Richtliniensätze für Web-Services
Richtliniensätze sind Fakten über die Definition von Services. Sie werden verwendet, um die Servicequalitätskonfiguration für Web-Services zu vereinfachen.
Richtliniensätze sind eine Kombination von Konfigurationseinstellungen, darunter solchen für die Konfiguration auf Transport- und Nachrichtenebene, wie z. B. WS-Addressing, WS-ReliableMessaging und WS-Security.
Es gibt zwei Hauptkategorien von Richtliniensätzen: Anwendungsrichtliniensätze und Systemrichtliniensätze. Anwendungsrichtliniensätze werden für geschäftsbezogene Zusicherungen verwendet. Diese Zusicherungen beziehen sich auf die Geschäftsoperationen, die in der WSDL-Datei (Web Services Description Language) definiert sind. Systemrichtliniensätze werden dagegen für nicht-geschäftsbezogene Systemnachrichten verwendet. Diese Nachrichten beziehen sich nicht auf die Geschäftsoperationen, die in der WSDL-Datei (Web Services Description Language) definiert sind, sondern auf Nachrichten, die in anderen Spezifikationen definiert sind, die zur Anwendung von Servicequalität eingesetzt werden. Dazu gehören in WS-Trust definierte RST-Nachrichten (Request Security Token) oder Create-Sequence-Nachrichten, die in WS-Reliable-Messaging-Metadatenaustauschnachrichten von WS-MetadataExchange definiert sind.
Richtlinien werden auf der Basis einer Servicequalität definiert. Die Richtliniendefinition basiert gewöhnlich auf der WS-Policy-Standardsprache. Die WS-Security-Richtlinie basiert beispielsweise auf dem aktuellen OASIS-Standard (Organization for the Advancement of Structured Information Standards) WS-SecurityPolicy.
Eine Instanz eines Richtliniensatzes besteht aus einer Sammlung von Richtlinien. Der WS-I-RSP-Standardrichtliniensatz setzt sich beispielsweise aus Instanzen der Richtlinientypen WS-Security, WS-Addressing und WS-ReliableMessaging zusammen. Ein Richtliniensatz wird anhand eines innerhalb der Zelle eindeutigen Namens identifiziert. Ein leerer Richtliniensatz ist ein Richtliniensatz, in dem keine Richtlinien definiert sind.
- Erstellen
- Kopieren
- Bearbeiten
- Löschen
- Zuordnung zu Serviceressourcen, wie z. B. Anwendungen
- Zuordnung zu Serviceressourcen, wie z. B. Anwendungen, aufheben
- Exportieren
- Importieren
Im Anwendungsserver werden Richtliniensätze auf Zellenebene gespeichert. Richtliniensätze werden zentral gespeichert, sodass sie allen Anwendungen im Server zur Verfügung stehen.
Folgende Anwendungsrichtliniensätze sind standardmäßig im Basisprofil oder im Network-Deplyoment-Profil installiert: WS-I RSP or WS-I RSP (ND), Username WSSecurity default und WSHTTPS default. WS-I RSP (ND) ist in Network-Deployment-Umgebungen installiert.
- LTPA WSSecurity Default
- Kerberos V5 HTTPS default
- SSL WSTransaction
- Username SecureConversation
- Username WSSecurity default
- WS-Addressing default
- WSHTTPS default
- WS-I RSP ND
- WS-ReliableMessaging persistent
Der Anwendungsserver stellt außerdem weitere Richtliniensätze bereit, die verwendet oder angepasst werden können. Damit Sie die weiteren Standardrichtliniensätze verwenden können, müssen diese Richtliniensätze aus dem Standardrepository importiert werden. Nähere Informationen hierzu finden Sie im Artikel über den Import von Richtliniensätzen mit der Administrationskonsole.
- WS-I RSP default
- Dieser Richtliniensatz unterstützt Folgendes:
- Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- LTPA WS-I RSP default
- Dieser Richtliniensatz unterstützt Folgendes:
- Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- Username WS-I RSP default
- Dieser Richtliniensatz unterstützt Folgendes:
- Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
- SecureConversation
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- LTPA SecureConversation
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- Username SecureConversation
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
- WSAddressing default
- Aktiviert die WS-Addressing-Unterstützung, die Endpunktreferenzen und Nachrichtenadressierungseigenschaften verwendet, um die Adressierung von Web-Services durch eine standardisierte und interoperable Weise zu vereinfachen.
- WSHTTPS default
- Unterstützt die SSL-Transportsicherheit für das Protokoll HTTP in Web-Service-Anwendungen.
- Kerberos V5 HTTPS default
- Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem
Kerberos-Version-5-Token.
Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt.
Dieser Richtliniensatz ist entsprechend den Spezifikationen
"OASIS Kerberos Token Profile V1.1" und
"WS-Security" definiert.
Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden. Weitere Informationen finden Sie im Artikel über die Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz (Generator oder Konsument).
- Kerberos V5 SecureConversation
- Dieser Richtliniensatz gewährleistet die Nachrichtenintegrität durch digitale
Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header.
Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur gewährleistet. Die
Bootstraprichtlinie wird mit dem Kerberos-V5-Token konfiguriert.
Dieser Richtliniensatz folgt zusätzlich zur Spezifikation WS-Security auch der OASIS-Spezifikation
WS-SecureConversation für Kerberos Token Profile.
Wenn Sie diesen Richtliniensatz verwenden möchten, müssen Sie auch die allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2" für Ihre Anwendungen verwenden. Weitere Informationen finden Sie im Artikel "Allgemeine Beispielbindungen für JAX-WS-Anwendungen". Wenn Sie diesen neuen Richtliniensatz verwenden möchten, erstellen Sie nach der Installation des Produkts ein neues Profil.
Zum Aktualisieren vorhandener Profile mit diesem neuen Richtliniensatz und den allgemeinen Bindungen (den allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2") müssen Sie verschiedene manuelle Schritte ausführen. Sie müssen nur das Deployment-Manager-Profil und die eigenständigen Anwendungsserverprofile aktualisieren. Informationen zu den manuell auszuführenden Schritten für ein vorhandenes Profil finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".
- Kerberos V5 WSSecurity default
- Dieser Richtliniensatz gewährleistet die Nachrichtenintegrität durch digitale
Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header.
Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und die Signatur über AES (Advanced
Encryption Standard) gewährleistet. Es wird der abgeleitete Schlüssel aus dem Kerberos-V5-Token verwendet.
Dieser Richtliniensatz folgt zusätzlich zur Spezifikation WS-Security auch der OASIS-Spezifikation
für Kerberos Token Profile.
Wenn Sie diesen Richtliniensatz verwenden möchten, müssen Sie auch die allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2" für Ihre Anwendungen verwenden. Weitere Informationen finden Sie im Artikel "Allgemeine Beispielbindungen für JAX-WS-Anwendungen". Wenn Sie diesen neuen Richtliniensatz verwenden möchten, erstellen Sie nach der Installation des Produkts ein neues Profil.
Zum Aktualisieren vorhandener Profile mit diesem neuen Richtliniensatz und den allgemeinen Bindungen (den allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2") müssen Sie verschiedene manuelle Schritte ausführen. Sie müssen nur das Deployment-Manager-Profil und die eigenständigen Anwendungsserverprofile aktualisieren. Informationen zu den manuell auszuführenden Schritten für ein vorhandenes Profil finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".
- TrustServiceKerberosDefault
- Dieser
Richtliniensatz legt den symmetrischen Algorithmus und die abgeleiteten Schlüssel für die Gewährleistung der Nachrichtensicherheit
fest.
Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern über den
Algorithmus HMAC-SHA1 gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und die Signatur über AES (Advanced
Encryption Standard) gewährleistet. Dieser Richtliniensatz folgt den
Spezifikationen "WS-Security" und "Secure Conversation" für das Absetzen und Erneuern von Anforderungen von Trust-Operationen.
Wenn Sie diesen Richtliniensatz verwenden möchten, müssen Sie auch die allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2" für Ihre Anwendungen verwenden. Weitere Informationen finden Sie im Artikel "Allgemeine Beispielbindungen für JAX-WS-Anwendungen". Wenn Sie diesen neuen Richtliniensatz verwenden möchten, erstellen Sie nach der Installation des Produkts ein neues Profil.
Zum Aktualisieren vorhandener Profile mit diesem neuen Richtliniensatz und den allgemeinen Bindungen (den allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2") müssen Sie verschiedene manuelle Schritte ausführen. Sie müssen nur das Deployment-Manager-Profil und die eigenständigen Anwendungsserverprofile aktualisieren. Informationen zu den manuell auszuführenden Schritten für ein vorhandenes Profil finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".
- WSReliableMessaging default
- Dieser Richtliniensatz unterstützt WS-ReliableMessaging Version 1.1 und WS-Addressing und verwendet die minimale Servicequalität nicht verwaltet, nicht persistent.Diese Servicequalität erfordert eine minimale Konfiguration. Sie ist jedoch nicht transaktionsorientiert, und obwohl sie das erneute Senden von Nachrichten, die im Netz verloren gehen, unterstützt, gehen Nachrichten verloren, wenn ein Server ausfällt.Diese Servicequalität ist nur für Einzelserver bestimmt und funktioniert nicht in einem Cluster. Die Option für die Zustellung mit Einhaltung der Nachrichtenreihenfolge ist auf "false" gesetzt, sodass Nachrichten nicht zwingend in der Reihenfolge zugestellt werden, in der sie gesendet wurden.
