애플리케이션 인증

improve this page | report issue

개요

애플리케이션을 적절하게 보안 처리하려면 사전 정의된 MobileFirst 애플리케이션 인증 보안 검사(appAuthenticity)를 사용으로 설정하십시오. 사용으로 설정되면 이 검사는 애플리케이션에 서비스를 제공하기 전에 애플리케이션 인증의 유효성을 검증합니다. 프로덕션 환경의 애플리케이션에는 이 기능이 사용으로 설정되어 있어야 합니다.

애플리케이션 인증을 사용으로 설정하려면 MobileFirst Operations Console[사용자 애플리케이션]인증에서 화면 지시사항을 따르거나 아래 내용을 검토할 수 있습니다.

가용성

  • 애플리케이션 인증은 지원되는 모든 플랫폼(iOS, watchOS, Android, Windows 8.1 Universal, Windows 10 UWP)의 Cordova 및 네이티브 애플리케이션에서 사용 가능합니다.

다음으로 이동:

애플리케이션 인증 플로우

애플리케이션 인증 보안 검사는 애플리케이션이 MobileFirst Server에 등록하는 동안 실행되며, 애플리케이션의 인스턴스가 서버에 처음 연결을 시도할 때 발생합니다. 기본적으로 인증 확인은 한 번만 실행됩니다.

앱 인증이 사용으로 설정된 후에 고객이 애플리케이션에 변경사항을 도입해야 하는 경우 애플리케이션 버전을 업그레이드해야 합니다.

이 동작을 사용자 정의하는 방법을 학습하려면 애플리케이션 인증 구성을 참조하십시오.

애플리케이션 인증 사용

애플리케이션에서 애플리케이션 인증을 사용으로 설정하려면 다음 작업을 수행하십시오.

  1. 선호하는 브라우저에서 MobileFirst Operations Console을 여십시오.
  2. 탐색 사이드바에서 애플리케이션을 선택하고 인증 메뉴 항목을 클릭하십시오.
  3. 상태 상자의 설정/해제 단추를 토글하십시오.

애플리케이션 인증 사용

MobileFirst Server는 서버에 처음 연결하는 시도에서 애플리케이션 인증 유효성을 검증합니다. 보호된 자원에도 이 유효성 검증을 적용하려면 appAuthenticity 보안 검사를 보호 범위에 추가하십시오.

애플리케이션 인증 사용 안함

개발 중 애플리케이션에 대한 특정 변경사항으로 인해 인증 유효성 검증이 실패할 수 있습니다. 따라서, 개발 프로세스 중에는 애플리케이션 인증을 사용 안함으로 설정하는 것이 좋습니다. 프로덕션 환경의 애플리케이션에는 이 기능이 사용으로 설정되어 있어야 합니다.

애플리케이션 인증을 사용 안함으로 설정하려면 상태 상자의 설정/해제 단추를 다시 토글하십시오.

애플리케이션 인증 구성

기본적으로 애플리케이션 인증은 클라이언트 등록 동안에만 확인됩니다. 그러나 다른 보안 검사와 마찬가지로, 사용자는 자원 보호 아래 지시사항에 따라 콘솔에서 appAuthenticity 보안 검사를 사용하여 애플리케이션 또는 자원을 보호하도록 결정할 수 있습니다.

다음 특성을 사용하여 사전 정의된 애플리케이션-인증 보안 검사를 구성할 수 있습니다.

  • expirationSec: 3600초/1시간으로 기본 설정됩니다. 인증 토큰이 만료될 때까지 기간을 정의합니다.

인증 검사가 완료된 후에는 설정 값을 기초로 토큰이 만료될 때까지 인증 검사가 다시 발생하지 않습니다.

expirationSec 특성을 구성하려면 다음을 수행하십시오.

  1. MobileFirst Operations Console을 로드하고 [사용자 애플리케이션]보안보안 검사 구성으로 이동한 다음 새로 작성을 클릭하십시오.

  2. appAuthenticity 범위 요소를 검색하십시오.

  3. 새 값을 초 단위로 설정하십시오.

콘솔에서 expirationSec 특성 구성

BTS(Build Time Secret)

BTS(Build Time Secret)는 iOS 및 watchOS 애플리케이션 전용으로, 인증 유효성 검증을 보강하는 선택적 도구입니다. 이 도구는 빌드 시간에 결정되는 본인확인정보를 애플리케이션에 삽입하며, 이는 나중에 인증 유효성 검증 프로세스에 사용됩니다.

BTS 도구는 MobileFirst Operations Console다운로드 센터에서 다운로드할 수 있습니다.

Xcode에서 BTS 도구를 사용하려면 다음 작업을 수행하십시오.

