La seguridad de servicios web para WebSphere Application Server se basa en la especificación WSS (Seguridad de servicios web) de OASIS Versión 1.0, el perfil de señal de nombre de usuario Versión 1.0 y el perfil de señal X.509 Versión 1.0. Estos estándares y perfiles permiten proteger los mensajes que se intercambian en un entorno de servicios web. La especificación define los recursos centrales para proteger la integridad y la confidencialidad de los mensajes, y proporciona mecanismos para asociar al mensaje demandas relacionadas con la seguridad. WSS es un estándar a nivel de mensajes que se basa en proteger los mensajes SOAP mediante una firma digital XML, la confidencialidad mediante el cifrado XML y la propagación de credenciales mediante señales de seguridad. Como novedad en el paquete de características de servicios web, los servicios web JAX-WS pueden protegerse fácilmente utilizando conjuntos de políticas.
Para proteger los servicios web, debe tener en cuenta un amplio conjunto de requisitos de seguridad como, por ejemplo, la autenticación, la autorización, la privacidad, la confianza, la integridad, la confidencialidad, los canales de comunicación segura, la federación, la delegación y la auditoría en un amplio espectro de topologías de aplicaciones y empresas. Uno de los requisitos clave del modelo de seguridad en el entorno empresarial actual es la posibilidad de interactuar entre tecnologías de seguridad que anteriormente eran incompatibles como, por ejemplo, la infraestructura de claves públicas y Kerberos, en entornos heterogéneos como Microsoft .NET y Java EE (Java™). La hoja de ruta completa de la tecnología y la pila de protocolos de seguridad de servicios web se describe en Seguridad en un mundo de servicios web: una hoja de ruta y una arquitectura propuesta.
La Especificación Seguridad de servicios web: Seguridad de mensajes SOAP 1.0 describe un conjunto estándar de extensiones SOAP que puede utilizar para crear servicios web seguros. Estos estándares confirman la integridad y la confidencialidad, que se proporcionan con las tecnologías de cifrado y firma digital. Asimismo, la seguridad de servicios web proporciona un mecanismo de uso general para asociar señales de seguridad con mensajes. Un ejemplo típico de señal de seguridad es una señal de nombre de usuario, en la que se incluyen un nombre de usuario y una contraseña como texto. La seguridad de servicios web define cómo codificar las señales de seguridad binarias utilizando métodos como los certificados X.509 y los tíquets de Kerberos. No obstante, las señales de seguridad necesarias no están definidas en la especificación de Seguridad de servicios web Versión 1.0. En su lugar, las señales se definen en perfiles diferentes como, por ejemplo, el perfil de señal de nombre de usuario, el perfil de señal X.509, el perfil SAML, el perfil Kerberos y el perfil XrML.
En el paquete de características para servicios web V6.1 y V7, WebSphere Application Server utiliza el modelo de conjunto de políticas para implementar la especificación WSS Versión 1.1, el perfil de señal de nombre de usuario Versión 1.1 y el perfil de señal X.509 Versión 1.1. Los conjuntos de políticas combinan valores de configuración, incluidos los valores de configuración a nivel de transporte y mensaje como, por ejemplo, WS-Addressing, WS-ReliableMessaging, WS-SecureConversation y WS-Security.
Para habilitar conjuntos de políticas para los servicios web, consulte Gestión de conjuntos de políticas para clientes y servicios web JAX-WS.
El siguiente manual contiene un capítulo sobre los conjuntos de políticas en WebSphere Application Server V6.1 Feature Pack for Web Services:IBM® Redbooks: Web Services Feature Pack for WebSphere Application Server V6.1
Además de la información proporcionada en esta documentación, puede encontrar en developerWorks varias guías de aprendizaje y artículos de gran utilidad que demuestran cómo proteger los servicios web utilizando WebSphere Application Server.