Unterstützte Funktionalität der OASIS-Spezifikationen

Der Anwendungsserver unterstützt die OASIS-Spezifikationen (Organization for the Advancement of Structured Information) für Web Services Security (WS-Security).

In WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher wurden die OASIS-Standards aktualisiert und unterstützen jetzt die aktuellen Versionen der WS-Security-Spezifikationen und -Token (Web Services Security) und Token. Web Services Security Version 1.1 bietet eine bessere Sicherheitsprüfung für die Signatur, eine standardisierte Methode für die Verschlüsselung von SOAP-Headern und erfüllt die Anforderungen einiger Interoperabilitätsszenarien, die Features aus Web Services Security Version 1.1 verwenden.
Die folgenden Standards werden nur in WebSphere Application Server Version 7.0 und höher unterstützt.

Die Unterstützung von WS-SecurityPolicy ist nur für WS-MetadataExchange-Szenarien (Web Services Metadata Exchange) verfügbar, in denen die Zusicherungen in der WSDL-Datei enthalten sind. Nähere Informationen hierzu finden Sie im Artikel über WS-MetadataExchange-Anforderungen.

Im Jahr 2007 hat das OASIS Web Services Secure Exchange Technical Committee (WS-SX) folgende Spezifikationen definiert und genehmigt. Teile dieser Spezifikationen werden von WebSphere Application Server Version 7 unterstützt.

OASIS: Web Services Security SOAP Message Security 1.0 und 1.1

In der folgenden Tabelle sind die Aspekte der OASIS-Spezifikationen "Web Services Security: SOAP Message Security 1.0" und "Web Services Security: SOAP Message Security 1.1" beschrieben, die in in WebSphere Application Server Version 6 und höher unterstützt werden.

Tabelle 1. Aspekte des in WebSphere Application Server unterstützten Standards "OASIS SOAP Message Security". Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Sicherheitsheader
  • @S11 :actor (für eine Zwischenstation)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 ist der Namespacepräfix für http://www.w3.org/2003/05/soap-envelope bei Verwendung von SOAP Version 1.2)
Sicherheitstoken
  • Benutzernamenstoken (Benutzername und Kennwort)
  • Binäres Sicherheitstoken (X.509 und Lightweight Third Party Authentication (LTPA)
  • Angepasstes Token
    • Anderes binäres Sicherheitstoken
    • XML-Token
      Anmerkung: WebSphere Application Server stellt keine Implementierung bereit, aber Sie können ein XML-Token mit einem Plug-in-Punkt verwenden.
Tokenreferenzen
  • Direkte Referenz
  • Schlüssel-ID
  • Schlüsselname
  • Eingebettete Referenz
Signatur Signaturbestätigung
Signaturalgorithmus
  • Digest
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Signatur
    DSA mit SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    Verwenden Sie diesen Algorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll.

    RSA mit SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Kanonisierung
    Kanonisches XML (mit Kommentaren)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Kanonisches XML (ohne Kommentare)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exklusive XML-Kanonisierung (mit Kommentaren)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exklusive XML-Kanonisierung (ohne Kommentare)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • Umsetzung
    STR-Umsetzung
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    Verwenden Sie die ursprüngliche XPATH-Umsetzung (Transform) nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
    Anmerkung: Wenn Sie auf eine Element in einem Element SECURE_ENVELOPE verweisen, das keinen Attribut vom Typ ID aus einem Element ds:Reference in einem Element SIGNATURE enthält, müssen Sie XPATH Filter 2.0 Transform, http://www.w3.org/2002/06/xmldsig-filter2m, verwenden.
    Envelope-Signatur
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath-Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    Anmerkung: Wenn Sie auf eine Element in einem Element SECURE_ENVELOPE verweisen, das keinen Attribut vom Typ ID aus einem Element ds:Reference in einem Element SIGNATURE enthält, müssen Sie XPATH Filter 2.0 Transform, http://www.w3.org/2002/06/xmldsig-filter2m, verwenden.
    Entschlüsselungsumsetzung
    http://www.w3.org/2002/07/decrypt#XML
Mit einer Signatur signierte Teile nur für JAX-RPC
  • Schlüsselwöerter in WebSphere Application Server:
    • body: Signiert den SOAP-Nachrichtenhauptteil.
    • timestamp: Signiert alle Zeitmarken.
    • securitytoken: Signiert alle Sicherheitstoken.
    • dsigkey: Signiert den Signierschlüssel.
    • enckey: Signiert den Chiffrierschlüssel.
    • messageid: Signiert das Element wsa :MessageID in WS-Addressing.
    • to: Signiert das Element wsa:To in WS-Addressing
    • action: Signiert das Element wsa:Action in WS-Addressing
    • relatesto: Signiert das Element wsa:RelatesTo in WS-Addressing

