Funciones soportadas de las especificaciones OASIS

El servidor de aplicaciones da soporte a las especificaciones de seguridad de servicios web (WS-Security) de OASIS (Organization for the Advancement of Structured Information).

WebSphere Application Server da soporte a las siguientes especificaciones de seguridad de servicios web de OASIS Versión 1.0.
En el paquete de características para servicios web de WebSphere Application Server Versión 6.1, y posteriores, se ha actualizado el soporte para los estándares OASIS a las últimas versiones de señales y especificaciones de WS-Security (Web Services Security). Web Services Security Versión 1.1 proporciona una mejor verificación de seguridad de firma, una forma estándar de cifrar las cabeceras SOAP, y cumple los requisitos de algunos de los escenarios de interoperatividad que utilizan características de Web Services Security Versión 1.1.
Los estándares siguientes se admiten sólo en WebSphere Application Server Versión 7.0 y posteriores.

El soporte para WS-SecurityPolicy sólo está a disposición de los casos de WS-MetadataExchange (Web Services Metadata Exchange) donde las confirmaciones están incorporadas al archivo WSDL. Para obtener más información, consulte el tema de solicitudes WS-MetadataExchange.

En 2007, WS-SX (OASIS Web Services Secure Exchange Technical Committee) produjo y aprobó las especificaciones siguientes. WebSphere Application Server Versión 7 y posteriores admiten partes de estas especificaciones.

OASIS: Web Services Security SOAP Message Security 1.0 y 1.1

En la tabla siguiente se muestran los aspectos de las especificaciones OASIS: Web Services Security: SOAP Message Security 1.0 y 1.1 a las que se da soporte en WebSphere Application Server Versión 6 y posteriores.

Tabla 1. Aspectos del estándar de OASIS SOAP Message Security en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Cabecera de seguridad
  • @S11 :actor (para un intermediario)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 es el prefijo del espacio de nombres para http://www.w3.org/2003/05/soap-envelope cuando se utiliza SOAP Versión 1.2)
Señales de seguridad
  • Señal Username (nombre de usuario y contraseña)
  • Señal de seguridad binaria (X.509 y LTPA (Lightweight Third Party Authentication))
  • Señal personalizada
    • Otras señales de seguridad binarias
    • señal XML
      Nota: WebSphere Application Server no proporciona una implementación pero puede utilizar una señal XML en el punto de conexión.
Referencias de señal
  • Referencia directa
  • Identificador de claves
  • Nombre de clave
  • Referencia intercalada
Firma Confirmación de firma
Algoritmos de firma
  • Conversión
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Firma
    DSA con SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    No utilice este algoritmo si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).

    RSA con SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Canonicalización
    XML de canonicalización (con comentarios)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    XML de canonicalización (sin comentarios)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Canonicalización exclusiva XML (con comentarios)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Canonicalización exclusiva XML (sin comentarios)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • Transformación
    Transformación STR
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    No utilice la transformación XPath original si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).
    Nota: Cuando se hace referencia a un elemento en SECURE_ENVELOPE que no transporte un atributo de tipo ID de una ds:Reference en un elemento SIGNATURE, debe utilizar la transformación XPATH Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2
    Firma en sobre
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    Nota: Cuando se hace referencia a un elemento en SECURE_ENVELOPE que no transporte un tipo de atributo de ID de una ds:Reference en un elemento SIGNATURE, debe utilizar la transformación XPATH Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2
    Transformación de descifrado
    http://www.w3.org/2002/07/decrypt#XML
Partes firmadas de la firma sólo para JAX-RPC
  • Palabras clave de WebSphere Application Server:
    • body, que firma el cuerpo del mensaje SOAP
    • timestamp, que firma todas las indicaciones de la hora
    • securitytoken, que firma todas las señales de seguridad
    • dsigkey, que firma la clave de cifrado
    • enckey, que firma la clave de cifrado
    • messageid, que firma el elemento wsa :MessageID de WS-Addressing.
    • to, que firma el elemento wsa:To de WS-Addressing
    • action, que firma el elemento wsa:Action de WS-Addressing
    • relatesto, que firma el elemento wsa:RelatesTo de WS-Addressing

