2.6. Elytron 하위 시스템

elytron 하위 시스템은 JBoss EAP 7.1에서 도입되었습니다. 전체 애플리케이션 서버에서 보안을 통합하는 데 사용되는 보안 프레임워크인 WildFly Elytron 프로젝트를 기반으로 합니다. elytron 하위 시스템을 사용하면 애플리케이션과 관리 인터페이스를 모두 보호할 수 있는 단일 구성 지점을 사용할 수 있습니다. WildFly Elytron은 기능 맞춤형 구현을 제공하고 elytron 하위 시스템과의 통합을 위한 API 및 SPI도 제공합니다.

또한 WildFly Elytron에는 몇 가지 중요한 기능이 있습니다.

  • HTTP 및 SASL 인증을 위한 인증 메커니즘 강화.
  • SecurityIdentities를 보안 도메인 전체에서 전파할 수 있는 향상된 아키텍처. 이렇게 하면 권한 부여에 사용할 수 있는 투명한 변환이 보장됩니다. 이 변환은 구성 가능한 역할 디코더, 역할 매퍼 및 권한 매퍼를 사용하여 수행됩니다.
  • 암호화 제품군 및 프로토콜을 포함한 SSL/TLS 구성을 위한 중앙 집중식 지점.
  • 빠른 SecureIdentity 구축 및 SSL/TLS 연결 구축에 대한 권한 부여와 같은 SSL/TLS 최적화. 빠른 SecureIdentity 구축으로 인해 요청별로 SecureIdentity 를 구축할 필요가 없습니다. SSL/TLS 연결을 설정하기 위한 인증을 긴밀하게 연결하면 첫 번째 요청을 수신하는 데 사용 권한 검사가 수행됩니다.
  • 이전 vault 구현을 대체하여 일반 텍스트 문자열을 저장하는 보안 자격 증명 저장소입니다.

elytron 하위 시스템은 레거시 보안 하위 시스템 및 레거시 코어 관리 인증과 동시에 존재합니다. 레거시 및 Elytron 방법 둘 다 관리 인터페이스를 보호하고 애플리케이션의 보안을 제공하는 데 사용할 수 있습니다.

중요

PicketBox를 기반으로 하는 Elytron의 아키텍처와 레거시 보안 하위 시스템은 매우 다릅니다. Elytron을 사용하면 현재 운영 중인 동일한 보안 환경에서 운영할 수 있는 솔루션을 만들려는 시도가 이루어졌습니다. 그러나 모든 PicketBox 구성 옵션이 Elytron에서 동등한 구성 옵션을 갖는 것은 아닙니다.

레거시 보안 구현을 사용할 때 보유하고 있는 Elytron을 사용하여 유사한 기능을 달성할 수 있도록 문서에서 정보를 찾을 수 없는 경우 다음 방법 중 하나로 도움을 얻을 수 있습니다.

2.6.1. 핵심 개념 및 구성 요소

elytron 하위 시스템의 아키텍처 및 설계의 기본 개념은 더 작은 구성 요소를 사용하여 전체 보안 정책을 어셈블하는 것입니다. 기본적으로 JBoss EAP는 많은 구성 요소에 대한 구현을 제공하지만, elytron 하위 시스템에서는 특수 사용자 지정 구현을 제공할 수도 있습니다.

'elytron' 하위 시스템에서 구성 요소의 각 구현은 개별 기능으로 처리됩니다. 즉, 개별 리소스를 사용하여 서로 다른 구현을 혼합, 일치 및 모델링할 수 있습니다.

2.6.1.1. 기능 및 요구 사항

기능은 JBoss EAP에서 사용되는 기능 중 하나이며 관리 계층을 사용하여 노출됩니다. 한 기능은 다른 기능에 따라 달라질 수 있으며 이러한 종속성은 관리 계층에 따라 조정됩니다. 일부 기능은 JBoss EAP에서 자동으로 제공되지만 런타임 시 사용 가능한 전체 기능 집합은 JBoss EAP 구성을 사용하여 결정됩니다. 관리 계층은 다른 기능에 필요한 모든 기능이 서버 시작 중에 그리고 구성을 변경할 때 표시되는지 확인합니다. 기능은 JBoss 모듈 및 확장 기능과 통합되지만 둘 다 고유한 개념입니다.

