Richtliniensätze für Web-Services

Richtliniensätze sind Fakten über die Definition von Services. Sie werden verwendet, um die Servicequalitätskonfiguration für Web-Services zu vereinfachen.

Anmerkung: Richtliniensätze können nur für JAX-WS-Anwendungen (Java™ API for XML-Based Web Services) verwendet werden. Für JAX-RPC-Anwendungen (Java API for XML-based RPC) können keine Richtliniensätze verwendet werden.

Richtliniensätze sind eine Kombination von Konfigurationseinstellungen, darunter solchen für die Konfiguration auf Transport- und Nachrichtenebene, wie z. B. WS-Addressing, WS-ReliableMessaging und WS-Security.

Es gibt zwei Hauptkategorien von Richtliniensätzen: Anwendungsrichtliniensätze und Systemrichtliniensätze. Anwendungsrichtliniensätze werden für geschäftsbezogene Zusicherungen verwendet. Diese Zusicherungen beziehen sich auf die Geschäftsoperationen, die in der WSDL-Datei (Web Services Description Language) definiert sind. Systemrichtliniensätze werden dagegen für nicht-geschäftsbezogene Systemnachrichten verwendet. Diese Nachrichten beziehen sich nicht auf die Geschäftsoperationen, die in der WSDL-Datei (Web Services Description Language) definiert sind, sondern auf Nachrichten, die in anderen Spezifikationen definiert sind, die zur Anwendung von Servicequalität eingesetzt werden. Dazu gehören in WS-Trust definierte RST-Nachrichten (Request Security Token) oder Create-Sequence-Nachrichten, die in WS-Reliable-Messaging-Metadatenaustauschnachrichten von WS-MetadataExchange definiert sind.

Richtlinien werden auf der Basis einer Servicequalität definiert. Die Richtliniendefinition basiert gewöhnlich auf der WS-Policy-Standardsprache. Die WS-Security-Richtlinie basiert beispielsweise auf dem aktuellen OASIS-Standard (Organization for the Advancement of Structured Information Standards) WS-SecurityPolicy.

Eine Instanz eines Richtliniensatzes besteht aus einer Sammlung von Richtlinien. Der WS-I-RSP-Standardrichtliniensatz setzt sich beispielsweise aus Instanzen der Richtlinientypen WS-Security, WS-Addressing und WS-ReliableMessaging zusammen. Ein Richtliniensatz wird anhand eines innerhalb der Zelle eindeutigen Namens identifiziert. Ein leerer Richtliniensatz ist ein Richtliniensatz, in dem keine Richtlinien definiert sind.

Sie können einen Standardrichtliniensatz verwenden, nachdem Sie ihn importiert haben. Wenn Sie die Eigenschaften für einen nicht editierbaren Standardrichtliniensatz ändern, müssen Sie den Richtliniensatz kopieren, um eine editierbare Version zu erstellen, die Sie ändern können. Lesen Sie hierzu die Informationen über das Kopieren eines Standardrichtliniensatzes und der Bindungseinstellungen. Sie können die folgenden Aktionen für Richtliniensätze ausführen:
  • Erstellen
  • Kopieren
  • Bearbeiten
  • Löschen
  • Zuordnung zu Serviceressourcen, wie z. B. Anwendungen
  • Zuordnung zu Serviceressourcen, wie z. B. Anwendungen, aufheben
  • Exportieren
  • Importieren
Notieren Sie die Funktionen, die Sie mit Richtliniensätzen konfigurieren können, und die Beziehung zwischen den konfigurierten Sicherheitsinformationen. Es wird eine Gruppe von Standardrichtliniensätzen bereitgestellt, die Sie importieren und anschließend zur Wiederverwendung kopieren und umbenennen können. Sie können einen Standardrichtliniensatz verwenden, nachdem Sie ihn importiert haben. Wenn Sie jedoch die Eigenschaften für einen nicht editierbaren Standardrichtliniensatz ändern möchten, müssen Sie ihn kopieren, um eine editierbare Version zu erstellen. Anschließend kann die Konfiguration der Kopie entsprechend geändert und angepasst werden.
Wichtig: Sie können Richtliniensätze nur über die Administrationskonsole oder Verwaltungsbefehle kopieren und anpassen. Richtliniensätze funktionieren nicht ordnungsgemäß, wenn sie manuell kopiert werden.

