Architektur der höheren Ebene für Web Services Security

Die WS-Security-Richtlinie wird in der IBM® Erweiterung der Web-Service-Implementierungsdeskriptoren angegeben, wenn das Programmiermodell JAX-RPC verwendet wird, und in den Richtliniensätzen, wenn das Programmiermodell JAX-WS verwendet wird. Eine eigenständige JAX-WS-Clientanwendung kann die WS-Security-Richtlinie über das Programm festlegen. Die Bindungsdaten zur Unterstützung der WS-Security-Richtlinie werden für die Programmiermodelle JAX-RPC und JAX-WS in der IBM Erweiterung der Web-Service-Implementierungsdeskriptoren gespeichert. Die Laufzeitumgebung von Web Services Security setzt die im Richtliniendokument oder im Anwendungsprogramm angegebenen Sicherheitsvorgaben in der definierten Reihenfolge in Kraft.

Bewährte Verfahren: IBM WebSphere Application Server unterstützt das Programmiermodell Java™ API for XML-Based Web Services (JAX-WS) und das Programmiermodell Java API for XML-based RPC (JAX-RPC). JAX-WS ist das Web-Service-Programmiermodell der nächsten Generation, das die vom Programmiermodell JAX-RPC bereitgestellte Grundlage erweitert. Durch die Verwendung des strategischen Programmiermodells JAX-WS, das ein auf Standards basierendes Annotationsmodell unterstützt, vereinfacht sich die Entwicklung von Web-Services und -Clients. Obwohl das Programmiermodell JAX-RPC und JAX-RPC-Anwendungen weiterhin unterstützt werden, sollten Sie das einfach zu implementierende Programmiermodell JAX-WS für die Entwicklung neuer Web-Service-Anwendungen und -Clients nutzen.

WebSphere Application Server verwendet verwendet das Web-Service-Implementierungsmodell der Java EE (Java Platform, Enterprise Edition) Version 1.4 oder höher zur Implementierung von Web Services Security. Einer der Vorteile des Implementierungsmodells besteht darin, dass Sie die WS-Security-Anforderungen außerhalb der Geschäftslogik der Anwendung definieren können. Durch die Aufteilung der Rollen kann sich der Anwendungsentwickler auf die Geschäftslogik konzentrieren und der Sicherheitsexperte kann die Sicherheitsvorgaben festlegen.

Die folgende Abbildung zeigt das Architekturmodell der höheren Ebene, das zum Sichern der Web-Services in WebSphere Application Server verwendet wird.

Übergeordnetes Architekturmodell

Die WSS-API kann, wie weiter unten gezeigt, auch verwendet werden, um die Nachricht zu sichern:

Client, der die WSS-API zum Sichern der Nachricht verwendet

Auf der Clientseite und auf der Serverseite existieren jeweils zwei Gruppen von Konfigurationen:
Anforderungsgenerator
Diese Konfiguration auf der Clientseite definiert die WS-Security-Voraussetzungen für die abgehende SOAP-Nachrichtenanforderung. Diese Sicherheitsvorgaben können das Erstellen einer SOAP-Nachrichtenanforderung beinhalten, die eine digitale Signatur verwendet, eine Verschlüsselung einfügt und Sicherheitstoken anhängt. In WebSphere Application Server Version 5.0.2, 5.1 und 5.1.1 wurde der Anforderungsgenerator als Sender der Anforderung bezeichnet.
Anforderungskonsument
Diese Konfiguration auf der Serverseite definiert die WS-Security-Voraussetzungen für die ankommende SOAP-Nachrichtenanforderung. Diese Sicherheitsvorgaben können Folgendes umfassen: Es wird geprüft, ob die erforderlichen Integritätskomponenten digital signiert sind; die digitale Signatur wird geprüft; es wird geprüft, ob die erforderlichen vertraulichen Komponenten vom Anforderungsgenerator verschlüsselt wurden; die erforderlichen vertraulichen Komponenten werden entschlüsselt; die Sicherheitstoken werden validiert und der Sicherheitskontext wird mit der geeigneten Identität festgelegt. In WebSphere Application Server Version 5.0.2, 5.1 und 5.1.1 wurde der Anforderungskonsument als Empfänger der Anforderung bezeichnet.
Antwortgenerator
Diese Konfiguration auf der Serverseite definiert die WS-Security-Voraussetzungen für die abgehende SOAP-Nachrichtenantwort. Diese Sicherheitsvorgaben können Folgendes umfassen: das Generieren der SOAP-Nachrichtenantwort mit Web Services Security, das Einfügen der digitalen Signatur und das Verschlüsseln und Anhängen des Sicherheitstoken, falls erforderlich. In WebSphere Application Server Version5.0.2, 5.1 und 5.1.1 wurde der Antwortgenerator als Sender der Antwort bezeichnet.
Antwortkonsument
Diese Konfiguration auf der Clientseite definiert die WS-Security-Voraussetzungen für die ankommende SOAP-Nachrichtenantwort. Diese Sicherheitsvorgaben können Folgendes umfassen: Es wird geprüft, ob die Integritätskomponenten signiert sind und die Signatur wird geprüft; es wird geprüft, ob die erforderlichen vertraulichen Komponenten verschlüsselt sind und dass diese Teile entschlüsselt werden; die Sicherheitstoken werden validiert. In WebSphere Application Server Version 5.0.2, 5.1 und 5.1.1 wurde der Antwortkonsument als Empfänger der Antwort bezeichnet.

WebSphere Application Server beinhaltet keine Vereinbarung und keinen Austausch der Sicherheitsrichtlinie zwischen Client und Server. Die in den Spezifikationen WS-Policy, WS-PolicyAssertion und WS-SecurityPolicy definierte Vereinbarung der Sicherheitsrichtlinie wird in WebSphere Application Server nicht unterstützt.

Anmerkung: Die im Anforderungsgenerator definierten WS-Security-Voraussetzungen müssen vom Anforderungskonsumenten erfüllt werden. Die im Antwortgenerator definierten Sicherheitsvorgaben müssen vom Antwortkonsumenten erfüllt werden. Andernfalls wird die Anforderung oder die Antwort zurückgewiesen, weil die WS-Security-Vorgaben von dem Anforderungskonsumenten und Antwortkonsumenten nicht erfüllt werden.
Das Format der Implementierungsdeskriptoren und Bindungen für Web Services Security sind IBM proprietär. Allerdings sind folgende Tools verfügbar, um die Implementierungsdeskriptoren und Bindungen zu editieren:
IBM Assembliertools
Verwenden Sie IBM Assembliertools, um den Implementierungsdeskriptor und die Bindungen für Web Services Security zu editieren. Sie können mit diesen Tools sowohl Web- als auch EJB-Module (Enterprise JavaBeans) assemblieren. Weitere Informationen finden Sie in der Dokumentation zu den Assembliertools.
Administrationskonsole von WebSphere Application Server
Mit diesem Tool können Sie die WS-Security-Bindung einer implementierten Anwendung editieren.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_highlvlarchwss
Dateiname:cwbs_highlvlarchwss.html