Konzepte von Web Services Security für Anwendungen der Version 5.x
IBM® unterstützt Web Services Security, eine Erweiterung der IBM Web-Service-Engine für die Unterstützung von Servicequalitäten. Die Sicherheitsinfrastruktur von WebSphere® Application Server bietet eine vollständige Integration von Web Services Security mit der Sicherheitsspezifikation von Java™ Platform, Enterprise Edition (Java EE).
Unterartikel
Web-Services-Security-Spezifikation - eine Chronologie
Diese Chronologie beschreibt den Prozess, mit dem die Web-Services-Security-Spezifikationen entwickelt werden. Die Chronologie umfasst sowohl OASIS-Aktivitäten (Organization for the Advancement of Structured Information Standards) als auch Aktivitäten außerhalb von OASIS.Unterstützung von Web Services Security
IBM® unterstützt Web Services Security, eine Erweiterung der IBM Web-Service-Engine darstellt und Servicequalität gewährleisten soll. Die Sicherheitsstruktur von WebSphere Application Server integriert Web Services Security in vollem Umfang mit der Java™-EE-Sicherheit (Java Platform, Enterprise Edition).Beziehung zwischen Web Services Security und der Sicherheit Java Platform, Enterprise Edition
Dieser Artikel beschreibt die Beziehung zwischen dem Web Services Security-Modell (Sicherheit auf Nachrichtenebene) und dem Java-EE-Sicherheitsmodell (Java Platform, Enterprise Edition). Er enthält außerdem Informationen zu rollenbasierten Java-EE-Berechtigungsprüfungen.WS-Security-Modell in WebSphere Application Server
Das von WebSphere Application Server verwendete Sicherheitsmodell für Web-Services ist deklarativ. WebSphere Application Server enthält keine Anwendungsprogrammierschnittstellen (APIs) für eine programmgesteuerte Interaktion mit Web Services Security. Es stehen aber einige SPIs (Server Provider Interfaces) für die Ergänzung einiger sicherheitsrelevanter Verhalten zur Verfügung.Sicherheitstoken weitergeben
In diesem Beispiel werden Sicherheitstoken über Web Services Security, die Sicherheitsinfrastruktur von WebSphere Application Server, und die Java-EE-Sicherheit (Java Platform, Enterprise Edition) weitergegeben.Web-Services-Security-Vorgaben
Das von WebSphere Application Server verwendete Web-Services-Security-Modell ist deklarativ. Wenn Sie eine Anwendung der Version 5.x mit Web Services Security sichern möchten, müssen Sie in den erweiterten IBM Implementierungsdeskriptoren und erweiterten IBM Bindungen Sicherheitsvorgaben definieren.Übersicht über Authentifizierungsmethoden
Die Implementierung von Web Services Security für WebSphere Application Server unterstützt die folgenden Authentifizierungsmethoden: BasicAuth, Lightweight Third Party Authentication (LTPA), digitale Signatur und Identitätszusicherung.Übersicht über Tokentypen
Web Services Security definiert die Typen von Sicherheitstoken. Die erweiterte Implementierungsdeskriptordatei definiert die Tokentypen, die die Nachricht akzeptieren kann.Digitale XML-Signatur
Die Spezifikation "XML-Signature Syntax and Processing (XML Signature)" definiert XML-Syntax- und -Verarbeitungsregeln, mit denen digitale Signaturen für digitale Inhalte erstellt und überprüft werden können. Die Spezifikation wurde vom World Wide Web Consortium (W3C) und der Internet Engineering Task Force (IETF) gemeinsam entwickelt.Standardbindung
Die Standardbindungsinformationen sind in der Datei ws-security.xml definiert und können mit der Administrationskonsole oder Scripts verwaltet werden. Es werden nur Standardbindungen für JAX-RPC-Anwendungen unterstützt. Standardbindungen für JAX-WS-Anwendungen werden nicht unterstützt.Datei "ws-security.xml" - Standardkonfiguration für WebSphere Application Server Network Deployment
Für JAX-RPC-Anwendungen verwendet die Installation von WebSphere Application Server Network Deployment die Datei ws-security.xml, um Standardbindungen für Web Services Security für die gesamte Zelle zu definieren.Trust-Anchor
Ein Trust-Anchor gibt Keystores an, die Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Anforderungsempfänger und Antwortempfänger verwenden diese Keystores, um das Ausstellerzertifikat der digitalen Signatur zu validieren.Zertifikatssammelspeicher
Ein Zertifikatssammelspeicher ist eine Sammlung von CA-Zertifikaten (die keine Stammzertifikate sind) und von Zertifikatswiderruflisten (CRLs, Certificate Revocation Lists). Mit dieser Sammlung von CA-Zertifikaten und CRLs wird die Signatur einer digital signierten SOAP-Nachricht überprüft.Key-Locator
Ein Key-Locator (Schlüsselsuchfunktion) (com.ibm.wsspi.wssecurity.config.KeyLocator) ist eine Abstraktion des Verfahrens, das den Schlüssel für digitale Signatur und Verschlüsselung abruft.Schlüssel