Im Anwendungsserver werden Richtliniensätze auf Zellenebene gespeichert. Richtliniensätze werden zentral gespeichert, sodass sie allen Anwendungen im Server zur Verfügung stehen.

Folgende Anwendungsrichtliniensätze sind standardmäßig im Basisprofil oder im Network-Deplyoment-Profil installiert: WS-I RSP or WS-I RSP (ND), Username WSSecurity default und WSHTTPS default. WS-I RSP (ND) ist in Network-Deployment-Umgebungen installiert.

Die folgenden Richtliniensätze können unverändert verwendet werden:
  • LTPA WSSecurity Default
  • Kerberos V5 HTTPS default
  • SSL WSTransaction
  • Username SecureConversation
  • Username WSSecurity default
  • WS-Addressing default
  • WSHTTPS default
  • WS-I RSP ND
  • WS-ReliableMessaging persistent

Der Anwendungsserver stellt außerdem weitere Richtliniensätze bereit, die verwendet oder angepasst werden können. Damit Sie die weiteren Standardrichtliniensätze verwenden können, müssen diese Richtliniensätze aus dem Standardrepository importiert werden. Nähere Informationen hierzu finden Sie im Artikel über den Import von Richtliniensätzen mit der Administrationskonsole.

Die folgenden Standardrichtliniensätze werden bereitgestellt:
WS-I RSP default
Dieser Richtliniensatz unterstützt Folgendes:
  • Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
LTPA WS-I RSP default
Dieser Richtliniensatz unterstützt Folgendes:
  • Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
Username WS-I RSP default
Dieser Richtliniensatz unterstützt Folgendes:
  • Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
SecureConversation
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
LTPA SecureConversation
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
Username SecureConversation
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
WSAddressing default
Aktiviert die WS-Addressing-Unterstützung, die Endpunktreferenzen und Nachrichtenadressierungseigenschaften verwendet, um die Adressierung von Web-Services durch eine standardisierte und interoperable Weise zu vereinfachen.
WSHTTPS default
Unterstützt die SSL-Transportsicherheit für das Protokoll HTTP in Web-Service-Anwendungen.
Kerberos V5 HTTPS default
Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem Kerberos-Version-5-Token. Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt. Dieser Richtliniensatz ist entsprechend den Spezifikationen "OASIS Kerberos Token Profile V1.1" und "WS-Security" definiert.

Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden. Weitere Informationen finden Sie im Artikel über die Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz (Generator oder Konsument).

Kerberos V5 SecureConversation
Dieser Richtliniensatz gewährleistet die Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur gewährleistet. Die Bootstraprichtlinie wird mit dem Kerberos-V5-Token konfiguriert. Dieser Richtliniensatz folgt zusätzlich zur Spezifikation WS-Security auch der OASIS-Spezifikation WS-SecureConversation für Kerberos Token Profile.

Wenn Sie diesen Richtliniensatz verwenden möchten, müssen Sie auch die allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2" für Ihre Anwendungen verwenden. Weitere Informationen finden Sie im Artikel "Allgemeine Beispielbindungen für JAX-WS-Anwendungen". Wenn Sie diesen neuen Richtliniensatz verwenden möchten, erstellen Sie nach der Installation des Produkts ein neues Profil.

Zum Aktualisieren vorhandener Profile mit diesem neuen Richtliniensatz und den allgemeinen Bindungen (den allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2") müssen Sie verschiedene manuelle Schritte ausführen. Sie müssen nur das Deployment-Manager-Profil und die eigenständigen Anwendungsserverprofile aktualisieren. Informationen zu den manuell auszuführenden Schritten für ein vorhandenes Profil finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".

