Standardrichtliniensätze von Web Services Security

Die Standardrichtliniensätze von Web Services Security basieren auf den Spezifikationen WS-Security 1.0 und Web Services Addressing (WS-Addressing). Zu den Standardrichtliniensätzen von Web Services Security (WS-Security) gehören der Standardrichtliniensatz WSSecurity, der Richtliniensatz Lightweight Third-Party Authentication (LTPA) WSSecurity, der Richtliniensatz Username WSSecurity und der Standardrichtliniensatz Kerberos V5 HTTPS. Diese Standardrichtliniensätze werden verwendet, um sichere Web-Services zu erstellen.

Die Standardrichtliniensätze von Web Services Security verwenden die Erweiterungen der Spezifikation WS-Security 1.0 für SOAP-Messaging, die durch Nachrichtenintegrität, Nachrichtenvertraulichkeit und Authentifizierung jeder Nachricht einen besseren Datenschutz bieten. Durch die Festlegung eines Datenschutzniveaus können die folgenden potenziellen Risiken für SOAP-Nachrichten verhindert werden:
  • Die Nachricht wird von Antagonisten geändert oder gelesen.
  • Der Antagonist sendet Nachrichten an einen Service, die zwar ein ordnungsgemäßes Format haben, aber den erforderlichen Sicherheitsclaims nicht genügen und deshalb nicht verarbeitet werden.
Die Spezifikation WS-Addressing definiert XML-1.0- und XML-Namespace-Elemente für die Identifizierung von Web-Service-Endpunkten und für die Sicherung der End-to-End-Identifikation von Endpunkten in Nachrichten.

Sie können den Standardrichtliniensatz WSSecurity, den Richtliniensatz LTPA WSSecurity, den Richtliniensatz Username WSSecurity oder den Standardrichtliniensatz Kerberos V5 HTTPS verwenden, die mit dem Anwendungsserver bereitgestellt werden. Wenn Sie die Richtliniensätze von Web Services Security anpassen möchten, müssen Sie den Richtliniensatz zuerst kopieren und anschließend angepasste Richtlinieneinstellungen und -bindungen konfigurieren, die Ihren Anforderungen entsprechen.

Im Folgenden sind Features und Details der Standardrichtliniensätze von Web Services Security aufgelistet:
Kerberos V5 HTTPS default
Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem Kerberos-Version-5-Token. Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt. Dieser Richtliniensatz ist entsprechend den Spezifikationen "OASIS Kerberos Token Profile V1.1" und "WS-Security" definiert.

Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden. Weitere Informationen finden Sie im Artikel über die Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz (Generator oder Konsument).

LTPA WSSecurity default
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Username SecureConversation
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
Username WSSecurity default
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
  • Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
WSSecurity default
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wsspswss
Dateiname:cwbs_wsspswss.html