Aserciones de política de transporte HTTPS para la seguridad de servicios Web
Puede utilizar las aserciones en la política de seguridad de servicios Web (WS-Security) definida en el archivo WSDL para asegurar que los mensajes SOAP se protegen con el transporte seguro HTTPS. Cuando se utiliza con las señales de seguridad como UsernameTokens con contraseñas de texto simple, HTTPS puede ayudar a garantizar la confidencialidad.
Las aserciones del transporte HTTPS de la política WS-Security no configuran el transporte HTTPS entre el solicitante y el proveedor. Aseguran solo que se utiliza el transporte HTTPS cuando se invoca la aplicación de servicios web con la política definida. Para habilitar la seguridad de transporte para los servicios web, consulte Protección de servicios web a nivel de transporte.
Asegúrese de que HTTPS está configurado entre el proveedor y el cliente de servicios web. Para proteger los mensajes SOAP con el transporte seguro HTTPS, complete los siguientes pasos adicionales.
- Se debe habilitar WS-Security explícitamente añadiendo la característica wsSecurity-1.1. Asegúrese de añadir también las características appSecurity-2.0, servlet-3.0 (o servlet-3.1) y jaxws-2.2 y otras características de Liberty necesarias al archivo server.xml de Liberty.
- La política de WS-Security adjunta debe incluir una aserción TransportBinding
y debe coincidir con la configuración HTTPS. En el ejemplo siguiente se muestra una aserción TransportBinding de ejemplo:
<wsp:Policy xmlns:wsp="..." xmlns:sp="..."> <sp:TransportBinding> <wsp:Policy> <sp:TransportToken> <wsp:Policy> <sp:HttpsToken /> </wsp:Policy> </sp:TransportToken> <sp:AlgorithmSuite> <wsp:Policy> <sp:Basic256 /> </wsp:Policy> </sp:AlgorithmSuite> <sp:Layout> <wsp:Policy> <sp:Strict /> </wsp:Policy> </sp:Layout> <sp:IncludeTimestamp /> </wsp:Policy> </sp:TransportBinding> </wsp:Policy>
Cuando se realizan estos pasos adicionales después de la configuración de HTTPS, deben enviarse los mensajes SOAP a través de HTTPS desde un cliente de servicios web a un proveedor de servicios web.