다음을 통해 공유

서비스 ID 샘플

이 서비스 ID 샘플은 서비스에 대한 ID를 설정하는 방법을 보여 줍니다. 디자인 타임에 클라이언트는 서비스의 메타데이터를 사용하여 ID를 검색한 다음 런타임에 클라이언트가 서비스의 ID를 인증할 수 있습니다. 서비스 ID의 개념은 클라이언트가 해당 작업을 호출하기 전에 서비스를 인증하도록 허용하여 인증되지 않은 호출로부터 클라이언트를 보호하는 것입니다. 보안 연결에서 서비스는 액세스를 허용하기 전에 클라이언트의 자격 증명을 인증하지만 이 샘플의 초점은 아닙니다. 서버 인증을 표시하는 클라이언트 의 샘플을 참조하세요.

비고

이 샘플에 대한 설치 절차 및 빌드 지침은 이 항목의 끝에 있습니다.

이 샘플에서는 다음 기능을 보여 줍니다.

  • 서비스의 여러 엔드포인트에서 다양한 형식의 ID를 설정하는 방법입니다. ID 유형마다 기능이 다릅니다. 사용할 ID 유형은 엔드포인트의 바인딩에 사용되는 보안 자격 증명 유형에 따라 달라집니다.

  • ID는 구성에서 선언적으로 또는 코드에서 명령적으로 설정할 수 있습니다. 일반적으로 클라이언트와 서비스 모두에 대해 구성을 사용하여 ID를 설정해야 합니다.

  • 클라이언트에서 사용자 지정 ID를 설정하는 방법입니다. 사용자 지정 ID는 일반적으로 클라이언트가 서비스 자격 증명에 제공된 다른 클레임 정보를 검사하여 서비스를 호출하기 전에 권한 부여 결정을 내릴 수 있도록 하는 기존 유형의 ID를 사용자 지정하는 것입니다.

    비고

    이 샘플에서는 identity.com 호출된 특정 인증서의 ID와 이 인증서에 포함된 RSA 키를 확인합니다. 클라이언트에서 구성에서 인증서 및 RSA ID 형식을 사용하는 경우 이러한 값을 쉽게 가져올 수 있는 방법은 이러한 값이 serialize되는 서비스에 대해 WSDL을 검사하는 것입니다.

다음 샘플 코드에서는 WSHttpBinding을 사용하여 인증서의 DNS(Domain Name Server)를 사용하여 서비스 엔드포인트의 ID를 구성하는 방법을 보여 줍니다.

//Create a service endpoint and set its identity to the certificate's DNS
WSHttpBinding wsAnonbinding = new WSHttpBinding (SecurityMode.Message);
// Client are Anonymous to the service
wsAnonbinding.Security.Message.ClientCredentialType = MessageCredentialType.None;
WServiceEndpoint ep = serviceHost.AddServiceEndpoint(typeof(ICalculator),wsAnonbinding, String.Empty);
EndpointAddress epa = new EndpointAddress(dnsrelativeAddress,EndpointIdentity.CreateDnsIdentity("identity.com"));
ep.Address = epa;

App.config 파일의 구성에서 ID를 지정할 수도 있습니다. 다음 예제에서는 서비스 엔드포인트에 대한 UPN(사용자 계정 이름) ID를 설정하는 방법을 보여 줍니다.

<endpoint address="upnidentity"
        behaviorConfiguration=""
        binding="wsHttpBinding"
        bindingConfiguration="WSHttpBinding_Windows"
        name="WSHttpBinding_ICalculator_Windows"
        contract="Microsoft.ServiceModel.Samples.ICalculator">
  <!-- Set the UPN identity for this endpoint -->
  <identity>
      <userPrincipalName value="host\myservice.com" />
  </identity >
</endpoint>

사용자 지정 ID는 EndpointIdentityIdentityVerifier 클래스를 상속하여 클라이언트에서 설정할 수 있습니다. 개념적으로 클래스는 IdentityVerifier 서비스 AuthorizationManager 클래스에 해당하는 클라이언트로 간주될 수 있습니다. 다음 코드 예제에서는 서버 인증서의 OrgEndpointIdentity주체 이름에 일치시킬 조직 이름을 저장하는 구현을 보여 있습니다. 조직 이름에 대한 권한 검사는 CheckAccess 클래스의 CustomIdentityVerifier 메서드에서 수행됩니다.