      wsa ist das Namespacepräfix von http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext: Gibt den WS-Context-Header für den SOAP-Header an.
    • wsafrom: Gibt <wsa:From>, das WS-Addressing-Element From, im SOAP-Header an.
    • wsareplyto: Gibt <wsa:ReplyTo>, das WS-Addressing-Element ReplyTo, im SOAP-Header an.
    • wsafaultto: Gibt <wsa:FaultTo>, das WS-Addressing-Element FaultTo, im SOAP-Header an.
    • wsaall: Gibt alle WS-Addressing-Elemente im SOAP-Header an.
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht. Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Signaturnachrichtenteile nur für JAX-WS
  • Body (signiert den SOAP-Nachrichtenhauptteil)
  • Header (signiert einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht.
    • Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Verschlüsselung Element "EncryptedHeader"
Verschlüsselungsalgorithmen
Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
  • Datenverschlüsselung
    • Triple DES in CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 in CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 in CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Nähere Informationen hierzu finden Sie in der Beschreibung des Verschlüsselungsalgorithmus im Artikel Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

      Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

    • AES256 in CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Nähere Informationen hierzu finden Sie in der Beschreibung des Verschlüsselungsalgorithmus im Artikel Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

  • Schlüsselchiffrierung
    • Schlüsseltransport (Verschlüsselung des öffentlichen Schlüssels)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Anmerkung:
        • Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK 1.5 arbeiten.
        • Dieser Transportalgorithmus wird von der FIPS-konformen (Federal Information Processing Standard) Java™-Verschlüsselungsengine nicht unterstützt.
      • RSA Version 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Wrapping von symmetrischen Schlüsseln (Verschlüsselung des privaten Schlüssels)
      • Wrapping von Triple-DES-Schlüsseln: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Wrapping von AES-Schlüsseln (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Wrapping von AES-Schlüsseln (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Nähere Informationen hierzu finden Sie in der Beschreibung des Verschlüsselungsalgorithmus im Artikel Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

        Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

      • Wrapping von AES-Schlüsseln (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Nähere Informationen hierzu finden Sie in der Beschreibung des Verschlüsselungsalgorithmus im Artikel Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

  • Manifests-xenc ist das Namespacepräfix von http://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

Der Standard AES (Advanced Encryption Standard) wurde so entworfen, dass er eine stärkere und bessere Leistung für die symmetrische Verschlüsselung über Triple-DES (Data Encryption Standard) bereitstellt. Daher wird empfohlen, falls möglich, AES für die symmetrischen Verschlüsselung zu verwenden.

Teile der Nachrichtenverschlüsselung nur für JAX-RPC
  • Schlüsselwörter von WebSphere Application Server
    • bodycontent: Verschlüsselt den Inhalt des SOAP-Hauptteils.
    • usernametoken: Verschlüsselt das Benutzernamenstoken.
    • digestvalue: Verschlüsselt den Digest-Wert der digitalen Signatur.
    • signature: Verschlüsselt die gesamte digitale Signatur.
    • wscontextcontent: Verschlüsselt den Inhalt im WS-Context-Header für den SOAP-Header.
  • XPath-Ausdruck zur Auswahl des XML-Elements in der SOAP-Nachricht
    • XML-Elemente
    • XML-Elementinhalt
Teile der Nachrichtenverschlüsselung nur für JAX-WS
  • Body (verschlüsselt den SOAP-Nachrichtenhauptteil)
  • Header (verschlüsselt einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders; das resultierende Element ist EncryptedHeader)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht
    • Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Zeitmarke
  • Im WS-Security-Header
  • WebSphere Application Server wurde in der Weise erweitert, dass das Einfügen von Zeitmarken in andere Elemente unterstützt wird, sodass das Alter dieser Elemente bestimmt werden kann.
Fehlerbehandlung SOAP-Fehler
  • Neuer SOAP-Fehler (failure) mit Fehlercode
  • Hinzugefügter Text The message has expired

OASIS: Web Services Security: UsernameToken Profile 1.0

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security: UsernameToken Profile 1.0", die in WebSphere Application Server unterstützt werden.

