Serviceintegrationstechnologien und WS-Security

In einem WS-Security-Szenario entspricht der Nachrichtenfluss dem in der folgenden Abbildung dargestellten:

Abbildung 1. NachrichtenflüsseIn diesr Abbildung wird der Nachrichtenfluss beschrieben.

Der Client generiert eine Anforderung, die von der Web-Service-Engine des Clients verarbeitet wird. Die Engine liest die Sicherheitskonfiguration des Clients und wendet die in der Datei ibm-webservicesclient-ext.xmi definierte Sicherheit auf die SOAP-Nachricht an. Anschließend ruft die Engine weitere Bindungsinformationen aus der Datei ibm-webservicesclient-bnd.xmi ab (z. B. die Position eines Keystore im Dateisystem).

Nach Erhalt einer SOAP-Nachricht verweist die Web-Service-Engine des Servers auf die Dateien mit der Erweiterung *.xmi für den aufgerufenen Web-Service. In diesem Fall teilt die Datei ibm-webservices-ext.xmi der Engine mit, welche Sicherheit die eingehende Nachricht haben muss (z. B. dass der Hauptteil der Nachricht unterzeichnet sein muss). Falls die Nachricht den Sicherheitsanforderungen nicht genügt, wird sie zurückgewiesen. Die Web-Service-Engine überprüft alle Sicherheitsinformationen und übergibt die Nachricht dann an den aufgerufenen Web-Service.

Wenn der Client die Antwort des Servers erhält, ist der Prozess umgekehrt. Die Dateien mit der Erweiterung *.xmi des Web-Service teilen der Web-Service-Engine mit, welche Sicherheit auf die Antwortnachricht anzuwenden ist. Die Clientdateien mit der Erweiterung *.xmi teilen der Client-Engine mit, welche Sicherheitsanforderungen die Antwortnachricht erfüllen muss.

Die folgende Abbildung zeigt den Nachrichtfluss, wenn Sie dieses Szenario auf eingehende oder abgehende Services anwenden:

In dieser Abbildung tauscht ein Client Anforderung- und Antwortnachrichten mit einem eingehenden Service aus, und ein abgehender Service tauscht Anforderungs- und Antwortnachricht mit einem Ziel-Web-Service aus.
Erläuterungen zu diesem Szenario:
  • In den *.xmi-Dateien der Clientanwendung und des Ziel-Web-Service werden die Sicherheitseinstellungen definiert. Sie erhalten diese Informationen von den Eignern.
  • Der eingehende Service und der abgehende Service haben Sicherheitseinstellungen, die Sie für sie konfigurieren.
Zum Sichern eines eingehenden oder abgehenden Service wenden Sie die folgenden Typen von WS-Security-Ressourcen auf die Ports an, die der Service verwendet:
  • WS-Security-Konfigurationen
  • WS-Security-Bindungen
Der Ressourcentyp Konfigurationen gibt die erforderliche Sicherheitsstufe an (z. B. "Hauptteil muss signiert sein"), und der Ressourcentyp Bindungen enthält die Informationen, die die Laufzeitumgebung benötigt, um die Konfiguration zu implementieren (z. B. "Zum Signieren des Hauptteils diesen Schlüssel verwenden").
WS-Security-Ressourcen werden gesondert von den Web-Services verwaltet, die sie verwenden. Deshalb können Sie eine Bindungs- oder Konfigurationsressource erstellen und anschließend auf mehrere Web-Services anwenden. Die Sicherheitsanforderungen für einen Service für eingehende Daten (der als Ziel-Web-Service auftritt) unterscheiden sich erheblich von den Sicherheitsanforderungen eines Service für abgehende Daten (der als Client auftritt). Deshalb ist jeder WS-Security-Ressourcentyp in weitere Subtypen eingeteilt. Wenn Sie eine neue Konfigurationsressource erstellen, richtet sich der Typ der Konfigurationsressource danach, ob die Konfiguration für eingehende Services oder abgehende Services bestimmt ist. Wenn Sie eine neue Bindungsressource erstellen, richtet sich der Typ der Bindungsressource nach dem Kontext, in dem die Bindung verwendet wird:
  • Bindung für das Konsumieren von Anforderungen von einem Client an einen eingehenden Service
  • Bindung für das Generieren von Anforderungen von einem abgehenden Service an einen Ziel-Web-Service
  • Bindung für das Konsumieren von Antworten von einem Ziel-Web-Service an einen abgehenden Service
  • Bindung für das Generieren von Antworten von einem eingehenden Service an einen Client
Beim Erstellen von WS-Security-Ressourcen wählen Sie auch zwischen Ressourcen, die der Spezifikation Web Services Security (WS-Security) 1.0 entsprechen, und Ressourcen, die der Spezifikation WS-Security Draft 13 entsprechen.
Anmerkung: Sie Verwendung von WS-Security Draft 13 ist seit WebSphere Application Server Version 6.0 veraltet. Da die Spezifikation WS-Notification Draft 13 jedoch veraltet ist, sollten Sie sie nur verwenden, um die fortgesetzte Nutzung einer vorhandenen Web-Service-Clientanwendung zuzulassen, die auf der Basis der Spezifikation WS-Notification Draft 13 geschrieben wurde.
Nähere Informationen zur Historie der Spezifikation WS-Security Draft 13 finden Sie im Artikel Spezifikation "Web Services Security" - eine Chronologie.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjw_wss
Dateiname:cjw_wss.html