의존하는 다른 기능을 등록하는 것 외에도, 기능은 해당 기능과 관련된 일련의 요구 사항을 등록해야 합니다. 기능은 다음과 같은 유형의 요구 사항을 지정할 수 있습니다.

하드 요구 사항
기능은 다른 기능에 따라 작동하므로 항상 존재해야 합니다.
선택적 요구 사항
기능의 선택적인 측면은 활성화할 수 있거나 활성화할 수 없는 다른 기능에 따라 다릅니다. 따라서 구성을 분석할 때까지 요구 사항을 결정하거나 알 수 없습니다.
런타임 전용 요구 사항
기능은 런타임에 필요한 기능이 있는지 확인합니다. 필요한 기능이 있는 경우 이 기능이 사용됩니다. 필요한 기능이 없으면 사용되지 않습니다.

기능 및 요구 사항에 대한 자세한 내용은 WildFly 설명서에서 확인할 수 있습니다.

2.6.1.2. API, SPI 및 사용자 정의 구현

Elytron은 다른 하위 시스템과 소비자가 직접 사용할 수 있도록 보안 API 및 SPI 세트를 제공하므로 통합 오버헤드가 줄어듭니다. 대부분의 사용자는 제공된 JBoss EAP 기능을 사용하지만 맞춤형 구현에서는 Elytron API 및 SPI를 사용하여 Elytron 기능을 교체하거나 확장할 수도 있습니다.

2.6.1.3. 보안 도메인

보안 도메인은 하나 이상의 보안 영역과 변환을 수행하는 리소스 집합에서 지원하는 보안 정책을 나타냅니다. 보안 도메인은 SecurityIdentity 를 생성합니다. SecurityIdentity 는 애플리케이션과 같이 권한을 수행하는 다른 리소스에서 사용합니다. SecurityIdentity 는 원시 AuthorizationIdentity 및 관련 역할 및 권한을 기반으로 하는 현재 사용자의 표현입니다.

다른 보안 도메인에서 SecurityIdentity흐름을 허용하도록 보안 도메인을 구성할 수도 있습니다. ID가 유입되면 원래의 AuthorizationIdentity 가 유지되고 새 역할 및 권한 집합이 할당되어 새 SecurityIdentity 가 생성됩니다.

중요

배포는 배포당 하나의 Elytron 보안 도메인 사용으로 제한됩니다. 여러 레거시 보안 도메인이 필요한 시나리오는 이제 하나의 Elytron 보안 도메인을 사용하여 수행할 수 있습니다.

2.6.1.4. 보안 영역

보안 영역은 ID 저장소에 대한 액세스를 제공하며 자격 증명을 가져오는 데 사용됩니다. 이러한 자격 증명을 사용하면 인증 메커니즘이 인증을 수행하기 위한 원시 AuthorizationIdentity 를 얻을 수 있습니다. 또한 인증 메커니즘이 증거를 검증할 때 검증을 수행할 수 있습니다.

하나 이상의 보안 영역을 보안 도메인과 연결할 수 있습니다. 일부 보안 영역 구현에서는 수정을 위한 API도 노출하므로 보안 영역에서 기본 ID 저장소를 업데이트할 수 있습니다.

2.6.1.5. 역할 종료자

역할 디코더는 보안 도메인과 연결되며 현재 사용자의 역할을 디코딩하는 데 사용됩니다. 역할 디코더는 보안 영역에서 반환된 원시 AuthorizationIdentity 를 가져와서 속성을 역할로 변환합니다.

