WCF-WSHttp 전송 속성 대화 상자, 수신, 보안 탭

 

보안 탭을 사용하여 WCF-WSHttp 수신 어댑터의 보안 기능을 정의합니다.

사용 항목 원하는 작업
보안 모드 사용할 보안 유형을 지정합니다. 유효한 값은 다음과 같습니다.

- 없음: 전송 중에 메시지가 보호되지 않습니다.
- 전송: HTTPS 전송을 사용하여 보안이 제공됩니다. SOAP 메시지는 HTTPS를 통해 보안이 유지됩니다. 이 모드를 사용하려면 Microsoft IIS(인터넷 정보 서비스)에서 SSL(Secure Sockets Layer)을 설정해야 합니다.
- 메시지: 보안은 HTTP 전송을 통해 SOAP 메시지 보안을 사용하여 제공됩니다. 기본적으로 SOAP Body 는 암호화 및 서명됩니다. 이 모드는 대역 외 클라이언트에서 서비스 자격 증명을 사용할 수 있는지 여부, 사용할 알고리즘 집합 등 다양한 기능을 제공합니다. 이 보안 모드에서 메시지 클라이언트 자격 증명 유형 속성에 대해 None, Certificate 또는 UserName을 선택하는 경우 서비스 인증서 - 지문 속성을 통해 이 수신 위치에 대한 서비스 인증서를 제공해야 합니다.
- TransportWithMessageCredential: 무결성, 기밀성 및 서비스 인증은 HTTPS 전송에서 제공됩니다. 이 모드를 사용하려면 Microsoft IIS(인터넷 정보 서비스)에서 SSL(Secure Sockets Layer)을 설정해야 합니다.

기본값은 Message입니다.
전송 클라이언트 자격 증명 유형 클라이언트 인증 수행에 사용할 자격 증명 유형을 지정합니다. 유효한 값은 다음과 같습니다.

- 없음: 전송 수준에서 인증이 발생하지 않습니다.
- 기본: 기본 인증. 이 인증에서는 사용자 이름과 암호가 네트워크에서 일반 텍스트로 전송됩니다. 자격 증명에 해당하는 도메인 사용자 계정이나 로컬 사용자 계정을 만들어야 합니다.
- 다이제스트: 다이제스트 인증. 이 인증 방법은 보안을 강화하기 위해 암호가 해시 값으로 네트워크로 전송된다는 점을 제외하고는 기본 인증과 같습니다. 다이제스트 인증은 Windows Server 운영 체제 인증을 실행하는 도메인 컨트롤러가 있는 도메인에서만 사용할 수 있습니다. 클라이언트 자격 증명에 해당하는 도메인 사용자 계정이나 로컬 사용자 계정을 만들어야 합니다.
- Ntlm: NTLM 인증. 클라이언트는 이 수신 위치로 암호를 보내지 않고 자격 증명을 보낼 수 있습니다. 클라이언트 자격 증명에 해당하는 도메인 사용자 계정이나 로컬 사용자 계정을 만들어야 합니다.
- Windows: 통합 인증을 Windows. Windows Communication Foundation은 Kerberos 또는 NTLM 사이에서 협상하며 도메인이 있을 경우 Kerberos를 사용합니다. Kerberos를 사용하려면 클라이언트가 SPN(서비스 사용자 이름)으로 서비스를 식별하도록 해야 합니다. 클라이언트 자격 증명에 해당하는 도메인 사용자 계정이나 로컬 사용자 계정을 만들어야 합니다.
- 인증서: 클라이언트 인증서를 사용하는 클라이언트 인증입니다. 클라이언트가 이 수신 위치에 대해 인증될 수 있도록 이 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 클라이언트 X.509 인증서에 대한 CA 인증서 체인을 설치해야 합니다. 참고:전송 클라이언트 자격 증명 형식 속성은 이 수신 위치를 호스팅하는 IIS 가상 디렉터리의 인증 체계와 일치해야 합니다. 예를 들어 이 속성을 Windows로 설정하면 Windows를 호스팅하는 가상 디렉터리에 대해서도 Windows 통합 인증 을 설정해야 합니다. 마찬가지로 이 속성을 없음으로 설정하면 이 수신 위치를 호스트하는 가상 디렉터리에 대한 익명 액세스를 허용해야 합니다.

