Soporte de seguridad de servicios web

IBM® soporta la seguridad de los servicios web, que es una ampliación del motor de servicios web de IBM , para proporcionar una calidad de servicios. La infraestructura de seguridad de WebSphere Application Server integra completamente la seguridad de servicios web con la especificación de seguridad Java™ EE (Java Platform, Enterprise Edition).

Importante: Existe una diferencia importante entre la versión 5.x y la versión 6.0.x y aplicaciones posteriores. La información sólo da soporte a aplicaciones de la Versión 5.x utilizadas con WebSphere Application Server Versión 6.0.x y posteriores. La información no se aplica a las aplicaciones de la versión 6.0.x y posteriores.

WebSphere Application Server, versiones 4.x, 5 y 5.0.1 soportan la firma digital para Apache SOAP Versión 2.x. A partir de WebSphere Application Server, Versión 5.0.2, IBM soporta la seguridad de los servicios web. La implementación de IBM se basa en la especificación de la seguridad de servicios web, Web Services Security (WS-Security), inicialmente propuesta por IBM, Microsoft y VeriSign en abril de 2002. Se pueden encontrar versiones anteriores de la especificación de la versión propuesta en Web Services Security (WS-Security) versión 1.0 del 5 abril de 2002 y el apéndice de Web Services Security del 18 de agosto de 2002. La implementación de WebSphere Application Server se basa en la especificación de la versión 13 activa de OASIS (Organization for the Advancement of Structured Information Standards) (consulte el sitio web OASIS Web Services Security TC para obtener la última especificación activa). No obstante, no todas las características de la especificación de la versión 13 activa se implementan.

La seguridad de servicios web no está soportada en un cliente Java puro o no gestionado. Cuando en un mensaje de solicitud se incrusta el ID de usuario y la contraseña, se realiza la autenticación con el ID de usuario y la contraseña. Si resulta correcta la autenticación, se establece la identidad de usuario y se autoriza el acceso a más recursos basados en esa identidad. Después de que el tiempo de ejecución de seguridad de servicios web autentica el ID de usuario y la contraseña, el contenedor Java EE realiza la autorización.

WebSphere Application Server proporciona una implementación de las características clave de la seguridad de servicios web basándose en las especificaciones siguientes:
La tabla siguiente proporciona un resumen de elementos de seguridad de servicios web que admite WebSphere Application Server:
Tabla 1. Elementos de seguridad de servicios web soportados. Utilice la tabla para determinar qué elementos de seguridad se admiten.
Elemento Notas
UsernameToken Se admite el nombre de usuario y contraseña para el método de autenticación BasicAuth y el nombre de usuario para el método de autenticación de aserción de identidad. WebSphere Application Server da soporte a Nonce, un valor generado aleatoriamente.
BinarySecurityToken Se pueden incrustar certificados X.509 y LPTA (Lightweight Third Party Authentication), PERO NO HAY implementación para incrustar tickets Kerberos. No obstante, la generación y validación de señales binarias es conectable y se basa en las API (interfaz de programas de aplicación) JAAS (Java Authentication and Authorization Service). Puede ampliar esta implementación para generar y validar otros tipos de señales de seguridad binarias.
Firma El certificado X.509 se incrusta como una señal de seguridad binaria y se puede hacer referencia a éste mediante SecurityTokenReference. WebSphere Application Server no admite firmas compartidas basadas en claves.
Cifrado Se da soporte a los códigos XML EncryptedKey y ReferenceList. KeyIdentifier especifica las claves públicas y KeyName identifica las claves secretas. WebSphere Application Server tiene la posibilidad de establecer la correlación de identidades no autenticadas con claves para el cifrado o utilizar el certificado de firmante para cifrar el mensaje de respuesta.
Indicación de la hora WebSphere Application Server admite los atributos Created y Expires. La antigüedad del mensaje, que indica si el mensaje cumple con restricciones de tiempo predefinidas, se comprueba únicamente si el atributo Expires está presente en el mensaje. WebSphere Application Server no admite el atributo Received, que se define en el apéndice. En su lugar, WebSphere Application Server utiliza el atributo TimestampTraceReceived, que se define en la especificación OASIS.
Señal basada en XML Puede insertar y validar un formato arbitrario de señales XML en el mensaje. Este método de formato se basa en las API JAAS.
No se admiten anexos de firma y cifrado en WebSphere Application Server. No obstante, WebSphere Application Server firma y cifra los elementos siguientes del mensaje de solicitud.
Tabla 2. Elementos firmados y cifrados para el mensaje de solicitud. Los elementos se utilizan para realizar la autenticación.
Método Elemento
firma digital XML
  • Cuerpo
  • Securitytoken
  • Timestamp
cifrado XML
  • Bodycontent (Contenido del cuerpo)
  • Usernametoken (Señal de nombre de usuario)
AuthMethod
  • Autenticación básica
  • IDAssertion (de WebSphere Application Server a otro WebSphere Application Server
  • Firma
  • LTPA (Lightweight Third Party Authentication) en el servidor
  • Otros señales de cliente
WebSphere Application Server firma y cifra los elementos siguientes del mensaje de respuesta:
Tabla 3. Elementos firmados y cifrados para el mensaje de respuesta. Los elementos se utilizan para realizar la autenticación.
Método Elemento
firma digital XML
  • Cuerpo
  • Timestamp
cifrado XML
  • Bodycontent (Contenido del cuerpo)
WebSphere Application Server proporciona las posibilidades siguientes para la Seguridad De Servicios Web:
  • Integridad del mensaje
  • Autenticidad del mensaje
  • Confidencialidad del mensaje
  • Privacidad del mensaje
  • Seguridad a nivel de transporte: se proporciona mediante SSL (Secure Sockets Layer)
  • Propagación de la señal de seguridad (conectable)
  • Aserción de identidad
Los siguientes espacios de nombres se utilizan para enviar un mensaje:
OASIS Web Services Security: SOAP Message Security Working Draft 13, mayo de 2003
http://schemas.xmlsoap.org/ws/2003/06/secext

http://schemas.xmlsoap.org/ws/2003/06/utility

OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd

http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd

Tabla 4. Resumen de espacios de nombres. Esta tabla resume los espacios de nombres que se utilizan para enviar y recibir mensajes.
Tiempo de ejecución Envío Recepción
Borrador 13 JAX-RPC Borrador 13 OASIS Borrador 13 OASIS
JAX-RPC OASIS wssec 1.0 OASIS wssec 1.0

Borrador 13 OASIS

JAX-WS OASIS wssec 1.1

OASIS wssec 1.0

OASIS wssec 1.1

OASIS wssec 1.0

Borrador 13 OASIS

El tiempo de ejecución de los servicios web en WebSphere Application Server no puede aceptar ninguno de los siguientes espacios de nombre:
Especificación de abril de 2002
http://schemas.xmlsoap.org/ws/2002/04/secext
Apéndice de agosto de 2002
http://schemas.xmlsoap.org/ws/2002/07/secext

http://schemas.xmlsoap.org/ws/2002/07/utility

Consulte la tabla de elementos de seguridad de servicios web para obtener una descripción de las funciones que no están soportadas.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssecurityws
File name: rwbs_wssecurityws.html