2.6.1.6. 역할 매퍼

역할 매퍼는 역할 수정을 ID에 적용합니다. 이는 역할의 형식을 정규화하는 것에서 특정 역할을 추가하거나 제거하는 데 이르기까지 다양합니다. 역할 매퍼는 보안 도메인뿐만 아니라 두 보안 영역과 연결할 수 있습니다. 역할 매퍼가 보안 영역과 연결된 경우, 역할 매핑을 보안 영역 수준에서 적용한 후 역할 디코딩 또는 추가 역할 매핑이 보안 도메인 수준에서 수행됩니다. 역할 매퍼와 역할 디코더와 같은 다른 변환이 보안 도메인에 구성된 경우 역할 매퍼를 적용하기 전에 다른 모든 변환이 수행됩니다.

2.6.1.7. 권한 매퍼

권한 매퍼는 보안 도메인과 연결되며 권한 집합을 SecurityIdentity 에 할당합니다.

2.6.1.8. 수석 혁신자

주요 변환기는 elytron 하위 시스템 내의 여러 위치에서 사용할 수 있습니다. 주요 변환기는 이름을 다른 이름으로 변환하거나 매핑할 수 있습니다.

2.6.1.9. Princders

주요 디코더는 elytron 하위 시스템 내의 여러 위치에서 사용할 수 있습니다. 주체 디코더는 주체 에서 이름의 문자열 표시로 ID를 변환합니다. 예를 들어 X500PrincipalDecoder 를 사용하면 X500Principal 을 인증서의 고유 이름에서 문자열 표시로 변환할 수 있습니다.

2.6.1.10. 영역 매퍼

영역 매퍼는 보안 도메인과 연결되며 보안 도메인에 여러 보안 영역이 구성된 경우 사용됩니다. 영역 매퍼는 http-authentication-factory 및 sasl -authentication-factory메커니즘 또는 메커니즘 과도 연결할 수 있습니다. 영역 매퍼는 인증 중에 제공된 이름을 사용하여 인증 및 원시 AuthorizationIdentity 를 가져올 보안 영역을 선택합니다.

2.6.1.11. 인증 정보

인증 팩토리는 인증 정책을 나타냅니다. 인증은 보안 도메인, 메커니즘 팩토리 및 메커니즘 선택기와 연결됩니다. 보안 도메인은 인증할 SecurityIdentity 를 제공하고, 메커니즘 팩토리는 서버 측 인증 메커니즘을 제공하며, 메커니즘 선택기는 선택한 메커니즘과 관련된 구성을 가져오는 데 사용됩니다. 메커니즘 선택기에는 원격 클라이언트에 있어야 하는 영역 이름에 대한 정보와 인증 프로세스 중에 사용할 추가 주요 변환기 및 영역 매퍼가 포함될 수 있습니다.

2.6.1.12. KeyStores

키 저장소 는 키 저장소 유형, 해당 위치 및 액세스하기 위한 자격 증명을 포함한 키 저장소 또는 신뢰 저장소의 정의입니다.

2.6.1.13. 키 관리자

key-manager키 저장소를 참조하며 SSL 컨텍스트와 함께 사용됩니다.

2.6.1.14. 신뢰 관리자

trust-manager키 저장소에 정의되어 있으며 일반적으로 양방향 SSL/TLS의 경우 SSL 컨텍스트와 함께 사용됩니다.

2.6.1.15. SSL 문맥

elytron 하위 시스템 내에 정의된 SSL 컨텍스트는 javax.net.ssl.SSLContext 이므로 SSL 컨텍스트를 직접 사용하는 모든 항목에서 사용할 수 있습니다. SSL 컨텍스트의 일반적인 구성 외에도 암호화 제품군 및 프로토콜과 같은 추가 항목을 구성할 수 있습니다. SSL 컨텍스트는 구성된 추가 항목을 래핑합니다.

2.6.1.16. 보안 인증 정보 저장소

일반 텍스트 문자열 암호화에 사용된 이전 vault 구현이 새로 설계된 자격 증명 저장소로 교체되었습니다. 자격 증명 저장소는 저장하는 자격 증명 보호 외에도 일반 텍스트 문자열을 저장하는 데 사용됩니다.