// This custom EndpointIdentity stores an organization name
public class OrgEndpointIdentity : EndpointIdentity
{
    private string orgClaim;
    public OrgEndpointIdentity(string orgName)
    {
        orgClaim = orgName;
    }
    public string OrganizationClaim
    {
        get { return orgClaim; }
        set { orgClaim = value; }
    }
}

//This custom IdentityVerifier uses the supplied OrgEndpointIdentity to
//check that X.509 certificate's distinguished name claim contains
//the organization name e.g. the string value "O=Contoso"
class CustomIdentityVerifier : IdentityVerifier
{
    public override bool CheckAccess(EndpointIdentity identity, AuthorizationContext authContext)
    {
        bool returnvalue = false;
        foreach (ClaimSet claimset in authContext.ClaimSets)
        {
            foreach (Claim claim in claimset)
            {
                if (claim.ClaimType == "http://schemas.microsoft.com/ws/2005/05/identity/claims/x500distinguishedname")
                {
                    X500DistinguishedName name = (X500DistinguishedName)claim.Resource;
                    if (name.Name.Contains(((OrgEndpointIdentity)identity).OrganizationClaim))
                    {
                        Console.WriteLine("Claim Type: {0}",claim.ClaimType);
                        Console.WriteLine("Right: {0}", claim.Right);
                        Console.WriteLine("Resource: {0}",claim.Resource);
                        Console.WriteLine();
                        returnvalue = true;
                    }
                }
            }
        }
        return returnvalue;
    }
}

이 샘플에서는 언어별 ID 솔루션 폴더에 있는 identity.com 이라는 인증서를 사용합니다.

샘플을 설정, 빌드 및 실행하려면

  1. Windows Communication Foundation 샘플 에 대한One-Time 설정 절차를 수행했는지 확인합니다.

  2. 솔루션의 C# 또는 Visual Basic .NET 버전을 빌드하려면 Windows Communication Foundation 샘플빌드의 지침을 따릅니다.

  3. 단일 또는 컴퓨터 간 구성에서 샘플을 실행하려면 Windows Communication Foundation 샘플 실행의 지침을 따릅니다.

동일한 컴퓨터에서 샘플을 실행하려면

  1. Windows XP 또는 Windows Vista에서 MMC 스냅인 도구를 사용하여 Identity 솔루션 폴더의 Identity.pfx 인증서 파일을 LocalMachine/My(개인) 인증서 저장소로 가져옵니다. 이 파일은 암호로 보호됩니다. 가져오는 동안 암호를 입력하라는 메시지가 표시됩니다. 암호 상자에 입력 xyz 합니다. 자세한 내용은 방법: MMC 스냅인 항목을 사용하여 인증서 보기 항목을 참조하세요. 이 작업이 완료되면 관리자 권한으로 Visual Studio용 개발자 명령 프롬프트에서 Setup.bat 실행합니다. 이 인증서는 클라이언트에서 사용하기 위해 CurrentUser/Trusted People 저장소에 복사됩니다.

  2. Windows Server 2003에서 관리자 권한으로 Visual Studio 명령 프롬프트 내의 샘플 설치 폴더에서 Setup.bat 실행합니다. 그러면 샘플을 실행하는 데 필요한 모든 인증서가 설치됩니다.

    비고

    Setup.bat 배치 파일은 Visual Studio 명령 프롬프트에서 실행되도록 설계되었습니다. Visual Studio 명령 프롬프트 내에 설정된 PATH 환경 변수는 Setup.bat 스크립트에 필요한 실행 파일이 포함된 디렉터리를 가리킵니다. 샘플을 마쳤을 때 Cleanup.bat 실행하여 인증서를 제거해야 합니다. 다른 보안 샘플은 동일한 인증서를 사용합니다.

