IBM MQ ConsoleREST API 보안

IBM® MQ ConsoleREST API에 대한 보안은 mqwebuser.xml 파일에서 mqweb 서버 구성을 편집하여 구성됩니다.

이 태스크 정보

mqweb 서버의 로그 파일을 검사하여 사용자 조치를 추적하고 IBM MQ ConsoleREST API 의 사용을 감사할 수 있습니다.

IBM MQ ConsoleREST API 의 사용자는 다음을 사용하여 인증할 수 있습니다.
  • 기본 레지스트리
  • LDAP 레지스트리
  • 로컬 OS 레지스트리
  • z/OS® 의 SAF
  • WebSphere® Liberty 에서 지원하는 기타 레지스트리 유형

IBM MQ Console 사용자 및 REST API 사용자에게 역할을 지정하여 IBM MQ 오브젝트에 부여되는 액세스 레벨을 판별할 수 있습니다. 예를 들어, 메시징을 수행하려면 사용자에게 MQWebUser 역할을 지정해야 합니다. 사용 가능한 역할에 대한 자세한 내용은 다음을 참조하세요. 역할IBMMQ 콘솔 및 REST API .

사용자에게 역할이 지정되고 나면 다수의 방법을 사용하여 사용자를 인증할 수 있습니다. IBM MQ Console를 사용하면 사용자가 사용자 이름 및 비밀번호로 로그인하거나 클라이언트 인증서 인증을 사용할 수 있습니다. REST API 를 사용하면 기본 HTTP 인증, 토큰 기반 인증, 클라이언트 인증서 인증을 사용할 수 있습니다.

프로시저

  1. 사용자를 인증할 사용자 레지스트리를 정의하고 각 사용자 또는 그룹에 역할을 지정하여 사용자 및 그룹에 IBM MQ Console 또는 REST API를 사용할 수 있는 권한을 부여하십시오. 자세한 정보는 사용자 및 역할 구성 의 내용을 참조하십시오.
  2. IBM MQ Console 의 사용자가 mqweb 서버에 대해 인증하는 방법을 선택하십시오. 모든 사용자에 대해 동일한 방법을 사용하지 않아도 됩니다.
    • 사용자가 토큰 인증을 사용하여 인증하게 합니다. 이 경우 사용자는 IBM MQ Console 로그인 화면에 사용자 ID및 비밀번호를 입력합니다. 사용자가 설정된 시간 동안 로그인되어 권한 부여된 상태를 유지할 수 있게 하는 LTPA 토큰이 생성됩니다. 이 인증 옵션을 사용하기 위해 추가 구성은 필요하지 않지만 선택적으로 LTPA 토큰의 만기 시간을 구성할 수 있습니다. 자세한 정보는 LTPA 토큰 만기 간격 구성을 참조하십시오.
    • 사용자가 클라이언트 인증서를 사용하여 인증하게 합니다. 이 경우 사용자는 사용자 ID 또는 비밀번호를 사용하여 IBM MQ Console에 로그인하지 않고 대신 클라이언트 인증서를 사용합니다. 자세한 정보는 REST API및 IBM MQ 콘솔을 사용하여 클라이언트 인증서 인증 구성을 참조하십시오.
  3. REST API 의 사용자가 mqweb 서버에 대해 인증하는 방법을 선택하십시오. 모든 사용자에 대해 동일한 방법을 사용하지 않아도 됩니다.
    • 사용자가 HTTP 기본 인증을 사용하여 인증하게 합니다. 이 경우 사용자 이름 및 비밀번호가 인코딩되지만 암호화되지 않으며 각 REST API 요청과 함께 전송되어 해당 요청에 대해 사용자를 인증하고 권한을 부여합니다. 이 인증에 보안을 설정하려면 보안 연결을 사용해야 합니다. 즉, HTTPS를 사용해야 합니다. 더 자세한 정보는 REST API와 함께 HTTP 기본 인증을 사용하는 방법을 참고하세요.
    • 사용자가 토큰 인증을 사용하여 인증하게 합니다. 이 경우, 사용자는 HTTP REST API login 리소스에 사용자 ID와 비밀번호를 제공합니다. 사용자가 설정된 시간 동안 로그인되어 권한 부여된 상태를 유지할 수 있게 하는 LTPA 토큰이 생성됩니다. 자세한 정보는 REST API에서 토큰 기반 인증 사용을 참조하십시오.

      이 인증에 보안을 설정하려면 보안 연결을 사용해야 합니다. 즉, HTTPS를 사용해야 합니다. 하지만 HTTP 연결을 사용하는 경우 HTTP 연결을 위해 발행되는 LTPA 토큰을 HTTP 연결에 사용할 수 있도록 합니다. 자세한 정보는 LTPA 토큰 구성을 참조하십시오.

    • 사용자가 클라이언트 인증서를 사용하여 인증하게 합니다. 이 경우 사용자는 사용자 ID 또는 비밀번호를 사용하여 REST API에 로그인하지 않고 대신 클라이언트 인증서를 사용합니다. 자세한 정보는 REST API및 IBM MQ 콘솔을 사용하여 클라이언트 인증서 인증 구성을 참조하십시오.
  4. 선택사항: REST API에 대한 CORS (Cross Origin Resource Sharing) 를 구성하십시오.

    기본적으로 웹 브라우저는 스크립트가 REST API 동일한 출처가 아닌 경우 JavaScript, 같은 스크립트가 REST API 호출하는 것을 허용하지 않습니다. 즉, 원본 간 요청이 사용으로 설정되지 않습니다. 지정된 URL로부터의 원본 간 요청을 허용하도록 CORS(Cross Origin Resource Sharing)를 구성할 수 있습니다. 자세한 정보는 REST API에 대한 CORS 구성을 참조하십시오.

  5. 선택사항: IBM MQ ConsoleREST API에 대한 호스트 헤더 유효성 검증을 구성하십시오.

    호스트 헤더 유효성 검증을 구성하고 호스트 이름 및 포트의 허용 목록을 작성하여 특정 호스트 헤더를 포함하는 요청만 IBM MQ ConsoleREST API에서 처리되도록 할 수 있습니다. 자세한 정보는 IBM MQ 콘솔 및 REST API에 대한 호스트 헤더 유효성 검증 구성을 참조하십시오.