2.6.2. Elytron 인증 프로세스

여러 주요 변환기, 영역 매퍼 및 주요 디코더를 elytron 하위 시스템 내에서 정의할 수 있습니다. 다음 섹션에서는 인증 프로세스 중에 이러한 구성 요소가 작동하는 방법과 주체가 적절한 보안 영역에 매핑되는 방법에 대해 설명합니다.

주체가 인증되면 다음 단계를 순서대로 수행합니다.

  1. 적절한 메커니즘 구성을 결정하고 구성합니다.
  2. 들어오는 주체는 SecurityIdentity 에 매핑됩니다.
  3. SecurityIdentity 는 적절한 보안 영역을 결정하는 데 사용됩니다.
  4. 보안 영역을 식별하면 주체가 다시 변환됩니다.
  5. 메커니즘별 변환을 지원하는 최종 전환이 발생합니다.

다음 이미지는 각 단계에서 사용되는 구성 요소를 표시하는 것과 함께 왼쪽 열에 강조 표시된 이러한 단계를 보여줍니다.

그림 2.1. Elytron 인증 프로세스

Elytron 인증 프로세스
사전 영역 매핑

사전 영역 매핑 중에 인증된 주체는 사용할 보안 영역을 식별할 수 있으며 인증된 정보를 나타내는 단일 주체 를 포함할 수 있는 SecurityIdentity (보안 ID)에 매핑됩니다. 주요 변환기 및 주요 디코더는 다음 순서로 호출됩니다.

  1. mechanism Realm - pre-realm-principal-transformer
  2. 메커니즘 구성 - pre-realm-principal-transformer
  3. 보안 도메인 - principal-decoderpre-realm-principal-transformer

이 절차에서 null 주체가 발생하면 오류가 발생하고 인증이 종료됩니다.

그림 2.2. 사전 영역 매핑

사전 영역 매핑
영역 이름 맵핑

매핑된 주체를 획득하면 ID를 로드하는 데 사용할 보안 영역이 식별됩니다. 이 시점에서 영역 이름은 보안 도메인에서 참조한 대로 보안 영역에서 정의하는 이름이며 아직 메커니즘 영역 이름이 아닙니다. 구성은 다음 순서로 보안 영역 이름을 찾습니다.

  1. 메커니즘 영역 - realm-mapper
  2. 메커니즘 구성 - realm-mapper
  3. 보안 도메인 - realm-mapper

RealmMapper 가 null을 반환하거나 사용 가능한 매퍼가 없는 경우 보안 도메인의 default-realm 이 사용됩니다.

그림 2.3. 영역 이름 맵핑

영역 이름 맵핑
사후 영역 매핑

영역을 식별하고 나면 주체는 또 다른 변환 과정을 거칩니다. 변환기는 다음 순서로 호출됩니다.

  1. mechanism Realm - post-realm-principal-transformer
  2. 메커니즘 구성 - post-realm-principal-transformer
  3. 보안 도메인 - post-realm-principal-transformer

이 절차에서 null 주체가 발생하면 오류가 발생하고 인증이 종료됩니다.

그림 2.4. 사후 영역 매핑

사후 영역 매핑
최종 주체 전환

마지막으로, 도메인별 변환 전후에 메커니즘별 변환을 적용할 수 있는 마지막 주 변환이 발생합니다. 이 단계가 필요하지 않은 경우 post-realm 매핑 단계에서 동일한 결과를 얻을 수 있습니다. 변환기는 다음 순서로 호출됩니다.

  1. mechanism Realm - 최종 주체 변환자
  2. 메커니즘 구성 - 최종 주체-트랜젝터
  3. realm Mapping - principal-transformer

이 절차에서 null 주체가 발생하면 오류가 발생하고 인증이 종료됩니다.

그림 2.5. 최종 주체 전환

최종 주체 전환
Realm Identity 확보

최종 주요 변환 후에 영역 이름 매핑에서 식별되는 보안 영역 은 인증을 계속하는 데 사용되는 영역 ID를 가져오기 위해 호출됩니다.

