이 장은 다음 내용으로 구성되어 있습니다.
OpenSSO 8.0 업데이트 2에는 보안 토큰 서비스 및 OpenSSO Fedlet의 개선 사항이 포함되어 있습니다.
보안 토큰 서비스에는 다음과 같은 새로운 기능이 포함되어 있습니다.
특정 웹 서비스 공급자 보안 토큰을 생성하기 위한 TokenType을 지원합니다.
X509에 대한 비대칭 및 전송 바인딩과 요청자로서의 사용자 이름 보안 토큰을 지원합니다.
OpenSSO STS가 SSL 상에서 사용자 이름을 사용하여 구성된 경우 사용자 이름 보안 토큰으로 SSL/전송 바인딩을 적용합니다.
useKey를 웹 서비스 클라이언트 공개 키 및 웹 서비스 클라이언트 X509 보안 토큰으로 사용하여 비대칭 KeyType에 대한 SAML Holder-of-Key 보안 토큰을 발행합니다.
WSDL은 보안 토큰 구성에 따라 동적으로 업데이트됩니다.
웹 서비스 공급자 공개 키를 통한 암호화를 지원합니다.
구성 저장소에 저장하기 전에 정적 사용자 이름 비밀번호를 암호화합니다.
WS-Trust 요청을 통해 UserName 토큰을 On Behalf Of 보안 토큰으로 지원합니다.
SAML Bearer 토큰 발행을 지원합니다.
새 웹 서비스 보안 인증 모듈 WSSAuth는 다이제스트 비밀번호 유효성 검사를 지원합니다.
새 OAMAuth 인증 모듈에서는 OpenSSO가 포함된 Oracle Access Manager를 사용하여 단일 사인 온(SSO)을 사용 설정합니다.
자세한 내용은 3 장보안 토큰 서비스 사용을 참조하십시오.
Fedlet에는 다음과 같은 새로운 기능이 포함되어 있습니다.
.NET Fedlet에서의 암호화를 지원합니다.
.NET Fedlet에서의 서명을 지원합니다.
.NET Fedlet은 단일 로그아웃을 지원합니다.
.NET Fedlet은 서비스 공급자가 시작한 단일 사인 온(SSO) 및 아티팩트 지원을 제공합니다.
.NET Fedlet에서의 여러 아이디 공급자 및 아이디 공급자 검색을 지원합니다.
Fedlet에 대한 등록 정보 및 구성 파일 내의 버전 정보를 제공합니다.
새 비밀번호 SPI를 구현합니다.
속성 쿼리를 지원합니다.
단일 로그아웃을 지원합니다.
자세한 내용은 4 장Oracle OpenSSO Fedlet 사용을 참조하십시오.
OpenSSO 8.0 업데이트 2는 Sun OpenSSO Enterprise 8.0 Update 1 Release Notes의 Support for New Web Containers에 설명된 웹 컨테이너와 다음과 같은 새 웹 컨테이너를 지원합니다.
Oracle WebLogic Server 10g 릴리스 3(10.3)
CR 6939443: LDAP 확인 또는 OCSP 확인을 통한 인증서 인증을 WebLogic Server 10.3.x에서 수행할 수 없습니다.
CR 6967026: 구성자를 GlassFish 2.1.x의 LDAPS 사용 디렉토리 서버 인스턴스에 연결할 수 없습니다.
CR 6948937: WebLogic Server 10.3.3 관리 콘솔에서 OpenSSO 8.0 업데이트 2를 활성화하면 예외가 발생합니다.
OpenSSO 8.0 업데이트 2 샘플이 잠재적인 보안 문제를 일으킬 수 있습니다.
해결 방법 생성 환경에 OpenSSO 8.0 업데이트 2를 배포하는 경우 샘플을 제거하여 잠재적인 보안 문제가 발생하지 않도록 합니다.
보안 관리자를 사용하는 Oracle WebLogic Server 10.3.3에 OpenSSO 8.0 업데이트 2를 배포하는 경우 추가 Java 보안 권한이 필요합니다.
해결 방법 WebLogic Server 10.3.3 weblogic.policy 파일에 다음 권한을 추가합니다.
permission java.lang.RuntimePermission "getClassLoader";
10.3.0 및 10.3.1과 같은 Oracle WebLogic Server의 이전 버전에서 발생하는 문제로 인해 LDAP 확인 또는 OSCP 확인을 사용하는 인증서 인증을 수행할 수 없습니다.
