Liberty 프로파일을 위한 TAI 구성

TAI(Trust Association Interceptors)를 사용하여 써드파티 보안 서비스와 통합하도록 Liberty 프로파일을 구성할 수 있습니다. 싱글 사인온(SSO) 이전 또는 이후에 TAI를 호출할 수 있습니다.

시작하기 전에

써드파티 보안 서버를 리버스 프록시 서버로 이미 설치했는지 확인하십시오. Liberty 프로파일 서버가 고유 권한 정책을 결과 신임 정보(프록시 서버가 전달)에 적용하면 써드파티 보안 서버는 프론트 엔드 인증 서버로 작용할 수 있습니다. 또한 com.ibm.wsspi.security.tai.TrustAssociationInterceptor 인터페이스를 구현하는 사용자 정의 TAI 클래스를 포함하는 JAR 파일도 있어야 합니다.
참고: 이 JAR 파일의 변경사항 모니터링은 지원되지 않습니다.

이 태스크 정보

TAI는 써드파티 보안 서버와 Liberty 프로파일 서버 사이에서 HTTP 요청의 유효성 검증에 사용됩니다. TAI는 써드파티 보안 서버의 HTTP 요청을 조사하여 보안 속성을 포함하는지 여부를 확인합니다. TAI에 의한 요청의 유효성 검증 프로세스에 성공하면, Liberty 프로파일 서버는 클라이언트 사용자에게 자원에 액세스하는 데 필요한 권한이 있는지 여부를 검사하여 요청에 권한을 부여합니다.

LTPA에 대한 사용자 정의 TAI 및 SSO 구성에 대한 자세한 정보는 Liberty 프로파일에 대한 사용자 정의 TAI 개발Liberty 프로파일에 대해 LTPA 쿠키를 사용하여 SSO 구성 사용자 정의의 내용을 참조하십시오.

분산 플랫폼용개발자 도구를 사용하여 TAI 서비스를 구성할 수도 있습니다. 도구 지원에 대한 자세한 정보는 개발자 도구를 사용하여 Liberty 프로파일에 TAI 구성의 내용을 참조하십시오.

프로시저

  1. server.xml 파일에서 appSecurity-2.0 Liberty 기능을 사용 가능하게 설정하십시오.
    <featureManager>
        <feature>appSecurity-2.0</feature>
    </featureManager>
  2. Liberty 프로파일 서버에 애플리케이션을 배치하고 모든 Liberty 기능(예: jsp-2.2jdbc-4.0)을 사용하십시오.
  3. TAI 구현 라이브러리 simpleTAI.jar를 서버 디렉토리에 배치하십시오.
  4. server.xml 파일을 TAI 구현 라이브러리의 위치 및 TAI 구성 옵션으로 업데이트하십시오.
    다음 server.xml 파일에서는 사용자 정의 TAI가 사용되지만 보호되지 않는 URI에 대한 인증을 수행하지 않으며 TAI 인증에 실패하는 경우 애플리케이션 인증 메소드에 대한 폴백을 허용하지 않습니다. 예제에서 보는 것처럼, TAI 지원을 위해 다음과 같은 구성 요소를 사용할 수 있습니다.
    • trustAssociation
    • interceptors
    • properties
    <trustAssociation id="myTrustAssociation" invokeForUnprotectedURI="false" failOverToAppAuthType="false">
        <interceptors id="simpleTAI" enabled="true"  
                      className="com.sample.SimpleTAI" 
                      invokeBeforeSSO="true" invokeAfterSSO="false" libraryRef="simpleTAI"> 
            <properties prop1="value1" prop2="value2"/>
    
        </interceptors>
    </trustAssociation>
    
    <library id="simpleTAI">
        <fileset dir="${server.config.dir}" includes="simpleTAI.jar"/>      
    </library>
    ...    

    참고: 특성 이름은 마침표(.), config. 또는 service로 시작할 수 없습니다. 또한, 특성 이름 id 또는 ID는 허용되지 않습니다.
    참고: 기본적으로 invokeBeforeSSO 특성은 true로 설정됩니다. 이 설정을 사용하면 SSO 토큰이 존재하고 유효한 경우에도 TAI가 호출됩니다. 그러나 SSO 토큰이 유효하지 않거나 존재하지 않는 경우에만 TAI를 호출할 것으로 예상되는 경우, 이 특성을 false로 설정하여 사용하지 않고 invokeAfterSSO 특성을 사용할 수 있습니다. 이 설정을 사용하면 SSO 토큰이 존재하지 않거나 유효하지 않은 경우에만 TAI가 호출됩니다. 일부 경우에 이 설정은 시스템의 성능을 향상시킬 수 있습니다.

    <trustAssociation>, <interceptors>, <properties> 요소에 대한 자세한 정보는 server.xml 파일의 구성 요소도 참조하십시오.


주제의 유형을 표시하는 아이콘 태스크 주제

Information Center 이용 약관 | 피드백


시간소인 아이콘 마지막 업데이트 날짜: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_tai
파일 이름: twlp_sec_tai.html