Unterstützte Funktionalität der OASIS-Spezifikationen
Der Anwendungsserver unterstützt die OASIS-Spezifikationen (Organization for the Advancement of Structured Information) für Web Services Security (WS-Security).
- OASIS: Web Services Security: SOAP Message Security 1.1 (WS-Security 2004) OASIS Standard Specification, 1 February 2006
- OASIS: Web Services Security UsernameToken Profile 1.1 (Standard Specification, 1 February 2006)
- OASIS: Web Services Security X.509 Certificate Token Profile 1.1 (Standard Specification, 1 February 2006)
Die Unterstützung von WS-SecurityPolicy ist nur für WS-MetadataExchange-Szenarien (Web Services Metadata Exchange) verfügbar, in denen die Zusicherungen in der WSDL-Datei enthalten sind. Nähere Informationen hierzu finden Sie im Artikel über WS-MetadataExchange-Anforderungen.
OASIS: Web Services Security SOAP Message Security 1.0 und 1.1
In der folgenden Tabelle sind die Aspekte der OASIS-Spezifikationen "Web Services Security: SOAP Message Security 1.0" und "Web Services Security: SOAP Message Security 1.1" beschrieben, die in in WebSphere Application Server Version 6 und höher unterstützt werden.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Sicherheitsheader |
|
Sicherheitstoken |
|
Tokenreferenzen |
|
Signatur | Signaturbestätigung |
Signaturalgorithmus |
|
Mit einer Signatur signierte Teile nur für JAX-RPC |
|
Signaturnachrichtenteile nur für JAX-WS |
|
Verschlüsselung | Element "EncryptedHeader" |
Verschlüsselungsalgorithmen | Wichtig: In Ihrem Herkunftsland
gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land.
Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
Der Standard AES (Advanced Encryption Standard) wurde so entworfen, dass er eine stärkere und bessere Leistung für die symmetrische Verschlüsselung über Triple-DES (Data Encryption Standard) bereitstellt. Daher wird empfohlen, falls möglich, AES für die symmetrischen Verschlüsselung zu verwenden. |
Teile der Nachrichtenverschlüsselung nur für JAX-RPC |
|
Teile der Nachrichtenverschlüsselung nur für JAX-WS |
|
Zeitmarke |
|
Fehlerbehandlung | SOAP-Fehler
|
OASIS: Web Services Security: UsernameToken Profile 1.0
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security: UsernameToken Profile 1.0", die in WebSphere Application Server unterstützt werden.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Kennworttypen | Text |
Tokenreferenzen | Direkte Referenz |
OASIS: Web Services Security: UsernameToken Profile 1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security: UsernameToken Profile 1.1", die in WebSphere Application Server unterstützt werden. Komponenten, die zuvor für Web Services Security UsernameToken Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Kennworttypen | Text |
Tokenreferenzen | Direkte Referenz |
OASIS: Web Services Security X.509 Certificate Token Profile 1.0
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile", die in WebSphere Application Server Version 6 und höher unterstützt werden.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Tokentypen |
|
Tokenreferenzen |
|
OASIS: Web Services Security X.509 Certificate Token Profile 1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile 1.1", die in WebSphere Application Server unterstützt werden. Komponenten, die zuvor für Web Services Security X.509 Certificate Token Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Tokentypen | X.509 Version 1: Single certificate |
Tokenreferenzen | Schlüssel-ID - Subjektschlüssel-ID
|
OASIS: Web Services Security Kerberos Token Profile 1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Kerberos Token Profile 1.1", die in WebSphere Application Server unterstützt werden.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Tokentypen |
|
Tokenreferenzen |
|
OASIS-Spezifikationen "Web Services Security WS-Secure Conversation Draft" und "Web Services Security WS-Secure Conversation Version 1.3"
Die folgende Tabelle zeigt Aspekte der Spezifikation "OASIS: WS-SecureConversation", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden. Version 1.3 der Spezifikation wird in WebSphere Application Server Version 7.0 und höher unterstützt.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Tokentypen |
|
Tokenreferenzen | Direkte Referenz |
Einrichtung des Sicherheitskontextes | Sicherheitskontexttoken, das von einem in WebSphere Application Server integrieren Sicherheitstokenservice erstellt wurde. |
Kontextverlängerung | Automatische Verlängerung des Tokens, wenn sich der Verfallszeitpunkt nähert |
Kontextabbruch | Unterstützung der expliziten Abbruchanforderung. |
Abgeleitete Schlüssel | Folgende Informationen werden verwendet, um Schlüssel mithilfe eines
geheimen Schlüssels für gemeinsame Nutzung (Shared Secret) abzuleiten:
|
Fehlerbehandlung | SOAP-Fehler, einschließlich der Folgenden:
|
OASIS-Spezifikationen "Web Services Security WS-Trust Version 1.0 Draft" und "Web Services Security WS-Trust"
Die folgenden Tabellen zeigen Aspekte der Spezfikationen "OASIS: Web Services Security: WS-Trust Version 1.0 Draft" und "OASIS: Web Services Security: WS-Trust Version 1.3", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden.
