Condicionalmente, o WebSphere Message Broker está em conformidade com
o Web Services Security: SOAP Message Security e especificações relacionadas
suportando os aspectos a seguir.
Conformidade com o Web Services Security: SOAP Message Security
- Cabeçalho de segurança
- O cabeçalho <wsse:Security> fornece um mecanismo, em forma de um
agente ou função SOAP, para anexar informações relacionadas à segurança que
são direcionadas a um destinatário específico. O destinatário pode ser o destinatário final
da mensagem ou um intermediário. Os atributos a seguir são
suportados no WebSphere Message Broker:
- S11:actor (para um intermediário)
- S11:mustUnderstand
- S12:role (para um intermediário)
- S12:mustUnderstand
- Tokens de segurança
- Os seguintes tokens de segurança são suportados no cabeçalho de segurança:
- Nome de Usuário e Senha
- Tokens de segurança binários:
- Certificado X.509
- Bilhete do Kerberos
- Certificado LTPA
- Asserção da SAML
- Referências de token
- Um token de segurança transporta um conjunto de solicitações. Às vezes, estas solicitações
estão em outro lugar e precisam ser acessadas pelo aplicativo de recebimento.
O elemento <wsse:SecurityTokenReference>
fornece um mecanismo extensível para referência de tokens de segurança. Os seguintes mecanismos
são suportados:
- Referência direta
- Identificador de chave
- Nome da Chave
- Referência incorporada
- Algoritmos de assinatura
- Esta especificação é construída sobre a Assinatura XML e, portanto, possui os mesmos
requisitos de algoritmo que os relacionados na especificação Assinatura XML. WebSphere Message Broker suporta
os algoritmos de assinatura, conforme mostrado na tabela a seguir.
Tipo de Algoritmo |
Algoritmo |
URI |
Compilação |
SHA1 |
http://www.w3.org/2000/09/xmldsig#sha1 |
Assinatura |
DSA com SHA1 (apenas validação) |
http://www.w3.org/2000/09/xmldsig#dsa-sha1 |
Assinatura |
RSA com SHA1 |
http://www.w3.org/2000/09/xmldsig#rsa-sha1 |
Canonicalização |
Canonicalização XML Exclusiva (sem comentários) |
http://www.w3.org/2001/10/xml-exc-c14n# |
- Partes assinadas da assinatura
- O WebSphere Message Broker permite que os seguintes elementos SOAP
sejam assinados:
- O corpo da mensagem SOAP
- O token de identidade (um tipo de token de segurança) utilizado como uma identidade asserida
- Algoritmos de criptografia
- Os algoritmos de criptografia de dados que são suportados são mostrados
na tabela a seguir.
Algoritmo |
URI |
Algoritmo Triple DES (Data Encryption Standard) |
http://www.w3.org/2001/04/xmlenc#tripledes-cbc |
Algoritmo AES (Advanced Encryption Standard) com um comprimento de chave
de 128 bits |
http://www.w3.org/2001/04/xmlenc#aes128-cbc |
Algoritmo AES (Advanced Encryption Standard) com um comprimento de chave
de 192 bits |
http://www.w3.org/2001/04/xmlenc#aes192-cbc |
Algoritmo AES (Advanced Encryption Standard) com um comprimento de chave
de 256 bits |
http://www.w3.org/2001/04/xmlenc#aes256-cbc |
O algoritmo de criptografia de chave que é suportado é mostrado
na tabela a seguir.
Algoritmo |
URI |
Transporte de chave (criptografia de chave pública) RSA Versão
1.5 |
http://www.w3.org/2001/04/xmlenc#rsa-1_5 |
- Partes da mensagem de criptografia
- WebSphere Message Broker permite que os seguintes
elementos SOAP sejam criptografados:
- Registro de Data e Hora
- O elemento <wsu:Timestamp> fornece um mecanismo para expressar
as horas de criação e expiração da semântica de segurança em uma mensagem. O WebSphere Message Broker tolera a utilização de registros de data e hora
no cabeçalho de segurança dos serviços da Web em mensagens SOAP de entrada.
- Tratamento de erro
- O WebSphere Message Broker gera mensagens de falha SOAP
utilizando a lista padrão de códigos de resposta relacionados na especificação.
Conformidade com o Web Services Security: Username Token Profile 1.1
São suportados os seguintes aspectos desta especificação:
- Tipos de senha
- Texto
- Referências de token
- Referência direta
Conformidade com o Web Services Security: X.509 Certificate Token Profile 1.1
São suportados os seguintes aspectos desta especificação:
- Tipos de token
- X.509 Versão 3: Certificado único.
- X.509 Versão 3: X509PKIPathv1 sem CRLs (Certificate Revocation Lists).
- X.509 Versão 3: PKCS7 com ou sem CRLs. O IBM® Software
Development Kit (SDK) suporta ambos.
O Sun JDK (Java™ Development Kit) suporta PKCS7 apenas sem CRL.
Para obter informações adicionais, consulte a Perfil do Token do Certificado X.509 da Segurança de Serviços da Web.
- Referências de token
- Identificador de chave - identificador de chave do assunto
- Referência direta
- Referência personalizada - nome do emissor e número de série
Conformidade com o Web Services Security: Perfil de Token da SAML
O suporte de passagem da SAML é fornecido, o que permite a interoperabilidade com perfis da SAML de Segurança WS, sem a execução do processamento de confirmação de assunto. Isso significa que não é fornecida validação do relacionamento confiável entre o assunto da SAML e das assinaturas de conteúdo da mensagem.
O token é transmitido para processamento pelo gerenciador de segurança do fluxo de mensagens, que transmite o token para um STS WS-Trust para processamento.
Conformidade com o Web Services Security: Perfil de Token do Kerberos
São suportados os seguintes aspectos desta especificação:
- Tipos de token
- Kerberos GSS v5 AP_REQ
- Kerberos v5 AP_REQ
Aspectos que não São Suportados
Os itens a seguir não são
suportados no
WebSphere Message Broker:
- Validação de Registros de Data e Hora para atualização.
- Nonces.
- Segurança dos serviços da Web para anexos SOAP.
- Perfil do Token XrML.
- Web Services Interoperability (WS-I) Basic Security Profile.
- XML que envolve assinatura digital.
- XML que envolve criptografia digital.
- Os seguintes algoritmos de transporte para assinaturas digitais:
- O algoritmo de contrato de chave Diffie-Hellman para criptografia. Para obter informações adicionais, consulte a Valores-chave Diffie-Hellman.
- O seguinte algoritmo de canonicalização para criptografia, que é opcional na
especificação de criptografia XML:
- XML canônico com ou sem comentários
- Canonicalização XML exclusiva com ou sem comentários
- O tipo de senha de compilação na especificação Username Token Version 1.0 Profile.