Tabelle 2. Aspekte des Standards "OASIS Username Token Profile V1.0", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security: UsernameToken Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security: UsernameToken Profile 1.1", die in WebSphere Application Server unterstützt werden. Komponenten, die zuvor für Web Services Security UsernameToken Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 3. Aspekte des Standards "OASIS Username Token Profile V1.1", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile", die in WebSphere Application Server Version 6 und höher unterstützt werden.

Tabelle 4. Aspekte des Standards "OASIS X.509 Certificate Token V1.0", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • X.509 Version 3: Einzelnes Zertifikat

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 Version 3: X509PKIPathv1 ohne Zertifikatswiderrufslisten (Certificate Revocation Lists, CRL)

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 Version 3: PKCS7 mit oder ohne CRLs.
Tokenreferenzen
  • Schlüssel-ID - Subjektschlüssel-ID
  • Direkte Referenz
  • Angepasste Referenz - Name des Ausstellers und Seriennummer

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile 1.1", die in WebSphere Application Server unterstützt werden. Komponenten, die zuvor für Web Services Security X.509 Certificate Token Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 5. Aspekte des Standards "OASIS X.509 Certificate Token V1.1", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen X.509 Version 1: Single certificate
Tokenreferenzen Schlüssel-ID - Subjektschlüssel-ID
  • Kann nur auf ein X.509v3-Zertifikat verweisen
  • Kann den Fingerabdruck des angegebenen Zertifikats mit dem Attribut "http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1" des Elements <wsse:KeyIdentifier> angeben.

OASIS: Web Services Security Kerberos Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Kerberos Token Profile 1.1", die in WebSphere Application Server unterstützt werden.

Tabelle 6. Aspekte des Standards "OASIS Kerberos Token Profile", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Token des Typs GSS_API Kerberos v5

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ

  • Token des Typs GSS_API Kerberos v5 entsprechend RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510

  • Token des Typs GSS_API Kerberos v5 entsprechend RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

  • Token des Typs Kerberos v5

    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ

  • Token des Typs Kerberos v5 entsprechend RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510

  • Token des Typs Kerberos v5 entsprechend RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412

Tokenreferenzen
  • Referenz des Sicherheitstokens
  • Schlüsselkennung, die verwendet wird, nachdem das ursprüngliche Kerberos-v5-Token konsumiert wurde
  • Abgeleitetes Schlüsseltoken auf der Basies des Kerberos-Tokens

OASIS-Spezifikationen "Web Services Security WS-Secure Conversation Draft" und "Web Services Security WS-Secure Conversation Version 1.3"

Die folgende Tabelle zeigt Aspekte der Spezifikation "OASIS: WS-SecureConversation", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden. Version 1.3 der Spezifikation wird in WebSphere Application Server Version 7.0 und höher unterstützt.

Tabelle 7. Aspekte des Standards "OASIS SecureConversation", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Security Context Token Draft Version: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Security Context Token Version 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Tokenreferenzen Direkte Referenz
Einrichtung des Sicherheitskontextes Sicherheitskontexttoken, das von einem in WebSphere Application Server integrieren Sicherheitstokenservice erstellt wurde.
Kontextverlängerung Automatische Verlängerung des Tokens, wenn sich der Verfallszeitpunkt nähert
Kontextabbruch Unterstützung der expliziten Abbruchanforderung.
Abgeleitete Schlüssel Folgende Informationen werden verwendet, um Schlüssel mithilfe eines geheimen Schlüssels für gemeinsame Nutzung (Shared Secret) abzuleiten:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Fehlerbehandlung SOAP-Fehler, einschließlich der Folgenden:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS-Spezifikationen "Web Services Security WS-Trust Version 1.0 Draft" und "Web Services Security WS-Trust"

Die folgenden Tabellen zeigen Aspekte der Spezfikationen "OASIS: Web Services Security: WS-Trust Version 1.0 Draft" und "OASIS: Web Services Security: WS-Trust Version 1.3", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden.

