Trust-Service

Der von WebSphere Application Server bereitgestellte Sicherheitstokenservice wird als Trust-Service bezeichnet. Der Trust-Service von WebSphere Application Server verwendet die Mechanismen für sicheres Messaging von Web Services Trust (WS-Trust), um weitere Erweiterungen für das Ausstellen, das Austauschen und das Validieren von Sicherheitstoken zu definieren.

Web Services Trust (WS-Trust) ist ein Standard, der die Interoperabilität von Sicherheitstoken durch Definition eines Protokolls für Anforderungen und Antworten unterstützt. Dieses Protokoll ermöglicht einem SOAP-Actor, wie z. B. einem Web-Service-Client, den Austausch eines bestimmten Sicherheitstokens von einem anerkannten Aussteller anzufordern.

WebSphere Application Server stellt keinen vollständigen Sicherheitstokenservice bereit, der den gesamten Inhalt des Spezifikationsentwurfs WS-Trust implementiert. Die Unterstützung von WS-Trust in WebSphere Application Server konzentriert sich auf das Einrichten eines Sicherheitskontexttokens für sichere Dialoge. WebSphere Application Server unterstützt viele Sicherheitsfunktionen, die im OASIS-Standard "WS-Trust Version 1.3" vom 19. März 2007 beschrieben sind.

WS-Trust-Client anderer Anbieter

WebSphere Application Server stellt keine Implementierung eines WS-Trust-Clients bereit. Sie können einen WS-Trust-fähigen Client eines anderen Anbieters verwenden. Allerdings unterstützt WebSphere Application Server keine Trust-fähigen Clients anderer Anbieter. Ein Trust-Client kann die Generierung dieser SOAP-Nachrichten und die Verarbeitung der Antwort vereinfachen, aber der Client ist nicht erforderlich.

WebSphere Application Server konzentriert sich auf das Ausstellen, Erneuern und Stornieren des Sicherheitskontexttokens für Web Services Secure Conversation (WS-SecureConversation).

Um Anforderungen an den Trust-Service zu stellen, muss die WS-Trust-Spezifikation eingehalten werden. Diese Spezifikation beschreibt die Verwendung der WS-Addressing-Header (Web Services Addressing). Die WS-Addressing-Header sind in den Spezifikationen vom August 2004 und vom August 2005 spezifiziert. In jeder Spezifikation muss der SOAP-Hauptteil ein einziges Element des Typs RequestSecurityToken (RST) enthalten. Dieses Element kann untergeordnete Elemente enthält, die in den Spezifikationen WS-Trust und WS-SecureConversation definiert sind.

Sie können die WS-Trust-SOAP-Nachrichten mit der Bootstraprichtlinie sichern, die im Richtliniensatz definiert ist. Die Bootstrapsicherheitsrichtlinie wird aufgerufen, wenn ein Initiator die Kommunikation mit einem Anwendungsservice einrichtet. Erstanforderungen an andere Services als den Anwendungsservice werden über die Bootstraprichtlinie gesichert. Diese Erstanforderungen umfassen gewöhnlich eine oder mehrere Anforderungen an einen Sicherheitstokenservice (STS, Security Token Service), wie z. B. den Trust-Service von WebSphere Application Server. Ein Beispiel für eine Anforderung kann die Anforderung eines für WS-SecureConversation erforderlichen Sicherheitskontexttokens sein. Ein Initiator ist die Rolle, die die ursprüngliche Anforderung einleitet. Dies ist in den meisten Fällen der Client. Die Bootstraprichtlinie des Clients muss den Richtliniensätzen für das Austellen und Erneuern von Token für den Endpunkt entsprechen, die dem Trust-Service zugeordnet sind. Die dem Trust-Service zugeordneten Richtliniensätze für das Stornieren und Validieren von Token für den Endpunkt müssen dem Anwendungsrichtliniensatz des Clients entsprechen.

WebSphere Application Server stellt zwei Methoden für die Sicherung von SOAP-Nachrichten bereit, die für den Trust-Service bestimmt sind. Eine Methode ist die Verwendung der Bootstraprichtlinie, die im Richtliniensatz definiert ist. Eine zweite Methode ist die Verwendung der API von Web Services Security (WSS-API). Ihre Anwendung kann die WSS-API verwenden, um das Sicherheitskontexttoken für programmgesteuerte, API-basierte WS-SecureConversation zu verwenden.

Für Secure Conversation wird eine Anforderung vom Client an einen Endpunktservice ausgesetzt, während eine neue (zweite) Anforderung generiert und vom Trust-Service verarbeitet wird. Das mit der zweiten Anforderung zurückgegebene Sicherheitskontexttoken wird verwendet, um Schlüssel abzuleiten, die die Kommunikation mit dem Service sichern.

Übergeordnete Trust-Service-Funktionen

Die folgende Liste enthält WS-Trust-bezogene Funktionen, die derzeit in WebSphere Application Server unterstützt werden. Die Liste ist nicht umfassend und konzentriert sich ausschließlich auf die übergeordneten Funktionen.