2.6.3. HTTP 인증

Elytron은 BASIC,FORM,DIGEST,SPNEGOCLIENT_CERT 를 포함한 전체 HTTP 인증 메커니즘 세트를 제공합니다. HTTP 인증은 구성된 인증 메커니즘에 대한 팩토리뿐만 아니라 HTTP 인증 메커니즘을 사용하기 위한 인증 정책인 HttpAuthenticationFactory 를 사용하여 처리됩니다.

HttpAuthenticationFactory 는 다음을 참조합니다.

SecurityDomain
메커니즘 인증이 수행되는 보안 도메인.
HttpServerAuthenticationMechanismFactory
서버 측 HTTP 인증 메커니즘을 위한 일반 팩토리입니다.
MechanismConfigurationSelector
이를 사용하여 인증 메커니즘에 대한 추가 구성을 제공할 수 있습니다. MechanismConfigurationSelector 의 목적은 선택한 메커니즘에 대한 특정 구성을 얻는 것입니다. 여기에는 원격 클라이언트에 메커니즘이 있어야 하는 영역 이름, 인증 프로세스 중에 사용할 추가 주요 변환기, 영역 매퍼에 대한 정보가 포함될 수 있습니다.

2.6.4. SASL 인증

SASL은 인증 메커니즘 자체를 사용하는 프로토콜과 분리하는 인증을 위한 프레임워크입니다. 또한 DIGEST-MD5,GSSAPI,OTPSCRAM 과 같은 추가 인증 메커니즘을 허용합니다. SASL 인증은 Jakarta EE 사양의 일부가 아닙니다. SASL 인증은 구성된 인증 메커니즘에 대한 팩토리뿐만 아니라 SASL 인증 메커니즘을 사용하기 위한 인증 정책인 SaslAuthenticationFactory 를 사용하여 처리됩니다.

SaslAuthenticationFactory 는 다음을 참조합니다.

SecurityDomain
메커니즘 인증이 수행되는 보안 도메인.
SaslServerFactory
서버측 SASL 인증 메커니즘을 위한 일반적인 팩토리.
MechanismConfigurationSelector
이를 사용하여 인증 메커니즘에 대한 추가 구성을 제공할 수 있습니다. MechanismConfigurationSelector 의 목적은 선택한 메커니즘에 대한 특정 구성을 얻는 것입니다. 여기에는 원격 클라이언트에 메커니즘이 있어야 하는 영역 이름, 인증 프로세스 중에 사용할 추가 주요 변환기, 영역 매퍼에 대한 정보가 포함될 수 있습니다.

2.6.5. Elytron Subsystem과 레거시 시스템 간의 상호 작용

레거시 보안 하위 시스템 구성 요소의 일부 주요 구성 요소와 레거시 코어 관리 인증을 Elytron 기능에 매핑할 수 있습니다. 이를 통해 레거시 구성 요소를 Elytron 기반 구성에서 사용할 수 있으며 레거시 구성 요소에서 점진적으로 마이그레이션할 수 있습니다.

2.6.6. Elytron Subsystem의 리소스

JBoss EAP는 elytron 하위 시스템에서 리소스 세트를 제공합니다.

팩토리
aggregate-http-server-mechanism-factory
HTTP 서버 팩토리가 다른 HTTP 서버 팩토리의 집계인 HTTP 서버 팩토리 정의입니다.
aggregate-sasl-server-factory
SASL 서버 팩토리가 다른 SASL 서버 팩토리의 집계인 SASL 서버 팩토리 정의.
configurable-http-server-mechanism-factory
다른 HTTP 서버 팩토리를 래핑하고 지정된 구성 및 필터링을 적용하는 HTTP 서버 팩토리 정의입니다.
configurable-sasl-server-factory
다른 SASL 서버 팩토리를 래핑하고 지정된 구성 및 필터링을 적용하는 SASL 서버 팩토리 정의입니다.
custom-credential-security-factory
사용자 지정 자격 증명 SecurityFactory 정의.
http-authentication-factory

HttpServerAuthenticationMechanismFactory 와 보안 도메인의 연결을 포함하는 리소스입니다.

