Mit den Richtliniensätzen dieses Produkts können Sie die Servicequalität Ihrer Web-Services
einfacher konfigurieren. Durch die Verwendung dieser Richtliniensätze können
Sie Konfigurationen für verschiedene Richtlinien kombinieren.
Richtliniensätze von WebSphere Application Server ab Version 7.0.0.7
Ab
WebSphere Application
Server Version 7 Fixpack 7 können Sie Web-Services mit SAML (Security Assertion
Markup Language) schützen. Verwenden Sie SAML-Zusicherungen, um Attribute für Benutzeridentität und Benutzersicherheit
darzustellen und bei Bedarf für das Signieren und Verschlüsseln von SOAP-Nachrichtenelementen einzusetzen. WebSphere Application Server unterstützt
SAML-Zusicherungen gemäß Definition in der Spezifikation OASIS WSS SAML Token Profile Version 1.1
mit der Methode für die Bestätigung des Bearer-Subjekts und der Methode für die Bestätigung des
Holder-of-Key-Subjekts. Richtliniensätze und allgemeine Bindungen, die SAML unterstützen, sind in der SAML-Funktion des Produkts enthalten. Um SAML-Zusicherungen verwenden zu können,
müssen Sie die als Beispiel bereitgestellte Bindung modifizieren.
Tipp: Lesen Sie
die Informationen zu SAML-Richtliniensätzen in der Dokumentation zu WebSphere Application Server,
bevor Sie die Richtliniensätze auf Ihren Web-Service anwenden. In dieser Dokumentation ist beschrieben, wie
SAML in WebSphere Application Server unterstützt wird und welche Einschränkungen
es gibt (siehe
Web-Services mit Security Markup Assertion
Language (SAML) sichern).
Richtliniensätze von WebSphere Application Server Version 7.0 und Version 8.0
Zum Produktumfang gehören die
folgenden Richtliniensätze von WebSphere Application Server
Version 7.0 und Version 8.0:
- Kerberos V5 HTTPS default
- Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem
Kerberos-Version-5-Token.
Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt.
Dieser Richtliniensatz ist entsprechend den Spezifikationen
"OASIS Kerberos Token Profile V1.1" und
"WS-Security" definiert.
Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften
wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und
"com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden.
Weitere Informationen finden Sie im Artikel über die
Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz
(Generator oder Konsument).
- LTPA WSSecurity default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturelemente (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- SSL WSTransaction
- Verwenden Sie diesen Richtliniensatz, um verteilte transaktionsorientierte Aufgaben auf der Basis der
Spezifikation WS-AtomicTransaction und mit SSL-Transportsicherheit atomar, interoperabel und sicher zu koordinieren. Verwenden Sie diesen
Richtliniensatz außerdem, um flexibel verbundene Geschäftsprozesse zu koordinieren. Dabei
besteht gleichzeitig die Möglichkeit, Aktionen bei einem Fehler in der Geschäftsaktivität
mit der Spezifikation
WS-BusinessActivity und mit SSL-Transportsicherheit zu kompensieren.
- Username SecureConversation
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der
WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- Username WSSecurity default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- WS-I RSP
- Dieser Richtliniensatz unterstützt nicht verwaltetes, nicht persistentes WS-ReliableMessaging, das die Möglichkeit bietet, eine Nachricht zuverlässig an den beabsichtigten Empfänger zu übermitteln. Dieser Richtliniensatz funktioniert nur in einer Einzelserverumgebung und nicht in einer Clusterumgebung. Die Nachrichtenintegrität wird durch die digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und der Signatur gewährleistet. Dieser Nachrichtensatz folgt
den Spezifikationen WS-SecureConversation
und WS-Security.
Web-Service-Reliable-Messaging-Richtliniensätze müssen auf auf der Serviceebene angewendet werden, damit die
Laufzeitumgebung die Reliable-Messaging-Servicequalität respektiert.
Richtliniensätze, die auf der Endpunktebene oder Operationsebene angewendet werden, werden von der Laufzeitumgebung ignoriert.
- WSAddressing default
- Der Standardrichtliniensatz WSAddressing ist eine transportunabhängige
Methode für die einheitliche Adressierung von Web-Services und Nachrichten. Der WSAddressing-Standardrichtliniensatz basiert auf der WS-Addressing-Spezifikation.
Der
WS-Addressing-Standard vereinfacht die Adressierung von Web-Services mit Endpunktreferenzen und Eigenschaften der Nachrichtenadressierung, sodass die Adressierung
gemäß den Standards und interoperabel erfolgen kann. Verwenden Sie den vom Anwendungsserver bereitgestellten WSAddressing-Standardrichtliniensatz.
Wenn Sie den Richtliniensatz anpassen möchten, müssen Sie den Richtliniensatz zuerst kopieren und anschließend
angepasste Richtlinieneinstellungen und -bindungen konfigurieren, die Ihren Anforderungen entsprechen.
- WSHTTPS default
- Mit diesem Richtliniensatz wird SSL-Transportsicherheit für das HTTP-Protokoll bei Web-Service-Anwendungen
gewährleistet.
- WSReliableMessaging persistent
- Mit diesem Richtliniensatz werden
WS-ReliableMessaging und WS-Addressing aktiviert. Es wird die maximale Servicequalität (verwaltet und persistent) verwendet. Diese Servicequalität unterstützt
asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher
für die Verwaltung der Nachrichtenfolge. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server und dem Web-Service-Providerserver
persistent gespeichert und sind bei einem Serverausfall wiederherstellbar. Die Zustellung unter Einhaltung der Reihenfolge ist auf "falsch" gesetzt. Nachrichten werden deshalb nicht zwingend in der Sendereihenfolge zugestellt.