  • Die Trust-Service-Komponente ist in jedem WebSphere Application Server eingebettet und verfügbar, der WS-Trust-Protokollnachrichten verarbeitet.
  • Die Kommunikation erfolgt über ein RequestSecurityToken (RST), ein RequestSecurityTokenCollection (RSTC), ein RequestSecurityTokenResponse (RSTR) und ein RequestSecurityTokenResponseCollection (RSTRC).
    Anmerkung: Eine RST-Anforderung kann an einen externen Sicherheitstokenservice (Trust-Service) gestellt werden. Es besteht jedoch die Einschränkung, dass das Sicherheitskontexttoken, das für WS-SecureConversation erforderlich ist, vom Trust-Service von WebSphere Application Server bereitgestellt wird.
  • Eine Sicherheitsrichtlinie für jede der WS-Trust-Operationen: issue (ausstellen), cancel (abbrechen), validate (validieren) und renew (erneuern).
  • Vorkonfigurierter SCT-Provider, der Token für einen bestimmten URL ausstellt.
  • Spezifikation tokenspezifischer Parameter eines Token-Providers (z. B. Verfallszeit).
  • Ein Sicherheitskontexttoken für WS-SecureConversation.
  • Caching-Unterstützung für das Sicherheitskontexttoken in Cluster- und anderen Umgebungen. WebSphere Application Server stellt auf Anforderung Sicherheitskontexttoken aus, wenn die Anforderung den Sicherheitsanforderungen entspricht. WS-SecureConversation in WebSphere Application Server verarbeitet jedoch nur Sicherheitskontexttoken, die von WebSphere Application Server ausgestellt sind.
  • Der Trust-Service von WebSphere Application Server unterstützt nur das Sicherheitskontexttoken.
  • Der Trust-Service unterstützt die eingereichte Version vom August 2004 und die endgültige Version (vom August 2005) der Spezifikation WS-Addressing.
  • Der Trust-Service verwendet einen Standardrichtliniensatz mit dem Namen "TrustServiceSecurityDefault", der WS-Security und WS-Addressing beinhaltet und bietet eine Standardsicherheit für die Operationen "issue" (ausstellen) und "renew" (erneuern).
  • Der Trust-Service verwendet einen zweiten Standardrichtliniensatz mit dem Namen "TrustServiceSymmetricDefault", der WS-Security und WS-Addressing beinhaltet und Standardsicherheit für die Operationen "cancel" (abbrechen) und "validate" (validieren) bietet.

Nicht unterstützte Funktionen des Trust-Service

Die folgenden übergeordneten WS-Trust-Funktionen werden in WebSphere Application Server nicht unterstützt. Die Liste ist nicht umfassend und konzentriert sich ausschließlich auf die Schlüsselfunktionen:
  • Es werden keine Vereinbarungs- und Austauschprotokolle unterstützt.
  • Abgesehen vom Sicherheitskontexttoken werden derzeit keine anderen Tokentypen ohne Vorbereitungs- oder Anpassungsaufwand unterstützt.
  • Es werden keine Trust10-Spezifikationen aus dem Richtliniensatz "WS-SecurityPolicySet" unterstützt.
  • Es wird keine nicht angeforderte "RequestSecurityTokenResponse" (RSTR) unterstützt.
  • Es kann keine RST-Anforderung (Request Security Token) an einen externen Sicherheitstokenservice (STS, Security Token Service) abgesetzt werden, um einen sicheren Dialog einzurichten. Derzeit wird nur der eingebettete Trust-Service unterstützt.
  • Richtlinienanforderungen, die im RST enthalten sind, werden nicht berücksichtigt.
  • Die Erweiterung eines Tokens (Operation 'amend') wird nicht unterstützt.
  • Ein dedizierter externer Endpunkt für den Zugriff auf den Tokenservice wird nicht unterstützt. Derzeit wird nur der eingebettete Trust-Service unterstützt.
  • Der Trust-Service bietet keine Unterstützung für das Element "Entropy", das einen EncryptedKey enthält.
  • Delegierung und Weiterleitung werden nicht unterstützt.
  • Das Element OnBehalfOf wird nicht unterstützt.
  • Die KET-Bindung (Key Exchange Token) wird nicht unterstützt.

Trust-Service-Operationen

WebSphere Application Server unterstützt im Besonderen die Fähigkeit des Trust-Service, im Auftrag eines Endpunkts ein Sicherheitskontexttoken für WS-SecureConversation auszustellen. Die Unterstützung für Tokenausstellung ist derzeit auf das Sicherheitskontexttoken beschränkt. Es sind auch Verwaltungsfunktionen verfügbar, um eine Trust-Service-Richtlinie für das Ausstellen, Stornieren, Validieren und Erneuern von Token zu definieren.

Der Tokenservice unterstützt den WS-Trust-Schema-Namespace. In diesem Namespace werden die folgenden Aktionen unterstützt:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
Der Tokenservice unterstützt auch den WS-SecureConversation-Schema-Namespace. In diesem Namespace werden die folgenden Aktionen unterstützt:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Renew

Ein eingehendes RST für die SCT-Operation "issue" muss ein Element "Entropy" enthalten. Das Element "Entropy" muss ein "BinarySecret" enthalten. Der Trust-Service unterstützt das Element "Entropy", das einen "EncryptedKey" enthält, nicht.

Der Trust-Service unterstützt keine nicht angeforderten RSTR-Aktionen. Die Erweiterung eines Tokens (Operation "amend") wird von WebSphere Application Server nicht unterstützt. Sehen Sie sich auch den Abschnitt mit der Überschrift "Nicht unterstützte Funktionen des Trust-Service" an.

Dateien für Trust-Richtliniensätze

Der Standardrichtliniensatz des Trust-Service für das Ausstellen und Erneuern von Token ist "TrustServiceSecurityDefault". Sie können den entsprechenden Richtliniensatz und die entsprechende Bindung für jeden Serviceendpunkt-URL konfigurieren.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wstrust
Dateiname:cwbs_wstrust.html