해결 방법 이 문제는 WebLogic Server 10.3.3에서 해결되었습니다. LDAP 확인 또는 OSCP 확인을 통한 인증서 인증을 사용하려면 WebLogic Server 10.3.3에서 OpenSSO 업데이트 2를 사용하십시오.
GlassFish Enterprise Server v2.1.1 또는 v2.1.2가 OpenSSO 8.0 업데이트 2 웹 컨테이너로 배포된 경우 구성자는 LDAPS 사용 디렉토리 서버 인스턴스에 연결할 수 없습니다.
해결 방법 GlassFish가 포함된 LDAPS 사용 디렉토리 서버를 웹 컨테이너로 사용하려면 GlassFish Enterprise Server v2.1을 배포합니다.
WebLogic Server 10.3.3 관리 콘솔에서 OpenSSO 8.0 업데이트 2(opensso.war)를 배포하는 경우 시작을 클릭하여 OpenSSO 8.0 업데이트 2가 요청 수신을 시작할 수 있도록 하면 WebLogic Server 도메인이 시작된 콘솔에서 예외가 발생합니다.
참고: OpenSSO 8.0 업데이트 2가 시작되면 시작됨 상태로 유지되며 OpenSSO 8.0 업데이트 2를 중지하고 다시 시작할 때까지 예외가 다시 발생하지 않습니다.
해결 방법 다음과 같이 OpenSSO 8 업데이트 2 opensso-client-jdk15.war 파일의 saaj-impl.jar 파일을 WebLogic Server 10.3.3 구성의 endorsed 디렉토리로 복사합니다.
Oracle WebLogic Server 10.3.3 도메인을 중지합니다.
필요한 경우, OpenSSO 8.0 Update 2 opensso.zip 파일의 압축을 해제합니다.
임시 디렉토리를 만들고 zip-root/opensso/samples/opensso-client.zip 파일의 압축을 해제합니다. zip-root는 opensso.zip 파일의 압축을 해제한 위치입니다. 예:
cd zip-root/opensso/samples mkdir ziptmp cd ziptmp unzip ../opensso-client.zip
임시 디렉토리를 만들고 opensso-client-jdk15.war에서 saaj-impl.jar 파일을 추출합니다. 예:
cd zip-root/opensso/samples/ziptmp/war mkdir wartmp cd wartmp jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar
WEBLOGIC_JAVA_HOME/jre/lib 디렉토리 아래에 endorsed라는 새 디렉토리를 만듭니다(endorsed가 아직 없는 경우). WEBLOGIC_JAVA_HOME은 WebLogic Server에서 사용하도록 구성된 JDK입니다.
saaj-impl.jar 파일을 WEBLOGIC_JAVA_HOME/jre/lib/endorsed 디렉토리로 복사합니다.
WebLogic Server 도메인을 시작합니다.
updateschema.sh 또는 updateschema.bat 스크립트를 실행한 후 OpenSSO 8.0 업데이트 2 웹 컨테이너를 다시 시작해야 합니다.
updateschema.bat 스크립트는 여러 ssoadm 명령을 실행합니다. 따라서 Windows 시스템에서 updateschema.bat를 실행하기 전에 일반 텍스트로 amadmin 사용자의 비밀번호 사용자를 포함하는 비밀번호 파일을 만듭니다. updateschema.bat 스크립트를 실행하면 비밀번호 파일의 경로를 입력하라는 메시지가 표시됩니다. 스크립트가 종료되기 전에 비밀번호 파일이 제거됩니다.
이 문서뿐 아니라 다음 모음에 제공되는 추가 OpenSSO 8.0 설명서를 사용할 수 있습니다.
http://docs.sun.com/coll/1767.1
OpenSSO 8.0 업데이트 2에는 다음과 같은 설명서 문제가 포함되어 있습니다.
CR 6967006 콘솔 온라인 도움말은 OAMAuth 및 WSSAuth 인증 모듈에 대한 설명을 제공하지 않습니다.
CR 6953579: OpenSSO Fedlet README 파일에는 단일 로그아웃 기능에 대한 설명이 제공되어야 합니다.
OpenSSO 8.0 업데이트 2 관리 콘솔 온라인 도움말에는 검색 에이전트에 대한 설명이 포함되어 있지만 해당 에이전트는 지원되지 않습니다.
해결 방법 없음. 온라인 도움말의 검색 에이전트에 대한 정보를 무시합니다.
OpenSSO 8.0 업데이트 1 관리 콘솔 온라인 도움말에는 OAM(Oracle Access Manager) 및 WSS(Web Services Security) 인증 모듈에 대한 설명이 포함되어 있지 않습니다.
