Wenn Sie mit Richtliniensätzen arbeiten, können Sie Nachrichtenabschnitte über die Administrationskonsole sichern.
Zum Sichern von Nachrichtenabschnitten mit WS-Security über Richtliniensätze müssen Sie die
Elemente für die zu schützenden Nachrichtenabschnitte in der WS-Security-Richtlinie in einem Richtliniensatz definieren.
Vorbereitende Schritte
Zum Ausführen dieser Task müssen Sie einen für Ihre Anwendung oder Ihr Serviceartefakt definierten Richtliniensatz haben.
Wenn keiner der Standardrichtliniensätze die erforderlichen Richtliniendefinitionen enthält, müssen Sie einen
angepassten Richtliniensatz mit den erforderlichen Definitionen erstellen.
Informationen zu diesem Vorgang
In dieser Task wird vorausgesetzt, dass Sie Richtliniensätze verwenden und Nachrichtenabschnitte in diesem Kontext sichern möchten.
Vorgehensweise
- Öffnen Sie die Administrationskonsole.
- Wählen Sie den Richtliniensatz aus, der die zu sichernden Nachrichtenabschnitte enthält.
- Wenn Sie Nachrichtenabschnitte mithilfe von Anwendungsrichtliniensätzen sichern möchten, klicken Sie auf Services
> Richtliniensätze > Anwendungsrichtliniensätze.
- Wenn Sie Nachrichtenabschnitte mithilfe von Systemrichtliniensätzen sichern möchten, klicken Sie auf Services
> Richtliniensätze > Systemrichtliniensätze.
- Wählen Sie den Richtliniensatz aus, den Sie verwenden möchten.
- Falls die WS-Security-Richtlinie nicht aufgelistet ist, klicken Sie auf Hinzufügen und wählen Sie die
Richtlinie in der daraufhin angezeigten Liste aus.
- Klicken Sie auf den Link WS-Security.
- Klicken Sie auf Hauptrichtlinie oder Bootstraprichtlinie. Die Bootstraprichtlinie
ist verfügbar, wenn Secure Conversation verwendet wird.
Wenn Sie die Bootstraprichtlinie verwenden möchten, wählen Sie in Schritt drei den Richtliniensatz "SecureConversation" aus.
- Stellen Sie sicher, dass der Zugriffsschutz auf Nachrichtenebene ausgewählt ist, und klicken Sie anschließend auf Abschnitte in Anforderungsnachrichten schützen oder auf
Abschnitte in Antwortnachrichten schützen. Wenn das Kontrollkästchen "Zugriffsschutz auf Nachrichtenebene" nicht ausgewählt ist, ist der Link zu "Abschnitte in Antwortnachrichten schützen" nicht
verfügbar, weil die Konfigurationsdaten, die der Sicherheit auf Nachrichtenebene zugeordnet sind,
entfernt werden, wenn der Zugriffsschutz auf Nachrichtenebene abgewählt ist.
- Klicken Sie je nach gewünschter Sicherheitsstufe unter "Verschlüsselte Abschnitte" oder "Signierte Abschnitte" auf Hinzufügen.
- Geben Sie einen Abschnittsnamen an, und fügen Sie die zu signierenden und/oder zu verschlüsselnden Elemente hinzu.
Bei den Elementen kann es sich um den Nachrichtenhauptteil, einen XPath-Ausdruck oder einen QName (nur für SOAP-Headerelemente) handeln.
Klicken Sie auf OK. Empfehlung für die Verwendung von QName oder XPath: Wenn Sie SOAP-Header verschlüsseln oder signieren, können Sie
über den QName auswählen, welche SOAP-Header signiert oder verschlüsselt werden sollen.
Anmerkung: Die Elemente müssen direkt untergeordnete Elemente der SOAP-Header sein.
Wenn Sie andere Elemente in der SOAP-Nachricht signieren und verschlüsseln möchten, können Sie einen XPath-Ausdruck verwenden.
Verwenden Sie beispielsweise den folgenden XPath-Ausdruck, um MyElement im Namespace http://xyz.acme.com mit MyHeader, http://acme.com
auszuwählen:
/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' and local-name()='Envelope']/*[namespace-uri()=
'http://www.w3.org/2003/05/soap-envelope' and local-name()='Header']/*[namespace-uri()='http://acme.com' and local-name()=
'MyHeader']/*[namespace-uri()='http://xyz.acme.com' and local-name()='MyElement']
- Wiederholen Sie die Schritte 8 und 9 für jeden zu signierenden oder zu verschlüsselnden Nachrichtenabschnitt.
- Klicken Sie auf Speichern, um Ihre Änderungen in der Masterkonfiguration zu speichern.
Ergebnisse
Nach Abschluss dieser Task haben Sie den Richtliniensatz konfiguriert, der die Servicequalitätsdefinitionen
enthält, die für die Signatur und Verschlüsselung von Nachrichtenabschnitten erforderlich sind.
Beispiel
Wenn Sie einen Richtliniensatz mit dem Namen
myPolicy haben und möchten, dass die Hauptteile von Anforderungsnachrichten
signiert werden müssen, können Sie die folgenden Aktionen ausführen:
- Suchen Sie den Richtliniensatz unter Services > Richtliniensätze > Anwendungsrichtliniensätze,
und klicken Sie auf den Namen des Richtliniensatzes.
- Klicken Sie auf den Link WS-Security. Wenn der Link nicht vorhanden ist, klicken Sie auf
Hinzufügen und wählen Sie WS-Security in der daraufhin angezeigten Liste aus.
- Klicken Sie auf Hauptrichtlinie > Abschnitte in Anforderungsnachrichten schützen.
- Klicken Sie unter Integrität schützen und Signierte Abschnitte
auf Hinzufügen.
- Geben Sie den Namen messageBody an.
- Wählen Sie Nachrichtenhauptteil schützen aus, klicken Sie auf Angegebene Elemente hinzufügen und anschließend auf
OK.
- Klicken Sie auf Speichern, um Ihre Änderungen in der Masterkonfiguration zu speichern.
Nächste Schritte
Sie können mit dem Signieren und Verschlüsseln von Nachrichtenabschnitten über Richtliniensätze fortfahren.