Kerberos V5 WSSecurity default
Dieser Richtliniensatz gewährleistet die Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und die Signatur über AES (Advanced Encryption Standard) gewährleistet. Es wird der abgeleitete Schlüssel aus dem Kerberos-V5-Token verwendet. Dieser Richtliniensatz folgt zusätzlich zur Spezifikation WS-Security auch der OASIS-Spezifikation für Kerberos Token Profile.

Wenn Sie diesen Richtliniensatz verwenden möchten, müssen Sie auch die allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2" für Ihre Anwendungen verwenden. Weitere Informationen finden Sie im Artikel "Allgemeine Beispielbindungen für JAX-WS-Anwendungen". Wenn Sie diesen neuen Richtliniensatz verwenden möchten, erstellen Sie nach der Installation des Produkts ein neues Profil.

Zum Aktualisieren vorhandener Profile mit diesem neuen Richtliniensatz und den allgemeinen Bindungen (den allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2") müssen Sie verschiedene manuelle Schritte ausführen. Sie müssen nur das Deployment-Manager-Profil und die eigenständigen Anwendungsserverprofile aktualisieren. Informationen zu den manuell auszuführenden Schritten für ein vorhandenes Profil finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".

TrustServiceKerberosDefault
Dieser Richtliniensatz legt den symmetrischen Algorithmus und die abgeleiteten Schlüssel für die Gewährleistung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern über den Algorithmus HMAC-SHA1 gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und die Signatur über AES (Advanced Encryption Standard) gewährleistet. Dieser Richtliniensatz folgt den Spezifikationen "WS-Security" und "Secure Conversation" für das Absetzen und Erneuern von Anforderungen von Trust-Operationen.

Wenn Sie diesen Richtliniensatz verwenden möchten, müssen Sie auch die allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2" für Ihre Anwendungen verwenden. Weitere Informationen finden Sie im Artikel "Allgemeine Beispielbindungen für JAX-WS-Anwendungen". Wenn Sie diesen neuen Richtliniensatz verwenden möchten, erstellen Sie nach der Installation des Produkts ein neues Profil.

Zum Aktualisieren vorhandener Profile mit diesem neuen Richtliniensatz und den allgemeinen Bindungen (den allgemeinen Beispielbindungen "Client sample V2" und "Provider sample V2") müssen Sie verschiedene manuelle Schritte ausführen. Sie müssen nur das Deployment-Manager-Profil und die eigenständigen Anwendungsserverprofile aktualisieren. Informationen zu den manuell auszuführenden Schritten für ein vorhandenes Profil finden Sie im Artikel "Kerberos-Richtliniensätze und allgemeine Beispielbindungen der Version 2 konfigurieren".