해결 방법 이러한 인증 모듈에 대한 자세한 내용은 3 장보안 토큰 서비스 사용을 참조하십시오.
Fedlet Java API 공용 참조는 Oracle OpenSSO 8.0 업데이트 2 Java API 참조에서 제공되며 http://docs.sun.com/coll/1767.1의 문서 모음에서 찾아볼 수 있습니다.
참고: getPolicyDecisionForFedlet 메소드가 Java API 참조에 들어 있더라도 OpenSSO 8.0 업데이트 2는 이 메소드를 지원하지 않습니다.
Fedlet README 파일에는 단일 로그아웃 기능에 대한 설명이 포함되어 있지 않습니다.
해결 방법 Oracle OpenSSO 8.0 업데이트 2의 경우 Fedlet 단일 로그아웃 기능은 4 장Oracle OpenSSO Fedlet 사용에 설명되어 있습니다.
다음 위치에서도 유용한 추가 정보 및 자원을 찾을 수 있습니다.
시스템에 대한 Oracle 고급 고객 서비스:
http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
소프트웨어 제품: http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve: http://sunsolve.sun.com/
Sun SDN(개발자 네트워크): http://developers.sun.com/
Sun 개발자 서비스:http://developers.sun.com/services/
SMS(서비스 관리 서비스) API(com.sun.identity.sm 패키지) 및 SMS 모델은 향후 OpenSSO 릴리스에 포함되지 않습니다.
Unix 인증 모듈 및 Unix 인증 도우미(amunixd)는 향후 OpenSSO 릴리스에 포함되지 않습니다.
Sun Java System Access Manager 7.1 릴리스 노트에 일반적으로 AMSDK(Access Manager SDK)라고 알려진 Access Manager com.iplanet.am.sdk 패키지와 모든 관련 API 및 XML 서식 파일이 향후 OpenSSO 릴리스에 포함되지 않는다는 것이 명시되어 있습니다.
따라서 AMSDK가 제거되면 레거시 모드 옵션 및 지원도 제거됩니다.
이제 마이그레이션 옵션을 사용할 수 없으며 앞으로도 지원되지 않을 예정입니다. Oracle Identity Manager는 AMSDK 대신 사용할 수 있는 사용자 프로비저닝 솔루션을 제공합니다. Identity Manager에 대한 자세한 내용은 http://www.oracle.com/products/middleware/identity-management/identity-manager.html을 참조하십시오.
OpenSSO 8.0 업데이트 2 또는 후속 패치 릴리스에 대한 궁금한 점이나 문제가 있으면 지원 담당자(http://sunsolve.sun.com/)에게 문의하십시오.
이 사이트에서는 기술 자료, 온라인 지원 센터 및 Product Tracker뿐 아니라 유지 보수 프로그램 및 지원 담당자 연락처에 대한 링크가 제공됩니다. 문제에 대한 도움을 요청하는 경우 다음 정보를 제공해야 합니다.
문제 설명(문제가 발생한 시기와 문제가 작업에 미치는 영향 포함)
시스템 유형, 운영 체제 버전, 웹 컨테이너 및 버전, JDK 버전 및 OpenSSO 버전(문제에 영향을 미쳤을 수도 있는 패치 또는 기타 소프트웨어 포함)
문제를 재현하는 단계
오류 로그 또는 코어 덤프
이 매체를 게시한 후 출시된 내게 필요한 옵션을 얻으려면 요청 시 얻을 수 있는 섹션 508 제품 평가를 참조하여 관련 솔루션 배포에 가장 적합한 버전을 확인하십시오.
내게 필요한 옵션 구현을 위한 Oracle의 방침에 대한 자세한 내용은 http://www.oracle.com/index.html을 참조하십시오.
본 문서는 타사 URL을 참조하여 관련된 추가 정보를 제공합니다.
Oracle은 본 설명서에 언급된 타사 웹 사이트의 가용성에 대해 책임지지 않습니다. Oracle은 해당 사이트나 자원에서 또는 이를 통해 사용할 수 있는 내용, 광고, 제품 또는 기타 자료에 대해서 보증하지 않으며 책임지지 않습니다. Oracle은 해당 사이트나 자원에서 또는 이를 통해 사용할 수 있는 내용, 제품 또는 서비스의 사용과 관련이 있거나 이로 인해 발생한 또는 발생했다고 간주되는 손해나 손실에 대해 어떠한 책임도 지지 않습니다.