  3. \service\bin 디렉터리에서 Service.exe 시작합니다. 서비스가 준비되었음을 나타내고 <Enter> 키를 눌러 서비스를 종료하라는 메시지가 표시되는지 확인합니다.

  4. \client\bin 디렉터리에서 또는 빌드 및 실행하려면 Visual Studio에서 F5 키를 눌러 Client.exe 시작합니다. 클라이언트 활동은 클라이언트 콘솔 애플리케이션에 표시됩니다.

  5. 클라이언트와 서비스가 통신할 수 없는 경우 WCF 샘플대한 문제 해결 팁을 참조하세요.

컴퓨터에서 샘플을 실행하려면

  1. 샘플의 클라이언트 부분을 빌드하기 전에 메서드의 Client.cs 파일 CallServiceCustomClientIdentity 에서 서비스의 엔드포인트 주소 값을 변경해야 합니다. 그런 다음 샘플을 빌드합니다.

  2. 서비스 컴퓨터에서 디렉터리를 만듭니다.

  3. 서비스 프로그램 파일을 service\bin에서 서비스 컴퓨터의 디렉터리로 복사합니다. 또한 서비스 컴퓨터에 Setup.bat 및 Cleanup.bat 파일을 복사합니다.

  4. 클라이언트 컴퓨터에 클라이언트 이진 파일에 대한 디렉터리를 만듭니다.

  5. 클라이언트 프로그램 파일을 클라이언트 컴퓨터의 클라이언트 디렉터리에 복사합니다. 또한 Setup.bat, Cleanup.bat및 ImportServiceCert.bat 파일을 클라이언트에 복사합니다.

  6. 서비스에서 관리자 권한으로 연 Visual Studio용 개발자 명령 프롬프트에서 실행 setup.bat service 합니다. setup.bat 인수를 사용하여 service 실행하면 컴퓨터의 정규화된 도메인 이름을 가진 서비스 인증서가 만들어지고 서비스 인증서를 Service.cer 파일로 내보냅니다.

  7. 서비스 디렉터리에서 클라이언트 컴퓨터의 클라이언트 디렉터리로 Service.cer 파일을 복사합니다.

  8. 클라이언트 컴퓨터의 Client.exe.config 파일에서 엔드포인트의 주소 값을 서비스의 새 주소와 일치하도록 변경합니다. 변경해야 하는 여러 인스턴스가 있습니다.

  9. 클라이언트에서 관리자 권한으로 열린 Visual Studio용 개발자 명령 프롬프트에서 ImportServiceCert.bat 실행합니다. 그러면 서비스 인증서가 Service.cer 파일에서 CurrentUser - TrustedPeople 저장소로 가져옵니다.

  10. 서비스 컴퓨터의 명령 프롬프트에서 Service.exe 시작합니다.

  11. 클라이언트 컴퓨터의 명령 프롬프트에서 Client.exe 시작합니다. 클라이언트와 서비스가 통신할 수 없는 경우 WCF 샘플대한 문제 해결 팁을 참조하세요.

샘플 후에 정리하기

  • 샘플 실행이 완료되면 샘플 폴더에서 Cleanup.bat 실행합니다.

    비고

    이 스크립트는 컴퓨터에서 이 샘플을 실행할 때 클라이언트에서 서비스 인증서를 제거하지 않습니다. 컴퓨터에서 인증서를 사용하는 WCF(Windows Communication Foundation) 샘플을 실행한 경우 CurrentUser - TrustedPeople 저장소에 설치된 서비스 인증서를 지워야 합니다. 이렇게 하려면 다음 명령을 사용합니다. certmgr -del -r CurrentUser -s TrustedPeople -c -n <Fully Qualified Server Machine Name> 예를 들면 certmgr -del -r CurrentUser -s TrustedPeople -c -n server1.contoso.com.