Tabelle 8. Aspekte der Standards "OASIS Trust V1.0 und V1.3", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://schemas.xmlsoap.org/ws/2005/02/trust
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Tabelle 9. Aspekte des Standards "OASIS Trust V1.3", die in WebSphere Application Server unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://docs.oasis-open.org/ws-sx/ws-trust/200512
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Funktionalität, die in WebSphere Application Server nicht unterstützt wird

Die folgende Liste enthält die Funktionalität, die zwar in den OASIS-Spezifikationen, den OASIS-Entwürfen und anderen Empfehlungen unterstützt wird, jedoch nicht von WebSphere Application Server Version 6 und höher:
  • Web Services Security: SOAP Messages with Attachments (SwA) Profile 1.0
    Anmerkung: Bei Verwendung des Programmiermodells JAX-WS wird die Sicherung der SOAP-MTOM-Anlage (Message Transmission Optimization Mechanism) nicht unterstüzt. Nähere Informationen hierzu finden Sie im Artikel über die Aktivierung von MTOM für JAX-WS-Web-Services.
  • XrML-Tokenprofil
  • Digitale XML-Envelope-Signatur
  • Digitale XML-Envelope-Verschlüsselung
  • Die folgende Funktionalität von WS-SecureConversation wird in WebSphere Application Server nicht unterstützt:
    • Zwei Methoden zum Aufbau eines Sicherheitskontextes werden nicht unterstützt: 1) Sicherheitskontexttoken, das von einer der miteinander kommunizierenden Parteien erstellt und in einer Nachricht weitergegeben wird, und 2) Sicherheitskontexttoken, das durch Vereinbarung oder Austausch erstellt wird.
    • SCT-Weitergabe
    • Änderung von Sicherheitskontexten
  • Die folgenden Umsetzungsalgorithmen für digitale Signaturen werden nicht unterstützt:
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP Message Normalization

      Auf der Webseite SOAP Version 1.2 Message Normalization finden Sie beispielsweise Informationen zum Entfernen eines leeren Headers oder eines Headereintrags mit mustUnderstand=false usw.

    • Entschlüsselungsumsetzung
  • Der folgende Schlüsselvereinbarungsalgorithmus für die Verschlüsselung wird nicht unterstützt:
  • Der folgende Kanonisierungsalgorithmus für die Verschlüsselung, der in der XML-Verschlüsselungsspezifikation optional ist, wird nicht unterstützt:
    • Kanonisches XML mit oder ohne Kommentare
    • Exklusive XML-Kanonisierung mit oder ohne Kommentare
  • Die digitale DSA-Signatur wird nicht unterstützt.
  • Die Datenverschlüsselung mit vorab vereinbarten symmetrischen Schlüsseln wird nicht unterstützt.
  • Die Prüfung eines fälschungssicheren Herkunftsnachweises für digitale Signaturen wird nicht unterstützt.
  • In beiden Versionen der Spezifikation "Username Token Profile" wird der Digest-Kennworttyp nicht unterstützt.
  • In der Spezifikation "Username Token Version 1.1 Profile" wird die Ableitung von Schlüsseln auf der Basis eines Kennworts nicht unterstützt.

Nicht unterstützte Funktion für "WS-Trust Version 1.0 Draft" und "WS-Trust Version 1.3"

Die folgenden Tabellen zeigen Aspekte der Spezfikationen "OASIS: Web Services Security: WS-Trust Version 1.0 Draft" und "OASIS: Web Services Security: WS-Trust Version 1.3", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher nicht unterstützt werden.

Tabelle 10. Aspekte der Standards "OASIS Trust V1.0 und V1.3", die in WebSphere Application Server nicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey and http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse

Tabelle 11. Aspekte des Standards "OASIS Trust V1.3", die in WebSphere Application Server nicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortheader

/wsa:Action

Nicht unterstützte Antworten:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_supportfunction
Dateiname:cwbs_supportfunction.html