apreq 사용자 정의 특성을 true로 설정하십시오. 자세한 정보는 웹 서비스 보안 문제점 해결 팁 주제를 참조하십시오.

사용자 정의 특성 – 값

사용자 정의 특성의 값을 지정합니다. 필드를 사용하여 사용자 정의 특성 값을 입력, 편집 또는 삭제하십시오.

콜백 핸들러

보호 토큰 페이지의 기타 모든 구성이 적용 및 저장된 후 이 섹션이 표시되며 콜백 핸들러의 구성 설정에 링크됩니다. 이 링크를 클릭하여 메시지 헤더에서 보안 토큰이 얻어지는 방법을 판별하는 콜백 핸들러 설정을 지정하십시오.

보안 통신 토큰 V200502 허용

WS-Security 정책에 대한 보안 통신 토큰 V200502 토큰 유형은 WS-SecureConversation 스펙의 2005년 2월 레벨에 정의된 대로 보안 통신 토큰의 요구사항을 나타냅니다. 이 옵션은 프로바이더가 보안 통신 토큰 V1.3과 보안 통신 토큰 V200502 둘 다 처리하는지 여부를 지정합니다. 기본적으로, 프로바이더는 두 버전을 모두 처리합니다. 프로바이더가 V1.3 토큰만 처리하도록 선택란 선택을 클릭하여 제거하면 이 동작을 변경할 수 있습니다.

주: 이 선택란은 서비스 프로바이더 토큰 처리자 패널에만 표시됩니다.
데이터 유형 선택란
범위 선택 또는 지우기
기본값 선택됨



표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 태스크
관련 참조
콜백 핸들러 설정
응용프로그램 정책 세트 콜렉션
응용프로그램 정책 세트 설정
첨부된 응용프로그램 콜렉션 검색
정책 세트 바인딩 설정


파일 이름: uwbs_wsspsbpt.html