WS-Security-Modell in WebSphere Application Server

Das von WebSphere Application Server verwendete Sicherheitsmodell für Web-Services ist deklarativ. WebSphere Application Server enthält keine Anwendungsprogrammierschnittstellen (APIs) für eine programmgesteuerte Interaktion mit Web Services Security. Es stehen aber einige SPIs (Server Provider Interfaces) für die Ergänzung einiger sicherheitsrelevanter Verhalten zur Verfügung.

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6 und höher.
Abbildung 1. WS-Security-ModellWS-Security-Modell
Die Sicherheitsvorgaben für Web Services Security sind in IBM® Erweiterungen für die Implementierungsdeskriptoren von Web-Services definiert. Die Laufzeit von Web Services Security richtet sich nach diesen Vorgaben, um Web Services Security für die SOAP-Nachricht (Simple Object Access Protocol) in Kraft zu setzen. Die IBM Erweiterungen für Implementierungsdeskriptoren gelten auf EJB- (Enterprise Bean) und Webmodulebene. Jeder der folgenden IBM Erweiterungen für Implementierungsdeskriptoren sind Bindungen zugeordnet:
Client (ein Java™-EE-Client (Java Platform, Enterprise Edition) oder ein Web-Service sein, der als Client auftritt)
ibm-webservicesclient-ext.xmi
ibm-webservicesclient-bnd.xmi
Server
ibm-webservices-ext.xmi
ibm-webservices-bnd.xmi

Es wird empfohlen, die von IBM bereitgestellten Assembliertools für die Erstellung der IBM Erweiterungen für Implementierungsdeskriptoren und Bindungen zu verwenden. Nachdem Sie die Bindungen erstellt haben, können Sie in der Administrationskonsole oder in einem Assembliertool die Bindungen angeben.

Wichtig: Die Bindungsinformationen werden nach dem und nicht während der Implementierung der Anwendung erfasst. Alternativ können Sie die erforderlichen Bindungsinformationen vor der Implementierung Ihrer Anwendung angeben.
Abbildung 2. Interpretation von WS-Security-NachrichtenInterpretation von WS-Security-Nachrichten
Die Laufzeit von Web Services Security setzt Web Services Security basierend auf den definierten Sicherheitsvorgaben in den Implementierungsdeskriptoren und Bindungsdateien in Kraft. Web Services Security kann die Nachricht an den folgenden vier Punkten abfangen und die definierten Sicherheitsvorgaben bearbeiten:
Tabelle 1. Nachrichtenpunkt von Web Services Security. Die Beschreibungen der Punkte enthalten Beispiele für das Verhalten der Laufzeitumgebung von Web Services Security.
Nachrichtenpunkte Beschreibung
Anforderungssender (in den Dateien ibm-webservicesclient-ext.xmi und ibm-webservicesclient-bnd.xmi definiert)
  • Wendet die erforderlichen Sicherheitsvorgaben (z. B. Signatur oder Verschlüsselung) auf die SOAP-Nachricht an, bevor die Nachricht gesendet wird, und generiert dabei die Zeitmarke oder das erforderliche Sicherheitstoken.
Anforderungsempfänger (in den Dateien ibm-webservices-ext.xmi und ibm-webservices-bnd.xmi definiert)
  • Stellt sicher, dass die Vorgaben für Web Services Security erfüllt sind.
  • Vergewissert sich anhand der Zeitmarke der Aktualität der Nachricht. Anhand der Aktualität der Nachricht kann festgestellt werden, ob die Nachricht den vordefinierten Zeitvorgaben entspricht.
  • Überprüft die erforderliche Signatur.
  • Prüft, ob die Nachricht verschlüsselt ist, und entschlüsselt sie gegebenenfalls.
  • Validiert die Sicherheitstoken und richtet den Sicherheitskontext für den Downstream-Aufruf ein.
Antwortabsender (in den Dateien ibm-webservices-ext.xmi and ibm-webservices-bnd.xmi definiert)
  • Wendet die erforderlichen Sicherheitsvorgaben auf die Antwort zur SOAP-Nachricht an, z. B. Signatur der Nachricht, Verschlüsselung der Nachricht oder Erstellen der Zeitmarke.
Antwortempfänger (in der Datei ibm-webservicesclient-ext.xmi oder ibm-webservicesclient-bnd.xmi definiert)
  • Stellt sicher, dass die Vorgaben für Web Services Security erfüllt sind.
  • Vergewissert sich anhand der Zeitmarke der Aktualität der Nachricht. Anhand der Aktualität der Nachricht kann festgestellt werden, ob die Nachricht den vordefinierten Zeitvorgaben entspricht.
  • Überprüft die erforderliche Signatur.
  • Prüft, ob die Nachricht verschlüsselt ist, und entschlüsselt sie gegebenenfalls.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wssinwas
Dateiname:cwbs_wssinwas.html