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Namespace | http://schemas.xmlsoap.org/ws/2005/02/trust |
Anforderungsheader | /wsa:Action Gültige Optionen:
|
Anforderungselemente und -attribute | /wst:RequestSecurityToken /wst:RequestSecurityToken/@Context /wst:RequestSecurityToken/wst:RequestType
/wst:RequestSecurityToken/wst:TokenType
|
Antwortheader | /wsa:Action Gültige Optionen:
|
Antwortelemente und -attribute | /wst:RequestSecurityTokenResponse /wst:RequestSecurityTokenResponse/@Context /wst:RequestSecurityTokenResponse/wst:TokenType /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wsp:AppliesTo /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference /wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference /wst:RequestSecurityTokenResponse/wst:RequestedProofToken /wst:RequestSecurityTokenResponse/wst:Entropy /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type /wst:RequestSecurityTokenResponse/wst:Lifetime /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires /wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey /wst:RequestSecurityTokenResponse/wst:KeySize /wst:RequestSecurityTokenResponse/wst:Renewing /wst:RequestSecurityTokenResponse/wst:Renewing/@Allow /wst:RequestSecurityTokenResponse/wst:Renewing/@OK /wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled /wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason |
Fehlerbehandlung | wst:InvalidRequest wst:FailedAuthentication wst:RequestFailed wst:InvalidSecurityToken wst:AuthenticationBadElements wst:BadRequest wst:ExpiredData wst:InvalidTimeRange wst:InvalidScope wst:RenewNeeded wst:UnableToRenew |
Unterstützte Funktionalität | Bestimmter Aspekt, der unterstützt wird |
---|---|
Namespace | http://docs.oasis-open.org/ws-sx/ws-trust/200512 |
Anforderungsheader | /wsa:Action Gültige Optionen:
|
Anforderungselemente und -attribute | /wst:RequestSecurityToken /wst:RequestSecurityToken/@Context /wst:RequestSecurityToken/wst:RequestType
/wst:RequestSecurityToken/wst:TokenType
|
Antwortheader | /wsa:Action Gültige Optionen:
|
Antwortelemente und -attribute | /wst:RequestSecurityTokenResponse /wst:RequestSecurityTokenResponse/@Context /wst:RequestSecurityTokenResponse/wst:TokenType /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wsp:AppliesTo /wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken /wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference /wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference /wst:RequestSecurityTokenResponse/wst:RequestedProofToken /wst:RequestSecurityTokenResponse/wst:Entropy /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret /wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type /wst:RequestSecurityTokenResponse/wst:Lifetime /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created /wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires /wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey /wst:RequestSecurityTokenResponse/wst:KeySize /wst:RequestSecurityTokenResponse/wst:Renewing /wst:RequestSecurityTokenResponse/wst:Renewing/@Allow /wst:RequestSecurityTokenResponse/wst:Renewing/@OK /wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled /wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason |
Fehlerbehandlung | wst:InvalidRequest wst:FailedAuthentication wst:RequestFailed wst:InvalidSecurityToken wst:AuthenticationBadElements wst:BadRequest wst:ExpiredData wst:InvalidTimeRange wst:InvalidScope wst:RenewNeeded wst:UnableToRenew |
Funktionalität, die in WebSphere Application Server nicht unterstützt wird
- Web Services Security: SOAP Messages with Attachments (SwA) Profile 1.0Anmerkung: Bei Verwendung des Programmiermodells JAX-WS wird die Sicherung der SOAP-MTOM-Anlage (Message Transmission Optimization Mechanism) nicht unterstüzt. Nähere Informationen hierzu finden Sie im Artikel über die Aktivierung von MTOM für JAX-WS-Web-Services.