      wsa es el prefijo de espacio de nombres de http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext, que especifica la cabecera de WS-Context para la cabecera SOAP.
    • wsafrom, que especifica el elemento From de WS-Addressing, <wsa:From>, de la cabecera SOAP.
    • wsareplyto, que especifica el elemento ReplyTo de WS-Addressing, <wsa:ReplyTo>, de la cabecera SOAP.
    • wsafaultto, que especifica el elemento FaultTo de WS-Addressing, <wsa:FaultTo>, de la cabecera SOAP.
    • wsaall, que especifica todos los elementos de WS-Addressing de la cabecera SOAP.
  • Expresión XPath para seleccionar un elemento XML de un mensaje SOAP. Para obtener más información, consulte http://www.w3.org/TR/1999/REC-xpath-19991116.
Partes del mensaje de la firma sólo para JAX-WS
  • Cuerpo (que firma el cuerpo del mensaje SOAP)
  • Cabecera (que firma una o varias cabeceras SOAP en la cabecera SOAP principal)
  • Expresión XPath para seleccionar un elemento XML de un mensaje SOAP.
    • Para obtener más información, consulte el sitio web http://www.w3.org/TR/1999/REC-xpath-19991116.
Cifrado Elemento EncryptedHeader
Algoritmos de cifrado
Importante: Es posible que su país de origen tenga restricciones sobre la importación, posesión, utilización o reexportación a otro país de software de cifrado. Antes de descargar o bien utilizar los archivos de políticas sin restricciones, debe consultar las leyes de su país, sus regulaciones y las políticas relativas a la importación, posesión, uso y reexportación de software cifrado, para determinar si está permitido.
  • Cifrado de datos
    • DES triple en CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 en CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 en CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Este algoritmo requiere el archivo de políticas JCE sin restricciones. Para obtener más información, consulte la descripción del algoritmo de cifrado de claves de Valores de configuración de la información de cifrado: partes del mensaje.

      No utilice el algoritmo de cifrado de datos de 192 bits si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).

    • AES256 en CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Este algoritmo requiere el archivo de políticas JCE sin restricciones. Para obtener más información, consulte la descripción del algoritmo de cifrado de claves de Valores de configuración de la información de cifrado: partes del mensaje.

  • Cifrado de claves
    • Transporte de claves (criptografía de claves públicas)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Nota:
        • Cuando ejecuta SDK (Software Development Kit) Versión 1.4, la lista de algoritmos de transporte clave soportada no incluye este algoritmo. Este algoritmo aparece en la lista de algoritmos de transporte clave soportados cuando se ejecuta SDK versión 1.5.
        • La utilización del motor de criptografía Java™ compatible con FIPS (Federal Information Processing Standard) no da soporte a este algoritmo de transporte.
      • RSA Versión 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Envoltura de claves simétricas (criptografía de claves privadas)
      • Envoltura de claves DES triple: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Envoltura de claves AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Envoltura de claves AES (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        Este algoritmo requiere el archivo de políticas JCE sin restricciones. Para obtener más información, consulte la descripción del algoritmo de cifrado de claves de Valores de configuración de la información de cifrado: partes del mensaje.

        No utilice el algoritmo de cifrado de datos de 192 bits si desea que la aplicación configurada cumpla con BSP (Basic Security Profile).

      • Envoltura de claves AES (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        Este algoritmo requiere el archivo de políticas JCE sin restricciones. Para obtener más información, consulte la descripción del algoritmo de cifrado de claves de Valores de configuración de la información de cifrado: partes del mensaje.

  • Manifests-xenc es el prefijo de espacio de nombres de http://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

AES (Advanced Encryption Standard) se ha diseñado para proporcionar un rendimiento mayor y mejor para el cifrado de claves a través de Triple-DES (Data Encryption Standard). Por lo tanto, se le recomienda que utilice AES, si es posible, para el cifrado de claves simétricas.

Partes del mensaje de cifrado sólo para JAX-RPC
  • Palabras clave de WebSphere Application Server
    • bodycontent, que se utiliza para cifrar el contenido del texto SOAP
    • usernametoken, que se utiliza para cifrar la señal username
    • digestvalue, que se utiliza para cifrar el valor de conversión de la firma digital
    • signature, que se utiliza para cifrar la firma digital completa
    • wscontextcontent, que cifra el contenido de la cabecera de WS-Context para la cabecera SOAP.
  • Expresión XPath para seleccionar el elemento XML del mensaje SOAP
    • Elementos XML
    • Contenido del elemento XML
Partes del mensaje de cifrado sólo para JAX-WS
  • Cuerpo (que cifra el contenido del cuerpo del mensaje SOAP)
  • Cabecera (que cifra una o varias cabeceras SOAP en la cabecera SOAP principal, lo que genera el elemento EncryptedHeader)
  • Expresión XPath para seleccionar un elemento XML en un mensaje SOAP
    • Para obtener más información, consulte el sitio web http://www.w3.org/TR/1999/REC-xpath-19991116.
Indicación de la hora
  • En la cabecera de la seguridad de servicios web
  • WebSphere Application Server se ha ampliado para que pueda insertar indicaciones de la hora en otros elementos, de modo que la antigüedad de estos elementos se pueda determinar.
Manejo de errores Errores SOAP
  • Nuevo error SOAP de anomalía con código de error
  • El mensaje ha caducado; se ha añadido texto

OASIS: Web Services Security UsernameToken Profile 1.0

En la tabla siguiente se muestran los aspectos de la especificación OASIS: Web Services Security: Token Profile 1.0 a la que se da soporte en WebSphere Application Server.