  1. 빌드 단계 탭에서 + 단추를 클릭하여 새 스크립트 실행 단계를 작성하십시오.
  2. BTS 도구의 경로를 복사하여 작성한 새 스크립트 실행 단계에 붙여넣으십시오.
  3. 스크립트 실행 단계를 끌어 소스 컴파일 단계 위에 놓으십시오.
  4. 이 단계는 애플리케이션 환경이 watchOS인 경우에만 필요합니다. BTS를 사용으로 설정하려면 개발자가 BTS 도구 위치 다음의 watchOS 확장에 패키징된 swift 파일 이름을 전달해야 합니다.

예를 들어, watchOS 확장 패키지에 HelloWatchOS.swift 파일이 포함되어 있다고 가정하면 개발자가 BTS 도구에 대한 경로와 함께 HelloWatchOS를 인수로 전달해야 합니다.

BTS 도구

이 도구는 애플리케이션의 프로덕션 버전을 빌드할 때 사용해야 합니다.

문제점 해결

재설정

애플리케이션 인증 알고리즘은 유효성 검증에 애플리케이션 데이터 및 메타데이터를 사용합니다. 애플리케이션 인증을 사용으로 설정한 후 서버에 처음으로 연결하는 디바이스는 이러한 데이터 일부를 포함하고 있는 애플리케이션의 “지문”을 제공합니다.

알고리즘에 새 데이터를 제공하여 이러한 지문을 재설정할 수 있습니다. 이는 개발 중에 유용합니다(예: Xcode에서 애플리케이션을 변경한 후). 지문을 재설정하려면 mfpadm CLI에서 reset 명령을 사용하십시오.

지문을 재설정한 후 appAuthenticity 보안 검사는 이전과 마찬가지로 작동합니다(사용자는 이를 쉽게 확인할 수 있음).

유효성 검증 유형

Mobile First Platform Foundation에서는 애플리케이션에 대한 정적 및 동적 인증을 제공합니다. 이러한 유효성 검증 유형은 앱 인증 시드를 생성하는 데 사용되는 알고리즘 및 속성에서 차이가 납니다. 기본적으로 애플리케이션 인증은 사용으로 설정된 경우 동적 유효성 검증 알고리즘을 사용합니다. 두 유효성 검증 유형 모두 애플리케이션의 보안을 보장합니다. 동적 앱 인증은 엄격한 유효성 검증을 사용하며 앱 인증을 검사합니다. 정적 앱 인증의 경우 약간 완화된 알고리즘을 사용하며, 이 경우 동적 앱 인증에서와 같이 모든 유효성 검증 검사를 사용하지는 않습니다.

동적 앱 인증은 MobileFirst 콘솔에서 구성 가능합니다. 내부 알고리즘은 콘솔에서 선택한 옵션에 따라 앱 인증 데이터 생성을 처리합니다. 정적 앱 인증의 경우 mfpadm CLI를 사용해야 합니다.

정적 앱 인증을 사용으로 설정하고 유효성 검증 유형 간에 전환하려면 다음과 같이 mfpadm CLI를 사용하십시오.

mfpadm --url=  --user=  --passwordfile= --secure=false app version [RUNTIME] [APPNAME] [ENVIRONMENT] [VERSION] set authenticity-validation TYPE

TYPEdynamic 또는 static이 될 수 있습니다.

SDK 버전 8.0.0.0-MFPF-IF201701250919 이하에 대한 지원

동적 및 정적 유효성 검증 유형은 2017년 2월 이후에 릴리스된 클라이언트 SDK에서만 지원합니다. 8.0.0.0-MFPF-IF201701250919 이하 SDK 버전의 경우에는 레거시 애플리케이션 인증 도구를 사용하십시오.

애플리케이션 2진 파일은 mfp-app-authenticity 도구를 사용하여 서명되어야 합니다. 적합한 2진 파일은 iOS의 경우 ipa, Android의 경우 apk, Windows 8.1 Universal 및 Windows 10 UWP의 경우 appx입니다.

  1. MobileFirst Operations Console → 다운로드 센터에서 mfp-app-authenticity 도구를 다운로드하십시오.

  2. 명령행 창을 열고 java -jar path-to-mfp-app-authenticity.jar path-to-binary-file 명령을 실행하십시오.

    예:

    java -jar /Users/your-username/Desktop/mfp-app-authenticity.jar /Users/your-username/Desktop/MyBankApp.ipa

    이 명령은 MyBankApp.ipa 파일 옆에 MyBankApp.authenticity_data라는 .authenticity_data 파일을 생성합니다.

  3. mfpadm CLI를 사용하여 .authenticity_data 파일을 업로드하십시오. 
      app version [RUNTIME-NAME] APP-NAME ENVIRONMENT VERSION set authenticity-data FILE
Inclusive terminology note: The Mobile First Platform team is making changes to support the IBM® initiative to replace racially biased and other discriminatory language in our code and content with more inclusive language. While IBM values the use of inclusive language, terms that are outside of IBM's direct influence are sometimes required for the sake of maintaining user understanding. As other industry leaders join IBM in embracing the use of inclusive language, IBM will continue to update the documentation to reflect those changes.
Last modified on February 26, 2020