Standardrichtliniensätze von Web Services Security
Die Standardrichtliniensätze von Web Services Security basieren auf den Spezifikationen WS-Security 1.0 und Web Services Addressing (WS-Addressing). Zu den Standardrichtliniensätzen von Web Services Security (WS-Security) gehören der Standardrichtliniensatz WSSecurity, der Richtliniensatz Lightweight Third-Party Authentication (LTPA) WSSecurity, der Richtliniensatz Username WSSecurity und der Standardrichtliniensatz Kerberos V5 HTTPS. Diese Standardrichtliniensätze werden verwendet, um sichere Web-Services zu erstellen.
- Die Nachricht wird von Antagonisten geändert oder gelesen.
- Der Antagonist sendet Nachrichten an einen Service, die zwar ein ordnungsgemäßes Format haben, aber den erforderlichen Sicherheitsclaims nicht genügen und deshalb nicht verarbeitet werden.
Sie können den Standardrichtliniensatz WSSecurity, den Richtliniensatz LTPA WSSecurity, den Richtliniensatz Username WSSecurity oder den Standardrichtliniensatz Kerberos V5 HTTPS verwenden, die mit dem Anwendungsserver bereitgestellt werden. Wenn Sie die Richtliniensätze von Web Services Security anpassen möchten, müssen Sie den Richtliniensatz zuerst kopieren und anschließend angepasste Richtlinieneinstellungen und -bindungen konfigurieren, die Ihren Anforderungen entsprechen.
- Kerberos V5 HTTPS default
- Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem
Kerberos-Version-5-Token.
Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt.
Dieser Richtliniensatz ist entsprechend den Spezifikationen
"OASIS Kerberos Token Profile V1.1" und
"WS-Security" definiert.
Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden. Weitere Informationen finden Sie im Artikel über die Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz (Generator oder Konsument).
- LTPA WSSecurity default
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
- Username SecureConversation
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
- Username WSSecurity default
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.
- Benutzernamenstoken in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Benutzernamenstoken wird in der Anforderung verschlüsselt.
- WSSecurity default
- Dieser Richtliniensatz unterstützt Folgendes:
- Nachrichtenintegrität durch digitale Signatur (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Zeitmarke und der WS-Addressing-Headers über WS-Security-Spezifikationen.
- Nachrichtenvertraulichkeit durch Verschlüsselung (über Verschlüsselung mit öffentlichem RSA-Schlüssel) des Hauptteils, der Signatur und der Signaturelemente über WS-Security-Spezifikationen.