Visión general de la configuración y los enlaces de la plataforma
La política de seguridad de los servicios web se especifica en la ampliación de IBM® de los descriptores de despliegue de servicios web cuando se utiliza el modelo de programación JAX-RPC y en los conjuntos de políticas cuando se utiliza el modelo de programación JAX-WS. La información de enlaces que da soporte a la política de seguridad de servicios web se almacena en la ampliación de IBM de los descriptores de despliegue de servicios web para los modelos de programación JAX-RPC y JAX-WS.

Debido a la complejidad de estos archivos, no se le recomienda que edite el descriptor de despliegue y los archivos de enlaces manualmente con un editor de texto porque es posible que ocasionen errores. No obstante, se le recomienda que utilice las herramientas que proporciona IBM para configurar las restricciones de la seguridad de servicios web para una aplicación. Estas herramientas son la consola administrativa de WebSphere Application Server o una herramienta de ensamblaje. Para obtener más información sobre las herramientas de ensamblaje de IBM, consulte la información sobre las herramientas de ensamblaje.
Puede utilizar la función de conjunto de políticas de WebSphere Application Server para simplificar la configuración de los servicios web ya que los conjuntos de políticas agrupan los valores de seguridad y otros valores de servicios web en unidades reutilizables. Los conjuntos de políticas son confirmaciones sobre cómo se define la calidad de los servicios. Un conjunto de políticas incorpora tipos de políticas y sus valores.
Junto con el descriptor de despliegue de aplicaciones y los archivos de enlaces, WebSphere Application Server Versión 6 y posteriores tienen una configuración a nivel de célula y a nivel de servidor. Estas configuraciones son globales para todas las aplicaciones. Debido a que WebSphere Application Server Versión 6 y posterior da soporte a las aplicaciones 5.x, algunas de las configuraciones son válidas sólo para las aplicaciones de la versión 5.x y otras son válidas sólo para las aplicaciones de la versión 6 y posteriores.
La figura siguiente representa la relación del descriptor de despliegue de aplicaciones y los archivos de enlaces con la configuración a nivel de célula (sólo WebSphere Application Server, Network Deployment) o a nivel de servidor.
Configuración de la plataforma
- Tiempo de espera de memoria caché de Nonce
- Esta opción, que se encuentra a nivel de célula (sólo WebSphere Application Server, Network Deployment) y a nivel de servidor, especifica en segundos el valor de tiempo de espera excedido de memoria caché para un nonce.
- Antigüedad máxima de Nonce
- Esta opción, que se encuentra a nivel de célula (sólo WebSphere Application Server, Network Deployment) y a nivel de servidor, especifica en segundos la duración predeterminada de nonce.
- Desfase horario de Nonce
- Esta opción, que se encuentra a nivel de célula (sólo WebSphere Application Server, Network Deployment) y a nivel de servidor, especifica en segundos el desfase horario predeterminado para retardos de red, retardos de proceso, etc. Se utiliza para calcular cuando caduca el nonce. Su unidad de medida es en segundos.
- Distribuir memoria caché de Nonce
- Esta característica le permite distribuir la memoria caché para el nonce en servidores diferentes de un clúster. Está disponible para WebSphere Application Server versión 6.0.x y posterior.
- Localizador de claves
- Esta característica indica cómo se recuperan las claves para firmas, cifrado y descifrado. Las clases de implementación del localizador de claves son diferentes en WebSphere Application Server Versión 6 y posteriores y Versión 5.x.
- Almacén de certificados de colecciones
- Esta característica especifica el almacén de certificados para la validación de vías de acceso de certificados. Generalmente se utiliza para validar las señales X.509 durante la verificación de firmas o la creación de la señal X.509 con una lista de revocación de certificados que se ha codificado con el formato PKCS#7. Sólo se da soporte a la lista de revocación de certificados para las aplicaciones de WebSphere Application Server Versión 6.x y posterior.
- Anclas de confianza
- Esta característica especifica el nivel de confianza para el certificado de firmante y generalmente se utiliza en la validación de señales X.509 durante la verificación de firmas.
- Evaluadores de ID de confianza
- Esta característica especifica cómo se verifica el nivel de confianza para la identidad. La característica se utiliza con la aserción de identidad.
- Correlaciones de inicio de sesión
- Esta característica especifica el enlace de la configuración de inicio de sesión con los métodos de autenticación. Esta característica sólo la utilizan las aplicaciones WebSphere Application Server Versión 5.x y se ha abandonado:
Enlaces predeterminados
La configuración de los enlaces del nivel de celda predeterminado y el nivel de servidor predeterminado ha cambiado en WebSphere Application Server. Hasta ahora, sólo podría configurar un conjunto de enlaces predeterminados para la célula y, opcionalmente, configurar un conjunto de enlaces predeterminados para cada servidor. En la versión 7.0 y posteriores, puede configurar uno o varios enlaces de proveedor generales y uno o varios enlaces de cliente generales. Sin embargo, sólo se pueden designar como predeterminados un enlace de proveedor general y un enlace de cliente general.
La figura siguiente muestra la relación entre el archivo EAR (Application Enterprise Archive) y el archivo ws-security.xml.
EAR 1 y EAR 2 de aplicaciones tienen enlaces específicos en el archivo de enlaces de la aplicación. No obstante, EAR 3 y EAR 4 de aplicaciones no tienen un enlace en el archivo de enlaces de la aplicación sino que se debe hacer referencia a éste para utilizar los enlaces predeterminados definidos en el archivo ws-security.xml. La configuración se resuelve por la configuración más aproximada de la jerarquía. Por ejemplo, es posible que el archivo de enlaces de la aplicación tenga definidos tres localizadores de claves denominados mykeylocator a nivel de servidor y a nivel de célula.
Si se hace referencia a mykeylocator en el enlace de la aplicación, entonces se utiliza el localizador de claves definido en el enlace de la aplicación. El ámbito de visibilidad de los datos depende de dónde están definidos los datos. Si los datos están definidos en el enlace de la aplicación, entonces el ámbito de visibilidad será el dicha aplicación concreta. Si los datos se han definido a nivel de servidor, entonces el ámbito de visibilidad es el de todas las aplicaciones desplegadas en dicho servidor. Si los datos se han definido a nivel de célula, entonces el ámbito de visibilidad es el de todas las aplicaciones desplegadas en los servidores de la célula. En general, si los datos no se han de compartir con otras aplicaciones, defina la configuración a nivel de enlace de aplicaciones.
La figura siguiente muestra la relación de los enlaces a nivel de aplicación, de servidor y de célula (sólo WebSphere Application Server, Network Deployment).
Enlaces generales
Los enlaces generales se utilizan como enlaces predeterminados al nivel de la célula o el nivel del servidor. Los enlaces generales que se proporcionan con WebSphere Application Server se establecen inicialmente como enlaces predeterminados, pero se puede seleccionar un enlace distinto como valor predeterminado, o cambiar el nivel de enlace que se debe utilizar como predeterminado, por ejemplo, del enlace a nivel de célula al enlace a nivel de servidor.
En la versión 7.0 y posteriores, hay dos tipos de enlaces: enlaces específicos de la aplicación y enlaces generales. Se da soporte a ambos tipos de enlaces para los conjuntos de políticas WS-Security. Los enlaces generales se pueden compartir en varias aplicaciones y en conexiones de servicio de confianza. Hay dos tipos de enlaces generales: uno para los proveedores de servicios y otro para los clientes de servicio. Se pueden definir varios enlaces generales para el proveedor y el cliente.