Architektur der höheren Ebene für Web Services Security
Die WS-Security-Richtlinie wird in der IBM® Erweiterung der Web-Service-Implementierungsdeskriptoren angegeben, wenn das Programmiermodell JAX-RPC verwendet wird, und in den Richtliniensätzen, wenn das Programmiermodell JAX-WS verwendet wird. Eine eigenständige JAX-WS-Clientanwendung kann die WS-Security-Richtlinie über das Programm festlegen. Die Bindungsdaten zur Unterstützung der WS-Security-Richtlinie werden für die Programmiermodelle JAX-RPC und JAX-WS in der IBM Erweiterung der Web-Service-Implementierungsdeskriptoren gespeichert. Die Laufzeitumgebung von Web Services Security setzt die im Richtliniendokument oder im Anwendungsprogramm angegebenen Sicherheitsvorgaben in der definierten Reihenfolge in Kraft.
WebSphere Application Server verwendet verwendet das Web-Service-Implementierungsmodell der Java EE (Java Platform, Enterprise Edition) Version 1.4 oder höher zur Implementierung von Web Services Security. Einer der Vorteile des Implementierungsmodells besteht darin, dass Sie die WS-Security-Anforderungen außerhalb der Geschäftslogik der Anwendung definieren können. Durch die Aufteilung der Rollen kann sich der Anwendungsentwickler auf die Geschäftslogik konzentrieren und der Sicherheitsexperte kann die Sicherheitsvorgaben festlegen.
Die folgende Abbildung zeigt das Architekturmodell der höheren Ebene, das zum Sichern der Web-Services in WebSphere Application Server verwendet wird.

Die WSS-API kann, wie weiter unten gezeigt, auch verwendet werden, um die Nachricht zu sichern:

- Anforderungsgenerator
- Diese Konfiguration auf der Clientseite definiert die WS-Security-Voraussetzungen für die abgehende SOAP-Nachrichtenanforderung. Diese Sicherheitsvorgaben können das Erstellen einer SOAP-Nachrichtenanforderung beinhalten, die eine digitale Signatur verwendet, eine Verschlüsselung einfügt und Sicherheitstoken anhängt. In WebSphere Application Server Version 5.0.2, 5.1 und 5.1.1 wurde der Anforderungsgenerator als Sender der Anforderung bezeichnet.
- Anforderungskonsument
- Diese Konfiguration auf der Serverseite definiert die WS-Security-Voraussetzungen für die ankommende SOAP-Nachrichtenanforderung. Diese Sicherheitsvorgaben können Folgendes umfassen: Es wird geprüft, ob die erforderlichen Integritätskomponenten digital signiert sind; die digitale Signatur wird geprüft; es wird geprüft, ob die erforderlichen vertraulichen Komponenten vom Anforderungsgenerator verschlüsselt wurden; die erforderlichen vertraulichen Komponenten werden entschlüsselt; die Sicherheitstoken werden validiert und der Sicherheitskontext wird mit der geeigneten Identität festgelegt. In WebSphere Application Server Version 5.0.2, 5.1 und 5.1.1 wurde der Anforderungskonsument als Empfänger der Anforderung bezeichnet.
- Antwortgenerator
- Diese Konfiguration auf der Serverseite definiert die WS-Security-Voraussetzungen für die abgehende SOAP-Nachrichtenantwort. Diese Sicherheitsvorgaben können Folgendes umfassen: das Generieren der SOAP-Nachrichtenantwort mit Web Services Security, das Einfügen der digitalen Signatur und das Verschlüsseln und Anhängen des Sicherheitstoken, falls erforderlich. In WebSphere Application Server Version5.0.2, 5.1 und 5.1.1 wurde der Antwortgenerator als Sender der Antwort bezeichnet.
- Antwortkonsument
- Diese Konfiguration auf der Clientseite definiert die WS-Security-Voraussetzungen für die ankommende SOAP-Nachrichtenantwort. Diese Sicherheitsvorgaben können Folgendes umfassen: Es wird geprüft, ob die Integritätskomponenten signiert sind und die Signatur wird geprüft; es wird geprüft, ob die erforderlichen vertraulichen Komponenten verschlüsselt sind und dass diese Teile entschlüsselt werden; die Sicherheitstoken werden validiert. In WebSphere Application Server Version 5.0.2, 5.1 und 5.1.1 wurde der Antwortkonsument als Empfänger der Antwort bezeichnet.
WebSphere Application Server beinhaltet keine Vereinbarung und keinen Austausch der Sicherheitsrichtlinie zwischen Client und Server. Die in den Spezifikationen WS-Policy, WS-PolicyAssertion und WS-SecurityPolicy definierte Vereinbarung der Sicherheitsrichtlinie wird in WebSphere Application Server nicht unterstützt.
- IBM Assembliertools
- Verwenden Sie IBM Assembliertools, um den Implementierungsdeskriptor und die Bindungen für Web Services Security zu editieren. Sie können mit diesen Tools sowohl Web- als auch EJB-Module (Enterprise JavaBeans) assemblieren. Weitere Informationen finden Sie in der Dokumentation zu den Assembliertools.
- Administrationskonsole von WebSphere Application Server
- Mit diesem Tool können Sie die WS-Security-Bindung einer implementierten Anwendung editieren.