Soporte de seguridad de servicios web
IBM® soporta la seguridad de los servicios web, que es una ampliación del motor de servicios web de IBM , para proporcionar una calidad de servicios. La infraestructura de seguridad de WebSphere Application Server integra completamente la seguridad de servicios web con la especificación de seguridad Java™ EE (Java Platform, Enterprise Edition).
WebSphere Application Server, versiones 4.x, 5 y 5.0.1 soportan la firma digital para Apache SOAP Versión 2.x. A partir de WebSphere Application Server, Versión 5.0.2, IBM soporta la seguridad de los servicios web. La implementación de IBM se basa en la especificación de la seguridad de servicios web, Web Services Security (WS-Security), inicialmente propuesta por IBM, Microsoft y VeriSign en abril de 2002. Se pueden encontrar versiones anteriores de la especificación de la versión propuesta en Web Services Security (WS-Security) versión 1.0 del 5 abril de 2002 y el apéndice de Web Services Security del 18 de agosto de 2002. La implementación de WebSphere Application Server se basa en la especificación de la versión 13 activa de OASIS (Organization for the Advancement of Structured Information Standards) (consulte el sitio web OASIS Web Services Security TC para obtener la última especificación activa). No obstante, no todas las características de la especificación de la versión 13 activa se implementan.
La seguridad de servicios web no está soportada en un cliente Java puro o no gestionado. Cuando en un mensaje de solicitud se incrusta el ID de usuario y la contraseña, se realiza la autenticación con el ID de usuario y la contraseña. Si resulta correcta la autenticación, se establece la identidad de usuario y se autoriza el acceso a más recursos basados en esa identidad. Después de que el tiempo de ejecución de seguridad de servicios web autentica el ID de usuario y la contraseña, el contenedor Java EE realiza la autorización.
Elemento | Notas |
---|---|
UsernameToken | Se admite el nombre de usuario y contraseña para el método de autenticación BasicAuth y el nombre de usuario para el método de autenticación de aserción de identidad. WebSphere Application Server da soporte a Nonce, un valor generado aleatoriamente. |
BinarySecurityToken | Se pueden incrustar certificados X.509 y LPTA (Lightweight Third Party Authentication), PERO NO HAY implementación para incrustar tickets Kerberos. No obstante, la generación y validación de señales binarias es conectable y se basa en las API (interfaz de programas de aplicación) JAAS (Java Authentication and Authorization Service). Puede ampliar esta implementación para generar y validar otros tipos de señales de seguridad binarias. |
Firma | El certificado X.509 se incrusta como una señal de seguridad binaria y se puede hacer referencia a éste mediante SecurityTokenReference. WebSphere Application Server no admite firmas compartidas basadas en claves. |
Cifrado | Se da soporte a los códigos XML EncryptedKey y ReferenceList. KeyIdentifier especifica las claves públicas y KeyName identifica las claves secretas. WebSphere Application Server tiene la posibilidad de establecer la correlación de identidades no autenticadas con claves para el cifrado o utilizar el certificado de firmante para cifrar el mensaje de respuesta. |
Indicación de la hora | WebSphere Application Server admite los atributos Created y Expires. La antigüedad del mensaje, que indica si el mensaje cumple con restricciones de tiempo predefinidas, se comprueba únicamente si el atributo Expires está presente en el mensaje. WebSphere Application Server no admite el atributo Received, que se define en el apéndice. En su lugar, WebSphere Application Server utiliza el atributo TimestampTraceReceived, que se define en la especificación OASIS. |
Señal basada en XML | Puede insertar y validar un formato arbitrario de señales XML en el mensaje. Este método de formato se basa en las API JAAS. |
Método | Elemento |
---|---|
firma digital XML |
|
cifrado XML |
|
AuthMethod |
|
Método | Elemento |
---|---|
firma digital XML |
|
cifrado XML |
|
- Integridad del mensaje
- Autenticidad del mensaje
- Confidencialidad del mensaje
- Privacidad del mensaje
- Seguridad a nivel de transporte: se proporciona mediante SSL (Secure Sockets Layer)
- Propagación de la señal de seguridad (conectable)
- Aserción de identidad
- OASIS Web Services Security: SOAP Message Security Working Draft 13, mayo de 2003
- http://schemas.xmlsoap.org/ws/2003/06/secext
- OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
- OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
- http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd
http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd
Tiempo de ejecución | Envío | Recepción |
---|---|---|
Borrador 13 JAX-RPC | Borrador 13 OASIS | Borrador 13 OASIS |
JAX-RPC | OASIS wssec 1.0 | OASIS wssec 1.0 Borrador 13 OASIS |
JAX-WS | OASIS wssec 1.1 OASIS wssec 1.0 |
OASIS wssec 1.1 OASIS wssec 1.0 Borrador 13 OASIS |
- Especificación de abril de 2002
- http://schemas.xmlsoap.org/ws/2002/04/secext
- Apéndice de agosto de 2002
- http://schemas.xmlsoap.org/ws/2002/07/secext
Consulte la tabla de elementos de seguridad de servicios web para obtener una descripción de las funciones que no están soportadas.