WSReliableMessaging default
Dieser Richtliniensatz unterstützt WS-ReliableMessaging Version 1.1 und WS-Addressing und verwendet die minimale Servicequalität nicht verwaltet, nicht persistent.Diese Servicequalität erfordert eine minimale Konfiguration. Sie ist jedoch nicht transaktionsorientiert, und obwohl sie das erneute Senden von Nachrichten, die im Netz verloren gehen, unterstützt, gehen Nachrichten verloren, wenn ein Server ausfällt.Diese Servicequalität ist nur für Einzelserver bestimmt und funktioniert nicht in einem Cluster. Die Option für die Zustellung mit Einhaltung der Nachrichtenreihenfolge ist auf "false" gesetzt, sodass Nachrichten nicht zwingend in der Reihenfolge zugestellt werden, in der sie gesendet wurden.
WSReliableMessaging persistent
Dieser Richtliniensatz unterstützt WS-ReliableMessaging und WS-Addressing und verwendet die maximale Servicequalität verwaltet, persistent. Diese Servicequalität unterstützt asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher für die Verwaltung des Nachrichtenfolgestatus. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server und dem Web-Service-Providerserver persistent gespeichert, und sie sind bei einem Serverausfall wiederherstellbar. Die Option für die Zustellung mit Einhaltung der Nachrichtenreihenfolge ist auf "false" gesetzt, sodass Nachrichten nicht zwingend in der Reihenfolge zugestellt werden, in der sie gesendet wurden.
Da dieser Richtliniensatz eine verwaltete persistente Servicequalität angibt, müssen Sie Bindungen zum Service Integration Bus und zur Messaging-Engine, mit denen Sie den WS-ReliableMessaging-Status verwalteten möchten, definieren. Sie können die Administrationskonsole oder das Tool "wsadmin" verwenden, um einer Web-Service-Anwendung einen WS-ReliableMessaging-Richtliniensatz zuzuordnen und an diesen zu binden.
WSReliableMessaging 1_0
Dieser Richtliniensatz unterstützt WS-ReliableMessaging Version 1.0 und WS-Addressing und verwendet die minimale Servicequalität nicht verwaltet, nicht persistent.Diese Servicequalität erfordert eine minimale Konfiguration. Sie ist jedoch nicht transaktionsorientiert, und obwohl sie das erneute Senden von Nachrichten, die im Netz verloren gehen, unterstützt, gehen Nachrichten verloren, wenn ein Server ausfällt.Diese Servicequalität ist nur für Einzelserver bestimmt und funktioniert nicht in einem Cluster. Die Option für die Zustellung mit Einhaltung der Nachrichtenreihenfolge ist auf "false" gesetzt, sodass Nachrichten nicht zwingend in der Reihenfolge zugestellt werden, in der sie gesendet wurden.
Sie können diesen Richtliniensatz für .NET-basierte Web-Services verwenden.
WSSecurity default
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
LTPA WSSecurity default
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Username WSSecurity default
Dieser Richtliniensatz unterstützt Folgendes:
  • Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
  • Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
WSTransaction
Dieser Richtliniensatz aktiviert die Spezifikation WS-Transaction, die Folgendes bereitstellt:
  • Die Möglichkeit, verteilte transaktionsorientierte Aufgaben mit der Spezifikation WS-AtomicTransaction atomar und interoperabel zu koordinieren.
  • Die Möglichkeit, flexibel verbundene Geschäftsprozesse, die über eine heterogene Web-Service-Umgebung verteilt sind, zu koordinieren und mithilfe der Spezifikation WS-BusinessActivity Aktionen zu kompensieren, falls Fehler auftreten.
SSL WSTransaction
Dieser Richtliniensatz aktiviert die Spezifikation WS-Transaction, die Folgendes bereitstellt:
  • Die Möglichkeit, verteilte transaktionsorientierte Aufgaben mit der Spezifikation WS-AtomicTransaction und der SSL-Transportsicherheit atomar, interoperabel und sicher zu koordinieren.
  • Die Möglichkeit, flexibel verbundene Geschäftsprozesse zu koordinieren und mithilfe der Spezifikation WS-BusinessActivity und der SSL-Transportsicherheit Aktionen sicher zu kompensieren, falls ein Fehler in der Geschäftsaktivität auftritt.

Richtliniensätze enthalten keine umgebungs- oder plattformspezifischen Informationen, wie z. B. Schlüssel für die Signatur, Keystore-Informationen oder Informationen zum persistenten Speicher. Diese Art von Informationen werden in der Bindung definiert. Eine Richtliniensatzzuordnung definiert, wie ein Richtliniensatz Serviceressourcen und Bindungen zugeordnet wird. Die Zuordnungsdefinition befindet sich außerhalb der Richtliniensatzdefinition und erfolgt in Form von Metadaten, die Anwendungsdaten zugeordnet sind.

Bindungen setzen sich aus umgebungs- und plattformspezifischen Informationen zusammen. Allgemeine Bindungen, z. B. die Service-Client- oder -Provider-Bindungen für die Domäne der globalen Sicherheit können von mehreren Anwendungen gemeinsam genutzt werden.

Bindungen werden benötigt, um Richtliniensätze für Anwendungen zu aktivieren. Verwenden Sie zum Konfigurieren allgemeiner und anwendungsspezifischer Bindungen die Administrationskonsole. Weitere Informationen zum Bearbeiten von Anhängen und Bindungen finden Sie in den Informationen zur Definition von Bindungsinformationen für Richtliniensätze.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wsspsps
Dateiname:cwbs_wsspsps.html