3장 Java Enterprise System 통합 기능

이 장에서는 Java ES 구성 요소를 단일 소프트웨어 시스템으로 통합하는 데 중요한 역할을 수행하는 기능을 이해하기 위한 개념적, 기술적 배경을 제공합니다.

이러한 기능은 서로 다른 인프라 제품을 수동으로 통합하는 것과 비교하여 Java Enterprise System를 사용하는 것의 장점을 이해할 수 있도록 해줍니다.

이 장에서는 다음 기능을 설명합니다.

• Java Enterprise System 통합 설치 프로그램

• 통합 아이디 및 보안 서비스

• 이 장의 주요 용어

Java Enterprise System 통합 설치 프로그램

모든 Java ES 구성 요소는 한 설치 프로그램으로 설치됩니다. 이 설치 프로그램은 모든 구성 요소에서 일관된 설치 및 제거 절차와 동작을 제공합니다.

Java ES 설치 프로그램은 Java ES 소프트웨어를 호스트 시스템에 전송하는 통합 프레임워크입니다. 설치 프로그램을 통해 컴퓨팅 환경에 있는 컴퓨터에 여러 Java ES 구성 요소를 선택 및 설치할 수 있습니다. 설치 프로그램은 설치할 특정 Java ES 구성 요소에 따라 일부 설치 시간 구성(installation-time configuration)을 제공하기도 합니다.

Java ES 설치 프로그램은 본질적으로 분산 설치를 수행하지 않습니다. 분산된 Java ES 소프트웨어 솔루션을 배포하려면 Java ES 설치 프로그램을 사용하여 한 번에 한 대씩 해당 환경의 각 컴퓨터에 적합한 구성 요소를 설치합니다. 배포 구조와 구성 요소 종속성에 따라 적절한 순서의 설치 세션 및 구성 절차를 사용해야 합니다.

설치 프로그램은 그래픽 모드와 텍스트 기반 모드 모두에서 대화식으로 실행되며 매개 변수 구동 자동 설치 모드도 제공합니다. 설치 프로그램은 영어 외에 프랑스어, 독일어, 스페인어, 한국어, 중국어 간체, 중국어 번체, 일본어 등 7가지 언어도 지원합니다.

이 절에서는 통합 Java ES 설치 프로그램의 다음 요소에 대해 설명합니다(자세한 내용은 Sun Java Enterprise System 2005Q4 UNIX용 설치 설명서 참조).

• 기존 소프트웨어 검사

• 종속성 검사

• 초기 구성

• 제거

기존 소프트웨어 검사

설치 프로그램은 설치할 컴퓨터를 검사하고 이미 설치된 Java ES 구성 요소를 식별합니다. 설치 프로그램은 기존의 모든 구성 요소가 상호 운영할 수 있는 적절한 릴리스 수준에 있는지 확인하기 위해 여러 수준에서 검사를 합니다. 설치 프로그램에서는 호환되지 않아서 업그레이드하거나 제거해야 하는 소프트웨어 구성 요소를 알려줍니다.

또한, 설치 프로그램은 이미 설치되어 있는 J2SE 또는 NSS와 같은 Java ES 공유 구성 요소( 공유 구성 요소 참조)를 확인합니다. 설치 프로그램에서 호환되지 않는 공유 구성 요소 버전을 찾으면 해당 버전을 표시합니다. 설치를 계속 진행하면 설치 프로그램은 자동으로 이러한 공유 구성 요소를 최신 버전으로 업그레이드합니다.

종속성 검사

설치 프로그램은 구성 요소를 포괄적으로 검사하여 선택한 설치 구성 요소가 올바르게 작동하는지 확인합니다.

많은 구성 요소가 다른 구성 요소와 종속성이 있습니다. 설치 프로그램에는 이러한 종속성이 충족되는지 확인하는 논리가 있습니다. 따라서 설치할 구성 요소를 선택하면 설치 프로그램은 선택된 구성 요소와 종속성이 있는 구성 요소와 하위 구성 요소를 자동으로 포함시킵니다.

선택한 다른 구성 요소가 해당 구성 요소에 로컬로 종속되어 있는 경우 구성 요소를 선택 취소할 수 없습니다. 그러나 종속성이 로컬이 아닐 경우 경고를 받지만 다른 호스트 컴퓨터의 구성 요소에서 종속성을 충족시킨다는 가정 아래 작업을 계속할 수 있습니다.

초기 구성

대부분 Java ES 구성 요소를 시작하려면 초기 구성이 필요합니다. 일부 구성 요소의 경우 Java ES 설치 프로그램에서 이 초기 구성을 수행할 수 있습니다.

설치 프로그램에서 이 초기 구성을 수행하도록 선택하거나(지금 구성 옵션) 초기 구성을 수행하지 않고 소프트웨어를 설치하도록 선택할 수 있습니다(나중에 구성 옵션). 어떤 경우든 설치가 완료된 후에 설치된 모든 구성 요소를 명시적으로 구성해야 합니다.