Da dieser Richtliniensatz eine verwaltete persistente
Servicequalität angibt, müssen Sie Bindungen zum Service Integration Bus und zur Messaging-Engine, mit denen Sie den WS-ReliableMessaging-Zustand verwalteten möchten,
definieren.
Sie können einen WS-ReliableMessaging-Richtliniensatz in der Administrationskonsole
oder mit dem Tool wsadmin an eine Web-Service-Anwendung anhängen oder binden.
Web-Service-Reliable-Messaging-Richtliniensätze müssen auf auf der Serviceebene angewendet werden, damit die
Laufzeitumgebung die Reliable-Messaging-Servicequalität respektiert.
Richtliniensätze, die auf der Endpunktebene oder Operationsebene angewendet werden, werden von der Laufzeitumgebung ignoriert.
Richtliniensätze von WebSphere Application Server Version 6.1
Zum Produktumfang gehören die
folgenden Richtliniensätze von WebSphere Application Server
Version 6.1:
- RAMP-Standardrichtliniensätze
- RAMP default
- Standardrichtliniensatz Reliable Asynchronous Messaging Profile (RAMP) 1.0. Dieser Richtliniensatz stellt die folgenden Features bereit:
- Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der
WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Vertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- LTPA RAMP default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der
WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Vertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- Username RAMP default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der
WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Vertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- SecureConversation-Richtliniensätze
- SecureConversation
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der
WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- LTPA SecureConversation
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der
WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- Username SecureConversation
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der
WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- WSReliableMessaging-Richtliniensätze
- WSReliableMessaging default
- Dieser Richtliniensatz unterstützt WS-ReliableMessaging und WS-Addressing und verwendet die minimale Servicequalität (nicht verwaltet und nicht persistent). Diese Servicequalität erfordert eine Minimalkonfiguration. Obwohl dieser Richtliniensatz nicht transaktionsorientiert ist und obwohl er
das erneute Senden von Nachrichten, die im Netz verloren gehen, unterstützt, gehen bei einem Ausfall eines Servers Nachrichten verloren.
Diese Servicequalität ist nur für einen Einzelserver geeignet. In einem Cluster kann sie nicht verwendet werden.
- WSReliableMessaging 1_0
- Dieser Richtliniensatz unterstützt WS-ReliableMessaging Version 1.0 und WS-Addressing und verwendet die minimale Servicequalität (nicht verwaltet und nicht persistent). Diese Servicequalität erfordert eine Minimalkonfiguration, ist jedoch nicht transaktionsorientiert. Obwohl dieser
Richtliniensatz das erneute Senden von Nachrichten, die im Netz verlorengehen, unterstützt, gehen bei einem Ausfall eines Servers Nachrichten verloren.
Diese Servicequalität ist nur für einen Einzelserver geeignet. In einem Cluster kann sie nicht verwendet werden. Sie können diesen Richtliniensatz für .NET-basierte Web-Services verwenden.
- WSReliableMessaging persistent
- Mit diesem Richtliniensatz werden
WS-ReliableMessaging und WS-Addressing aktiviert. Es wird die maximale Servicequalität (verwaltet und persistent) verwendet. Diese Servicequalität unterstützt
asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher
für die Verwaltung der Nachrichtenfolge. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server und dem Web-Service-Providerserver
persistent gespeichert und sind bei einem Serverausfall wiederherstellbar.
Web-Service-Reliable-Messaging-Richtliniensätze müssen auf auf der Serviceebene angewendet werden, damit die
Laufzeitumgebung die Reliable-Messaging-Servicequalität respektiert.
Richtliniensätze, die auf der Endpunktebene oder Operationsebene angewendet werden, werden von der Laufzeitumgebung ignoriert.
- WSSecurity-Standardrichtliniensätze
- WSSecurity default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- LTPA WSSecurity default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- Username WSSecurity default
- Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- WSTransaction-Richtliniensätze
- WSTransaction
- Mit diesem Richtliniensatz wird der Standard WS-Transaction aktiviert, der
auf der Basis der Spezifikation WS-AtomicTransaktion eine atomare und interoperable Koordination verteilter Transaktionen
ermöglicht.
- SSL WSTransaction
- Mit diesem Richtliniensatz wird der Standard WS-Transaction aktiviert, der
auf der Basis der Spezifikation WS-AtomicTransaktion und der SSL-Transportsicherheit eine atomare, interoperable und sichere Koordination verteilter Transaktionen
ermöglicht.
- Weitere Standardrichtliniensätze
- WSAddressing default
- Mit diesem Richtliniensatz wird WS-Addressing-Unterstützung aktiviert,
sodass die Adressierung von Web-Services mit Endpunktreferenzen und Nachrichtenadressierungseigenschaften gemäß den Standards und interoperabel erfolgen kann.
- WSHTTPS default
- Mit diesem Richtliniensatz wird SSL-Transportsicherheit für das HTTP-Protokoll bei Web-Service-Anwendungen
gewährleistet.
Systemrichtliniensätze von WebSphere Application Server Version 7.0 und Version 8.0
Zum Produktumfang gehören die
folgenden Systemrichtliniensätze von WebSphere Application Server
Version 7.0 und Version 8.0:
- SystemWSSecurityDefault
- Dieser Systemrichtliniensatz
legt den asymmetrischen Algorithmus und die öffentlichen und privaten Schlüssel für die Unterstützung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil,
Zeitmarke und WS-Addressing-Headern mit dem RSA-Verschlüsselungsverfahren gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur
mit dem RSA-Verschlüsselungsverfahren gewährleistet.
Dieser Richtliniensatz folgt den
WS-Security-Spezifikationen für das Absetzen und Erneuern von Anforderungen von Trustoperationen.