자세한 내용은 JBoss EAP ID 관리 구성 방법 의 인증서 구성을 참조하십시오.

kerberos-security-factory

인증 중에 사용하기 위한 보안 팩토리입니다.

자세한 내용은 JBoss EAP용 Kerberos로 SSO를 설정하는 방법에서 Elytron 하위 시스템 구성을 참조하십시오.

mechanism-provider-filtering-sasl-server-factory
공급업체를 사용하여 팩토리가 로드된 공급업체별 필터링을 활성화하는 SASL 서버 팩토리 정의입니다.
provider-http-server-mechanism-factory
HTTP 서버 팩토리가 프로바이더 목록에서 팩토리 집계인 HTTP 서버 팩토리 정의입니다.
provider-sasl-server-factory
SASL 서버 팩토리가 공급업체 목록에서 팩토리 집계인 SASL 서버 팩토리 정의.
sasl-authentication-factory

보안 도메인과 SASL 서버 팩토리를 연결하는 리소스.

자세한 내용은 JBoss EAP용 서버 보안 구성 방법에서 새 ID 저장소로 관리 인터페이스 보안 유지를 참조하십시오.

service-loader-http-server-mechanism-factory
HTTP 서버 팩토리가 ServiceLoader 를 사용하여 식별된 팩토리의 집계인 HTTP 서버 팩토리 정의입니다.
service-loader-sasl-server-factory
SASL 서버 팩토리가 ServiceLoader 를 사용하여 식별된 팩토리의 집계인 SASL 서버 팩토리 정의.
수석 혁신자
aggregate-principal-transformer
개별 변환기에서는 게스트가 아닌 주체를 반환할 때까지 원래 주체를 변환하려고 합니다.
chained-principal-transformer
주요 변환기가 다른 주요 변환기의 체인인 주요 변환기 정의.
constant-principal-transformer
주요 변환기는 항상 동일한 상수를 반환하는 주요 변환기 정의입니다.
custom-principal-transformer
사용자 지정 수석 변환기 정의.
regex-principal-transformer
정규 표현식 기반의 주체 변환기.
regex-validating-principal-transformer
정규 표현식을 사용하여 이름을 검증하는 정규 표현식 기반의 주체 변환기입니다.
Princders
aggregate-principal-decoder
주요 디코더가 다른 주요 디코더의 집계인 주요 디코더 정의입니다.
연결-principal-decoder
주요 디코더가 다른 주요 디코더의 연결인 주요 디코더 정의입니다.
constant-principal-decoder
항상 동일한 상수를 반환하는 주체 디코더의 정의.
custom-principal-decoder
사용자 지정 주체 디코더 정의.
x500-attribute-principal-decoder

X500 속성 기반 주요 디코더 정의.

자세한 내용은 JBoss EAP ID 관리 구성 방법 의 인증서 구성을 참조하십시오.

x509-subject-alternative-name-evidence-decoder

X.509 인증서에서 주체로 주체 대체 이름 확장을 사용하는 증거 디코더.

자세한 내용은 How to Configure Server Security for JBoss EAP에서 X.509 Certificate with Subject Alternative Name Extension의 Evidence compreviewder 구성을 참조하십시오.

영역 매퍼
constant-realm-mapper
항상 동일한 값을 반환하는 상수 영역 매퍼의 정의입니다.
custom-realm-mapper
사용자 지정 영역 매퍼 정의.
mapped-regex-realm-mapper
먼저 정규 표현식을 사용하여 영역 이름을 추출하는 영역 매퍼 구현에 대한 정의가 구성된 영역 이름 매핑을 사용하여 변환됩니다.
simple-regex-realm-mapper
정규 표현식에서 캡처 그룹을 사용하여 영역 이름을 추출하려고 시도하는 간단한 영역 매퍼의 정의가 일치 항목을 제공하지 않으면 대신 위임 영역 매퍼가 사용됩니다.
영역
aggregate-realm

두 영역의 집계인 영역 정의(인증 단계용 및 권한 부여 단계의 ID를 로드하기 위한 영역 정의).

