3장 보안 토큰 서비스 사용
OpenSSO 보안 토큰 서비스는 신뢰할 수 있는 인증 서비스로서 보안 토큰을 발행 및 유효성 검사합니다. 보안 토큰 서비스는 웹 서비스 보안 공급자로서 웹 서비스 클라이언트와 OpenSSO STS 서비스 자체 간의 통신을 보안합니다. OpenSSO 8.0 업데이트 2 이후 보안 토큰 서비스의 여러 가지 기능이 개선되었습니다.
이 장은 다음 내용으로 구성되어 있습니다.
WSSAuth 인증 모듈 추가
웹 서비스 보안 인증 모듈을 사용하면 OpenSSO는 인증 토큰으로서 수신되고 웹 서비스 클라이언트에서 웹 서비스 공급자로의 서비스 요청에 포함되어 있는 다이제스트 비밀번호를 사용하여 사용자 이름의 유효성을 검사할 수 있습니다.
새 웹 서비스 보안 인증 모듈 인스턴스를 추가하는 방법
-
Access Manager 탭에서 인증 하위 탭을 클릭합니다.
-
모듈 인스턴스 섹션에서 새로 만들기를 클릭합니다.
-
이름 필드에 이 WSSAuth 인증 모듈 인스턴스의 이름을 입력합니다.
-
유형에는 WSSAuth를 선택합니다.
-
WSSAuth 인증 모듈 인스턴스를 구성합니다.
WSSAuth 인증 모듈 인스턴스를 구성하는 방법
-
Access Manager 탭에서 인증 하위 탭을 클릭합니다.
-
모듈 인스턴스 섹션에서 구성할 WSSAuth 인증 모듈 인스턴스의 이름을 클릭합니다.
-
WSSAuth 인증 모듈 인스턴스 영역 속성에 대한 값을 제공합니다.
다음 표는 구성할 수 있는 속성의 목록과 설명을 제공합니다.
- 사용자 검색 속성
-
개발할 항목
- 사용자 영역
-
개발할 항목
- 사용자 비밀번호 속성
-
개발할 항목
- 인증 수준
-
개발할 항목
OAMAuth 인증 모듈 추가
OpenSSO는 Oracle 인증 모듈을 사용하여 이전에 Oracle Access Manager에 인증된 관리자를 인증하고 OpenSSO에 대해 단일 사인 온(SSO)할 수 있습니다. 관리자는 OpenSSO에 자격 증명을 제공할 필요가 없습니다.
새 Oracle 인증 모듈 인스턴스를 추가하는 방법
-
Access Manager 탭에서 인증 하위 탭을 클릭합니다.
-
모듈 인스턴스 섹션에서 새로 만들기를 클릭합니다.
-
이름 필드에 이 Oracle 인증 모듈 인스턴스의 이름을 입력합니다.
-
유형에는 OAMAuth를 선택합니다.
-
[확인]을 누릅니다.
-
OAMAuth 인증 모듈 인스턴스를 구성합니다.
Oracle 인증 모듈 인스턴스를 구성하는 방법
-
Access Manager 탭에서 인증 하위 탭을 클릭합니다.
-
모듈 인스턴스 섹션에서 구성할 OAMAuth 인증 모듈 인스턴스의 이름을 클릭합니다.
-
Oracle 인증 모듈 인스턴스 영역 속성에 대한 값을 제공합니다.
다음 표는 구성할 수 있는 속성의 목록과 설명을 제공합니다.
보안 토큰 생성
Oracle OpenSSO 보안 토큰 서비스(OpenSSO STS)는 웹 서비스 클라이언트와 웹 서비스 공급자 간에 트러스트 관계를 구축한 다음 양자 간의 트러스트를 중개합니다. 웹 서비스는 여러 클라이언트와 통신할 필요 없이 하나의 entity?OpenSSO STS?에서 발행된 토큰을 신뢰할 수 있습니다. 이를 통해 OpenSSO STS는 트러스트 포인트 관리 오버헤드를 크게 줄입니다.
다음 섹션에는 보안 토큰 필요성을 확인하고 이러한 필요성을 충족하는 보안 토큰을 생성 및 유효성 검사하도록 보안 토큰 서비스를 구성하기 위한 지시사항이 제공됩니다.
OpenSSO STS에 웹 서비스 공급자 등록
새 웹 서비스 공급자 보안 에이전트 프로필을 추가하는 경우 웹 서비스 공급자는 OpenSSO STS에 자동으로 등록됩니다. 자세한 내용은 다음 섹션을 참조하십시오.