Tabla 2. Aspectos del estándar de OASIS Username Token Profile V1.0 soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Tipos de contraseña Texto
Referencias de señal Referencia directa

OASIS: Web Services Security UsernameToken Profile 1.1

En la tabla siguiente se muestran los aspectos de la especificación OASIS: Web Services Security: Token Profile 1.1 a la que se da soporte en WebSphere Application Server. Los elementos que estaban soportados previamente para Web Services Security UsernameToken Profile 1.0 no aparecen en la lista, pero continúan soportados, a menos que se especifique lo contrario.

Tabla 3. Aspectos del estándar de OASIS Username Token Profile V1.1 soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Tipos de contraseña Texto
Referencias de señal Referencia directa

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

En la tabla siguiente se muestran los aspectos de la especificación OASIS: Web Services Security X.509 Certificate Token Profile a la que se da soporte en WebSphere Application Server Versión 6 y posteriores.

Tabla 4. Aspectos del estándar de OASIS X.509 Certificate Token V1.0 soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Tipos de señales
  • X.509 Versión 3: certificado individual

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 Versión 3: X509PKIPathv1 sin listas de revocación de certificados, CRL

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 Versión 3: PKCS7 con o sin CRL.
Referencias de señal
  • Identificador de claves - identificador de claves de sujetos
  • Referencia directa
  • Referencia personalizada - nombre el emisor y número de serie

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

En la lista siguiente se muestran los aspectos de la especificación OASIS: Web Services Security X.509 Certificate Token Profile 1.1 a la que se da soporte en WebSphere Application Server. Los elementos que estaban soportados previamente para Web Services Security X.509 Certificate Profile 1.0 no aparecen en la lista, pero continúan soportados, a menos que se especifique lo contrario.

Tabla 5. Aspectos del estándar de OASIS X.509 Certificate Token V1.1 soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Tipos de señales X.509 Versión 1: certificado individual
Referencias de señal Identificador de claves - identificador de claves de sujetos
  • Sólo puede hacer referencia a un certificado X.509v3
  • Puede especificar el certificado de huella del certificado especificado utilizando el atributo http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#thumbprintsha1 del elemento <wsse:KeyIdentifier>.

OASIS: Web Services Security Kerberos Token Profile 1.1

En la tabla siguiente se muestran los aspectos de la especificación OASIS: Web Services Security Kerberos Token Profile 1.1 a la que se da soporte en WebSphere Application Server.

Tabla 6. Aspectos del estándar de OASIS Kerberos Token Profile soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Tipos de señales
  • Señal GSS_API Kerberos v5

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ

  • Señal GSS_API Kerberos v5 por RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510

  • Señal GSS_API Kerberos v5 por RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

  • Señal Kerberos v5

    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ

  • Señal Kerberos v5 por RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510

  • Señal Kerberos v5 por RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412

Referencias de señal
  • Referencia de señal de seguridad
  • Identificador de claves, que se utiliza cuando se ha consumido la señal inicial Kerberos v5
  • Señal de claves derivada basada en la clave Kerberos

OASIS: Web Services Security WS-Secure Conversation Draft y Versión 1.3

En la tabla siguiente se muestran los aspectos de la especificación OASIS: WS-SecureConversation a los que se da soporte en el paquete de características para servicios web de WebSphere Application Server Versión 6.1 y posterior. Se proporciona soporte para la versión 1.3 de la especificación en WebSphere Application Server Versión 7.0 y posteriores.

Tabla 7. Aspectos del estándar OASIS SecureConversation soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Tipos de señales
  • Versión de borrador de la señal de contexto de seguridad: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Señal de contexto de seguridad versión 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Referencias de señal Referencia directa
Establecimiento del contexto de seguridad Señal de contexto de seguridad creada por un servicio de señal de seguridad incorporada en WebSphere Application Server.
Contexto de renovación Renovación automática de la señal cuando está a punto de caducar.
Contexto de cancelación Soporte explícito de la solicitud de cancelación.
Claves derivadas Se utiliza la información siguiente para obtener las claves utilizando un secreto compartido de un contexto de seguridad:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Manejo de errores Errores SOAP, incluidos:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS: Web Services Security WS-Trust Versión 1.0 Draft y Versión 1.3

En las tablas siguientes se muestran los aspectos de las especificaciones OASIS: Web Services Security: WS-Trust Versión 1.0 Draft y Versión 1.3 a los que se da soporte en el paquete de características para servicios web de WebSphere Application Server Versión 6.1 y posterior.

