Unterstützung von Web Services Security
IBM® unterstützt Web Services Security, eine Erweiterung der IBM Web-Service-Engine darstellt und Servicequalität gewährleisten soll. Die Sicherheitsstruktur von WebSphere Application Server integriert Web Services Security in vollem Umfang mit der Java™-EE-Sicherheit (Java Platform, Enterprise Edition).
WebSphere Application Server Version 4.x, 5 und 5.0.1 unterstützen digitale Signaturen für Apache SOAP Version 2.x. Seit WebSphere Application Server Version 5.0.2 unterstützt IBM Web Services Security. Die IBM Implementierung basiert auf der Spezifikation Web Services Security (WS-Security), die ursprünglich im April 2002 von IBM, Microsoft und VeriSign vorgeschlagen wurde. Frühe Versionen des vorgeschlagenen Spezifikationsentwurfs enthalten die Dokumente "Web Services Security (WS-Security) Version 1.0 05 April 2002" und "Web Services Security Addendum 18 August 2002". Die Implementierung von WebSphere Application Server basiert auf Entwurf 13 (Draft 13) der Spezifikation von OASIS (Organization for the Advancement of Structured Information Standards). Auf der Website des OASIS Web Services Security Technical Committee können Sie den neueste Version der Spezifikation einsehen. Es wurden jedoch nicht alle Features von Entwurf 13 der OASIS-Spezifikation implementiert.
Web Services Security wird in reinen Java- und nicht verwalteten Clients nicht unterstützt. Wenn eine Benutzer-ID und ein Kennwort in eine Anforderungsnachricht integriert werden, erfolgt die Authentifizierung mit Benutzer-ID und Kennwort. Ist die Authentifizierung erfolgreich, wird eine Benutzeridentität und, basierend auf dieser Identität, eine weitere Zugriffsberechtigung für die Ressource erstellt. Nachdem die Benutzer-ID und das Kennwort von der Laufzeit von Web Services Security authentifiziert wurden, führt ein Java-EE-Container die Berechtigung durch.
Element | Anmerkungen |
---|---|
UsernameToken | Der Benutzername und das Kennwort für das Authentifizierungsverfahren BasicAuth sowie der Benutzername für das Authentifizierungsverfahren der Identitätszusicherung werden unterstützt. WebSphere Application Server unterstützt Nonces. Ein Nonce ist ein generierter Zufallswert. |
BinarySecurityToken | X.509-Zertifikate und LTPA können integriert werden, es gibt jedoch keine Implementierung, mit der Kerberos-Tickets integriert werden können. Die Generierung und Validierung binärer Token sind Plug-in-fähig und basieren auf den JAAS-APIs (Java Authentication and Authorization Service Application Programming Interfaces). Sie können diese Implementierung erweitern, um andere Typen binärer Sicherheitstoken zu generieren und validieren. |
Signatur | Das X.509-Zertifikat ist als binäres Sicherheitstoken eingebettet und kann durch die SecurityTokenReference referenziert werden. WebSphere Application Server unterstützt keine gemeinsam genutzten, schlüsselbasierten Signaturen. |
Verschlüsselung | Die XML-Tags EncryptedKey und ReferenceList werden unterstützt. KeyIdentifier gibt öffentliche Schlüssel und KeyName die geheimen Schlüssel an. WebSphere Application Server ist in der Lage, eine authentifizierte Identität einem Schlüssel für Verschlüsselung zuzuordnen, oder das Unterzeichnerzertifikat zur Verschlüsselung der Antwortnachricht zu verwenden. |
Zeitmarke | WebSphere Application Server unterstützt die Attribute Created und Expires. Die Aktualität der Nachricht, d. h., Angaben dazu, ob die Nachricht mit vordefinierten Zeitbeschränkungen übereinstimmt, wird nur überprüft, wenn die Nachricht das Attribut Expires enthält. WebSphere Application Server unterstützt das im Zusatz definierte Attribut Received nicht. Stattdessen unterstützt WebSphere Application Server das Attribut TimestampTraceReceived, das in der OASIS-Spezifikation definiert ist. |
XML-basiertes Token | Sie können ein beliebiges Format von XML-Token in eine Nachricht einfügen und validieren. Dieser Formatmechanismus basiert auf den JAAS-APIs. |
Methode | Element |
---|---|
Digitale XML-Signatur |
|
XML-Verschlüsselung |
|
AuthMethod |
|
Methode | Element |
---|---|
Digitale XML-Signatur |
|
XML-Verschlüsselung |
|
- Integrität der Nachricht
- Authentizität der Nachricht
- Vertraulichkeit der Nachricht
- Datenintegrität der Nachricht
- Sicherheit auf Transportebene durch SSL (Secure Sockets Layer)
- Weitergabe von Sicherheitstoken (Plug-in-fähig)
- IDAssertion (Zusicherung der Identität)
- OASIS Web Services Security: SOAP Message Security Working Draft 13, May 2003
- http://schemas.xmlsoap.org/ws/2003/06/secext
- OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
- OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
- http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd
http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd
Laufzeitumgebung | Senden | Empfangen |
---|---|---|
JAX-RPC draft 13 | OASIS draft 13 | OASIS draft 13 |
JAX-RPC | OASIS wssec 1.0 | OASIS wssec 1.0 OASIS draft 13 |
JAX-WS | OASIS wssec 1.1 OASIS wssec 1.0 |
OASIS wssec 1.1 OASIS wssec 1.0 OASIS draft13 |
- Spezifikation von April 2002
- http://schemas.xmlsoap.org/ws/2002/04/secext
- Zusatz von August 2002
- http://schemas.xmlsoap.org/ws/2002/07/secext
Die Tabelle mit den Elemente von Web Services Security enthält eine Beschreibung der nicht unterstützten Funktionen.