기본값은 Windows.
인증서 메시지 기반 보안을 사용하여 클라이언트 인증 수행에 사용할 자격 증명 유형을 지정합니다. 유효한 값은 다음과 같습니다.

- 없음: 서비스가 익명 클라이언트와 상호 작용하도록 허용합니다. 이는 이 수신 위치에서 클라이언트 자격 증명을 요구하지 않음을 나타냅니다.
- Windows: SOAP 교환이 Windows 자격 증명의 인증된 컨텍스트 아래에 있도록 허용합니다. 클라이언트 자격 증명에 해당하는 도메인 사용자 계정이나 로컬 사용자 계정을 만들어야 합니다.
- UserName: 이 수신 위치에서 UserName 자격 증명을 사용하여 클라이언트를 인증하도록 허용합니다. 클라이언트 자격 증명에 해당하는 도메인 사용자 계정이나 로컬 사용자 계정을 만들어야 합니다.
- 인증서: 클라이언트는 클라이언트 인증서를 사용하여 이 수신 위치에 인증됩니다. 클라이언트가 이 수신 위치에 대해 인증될 수 있도록 이 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 클라이언트 X.509 인증서에 대한 CA 인증서 체인을 설치해야 합니다. 참고:메시지 클라이언트 자격 증명 유형 속성은 이 수신 위치를 호스팅하는 IIS 가상 디렉터리의 인증 체계와 일치해야 합니다. 예를 들어 이 속성을 Windows로 설정하면 Windows를 호스팅하는 가상 디렉터리에 대해서도 Windows 통합 인증 을 설정해야 합니다. 마찬가지로 이 속성을 없음으로 설정하면 이 수신 위치를 호스트하는 가상 디렉터리에 대한 익명 액세스를 허용해야 합니다.

기본값은 Windows.
알고리즘 집합 메시지 암호화 및 키 랩 알고리즘을 지정합니다. 이러한 알고리즘은 보안 정책 언어(WS-SecurityPolicy) 사양에 지정된 알고리즘에 매핑됩니다. 가능한 값은 다음과 같습니다.

- Basic128: Aes128 암호화, 메시지 다이제스트의 경우 Sha1, 키 래핑에 Rsa-oaep-mgf1p를 사용합니다.
- Basic128Rsa15: 메시지 암호화에 Aes128, 메시지 다이제스트의 경우 Sha1, 키 래핑에 Rsa15를 사용합니다.
- Basic128Sha256: 메시지 암호화에는 Aes256, 메시지 다이제스트에는 Sha256, 키 래핑에는 Rsa-oaep-mgf1p를 사용합니다.
- Basic128Sha256Rsa15: 메시지 암호화에는 Aes128, 메시지 다이제스트에는 Sha256, 키 래핑에는 Rsa15를 사용합니다.
- Basic192: Aes192 암호화, 메시지 다이제스트의 경우 Sha1, 키 래핑에 Rsa-oaep-mgf1p를 사용합니다.
- Basic192Rsa15: 메시지 암호화에는 Aes192, 메시지 다이제스트에는 Sha1, 키 래핑에는 Rsa15를 사용합니다.
- Basic192Sha256: 메시지 암호화에는 Aes192, 메시지 다이제스트에는 Sha256, 키 래핑에는 Rsa-oaep-mgf1p를 사용합니다.
- Basic192Sha256Rsa15: 메시지 암호화에는 Aes192, 메시지 다이제스트에는 Sha256, 키 래핑에는 Rsa15를 사용합니다.
- Basic256: Aes256 암호화, 메시지 다이제스트의 경우 Sha1, 키 래핑에 Rsa-oaep-mgf1p를 사용합니다.
- Basic256Rsa15: 메시지 암호화에는 Aes256, 메시지 다이제스트에는 Sha1, 키 래핑에는 Rsa15를 사용합니다.
- Basic256Sha256: 메시지 암호화에는 Aes256, 메시지 다이제스트에는 Sha256, 키 래핑에는 Rsa-oaep-mgf1p를 사용합니다.
- Basic256Sha256Rsa15: 메시지 암호화에는 Aes256, 메시지 다이제스트에는 Sha256, 키 래핑에는 Rsa15를 사용합니다.
- TripleDes: TripleDes 암호화, 메시지 다이제스트의 경우 Sha1, 키 래핑에 Rsa-oaep-mgf1p를 사용합니다.
- TripleDesRsa15: TripleDes 암호화, 메시지 다이제스트의 경우 Sha1, 키 래핑에 Rsa15를 사용합니다.
- TripleDesSha256: 메시지 암호화에 TripleDes, 메시지 다이제스트의 경우 Sha256, 키 래핑에 Rsa-oaep-mgf1p를 사용합니다.
- TripleDesSha256Rsa15: 메시지 암호화에 TripleDes, 메시지 다이제스트의 경우 Sha256, 키 래핑에 Rsa15를 사용합니다.