Tabla 8. Aspectos del estándar de OASIS Trust V1.0 y V1.3 soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Espacio de nombres http://schemas.xmlsoap.org/ws/2005/02/trust
Cabecera de solicitud /wsa:Action
Entre las opciones válidas se incluyen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Elementos y atributos necesarios

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Entre las opciones válidas se incluyen:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • Entre las opciones válidas se incluyen:
    • para http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • para http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • para http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Cabecera de respuesta /wsa:Action
Entre las opciones válidas se incluyen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Elementos y atributos de respuesta

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Entre las respuestas válidas se incluyen:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Manejo de errores

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Tabla 9. Aspectos del estándar de OASIS Trust V1.3 soportado en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que se admiten.
Tema soportado Aspecto específico al que se da soporte
Espacio de nombres http://docs.oasis-open.org/ws-sx/ws-trust/200512
Cabecera de solicitud /wsa:Action
Entre las opciones válidas se incluyen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Elementos y atributos necesarios

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Entre las opciones válidas se incluyen:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • Entre las opciones válidas se incluyen:
    • para http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Cabecera de respuesta /wsa:Action
Entre las opciones válidas se incluyen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Elementos y atributos de respuesta

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Entre las respuestas válidas se incluyen:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Manejo de errores

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Funcionalidad no soportada en WebSphere Application Server

En la lista siguiente se muestran las funciones a las que se da soporte en las especificaciones de OASIS, los borradores de OASIS y otras recomendaciones, pero no en WebSphere Application Server Versión 6 y posterior:
  • Perfil de mensajes SOAP de seguridad de servicios web con adjuntos (SwA) 1.0
    Nota: Cuando se utiliza el modelo de programación JAX-WS, se permite proteger la conexión MTOM (Message Transmission Optimization Mechanism) de mensajes SOAP. Para obtener más información, consulte el tema Habilitación del MTOM para servicios web JAX-WS.
  • Perfil de señales XrML
  • Firma digital de sobres XML
  • Cifrado digital de sobres XML
  • La siguiente funcionalidad de WS-SecureConversation no es compatible con WebSphere Application Server:
    • No se da soporte a dos métodos para establecer el contexto de seguridad: 1) señal de contexto de seguridad creada por una de las partes que se comunican y que se propaga con el mensaje; y 2) señal de contexto de seguridad creada mediante negociación o intercambios.
    • Propagación SCT
    • Corrección de contextos de seguridad
  • Los siguientes algoritmos de transformación para firmas digitales no están soportados:
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • Normalización de mensajes SOAP

      Consulte Normalización de mensajes SOAP Versión 1.2 para obtener información sobre, por ejemplo, la eliminación de una cabecera vacía o una entrada de cabecera con mustUnderstand=false, etc.

    • Transformación de descifrado
  • El siguiente algoritmo de acuerdo de claves para cifrado no está soportado:
  • El siguiente algoritmo de canonicalización para cifrado, que es opcional en la especificación de cifrado XML, no está soportado.
    • XML de canonicalización con o sin comentarios
    • Canonicalización de XML exclusiva con o sin comentarios
  • La firma digital DSA no está soportada.
  • El cifrado de datos de clave simétrica aceptado previamente no está soportado.
  • La auditoría de no repudiación de firmas digitales no está soportada.
  • En ambas versiones de la especificación de perfiles de señal Username, el tipo de contraseña de conversión no está soportado.
  • En la especificación de perfiles de señal Username Versión 1.1, la derivación de clave basada en una contraseña no está soportada.

Función no soportada para WS-Trust Versión 1.0 Draft y Versión 1.3

En las tablas siguientes se muestran los aspectos de las especificaciones OASIS: Web Services Security: WS-Trust Versión 1.0 Draft y Versión 1.3 a los que no se da soporte en el paquete de características para servicios web de WebSphere Application Server Versión 6.1 y posterior.

Tabla 10. Aspectos del estándar de OASIS Trust V1.0 y V1.3 que no se soportan en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que no se admiten.
Tema no soportado Aspecto específico al que no se da soporte
Elementos y atributos

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Opciones de solicitud no soportadas:
  • para http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey y http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • para http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Elementos y atributos de respuesta

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse

Tabla 11. Aspectos del estándar de OASIS Trust V1.3 que no se soportan en WebSphere Application Server. Utilice la tabla para determinar los aspectos del estándar OSASIS que no se admiten.
Tema no soportado Aspecto específico al que no se da soporte
Elementos y atributos

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Opciones de solicitud no soportadas:
  • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey y http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey y http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Cabecera de respuesta

/wsa:Action

Respuestas no soportadas:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_supportfunction
File name: cwbs_supportfunction.html