- XrML-Tokenprofil
- Digitale XML-Envelope-Signatur
- Digitale XML-Envelope-Verschlüsselung
- Die folgende Funktionalität von WS-SecureConversation wird in WebSphere Application
Server nicht unterstützt:
- Zwei Methoden zum Aufbau eines Sicherheitskontextes werden nicht unterstützt: 1) Sicherheitskontexttoken, das von einer der miteinander kommunizierenden Parteien erstellt und in einer Nachricht weitergegeben wird, und 2) Sicherheitskontexttoken, das durch Vereinbarung oder Austausch erstellt wird.
- SCT-Weitergabe
- Änderung von Sicherheitskontexten
- Die folgenden Umsetzungsalgorithmen für digitale Signaturen werden nicht unterstützt:
- XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
- SOAP Message Normalization
Auf der Webseite SOAP Version 1.2 Message Normalization finden Sie beispielsweise Informationen zum Entfernen eines leeren Headers oder eines Headereintrags mit mustUnderstand=false usw.
- Entschlüsselungsumsetzung
- Der folgende Schlüsselvereinbarungsalgorithmus für die Verschlüsselung wird nicht unterstützt:
- Der folgende Kanonisierungsalgorithmus für die Verschlüsselung, der in
der XML-Verschlüsselungsspezifikation optional ist, wird nicht unterstützt:
- Kanonisches XML mit oder ohne Kommentare
- Exklusive XML-Kanonisierung mit oder ohne Kommentare
- Die digitale DSA-Signatur wird nicht unterstützt.
- Die Datenverschlüsselung mit vorab vereinbarten symmetrischen Schlüsseln wird nicht unterstützt.
- Die Prüfung eines fälschungssicheren Herkunftsnachweises für digitale Signaturen wird nicht unterstützt.
- In beiden Versionen der Spezifikation "Username Token Profile" wird der Digest-Kennworttyp nicht unterstützt.
- In der Spezifikation "Username Token Version 1.1 Profile" wird die Ableitung von Schlüsseln auf der Basis eines Kennworts nicht unterstützt.
Nicht unterstützte Funktion für "WS-Trust Version 1.0 Draft" und "WS-Trust Version 1.3"
Die folgenden Tabellen zeigen Aspekte der Spezfikationen "OASIS: Web Services Security: WS-Trust Version 1.0 Draft" und "OASIS: Web Services Security: WS-Trust Version 1.3", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher nicht unterstützt werden.
Nicht unterstütztes Thema | Spezifischer Aspekt, der nicht unterstützt wird |
---|---|
Elemente und Attribute | /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type Nicht unterstützte Anforderungsoptionen:
|
Antwortelemente und -attribute | /wst:RequestSecurityTokenResponseCollection /wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse |
Nicht unterstütztes Thema | Spezifischer Aspekt, der nicht unterstützt wird |
---|---|
Elemente und Attribute | /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type Nicht unterstützte Anforderungsoptionen:
|
Antwortheader | /wsa:Action Nicht unterstützte Antworten:
|