Enlace por omisión

La información de enlace predeterminado se define en el archivo ws-security.xml y se puede administrar mediante la consola administrativa o mediante scripts. Sólo se da soporte a los enlaces predeterminados de las aplicaciones JAX-RPC. Los enlaces predeterminados de las aplicaciones JAX-WS no están soportados.

Importante: Hay una diferencia importante entre las aplicaciones de la versión 5.x y la versión 6 y posteriores. La información de este artículo da soporte únicamente a las aplicaciones de la versión 5.x que se utilizan con WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la Versión 6 y posteriores. Además, sólo se pueden utilizar conjuntos de políticas con aplicaciones JAX-WS. No se pueden utilizar conjuntos de políticas para aplicaciones JAX-RPC.
Algunas aplicaciones pueden compartir determinada información de enlace. Esta información incluye almacenes de confianza, almacenes de claves y métodos de autenticación (validación de señales). WebSphere Application Server da soporte a la información de enlace predeterminado. Los administradores pueden definir información de enlaces a:
  • Nivel de servidor
  • Nivel de célula
Las aplicaciones pueden hacer referencia a esta información de enlace.

Puede definir la siguiente información de enlace en el archivo ws-security.xml:

Anclas de confianza (almacén de claves)
  • Las anclas de confianza contienen información de configuración de almacén de claves con certificados de confianza raíz. Las anclas de confianza se utilizan para validar las vías de acceso de los certificados de las señales de seguridad con formato X.509 entrantes.
  • En el archivo de enlace (ibm-webservices-bnd.xmi y ibm-webservicesclient-bnd-xmi cuando se ejecutan los servicios web como un cliente) se utiliza el Nombre de ancla de confianza para hacer referencia al ancla de confianza definida en la información de enlace predeterminado. El nombre de ancla de confianza debe ser exclusivo en la colección de anclas de confianza.
Almacén de certificados de colecciones
  • El almacén de certificados de colección especifica una lista de certificados intermediarios que no son de confianza y se utiliza para validar las vías de acceso de certificados de las señales de seguridad con formato X.509 recibidas. El proveedor predeterminado es IBMCertPath.
  • En el archivo de enlace (ibm-webservices-bnd.xmi y ibm-webservicesclient-bnd-xmi cuando se ejecutan los servicios web como un cliente) se utiliza el Nombre de almacén de certificados para hacer referencia al almacén de certificados definido en la información de enlace predeterminado. El nombre del almacén de certificados debe ser exclusivo en la colección de almacenes de certificados.
Localizadores de claves
  • Los localizadores de claves especifican la implementación de la interfaz com.ibm.wsspi.wssecurity.config.KeyLocator. Esta interfaz se utiliza para recuperar las claves para la firma o el cifrado. Las implementaciones de cliente pueden ampliar la interfaz del localizador de claves para recuperar las claves utilizando otros métodos. WebSphere Application Server proporciona implementaciones para recuperar una clave del almacén de claves, correlacionar una identidad autenticada con una clave en el almacén de claves, o recuperar una clave del certificado de firmante (las acciones de correlación y recuperación se utilizan para cifrar la respuesta).
  • En el archivo de enlace (ibm-webservices-bnd.xmi y ibm-webservicesclient-bnd-xmi cuando se ejecutan los servicios web como un cliente) se utiliza el Nombre del localizador de claves para hacer referencia al localizador de claves definido en la información de enlace predeterminado. El nombre del localizador de claves tiene que ser exclusivo en la colección de localizadores de claves en la información de enlace predeterminado.
Evaluadores de ID de confianza
  • Los Evaluadores de ID de confianza son una implementación de la interfaz com.ibm.wsspi.wssecurity.id.TrustedIDEvaluator. Esta interfaz se utiliza para asegurarse de que la autoridad de aserción de identidad (ID) es de confianza. Asimismo, puede ampliar el evaluador de identidad de confianza para que valide la confianza. WebSphere Application Server Application Server proporciona una implementación predeterminada para validar la confianza a partir de una lista predefinida de identidades.
  • El Nombre del evaluador de ID de confianza se utiliza en el archivo de enlace (ibm-webservices-bnd.xmi) para hacer referencia al evaluador de identidad de confianza definido en la información de enlace predeterminado. El nombre del evaluador de ID de confianza tiene que ser exclusivo en la colección de evaluadores de ID de confianza.
Correlaciones de inicio de sesión
  • Las Correlaciones de inicio de sesión definen la correlación del método de autenticación con la configuración de inicio de sesión JAAS (Java™ Authentication and Authorization Service). Las correlaciones se utilizan para autenticar la señal de seguridad de entrada incorporada en la cabecera del mensaje SOAP de la seguridad de servicios web. La configuración de inicio de sesión JAAS se define en la consola administrativa, en Seguridad > Seguridad global > Java Authentication and Authorization Service > Inicio de sesión de la aplicación.
  • WebSphere Application Server define los siguientes métodos de autenticación:
    BasicAuth
    Autentica el nombre de usuario y la contraseña.
    Signature
    Correlaciona el nombre distinguido (DN) del sujeto en el certificado con una credencial de WebSphere Application Server.
    IDAssertion
    Correlaciona la identidad con una credencial de WebSphere Application Server.
    LTPA
    Autentica una señal LTPA (Lightweight Third Party Authentication).
    Después de la autenticación de la identidad, se utiliza la credencial asociada en la llamada en sentido descendente.
  • Este método se puede ampliar para autenticar las señales de seguridad personalizadas ofreciendo una configuración de inicio de sesión JAAS y utilizando com.ibm.wsspi.wssecurity.auth.module.WSSecurityMappingModule para crear el principal y la credencial que necesita WebSphere Application Server.
  • Si se define LoginConfig (AuthMethod) en el descriptor de despliegue de extensiones de IBM® (ibm-webservices-ext.xmi), pero no hay enlaces de correlación de inicio de sesión (ibm-webservices-bnd.xmi) definidos para AuthMethod, el tiempo de ejecución de la seguridad de servicios web utiliza la correlación de inicio de sesión definida en la información de enlace predeterminado.
[AIX Solaris HP-UX Linux Windows][z/OS]

WebSphere Application Server, Network Deployment

Cuando WebSphere Application Server, Network Deployment está federado con una célula de Network Deployment, el archivo de enlace por omisión (ws-security.xml) del servidor se añade a la nueva célula (con otra información de configuración a nivel de servidor). Si utiliza el enlace predeterminado a nivel de célula, se deben eliminar las entradas del enlace predeterminado a nivel de servidor.

Hay un enlace predeterminado a nivel de célula (ws-security.xml) para la instalación de WebSphere Application Server, Network Deployment. Asimismo, para la instalación de WebSphere Application Server, Network Deployment, el enlace a nivel de servidor es opcional. Para desplazarse al enlace predeterminado a nivel de célula en la consola administrativa, pulse Seguridad > Servicios Web.
Figura 1. Información de enlaces predeterminados a nivel de servidor, a nivel de célula y a nivel de aplicación de la seguridad de servicios webInformación de enlaces predeterminados a nivel de servidor, a nivel de célula y a nivel de aplicación de la seguridad de servicios web

El orden de la información de enlace predeterminado es enlace a nivel de aplicación, enlace a nivel de servidor y enlace predeterminado a nivel de célula.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_defbnd
File name: cwbs_defbnd.html