설치 프로그램이 초기 구성을 수행하도록 선택한 경우 설치하는 동안 필요한 구성 정보를 제공해야 합니다. 특히 관리자 아이디, 비밀번호 등과 같이 모든 구성 요소 제품에 공통되는 매개 변수 값을 지정할 수 있습니다.

제거

Java Enterprise System은 제거 프로그램도 제공합니다. 이 프로그램을 사용하여 Java ES 설치 프로그램이 로컬 컴퓨터에 설치한 구성 요소를 제거할 수 있습니다. 제거 프로그램은 로컬 종속성을 확인하고 해당 종속성이 발견될 경우에는 경고를 표시합니다. 제거 프로그램에서는 Java ES 공유 구성 요소를 제거하지 않습니다.

제거 프로그램은 설치 프로그램과 마찬가지로 그래픽 모드, 텍스트 기반 모드 또는 자동 모드로 실행할 수 있습니다.

통합 아이디 및 보안 서비스

Java Enterprise System의 중요한 기능 중 하나는 사용자 아이디의 통합 관리와 통합된 인증 및 권한 부여 프레임워크입니다.

다음 절에서는 Java Enterprise System에서 제공하는 통합 아이디 및 보안 서비스를 이해하기 위한 기술적 배경을 설명합니다.

• 단일 아이디

• 인증 및 단일 사인 온

단일 아이디

Java ES 환경 내에서 최종 사용자는 단일 통합 아이디를 가집니다. 해당 단일 아이디를 기반으로 사용자는 포털, 웹 페이지 및 서비스(예: 메시징, 달력, 인스턴트 메시징 등)와 같은 다양한 자원에 액세스할 수 있습니다.

이 통합 아이디와 보안 기능은 Directory Server, Access Manager 및 기타 Java ES 구성 요소 간의 긴밀한 공동 작업을 기반으로 합니다.

Java ES 서비스 또는 자원에 대한 사용자 액세스는 사용자 저장소 또는 디렉토리의 단일 사용자 항목에 사용자별 정보를 저장하여 수행됩니다. 이러한 정보에는 일반적으로 고유한 이름 및 비밀번호, 전자 메일 주소, 조직 내의 역할, 웹 페이지 기본 설정 등이 포함됩니다. 사용자 항목의 정보는 사용자를 인증하거나 특정 자원에 대한 액세스 권한을 부여하거나 해당 사용자에게 다양한 서비스를 제공하는 데 사용될 수 있습니다.

Java Enterprise System의 경우 사용자 항목은 Directory Server에서 제공하는 디렉토리에 저장됩니다. 사용자가 Java ES 구성 요소에서 제공하는 서비스를 요청할 때 해당 서비스는 Access Manager를 사용하여 사용자를 인증하고 특정 자원에 대한 액세스 권한을 부여합니다. 요청된 서비스에서 사용자 디렉토리 항목의 사용자별 구성 정보를 검사합니다. 서비스는 해당 정보를 사용하여 사용자가 요청한 작업을 수행합니다.

다음 그림에서는 사용자 인증 및 권한 부여를 수행하고 사용자에게 서비스를 제공하기 위한 사용자 항목 액세스를 설명합니다.

그림 3–1 여러 서비스를 지원하는 단일 사용자 항목

이 시스템에서 파생되는 기능 중 하나는 웹 기반 사용자가 임의의 Java ES 서비스에 사인 온하면 다른 시스템 서비스에 자동으로 인증되는 기능입니다. 이 기능(단일 사인 온(SSO)이라 함)은 Java Enterprise System에서 제공하는 강력한 기능입니다.

인증 및 단일 사인 온

Java ES 인증 및 권한 부여 서비스는 Access Manager에 의해 제공됩니다. Access Manager는 Directory Server의 정보를 사용하여 기업에서 사용자와 Java ES 웹 서비스 또는 기타 웹 기반 서비스 간의 상호 작용을 중개합니다.

Access Manager는 정책 에이전트라는 외부 구성 요소를 사용합니다. 정책 에이전트는 Access Manager에서 보안하는 서비스 또는 자원을 호스트하는 웹 서버에 플러그 인됩니다. 정책 에이전트는 Access Manager 대신 보안된 자원에 대한 사용자의 요청을 중개합니다. Portal Server 및 Communications Express와 같은 일부 Java ES 구성 요소의 경우 Access Manager 하위 구성 요소에서 정책 에이전트의 기능을 제공합니다( Sun Java System Access Manager 7 2005Q4 참조).

인증

Access Manager에는 기업에서 HTTP 또는 HTTPS를 통해 웹 서비스에 대한 액세스를 요청하는 사용자의 아이디를 확인하기 위한 인증 서비스가 포함되어 있습니다. 예를 들어, 동료 전화 번호를 조회해야 하는 회사 직원은 브라우저를 사용하여 회사의 온라인 전화 번호부로 이동합니다. 전화번호부 서비스에 로그인하려면 사용자 아이디와 비밀번호를 입력해야 합니다.

