test

Oracle OpenSSO 업데이트 2 릴리스 노트

보안 토큰 생성 프로세스 흐름

Liberty Alliance 프로젝트 토큰, HTTP 클라이언트 또는 브라우저를 사용하여 보안을 사용 설정하는 경우 웹 서비스 클라이언트를 통해 웹 서비스 공급자로 액세스 요청을 보냅니다. 웹 서비스 보안 에이전트는 요청을 OpenSSO STS 인증 서비스로 리디렉션합니다. Liberty Alliance 프로젝트 보안 메커니즘이 존재하는 경우 HTTP 보안 에이전트는 리디렉션을 발행합니다. WS-IBS 보안이 사용되는 경우 SOAP 보안 에이전트가 리디렉션을 발행합니다.

OpenSSO STS 인증 서비스는 웹 서비스 공급자가 등록한 보안 메커니즘을 확인하고 적절한 보안 토큰을 검색합니다. 인증에 성공하면 웹 서비스 클라이언트가 SOAP 메시지 본문을 제공하고 웹 서비스측의 SOAP 보안 에이전트는 보안 헤더와 토큰을 삽입합니다. 그런 다음 요청이 WSP에 전송되기 전에 메시지가 서명됩니다.

웹 서비스 공급자 자체에 요청을 전달하기 전에 웹 서비스 공급자측의 SOAP 보안 에이전트가 SOAP 요청의 서명 및 보안 토큰을 확인합니다. 그런 다음 웹 서비스 공급자는 이를 처리하고 SOAP 보안 에이전트에서 서명한 응답을 웹 서비스 클라이언트에 다시 반환합니다. 그런 다음 응답을 웹 서비스 클라이언트로 전달하기 전에 웹 서비스 클라이언트측의 SOAP 보안 에이전트가 서명을 확인합니다.

다음 표는 Liberty Alliance 프로젝트 트랜잭션에 지원되는 토큰 목록과 간단한 설명을 제공합니다.

표 3–1 요청자 토큰 - Liberty Alliance 프로젝트

토큰

요구 사항

X.509 

  • 보안 웹 서비스는 웹 서비스 클라이언트가 요청자를 식별하고 웹 서비스 공급자를 통해 인증하기 위한 수단으로 공개 키를 공급하는 PKI(공개 키 인프라)를 사용합니다.

  • 보안 웹 서비스는 웹 서비스 클라이언트가 요청자를 식별하고 웹 서비스 공급자를 통해 인증하기 위한 수단으로 공개 키를 공급하는 PKI(공개 키 인프라)를 사용합니다.

BearerToken 

  • 보안 웹 서비스는 SAML(Security Assertion Markup Language) SAML Bearer 토큰 확인 메소드를 사용합니다.

  • WSC는 웹 서비스 공급자에 대해 요청자를 인증하기 위한 수단으로 공개 키 정보와 함께 SAML 명제를 제공합니다.

  • 두 번째 서명은 명제를 SOAP 메시지에 바인딩합니다.

  • 두 번째 서명 바인딩은 Liberty Alliance 프로젝트가 정의한 규칙을 사용합니다.

SAML 토큰 

  • 보안 웹 서비스는 SAML Holder-of-Key 확인 메소드를 사용합니다.

  • WSC는 SAML 명제와 디지털 서명을 SOAP 헤더에 추가합니다.

  • 보낸 사람 인증서 또는 공개 키도 서명과 함께 제공됩니다.

  • 전송은 Liberty Alliance 프로젝트에서 정의된 규칙을 사용하여 처리됩니다.

다음 표는 WS-IBS 트랜잭션에 지원되는 토큰 목록과 간단한 설명을 제공합니다.

표 3–2 요청자 토큰 - WS-IBS

토큰

요구 사항

사용자 이름 

  • 보안 웹 서비스에는 사용자 이름, 비밀번호 및 필요한 경우 서명된 요청이 필요합니다.

  • 웹 서비스 소비자는 요청자를 식별하기 위한 수단으로 사용자 이름 토큰을 제공합니다.

  • 웹 서비스 소비자는 비밀번호, 공유 비밀 또는 ID를 웹 서비스 공급자에 인증할 때와 같은 비밀번호를 제공합니다.

X.509 

보안 웹 서비스는 웹 서비스 소비자가 요청자를 식별하고 웹 서비스 공급자를 통해 인증을 수행하기 위한 수단으로 공개 키를 제공하는 PKI(공개 키 인프라)를 사용합니다. 

SAML-Holder-Of-Key 

  • 보안 웹 서비스는 SAML Holder-of-Key 확인 메소드를 사용합니다.

  • 웹 서비스 소비자는 웹 서비스 공급자에 대해 요청자를 인증하기 위한 수단으로 공개 키 정보와 함께 SAML 명제를 제공합니다.

  • 두 번째 서명은 명제를 SOAP 페이로드에 바인딩합니다.

SAML-SenderVouches 

  • 보안 웹 서비스는 SAML sender-vouches 확인 메소드를 사용합니다.

  • 웹 서비스 소비자는 SAML 명제와 디지털 서명을 SOAP 헤더에 추가합니다. 보낸 사람 인증서 또는 공개 키도 서명과 함께 제공됩니다.