Web Services Security für WebSphere Application Server basiert auf der Spezifikation OASIS WSS Version 1.0, dem Profil Username Token Version 1.0 und dem Profil X.509 Token Version 1.0. In diesen Standards und Profilen geht es um den Schutz von Nachrichten, die in einer Web-Service-Umgebung ausgetauscht werden. Die Spezifikation definiert die Kernfunktionen für die Gewährleistung der Nachrichtenintegrität und -vertraulichkeit und stellt Mechanismen für Zuordnung sicherheitsbezogener Bestätigungen zu einer Nachricht bereit. WSS ist ein Standard auf Nachrichtenebene und basiert auf dem Schutz von SOAP-Nachrichten durch eine digitale XML-Signatur, durch Vertraulichkeit mittels XML-Verschlüsselung und Weitergabe von Berechtigungsnachweisen mittels Sicherheitstoken. Als Neuerung im Feature Pack for Web Services können JAX-WS-Web-Services einfach mit Richtliniensätzen geschützt werden.
Beim Schutz von Web-Services müssen Sie für ein ganzes Spektrum von Anwendungs- und Geschäftstopologien an eine Vielzahl von Sicherheitsanforderungen denken, z. B. an Authentifizierung, Autorisierung, Datenschutz, Akzeptanz, Integrität, Vertraulichkeit, sichere Kommunikationskanäle, Einbindung, Delegierung und Überprüfung. Eine der Hauptanforderungen des Sicherheitsmodells für heutige Geschäftsumgebungen ist die Möglichkeit der Interoperation von bisher inkompatiblen Sicherheitstechnologien, z. B. Public Key Infrastructure und Kerberos, in heterogenen Umgebungen wie Microsoft .NET und Java™ (Java EE). Der gesamte Web-Services-Security-Protokollstack ist im Artikel Security in a Web Services World: A Proposed Architecture and Roadmap beschrieben. Der Artikel enthält auch eine Technologieübersicht.
Das Dokument Web Services Security: SOAP Message Security 1.0 specification enthält eine Standardgruppe von SOAP-Erweiterungen, die Sie für die Erstellung sicherer Web-Services verwenden können. Diese Standards untermauern die Integrität und Vertraulichkeit, die durch digitale Signaturen und Verschlüsselungstechnologien erzielt werden. Web Services Security bietet darüber hinaus einen universellen Mechanismus für die Verknüpfung von Sicherheitstoken mit Nachrichten an. Ein typisches Beispiel für ein Sicherheitstoken ist ein Username-Token, in dem Benutzername und Kennwort als Text enthalten sind. Web Services Security definiert, wie binäre Sicherheitstoken mit Methoden wie X.509-Zertifikaten und Kerberos-Tickets codiert werden. Die erforderlichen Sicherheitstoken sind jedoch nicht in der Spezifikation Web Services Security Version 1.0 definiert. Die Token sind vielmehr in separaten Profilen definiert, wie Username Token, X.509 Token, SAML, Kerberos und XrM.
In Version 6.1 des Feature Pack for Web Services und in Version 7 verwendet WebSphere Application Server das Richtliniensatzmodell für die Implementierung der Spezifikation WSS Version 1.1, des Profils Username Token Version 1.1 und des Profils X.509 Token Version 1.1. In Richtliniensätzen sind Konfigurationseinstellungen kombiniert, z. B. Einstellungen für Transport und Konfiguration auf Nachrichtenebene wie WS-Addressing, WS-ReliableMessaging, WS-SecureConversation und WS-Security.
Wie Richtliniensätze für Web-Services aktiviert werden, erfahren Sie im Artikel Richtliniensätze für JAX-WS-Web-Services und -Clients verwalten.
Das folgende Handbuch enthält ein Kapitel zu Richtliniensätzen im WebSphere Application Server Version 6.1 Feature Pack for Web Services: IBM® Redbooks: Web Services Feature Pack for WebSphere Application Server V6.1
Neben den Informationen in dieser Dokumentation gibt es auf developerWorks diverse hilfreiche Lernprogramme und Artikel, die zeigen, wie Web-Services mit WebSphere Application Server geschützt werden können.