기본값은 Basic256입니다.
서비스 자격 증명 협상 유형 대역 외 클라이언트에서 서비스 자격 증명을 제공하거나 협상 프로세스를 통해 서비스에서 클라이언트로 서비스 자격 증명을 가져올 수 있는지 여부를 지정합니다. 그러한 협상은 일반적인 메시지 교환에 앞서 수행됩니다.

메시지 클라이언트 자격 증명 유형 속성이 None, Username 또는 Certificate와 같으면 이 속성을 지우면 서비스 인증서를 대역 외 클라이언트에서 사용할 수 있으며 클라이언트가 서비스 인증서를 지정해야 한다는 의미입니다. 이 모드는 WS-Trust 및 WS-SecureConversation을 구현하는 SOAP 스택과 상호 운용될 수 있습니다.

메시지 클라이언트 자격 증명 형식 '속성이 Windows 설정되면 이 속성을 지우면 Kerberos 기반 인증이 지정됩니다. 이것은 클라이언트와 서비스가 동일한 Kerberos 도메인에 속해야 함을 의미합니다. 이 모드는 Kerberos 토큰 프로필(OASIS WSS TC에서 정의) 그리고 WS-Trust 및 WS-SecureConversation을 구현하는 SOAP 스택과 상호 운용될 수 있습니다.

이 속성을 선택하면 SPNego를 터널링하는 .NET SOAP 협상이 SOAP 메시지를 통해 교환됩니다.

기본적으로 선택되어 있습니다.
보안 컨텍스트 설정 보안 채널에서 보안 세션을 설정할지 여부를 지정합니다. 보안 세션은 애플리케이션 메시지를 교환하기 전에 SCT(보안 컨텍스트 토큰)를 설정합니다. 기본적으로 선택되어 있습니다.
서비스 인증서 - 손 도장(Thumbprint) 클라이언트가 서비스 인증에 사용하는 이 수신 위치에 대한 X.509 인증서의 손 도장(Thumbprint)을 지정합니다. 손 도장은 찾아보기 단추로 현재 사용자 위치의 내 저장소 를 탐색하여 선택할 수 있습니다. 참고: 이 수신 위치를 호스팅하는 수신 처리기에 대한 사용자 계정의 현재 사용자 위치에 서비스 인증서를 설치해야 합니다.

최소 길이: 0

최대 길이: 40

기본값은 빈 문자열입니다.
Single Sign-On 사용 Single Sign-On을 사용하여 SSO 티켓을 발급하기 위한 클라이언트 자격 증명을 검색합니다. 이 옵션은 다음 섹션 "WCF -WSHttp 수신 어댑터의 Enterprise Single Sign-On 지원"에 나열된 보안 구성에만 사용할 수 있습니다.

기본적으로 선택 취소되어 있습니다.

WCF-WSHttp 수신 어댑터의 Enterprise Single Sign-On 지원

WCF-WSHttp 수신 어댑터는 아래 표에 표시된 보안 구성의 SSO 서버에서만 SSO 티켓을 발행할 수 있습니다.

보안 모드 전송 클라이언트 자격 증명 유형 인증서
전송 기본 해당 없음
전송 다이제스트 해당 없음
전송 Ntlm 해당 없음
전송 Windows 해당 없음
전송 MSSQLSERVER에 대한 프로토콜 속성 해당 없음
Message 해당 없음 UserName
TransportWithMessageCredential 해당 없음 UserName

참고 항목

BizTalk 호스트 및 호스트 인스턴스 관리
서비스 계정 및 암호 변경 방법
WCF-WSHttp 수신 위치 구성 방법
WCF 어댑터에 대한 인증서 설치
Isolated WCF 수신 어댑터에 대한 IIS 구성