인증 순서는 그림 3–2에 나와 있습니다. 정책 에이전트는 전화 번호부 로그온 요청을 중개하며(1), 요청을 인증 서비스에 전송합니다(2). 인증 서비스는 Directory Server에 저장된 정보에 대하여 사용자 아이디 및 비밀번호를 확인합니다(3). 로그인 요청이 유효하면 사용자가 인증되며 (4), (5) 및 (6) 회사 전화 번호부가 해당 직원에게 표시됩니다(7). 로그인 요청이 유효하지 않으면 오류가 생성되며 인증이 실패합니다.

또한 인증 서비스는 HTTPS에서 인증서 기반 인증도 지원합니다.

그림 3–2 인증 순서

단일 사인 온

이전 단락에서 설명된 인증 시나리오에서 중요한 단계를 강조합니다. 사용자의 인증 요청이 확인되면 그림 3–2와 같이 Access Manager’의 세션 서비스가 사용됩니다(4). 세션 서비스에서 세션 토큰을 생성합니다. 세션 토큰에는 사용자의 아이디 정보 및 토큰 아이디가 들어 있습니다(5). 세션 토큰은 인증 요청을 한 브라우저로 해당 토큰을 쿠키로 전송하는(7) 정책 에이전트로 다시 전송됩니다(6).

인증된 사용자가 다른 보안 서비스에 액세스하려고 하면 브라우저는 세션 토큰을 해당 정책 에이전트에 전달합니다. 정책 에이전트는 세션 서비스에서 사용자의 이전 인증이 아직 유효한지 확인하고, 사용자 아이디 및 비밀번호를 재입력하라는 요청 없이 두 번째 서비스에 대한 액세스 권한을 해당 사용자에게 부여합니다.

따라서, 사용자가 한 번만 사인 온하면 Java Enterprise System에서 제공하는 여러 웹 기반 서비스에 인증됩니다. 단일 사인 온 인증은 사용자가 명시적으로 로그아웃하거나 세션이 만료될 때까지 유효합니다.

권한 부여

Access Manager에는 Java ES 환경의 웹 기반 자원에 대한 액세스 제어를 제공하는 정책 서비스도 포함되어 있습니다. 정책은 특정 조건에서 특정 자원에 대한 액세스 권한이 있는 사용자를 설명하는 규칙입니다. 권한 부여 순서는 다음 그림에 나와 있습니다.

그림 3–3 권한 부여 순서

인증된 사용자가 Access Manager에 보안 자원을 요청하면(1), 정책 에이전트는 정책 서비스에 알리고(2), 정책 서비스에서는 Directory Server의 정보를 사용하여(3) 해당 자원에 적용되는 액세스 정책을 평가하고 사용자에게 해당 자원에 대한 액세스 권한이 있는지 확인합니다(4). 해당 사용자에게 액세스 권한이 있으면(5), 해당 자원의 요청이 이루어집니다(6).

Access Manager는 기업에서 정책을 정의, 수정, 부여, 해지 및 삭제하는 수단을 제공합니다. 정책은 Directory Server에 저장되며 조직 항목의 정책 관련 속성을 통해 구성됩니다. 사용자에 대해 역할을 정의하여 정책 정의에 통합할 수도 있습니다.

Access Manager 정책 에이전트가 정책을 시행합니다. 정책 서비스에서 액세스 요청을 거부하면 정책 에이전트는 요청한 사용자가 보안 자원에 액세스하지 못하게 합니다.

이 장의 주요 용어

이 절에서는 이 장에서 사용된 주요 기술 용어를 설명하며, 용어 간의 관계와 Java Enterprise System 컨텍스트 내의 사용법에 중점을 두면서 설명합니다.

디렉토리

데이터 쓰기가 아닌 데이터 읽기에 맞게 최적화된 특수 데이터베이스입니다. 대부분의 디렉토리는 산업 표준 프로토콜인 LDAP(Lightweight Directory Access Protocol)를 기반으로 합니다.

정책

특정 조건에서 특정 자원에 대한 액세스 권한이 있는 사용자를 설명하는 규칙입니다. 규칙은 조직 내의 사용자 그룹 또는 역할을 기반으로 할 수 있습니다.

단일 아이디

사용자가 Java Enterprise System 디렉토리에 있는 단일 사용자 항목 때문에 갖는 아이디입니다. 이 단일 사용자 항목을 기반으로 사용자는 포털, 웹 페이지 및 서비스(예: 메시징, 달력, 인스턴트 메시징 등)와 같은 다양한 Java Enterprise System 자원에 액세스할 수 있습니다.

단일 사인 온(SSO)

분산 시스템의 한 서비스에 대한 사용자 인증이 시스템의 다른 서비스에 자동으로 적용될 수 있도록 하는 기능입니다.