Schlüssel werden für XML-Signatur und Verschlüsselung verwendet.Trusted-ID-Evaluator
Ein Trusted-ID-Evaluator stellt eine Abstraktion des Verfahrens dar, das prüft, ob die angegebene ID vertrauenswürdig ist. Der Trusted-ID-Evaluator wird in der Regel vom endgültigen Empfänger in einer Multi-Hop-Umgebung verwendet.Anmeldezuordnungen
Anmeldezuordnungen in der XML-Datei ibm-webservices-bnd.xmi (Extended Markup Language) enthalten eine Zuordnungskonfiguration. Diese Zuordnungskonfiguration definiert, wie der WS-Security-Handler das Tokenelement <ValueType>, das in dem aus dem Nachrichtenheader extrahierten Sicherheitstoken enthalten ist, der entsprechenden Authentifizierungsmethode zuordnen soll. Das Tokenelement <ValueType> ist in dem Sicherheitstoken enthalten, das aus einem SOAP-Nachrichtenheader extrahiert wurde.XML-Verschlüsselung
Die XML-Verschlüsselung (Extensible Markup Language) ist eine Spezifikation, die vom World Wide Web (WWW) Consortium (W3C) im Jahr 2002 entwickelt wurde und die erforderlichen Schritte zum Verschlüsseln von Daten, zum Entschlüsseln von Daten, die Syntax für die Darstellung der mit XML verschlüsselten Daten, die zum Entschlüsseln der Daten verwendeten Informationen und eine Liste von Verschlüsselungsalgorithmen wie Triple Data Encryption Standard (DES), Advanced Encryption Standard (AES) und den Rivest-Shamir-Adleman-Algorithmus (RSA) beschreibt.Anforderungssender
Der Sicherheitshandler auf der Seite des Anforderungssenders der SOAP-Nachricht setzt die Sicherheitsvorgaben, die in der Datei ibm-webservicesclient-ext.xmi definiert sind, und die Bindungen, die in der Datei ibm-webservicesclient-bnd.xmi definiert sind, in Kraft. Die Vorgaben und Bindungen gelten für Java-EE-Anwendungsclients (Java Platform, Enterprise Edition) und für Web-Services, die als Client auftreten. Der Sicherheitshandler bearbeitet die Sicherheitsvorgaben, bevor die SOAP-Nachricht gesendet wird. Beispielsweise kann der Sicherheitshandler die Nachricht digital signieren, die Nachricht verschlüsseln, eine Zeitmarke erstellen oder ein Sicherheitstoken einfügen.Anforderungsempfänger
Der Anforderungsempfänger definiert die Sicherheitsanforderungen für die SOAP-Nachricht. Der Sicherheitshandler auf der Seite des Anforderungsempfängers der SOAP-Nachricht setzt die Sicherheitsspezifikationen in Kraft, die im erweiterten IBM Implementierungsdeskriptor (ibm-webservices-ext.xmi) und den erweiterten IBM Bindungen (ibm-webservices-bnd.xmi) definiert sind.Antwortsender
Der Antwortsender definiert die Sicherheitsanforderungen der SOAP-Antwortnachricht. Der Sicherheitshandler arbeitet nach den Sicherheitsvorgaben, die für die Antwort in den Implementierungsdeskriptoren für IBM Erweiterungen definiert sind.Antwortempfänger
Der Antwortempfänger definiert die Sicherheitsanforderungen für die Antwort, die er auf eine Anforderung an einen Web-Service hin empfängt. Die Sicherheitsvorgaben für den Antwortsender müssen mit denen des Antwortempfängers übereinstimmen. Sollten die Vorgaben nicht übereinstimmen, wird die Antwort vom Caller (Aufrufenden) oder Sender nicht akzeptiert.Zusicherung der Identität in einer SOAP-Nachricht
Die Zusicherung der Identität ist eine Methode, die Identität des Senders (z. B. den Benutzernamen) in einer SOAP-Nachricht anzugeben. Wenn Sie die Zusicherung der Identität (IDAssertion) als Authentifizierungsmethode verwenden, wird die Authentifizierungsentscheidung auf der Basis des Identitätsnamens und nicht auf anderen Informationen wie Kennwörtern und Zertifikaten durchgeführt.Sicherheitstoken
Ein Sicherheitstoken enthält eine Reihe von Claim-Informationen, die ein Client festlegt. Beispiele für derartige Informationen sind Name, Kennwort, Identität, Schlüssel, Zertifikat, Gruppe, Berechtigung usw.Unterstützung für Plug-in-fähige Token
Die Unterstützung für Plug-in-fähige Sicherheitstoken stellt Plug-in-Punkte für angepasste Typen von Sicherheitstoken bereit, darunter Tokengenerierung, Tokenvalidierung und Zuordnung einer Clientidentität zu einer WebSphere Application Server-Identität, die von der Java-EE-Engine für Berechtigung (Java Platform, Enterprise Edition) verwendet wird. Darüber hinaus ist es in der modular aufgebauten Architektur für Tokengenerierung und -validierung möglich, XML-basierte Token in den Header von Web-Service-Nachrichten einzufügen und diese dann auf Empfängerseite zu validieren.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=container_wssec_concepts_v5_apps
Dateiname:container_wssec_concepts_v5_apps.html