Standard "Web Services Trust"
Web Services Trust (WS-Trust) ist ein empfohlener OASIS-Standard (Organization for the Advancement of Structured Information Standards), der die Interoperabilität von Sicherheitstoken durch Definition eines Protokolls für Anforderungen und Antworten unterstützt. Dieses Protokoll ermöglicht einem SOAP-Actor, wie z. B. einem Web-Service-Client, den Austausch eines bestimmten Sicherheitstokens von einem anerkannten Aussteller anzufordern. Der mit WebSphere Application Server bereitgestellte Trust-Service verwendet die Mechanismen für sicheres Messaging von WS-Trust, um weitere Erweiterungen für das Ausstellen, das Austauschen und das Validieren von Sicherheitstoken zu definieren.
WS-Trust definiert ein Anforderung/Antwort-Protokoll für den Austausch von Sicherheitstoken. Ein Client sendet ein RequestSecurityToken (RST) an einen Sicherheitstokenservice. Die Anforderung enthält das Sicherheitstoken, dessen Austausch vom Client angefordert wurde. Der Sicherheitstokenservice antwortet mit einer RequestSecurityTokenResponse (RSTR), die das neue Token enthält.
Neben dem Tokenaustausch ist das Anforderung/Antwort-Protokoll von WS-Trust allgemein genug gehalten, um die erneute Ausstellung von Token zu unterstützen. Dabei fordert der Client vom Trust-Service, sich durch Ausstellung eines entsprechenden Sicherheitstokens zu berechtigen. Bei der Tokenvalidierung präsentiert der Client dem Trust-Service ein Token und fordert ihn zur Bestätigung der Tokengültigkeit auf.
WS-Trust unterstützt auch das Ausstellen und Verteilen von Berechtigungsnachweisen in unterschiedlichen Trust-Domänen. Um eine Kommunikation zwischen zwei Parteien zu sichern, müssen die beiden Parteien Sicherheitsberechtigungsnachweise (direkt oder indirekt) austauschen. Jede Partei muss zuerst feststellen, ob sie den zugesicherten Berechtigungsnachweisen der jeweils anderen Partei vertrauen kann.
Die OASIS-Spezifikation WS-Trust definiert WS-Security-Erweiterungen (Web Services Security) für das Ausstellen und Austauschen von Sicherheitstoken und für die Bereitstellung von Methoden für die Konfiguration und die Bewertung von Trust-Beziehungen. Mit diesen Erweiterungen können Anwendungen an der sicheren Kommunikation teilnehmen. Außerdem sind diese Erweiterungen für den Einsatz mit dem allgemeinen Web-Service-Framework konzipiert. Das allgemeine Web-Service-Framework umfasst WSDL-Servicebeschreibungen, UDDI businessServices und bindingTemplates und SOAP-Nachrichten.
Die Unterstützung von WS-Trust in WebSphere Application Server konzentriert sich auf das Einrichten eines Sicherheitskontexttokens für Web Services Secure Conversation (WS-SecureConversation). Die WS-Trust-Unterstützung konzentriert sich auf die vier Aktionen für das Sicherheitskontexttoken: issue, renew, validate und cancel. Für WS-Trust Version 1.3 werden außerdem Collection-Anforderungen für dieselben Aktionen unterstützt: issue, renew, validate and cancel. Die WS-Trust-Hauptkomponente, die WebSphere Application Server unterstützt, ist der Sicherheitstokenservice, der als Trust-Service bezeichnet wird.
Unterstützung der Entwurfsversionen und der genehmigten Versionen des WS-Trust-Standards
Version 6.1 und höher von WebSphere Application Server unterstützen die Spezifikation "WS-Trust 2005 Submission Draft" (Version 1.1). WebSphere Application Server stellt jedoch keinen vollständigen Sicherheitstokenservice bereit, der den gesamten Inhalt des Spezifikationsentwurfs WS-Trust implementiert.
Die genehmigte Spezifikation der Version 1.3 vom März 2007 wird von WebSphere Application Server Version 7.0 und höher unterstützt. Der SCT-Provider (Security Context Token) unterstützt die OASIS-Spezifikationen der Version 1.3 für WS-Trust und WS-SecureConversation. Eine Konfigurationsoption wird bereitgestellt, die es ermöglicht, dass die beiden unterschiedlichen Stände des WS-Trust-Standard auf demselben Server koexistieren. Dadurch wird Interoperabilität zwischen Systemen und Produkten bereitgestellt, die unterschiedliche Spezifikationsstufen unterstützen. Ausführliche Informationen hierzu finden Sie im Artikel über die Konfiguration des SCT-Providers für den Trust-Service mit der Administrationskonsole.
Außerdem wird eine Einstellung bereitgestellt, mit der die Unterstützung für die Entwurfsspezifikation "WS-Trust 2005 Submission Draft" (Version 1.1) für den SCT-Provider (Security Context Token) explizit inaktiviert werden kann. Weitere Informationen zu dieser Eigenschaft finden Sie im Artikel über die Inaktivierung der Entwurfsstandardversion für das Sicherheitskontexttoken.
Die Verarbeitung einer Trust-Serviceanforderung ist abhängig von den in der Anforderung referenzierten Spezifikationen. Außerdem wird die Trust-Serviceantwort durch die Version der in der Anforderung verwendeten Spezifikation bestimmt.
- Schema für die Spezifikation: http://docs.oasis-open.org/ws-sx/ws-trust/200512
- Weitere Informationen finden Sie in der Beschreibung des Namespacepräfix wst, das für WS-Trust in der Spezifikation Web Services Trust Language (WS-Trust) vom März 2007 verwendet wird.