웹 서비스 공급자를 OpenSSO STS에 등록하면 웹 서비스 공급자가 사용할 수 있는 웹 클라이언트 보안 토큰을 생성하도록 OpenSSO STS를 구성할 수 있습니다.
OpenSSO STS에서 웹 서비스 클라이언트 보안 토큰 요청
웹 클라이언트 보안 토큰을 생성하도록 보안 토큰 서비스를 구성하려면 웹 서비스 공급자에게 필요한 보안 토큰의 종류를 확인해야 합니다. OpenSSO STS는 Liberty Alliance 프로젝트 보안 토큰 및 웹 서비스 상호 운영성 기본 보안 프로필 보안 토큰을 지원합니다.
보안 토큰 생성 프로세스 흐름
Liberty Alliance 프로젝트 토큰, HTTP 클라이언트 또는 브라우저를 사용하여 보안을 사용 설정하는 경우 웹 서비스 클라이언트를 통해 웹 서비스 공급자로 액세스 요청을 보냅니다. 웹 서비스 보안 에이전트는 요청을 OpenSSO STS 인증 서비스로 리디렉션합니다. Liberty Alliance 프로젝트 보안 메커니즘이 존재하는 경우 HTTP 보안 에이전트는 리디렉션을 발행합니다. WS-IBS 보안이 사용되는 경우 SOAP 보안 에이전트가 리디렉션을 발행합니다.
OpenSSO STS 인증 서비스는 웹 서비스 공급자가 등록한 보안 메커니즘을 확인하고 적절한 보안 토큰을 검색합니다. 인증에 성공하면 웹 서비스 클라이언트가 SOAP 메시지 본문을 제공하고 웹 서비스측의 SOAP 보안 에이전트는 보안 헤더와 토큰을 삽입합니다. 그런 다음 요청이 WSP에 전송되기 전에 메시지가 서명됩니다.
웹 서비스 공급자 자체에 요청을 전달하기 전에 웹 서비스 공급자측의 SOAP 보안 에이전트가 SOAP 요청의 서명 및 보안 토큰을 확인합니다. 그런 다음 웹 서비스 공급자는 이를 처리하고 SOAP 보안 에이전트에서 서명한 응답을 웹 서비스 클라이언트에 다시 반환합니다. 그런 다음 응답을 웹 서비스 클라이언트로 전달하기 전에 웹 서비스 클라이언트측의 SOAP 보안 에이전트가 서명을 확인합니다.
다음 표는 Liberty Alliance 프로젝트 트랜잭션에 지원되는 토큰 목록과 간단한 설명을 제공합니다.
표 3–1 요청자 토큰 - Liberty Alliance 프로젝트
다음 표는 WS-IBS 트랜잭션에 지원되는 토큰 목록과 간단한 설명을 제공합니다.
표 3–2 요청자 토큰 - WS-IBS
보안 토큰 생성 매트릭스 사용
보안 토큰 생성 매트릭스를 사용하면 웹 서비스 공급자에 필요한 웹 서비스 클라이언트 보안 토큰을 생성하도록 OpenSSO STS를 구성하는 데 도움이 됩니다. 먼저 OpenSSO STS 출력 토큰이라는 마지막 열에서 웹 서비스 공급자 토큰 요구 사항을 충족하는 설명을 찾습니다. 그런 다음 보안 토큰 서비스를 구성할 때 동일한 행의 매개 변수 값을 사용합니다. "토큰 생성 매트릭스 범례"는 테이블 제목 및 사용 가능한 옵션에 대한 정보를 제공합니다. 자세한 구성 지시사항은 5.2.3절, "보안 토큰 서비스를 구성하는 방법"을 참조하십시오. 웹 서비스 보안 및 관련 용어에 대한 일반 정보는 다음을 참조하십시오.
-
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
-
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
보안 토큰 생성 매트릭스에는 자주 사용되는 보안 토큰 서비스 매개 변수 설정과 이러한 설정을 기반으로 하여 OpenSSO STS가 생성하는 보안 토큰 유형이 요약되어 있습니다.