참고

내보낸 레거시 보안 도메인은 aggregate-realm 의 권한 부여 단계에 대해 Elytron 보안 영역으로 사용할 수 없습니다.

caching-realm

다른 보안 영역에 캐싱을 활성화하는 영역 정의입니다. 캐싱 전략은 Least Recently Used 로, 최대 항목 수에 도달하면 가장 적게 액세스한 항목이 삭제됩니다.

자세한 내용은 JBoss EAP ID 관리 구성 방법의 보안 realms 에 대한 캐싱 설정을 참조하십시오.

custom-modifiable-realm
수정 가능한 것으로 구성된 사용자 지정 영역은 ModifiableSecurityRealm 인터페이스를 구현해야 합니다. 영역을 수정할 수 있는 관리 작업으로 구성하면 이 영역을 조작할 수 있습니다.
custom-realm
사용자 지정 영역 정의는 s SecurityRealm 인터페이스 또는 ModifiableSecurityRealm 인터페이스를 구현할 수 있습니다. 구현된 인터페이스와 상관없이 영역을 관리하기 위해 관리 작업을 노출하지 않습니다. 그러나 영역에 종속된 다른 서비스는 계속 유형 점검을 수행하고 수정 API에 액세스할 수 있습니다.
filesystem-realm

파일 시스템에서 지원하는 간단한 보안 영역 정의.

자세한 내용은 JBoss EAP용 ID 관리 구성 방법의 파일 시스템 기반 ID 저장소로 인증 구성을 참조하십시오.

identity-realm
ID가 관리 모델에 표시되는 보안 영역 정의.
jdbc-realm

JDBC를 사용하여 데이터베이스에서 지원하는 보안 영역 정의.

자세한 내용은 JBoss EAP용 ID 관리 구성 방법의 데이터베이스 기반 ID 저장소를 사용한 인증 구성을 참조하십시오.

key-store-realm

키 저장소에서 지원하는 보안 영역 정의.

자세한 내용은 JBoss EAP ID 관리 구성 방법 의 인증서 구성을 참조하십시오.

ldap-realm

LDAP에서 지원하는 보안 영역 정의.

자세한 내용은 JBoss EAP용 ID 관리 구성 방법의 LDAP 기반 ID 저장소로 인증 구성을 참조하십시오.

properties-realm

속성 파일에서 지원하는 보안 영역 정의.

JBoss EAP 의 ID 관리를 구성하는 방법의 속성 파일 기반 ID 저장소로 인증을 구성합니다 .

token-realm
보안 토큰에서 ID를 검증하고 추출할 수 있는 보안 영역 정의입니다.
권한 매퍼
custom-permission-mapper
사용자 지정 권한 매퍼 정의.
logical-permission-mapper
논리적 권한 매퍼의 정의.
simple-permission-mapper
단순하게 구성된 권한 매퍼의 정의.
constant-permission-mapper
항상 동일한 상수를 반환하는 권한 매퍼의 정의.
역할 종료자
custom-role-decoder
사용자 지정 RoleDecoder 정의.
simple-role-decoder
단일 특성을 사용하고 역할에 직접 매핑하는 간단한 RoleDecoder 정의.
source-address-role-decoder
클라이언트의 IP 주소를 기반으로 ID에 역할을 할당하는 source-address-role-decoder 의 정의입니다.
aggregate-role-decoder

두 개 이상의 역할 디코더에서 반환한 역할을 집계하는 aggregate-role-decoder 의 정의입니다.

자세한 내용은 JBoss EAP용 ID 관리 구성 방법의 파일 시스템 기반 ID 저장소로 인증 구성을 참조하십시오.

역할 매퍼
add-prefix-role-mapper
제공된 각 항목에 접두사를 추가하는 역할 매퍼의 역할 매퍼 정의입니다.
add-suffix-role-mapper
제공된 각 접미사를 추가하는 역할 매퍼 정의입니다.
aggregate-role-mapper
역할 매퍼가 다른 역할 매퍼의 집계인 역할 매퍼 정의입니다.
constant-role-mapper

일정한 역할 집합이 항상 반환되는 역할 매퍼 정의입니다.