- WSReliableMessaging persistent
- Dieser Richtliniensatz unterstützt WS-ReliableMessaging und WS-Addressing und verwendet die maximale Servicequalität verwaltet, persistent. Diese Servicequalität unterstützt asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher für die Verwaltung des Nachrichtenfolgestatus. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server und dem Web-Service-Providerserver persistent gespeichert, und sie sind bei einem Serverausfall wiederherstellbar. Die Option für die Zustellung mit Einhaltung der Nachrichtenreihenfolge ist auf "false" gesetzt, sodass Nachrichten nicht zwingend in der Reihenfolge zugestellt werden, in der sie gesendet wurden.
- Da dieser Richtliniensatz eine verwaltete persistente Servicequalität angibt, müssen Sie Bindungen zum Service Integration Bus und zur Messaging-Engine, mit denen Sie den WS-ReliableMessaging-Status verwalteten möchten, definieren. Sie können die Administrationskonsole oder das Tool "wsadmin" verwenden, um einer Web-Service-Anwendung einen WS-ReliableMessaging-Richtliniensatz zuzuordnen und an diesen zu binden.
- WSReliableMessaging 1_0
- Dieser Richtliniensatz unterstützt WS-ReliableMessaging Version 1.0 und WS-Addressing und verwendet die minimale Servicequalität nicht verwaltet, nicht persistent.Diese Servicequalität erfordert eine minimale Konfiguration. Sie ist jedoch nicht transaktionsorientiert, und obwohl sie das erneute Senden von Nachrichten, die im Netz verloren gehen, unterstützt, gehen Nachrichten verloren, wenn ein Server ausfällt.Diese Servicequalität ist nur für Einzelserver bestimmt und funktioniert nicht in einem Cluster. Die Option für die Zustellung mit Einhaltung der Nachrichtenreihenfolge ist auf "false" gesetzt, sodass Nachrichten nicht zwingend in der Reihenfolge zugestellt werden, in der sie gesendet wurden.
- Sie können diesen Richtliniensatz für .NET-basierte Web-Services verwenden.
- WSSecurity default
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
- LTPA WSSecurity default
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
- Username WSSecurity default
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
- Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
- WSTransaction
- Dieser Richtliniensatz aktiviert die Spezifikation
WS-Transaction, die Folgendes bereitstellt:
- Die Möglichkeit, verteilte transaktionsorientierte Aufgaben mit der Spezifikation WS-AtomicTransaction atomar und interoperabel zu koordinieren.
- Die Möglichkeit, flexibel verbundene Geschäftsprozesse, die über eine heterogene Web-Service-Umgebung verteilt sind, zu koordinieren und mithilfe der Spezifikation WS-BusinessActivity Aktionen zu kompensieren, falls Fehler auftreten.
- SSL WSTransaction
- Dieser Richtliniensatz aktiviert die Spezifikation
WS-Transaction, die Folgendes bereitstellt:
- Die Möglichkeit, verteilte transaktionsorientierte Aufgaben mit der Spezifikation WS-AtomicTransaction und der SSL-Transportsicherheit atomar, interoperabel und sicher zu koordinieren.
- Die Möglichkeit, flexibel verbundene Geschäftsprozesse zu koordinieren und mithilfe der Spezifikation WS-BusinessActivity und der SSL-Transportsicherheit Aktionen sicher zu kompensieren, falls ein Fehler in der Geschäftsaktivität auftritt.
Richtliniensätze enthalten keine umgebungs- oder plattformspezifischen Informationen, wie z. B. Schlüssel für die Signatur, Keystore-Informationen oder Informationen zum persistenten Speicher. Diese Art von Informationen werden in der Bindung definiert. Eine Richtliniensatzzuordnung definiert, wie ein Richtliniensatz Serviceressourcen und Bindungen zugeordnet wird. Die Zuordnungsdefinition befindet sich außerhalb der Richtliniensatzdefinition und erfolgt in Form von Metadaten, die Anwendungsdaten zugeordnet sind.
Bindungen setzen sich aus umgebungs- und plattformspezifischen Informationen zusammen. Allgemeine Bindungen, z. B. die Service-Client- oder -Provider-Bindungen für die Domäne der globalen Sicherheit können von mehreren Anwendungen gemeinsam genutzt werden.
Bindungen werden benötigt, um Richtliniensätze für Anwendungen zu aktivieren. Verwenden Sie zum Konfigurieren allgemeiner und anwendungsspezifischer Bindungen die Administrationskonsole. Weitere Informationen zum Bearbeiten von Anhängen und Bindungen finden Sie in den Informationen zur Definition von Bindungsinformationen für Richtliniensätze.