표 3–3 보안 토큰 생성 매트릭스|
행 |
메시지 수준 보안 바인딩 |
웹 서비스 클라이언트 토큰 |
KeyType |
OnBehalfOf Token |
사용 키 |
OpenSSO STS 출력 토큰 |
|
1 |
비대칭 |
X509 |
Bearer |
예 |
아니요 |
SAML Bearer, 증명 키 없음 |
|
2 |
비대칭 |
사용자 이름 |
Bearer |
예 |
아니요 |
SAML Bearer, 증명 키 없음 |
|
3 |
비대칭 |
X509 |
Bearer |
아니요 |
아니요 |
SAML Bearer, 증명 키 없음 |
|
4 |
비대칭 |
사용자 이름 |
Bearer |
아니요 |
아니요 |
SAML Bearer, 증명 키 없음 |
|
5 |
비대칭 |
X509 |
대칭 |
예 |
아니요 |
SAML Holder-of-Key, 대칭 증명 키 |
|
6 |
비대칭 |
사용자 이름 |
대칭 |
예 |
아니요 |
SAML Holder-of-Key, 대칭 증명 키 |
|
7 |
비대칭 |
X509 |
대칭 |
아니요 |
아니요 |
SAML Holder-of-Key, 대칭 |
|
8 |
비대칭 |
사용자 이름 |
대칭 |
아니요 |
아니요 |
SAML Holder-of-Key, 대칭 증명 키 |
|
9 |
비대칭 |
X509 |
비대칭 |
아니요 |
웹 서비스 클라이언트 공개 키 |
SAML Holder-of-Key, 비대칭 증명 키 |
|
10 |
비대칭 |
X509 |
SAML sender-vouches에 대한 Oracle 독점 |
예 |
아니요 |
SAML sender-vouches, 증명 키 없음 |
|
11 |
비대칭 |
사용자 이름 |
SAML sender-vouches에 대한 Oracle 독점 |
예 |
아니요 |
SAML sender-vouches, 증명 키 없음 |
|
12 |
비대칭 |
X509 |
SAML sender-vouches에 대한 Oracle 독점 |
아니요 |
아니요 |
오류 |
|
13 |
비대칭 |
사용자 이름 |
SAML sender-vouches에 대한 Oracle 독점 |
아니요 |
아니요 |
오류 |
|
14 |
전송 |
사용자 이름 |
Bearer |
예 |
아니요 |
SAML Bearer, 증명 키 없음 |
|
15 |
전송 |
사용자 이름 |
Bearer |
아니요 |
아니요 |
SAML Bearer, 증명 키 없음 |
|
16 |
전송 |
사용자 이름 |
대칭 |
예 |
아니요 |
SAML Holder-of-Key, 대칭 |
|
17 |
전송 |
사용자 이름 |
대칭 |
아니요 |
아니요 |
SAML Holder-of-Key, 대칭 증명 키 |
|
18 |
전송 |
사용자 이름 |
SAML sender-vouches에 대한 Oracle 독점 |
예 |
아니요 |
SAML sender-vouches, 증명 키 없음 |
|
19 |
전송 |
사용자 이름 |
SAML sender-vouches에 대한 Oracle 독점 |
아니요 |
아니요 |
오류 |
|
20 |
비대칭 |
사용자 이름 |
비대칭 |
아니요 |
웹 서비스 클라이언트 공개 키 |
오류 |
|
21 |
전송 |
사용자 이름 |
비대칭 |
아니요 |
웹 서비스 클라이언트 공개 키 |
오류 |
|
22 |
비대칭 |
X509 |
비대칭 |
예 |
아니요 |
오류 |
|
23 |
비대칭 |
사용자 이름 |
비대칭 |
예 |
아니요 |
오류 |
|
24 |
전송 |
사용자 이름 |
비대칭 |
예 |
아니요 |
오류 |
|
25 |
비대칭 |
X509 |
비대칭 |
아니요 |
아니요 |
SAML Holder-of-Key, 비대칭 증명 키 |
|
26 |
비대칭 |
X509 |
아니요 |
아니요 |
아니요 |
SAML Holder-of-Key, 비대칭 증명 키 |
|
27 |
비대칭 |
사용자 이름 |
아니요 |
아니요 |
아니요 |
SAML Holder-of-Key, 대칭 증명 키 |
|
28 |
전송 |
사용자 이름 |
아니요 |
아니요 |
아니요 |
SAML Holder-of-Key, 대칭 증명 키 |
보안 토큰 서비스 문제 및 해결 방법
개발할 항목
구성 문제 및 해결 방법
개발할 항목
설명서 오류 정보
개발할 항목
- © 2010, Oracle Corporation and/or its affiliates