자세한 내용은 JBoss EAP ID 관리 구성 방법 의 인증서 구성을 참조하십시오.

custom-role-mapper
사용자 지정 역할 매퍼 정의.
logical-role-mapper
참조된 역할 매퍼 2개를 사용하여 논리 작업을 수행하는 역할 매퍼의 역할 매퍼 정의.
mapped-role-mapper
역할 이름의 사전 구성된 매핑을 사용하는 역할 매퍼 정의입니다.
regex-role-mapper

정규식을 사용하여 역할을 변환하는 역할 매퍼의 역할 매퍼 정의 예를 들어 "app-admin", "app-operator"를 각각 "admin" 및 "operator"에 매핑할 수 있습니다.

자세한 내용은 regex-role-mapper 특성을 참조하십시오.

SSL 구성 요소
client-ssl-context

연결의 클라이언트 측에서 사용할 SSLContext입니다.

자세한 내용은 How to Configure Server Security for JBoss EAP에서 client-ssl-context 사용을 참조하십시오.

filtering-key-store

키 저장소를 필터링하여 키 저장소를 제공하는 키 저장소 정의 필터링.

자세한 내용은 How to Configure Server Security for JBoss EAP에서 filtering -key-store 사용을 참조하십시오.

key-manager

SSL 컨텍스트를 생성하는 데 사용되는 키 관리자 목록을 생성하기 위한 키 관리자 정의입니다.

자세한 내용은 JBoss EAP의 서버 보안 구성 방법에서 Elytron 하위 시스템을 사용하여 관리 인터페이스에 대한 일방향 SSL/TLS 활성화 를 참조하십시오.

key-store

키 저장소 정의입니다.

자세한 내용은 JBoss EAP의 서버 보안 구성 방법에서 Elytron 하위 시스템을 사용하여 관리 인터페이스에 대한 일방향 SSL/TLS 활성화 를 참조하십시오.

ldap-key-store

LDAP 서버에서 키 저장소를 로드하는 LDAP 키 저장소 정의입니다.

자세한 내용은 How to Configure Server Security for JBoss EAP에서 ldap-key-store 사용을 참조하십시오.

server-ssl-context

연결의 서버 측에서 사용할 SSL 컨텍스트입니다.

자세한 내용은 JBoss EAP의 서버 보안 구성 방법에서 Elytron 하위 시스템을 사용하여 관리 인터페이스에 대한 일방향 SSL/TLS 활성화 를 참조하십시오.

trust-manager

SSL 컨텍스트를 생성하는 데 사용되는 TrustManager 목록을 생성하기 위한 신뢰 관리자 정의입니다.

자세한 내용은 JBoss EAP 서버 보안 구성 방법에서 Elytron 하위 시스템을 사용하여 관리 인터페이스에 대한 양방향 SSL/TLS 사용을 참조하십시오.

기타
aggregate-providers
두 개 이상의 프로바이더 로더 리소스 집계.
authentication-configuration
JBoss EAP에 배포된 클라이언트 및 원격 연결을 만들 때 인증을 위해 기타 리소스에 사용되는 개별 인증 구성 정의입니다.
authentication-context
JBoss EAP 및 기타 리소스에 배포된 클라이언트가 원격 연결을 만들 ssl-context 및 인증 구성을 제공하는 데 사용되는 개별 인증 컨텍스트 정의입니다.
credentials-store

외부 서비스의 암호와 같은 중요한 정보에 대한 별칭을 유지하기 위한 자격 증명 저장소.

자세한 내용은 Create a Credential Store in How to Configure Server Security for JBoss EAP를 참조하십시오.

dir-context

디렉터리(LDAP) 서버에 연결할 구성입니다.

자세한 내용은 How to Configure Server Security for JBoss EAP에서 ldap-key-store 사용을 참조하십시오.

provider-loader
프로바이더 로더 정의.
security-domain

보안 도메인 정의.

자세한 내용은 JBoss EAP ID 관리 구성 방법 의 인증서 구성을 참조하십시오.

보안 속성
설정할 보안 속성 정의입니다.