WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Mecanismos de WS-Security

La especificación WS-Security proporciona tres mecanismos para proteger los servicios web a nivel de mensajes: autenticación, integridad y confidencialidad.

Autenticación

Este mecanismo utiliza una señal de seguridad para validar el usuario y determinar si un cliente es válido en un contexto concreto. Un cliente puede ser un usuario, un sistema o una aplicación. Sin autenticación, un atacante puede utilizar técnicas de simulación para enviar un mensaje SOAP modificado al proveedor de servicios.

En la autenticación, se inserta una señal de seguridad en el mensaje de petición. En función del tipo de señal de seguridad que se utiliza, la señal de seguridad también se puede insertar en el mensaje de respuesta. Para la autenticación se admiten los tipos de señales de seguridad siguientes :

Las señales de nombre de usuario se utilizan para validar nombres y contraseñas de usuario. Cuando un servidor de servicio web recibe una señal de nombre de usuario, se extraen el nombre de usuario y la contraseña y se pasan a un registro de usuario para su verificación. Si la combinación de nombre de usuario y contraseña es válida, el resultado se devuelve al servidor y el mensaje se acepta y procesa. Cuando se utilizan en la autenticación, las señales de nombre de usuario habitualmente sólo se pasan en el mensaje de petición y no en el mensaje de respuesta.

Las señales X.509 se validan utilizando una vía de acceso de certificados.

El soporte del intermediario para aserciones SAML está restringido a pasar la señal a un servidor de señales de seguridad de WS-Trust para validación.

Los tiquets Kerberos se validan con el archivo keytab Kerberos del host.

El soporte del intermediario para señales binarias LTPA está restringido a pasar la señal a un STS de WS-Trust para validación.

Todos los tipos de señales deben estar protegidas. Por esta razón, si las envía sobre una red que no es de confianza, tome una de las precauciones siguientes:
  • Utilizar HTTPS
  • Configure el conjunto de políticas para proteger los elementos adecuados de la cabecera SOAP

Integridad

Este mecanismo utiliza la firma de mensajes para asegurarse de que la información no se modifica, altera o pierde de forma accidental. Cuando se implementa la integridad, se genera una firma digital XML en el contenido de un mensaje SOAP. Si se realizan cambios no autorizados en los datos de mensajes, no se validará la firma. Sin la integridad, un atacante puede utilizar técnicas de manipulación para interceptar un mensaje SOAP entre el servidor y el cliente de servicio web, y modificarlo.

Confidencialidad

Este mecanismo utiliza el cifrado de mensajes para asegurarse de que ninguna parte ni proceso puede acceder a la información del mensaje o divulgarla. Cuando un mensaje SOAP está cifrado, sólo puede descifrar y leer el mensaje un servicio que conozca la clave correspondiente.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 16:58:46


Tema de conceptoTema de concepto | Versión 8.0.0.5 | ac55640_