버전부터는

확장된 보호는 SSL과 같은 외부 보안 채널을 Kerberos-APREQ 및 HTTP 헤더 인증과 같은 내부 채널 인증 프로토콜에 바인딩하는 메커니즘입니다.

확장된 보호의 개념은 RFC2743 정의되어 있습니다.

사용 가능한 경우 확장된 보호는 클라이언트에서 자동으로 구성되지만 기본이 아닌 시나리오를 위해 서버에서 구성이 필요할 수 있습니다.

지원되는 구성

확장된 보호는 WS_HTTP_HEADER_AUTH_SECURITY_BINDING 및 WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING 같은 Windows 통합 인증 프로토콜을 사용하여 보안 바인딩이 있는 WS_HTTP_CHANNEL_BINDING 사용할 때 지원됩니다. 다음 보안 속성을 통해 구성됩니다.

• WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_POLICY
• WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_SCENARIO
• WS_SECURITY_PROPERTY_SERVICE_IDENTITIES

확장된 보호와 관련된 다음 구성이 가능합니다.

클라이언트

• WS_SSL_TRANSPORT_SECURITY_BINDING WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING 또는 WS_HTTP_HEADER_AUTH_SECURITY_BINDING 함께 사용됩니다. 이 구성에서 인증 바인딩은 SSL 연결에서 자동으로 추출되는 확장된 보호 토큰을 통해 SSL 연결에 바인딩됩니다.
• SSL은 사용되지 않으며 WS_HTTP_HEADER_AUTH_SECURITY_BINDING 설정됩니다. 인증 바인딩은 WS_ENDPOINT_ADDRESS 자동으로 결정되는 SPN(서버 보안 주체 이름)을 통해 바인딩됩니다.

서버

• WS_SSL_TRANSPORT_SECURITY_BINDING WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING 또는 WS_HTTP_HEADER_AUTH_SECURITY_BINDING 함께 사용됩니다. 이 구성에서 인증 바인딩은 SSL 연결에서 추출되고 자동으로 유효성이 검사되는 확장된 보호 토큰을 통해 SSL 연결에 바인딩됩니다.
• SSL은 사용되지 않으며 WS_HTTP_HEADER_AUTH_SECURITY_BINDING 설정됩니다. 인증 바인딩은 WS_SECURITY_PROPERTY_SERVICE_IDENTITIES 통해 제공해야 하는 SPN(서버 보안 주체 이름)을 통해 바인딩됩니다. 메시지가 수신되면 SPN이 추출되고 제공된 서비스 이름과 정확히 일치하는지 유효성이 검사됩니다. SPN을 제공하지 않는 것은 WS_EXTENDED_PROTECTION_POLICY_NEVER 설정하는 것과 같습니다.
• SSL이 사용되지 않고 WS_EXTENDED_PROTECTION_SCENARIO_BOUND_SERVER 지정되고 WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING 사용됩니다. 이 구성 에서는 WS_SECURITY_PROPERTY_SERVICE_IDENTITIES 설정하면 안 됩니다. Kerberos 프로토콜의 일부로 수행되는 작업 외에는 SPN 검사가 수행되지 않습니다.
• WS_EXTENDED_PROTECTION_SCENARIO_TERMINATED_SSL 지정되고 WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING 또는 WS_HTTP_HEADER_AUTH_SECURITY_BINDING 사용됩니다. WS_SECURITY_PROPERTY_SERVICE_IDENTITIES 설정해야 합니다.

지원되는 플랫폼

확장된 보호는 운영 체제에서 지원되는 플랫폼에서 지원됩니다. Windows 7 및 Windows Server 2008 R2는 기본 제공 지원을 제공합니다. 다른 플랫폼에는 업데이트가 필요할 수 있습니다.

서버의 운영 체제에서 이러한 지원을 제공하지 않으면 클라이언트에서 보낸 확장된 보호 정보는 무시됩니다. 따라서 확장된 보호를 사용하는 클라이언트는 이러한 서버와 통신할 수 있지만 보안 혜택은 손실됩니다. 클라이언트에서 WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING WS_SSL_TRANSPORT_SECURITY_BINDING 결합하면 Vista 이상에서 확장된 보호만 지원합니다.

참고: 확장된 보호를 사용할 수 없던 경우 특정 구성을 사용할 수 없습니다.

상호 운용성

기본 구성 서버는 확장된 보호를 사용하는지 여부에 관계없이 SOAP 클라이언트와 통신할 수 있습니다. 한 가지 예외는 확장된 보호를 지원하고 WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING 및 WS_SSL_TRANSPORT_SECURITY_BINDING 모두 사용하도록 업데이트된 Windows XP 및 Windows Server 2003 WWSAPI 클라이언트입니다. 이러한 클라이언트를 지원하려면 서버에서 WS_EXTENDED_PROTECTION_POLICY_NEVER 지정해야 합니다. WS_EXTENDED_PROTECTION_POLICY_ALWAYS 구성된 서버는 확장된 보호를 사용하지 않는 클라이언트의 통신을 거부합니다. 클라이언트에서 WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING WS_SSL_TRANSPORT_SECURITY_BINDING 결합하면 Vista 이상에서 HTTP 청크 전송 인코딩을 사용하여 메시지가 전송됩니다. 이로 인해 청크 분할 전송을 지원하지 않는 서버에서 interop 문제가 발생할 수 있습니다.

다음 열거형/상수는 확장된 보호의 일부입니다.

• WS_EXTENDED_PROTECTION_POLICY
• WS_EXTENDED_PROTECTION_SCENARIO

다음 구조체는 확장된 보호의 일부입니다.

• WS_SERVICE_SECURITY_IDENTITIES