Servicio de confianza

El servicio de señal de seguridad que proporciona WebSphere Application Server se denomina el servicio de confianza. El servicio de confianza de WebSphere Application Server utiliza los mecanismos de mensajería seguros de Web Services Security para definir extensiones adicionales para emitir, intercambiar y validar las señales de seguridad.

Web Services Trust (WS-Trust) es un estándar que habilita la interoperatividad de señales de seguridad definiendo un protocolo de solicitud/respuesta. Este protocolo permite a los actores SOAP como, por ejemplo, un cliente de servicios web, solicitar algún tipo de autorización de confianza para que una determinada señal de seguridad se intercambie por otra.

WebSphere Application Server Versión no proporciona un servicio de señal de seguridad completo que implemente todo el contenido de la especificación de borrador WS-Trust. El soporte de WebSphere Application Server de WS-Trust se centra en establecer una señal de contexto de seguridad para Secure Conversation. WebSphere Application Server admite muchas de las funciones de seguridad descritas en la versión 1.3 del estándar WS-Trust OASIS, con fecha de 19 de marzo de 2007.

Cliente WS-Trust de terceros

WebSphere Application Server no proporciona una implementación del cliente WS-Trust. Puede elegir utilizar un cliente habilitado para WS-Trust de terceros, pero si lo hace, WebSphere Application Server no da soporte a un cliente habilitado para confianza de terceros. Un cliente de confianza puede facilitar la generación de estos mensajes SOAP y el proceso de la respuesta, pero el cliente no es necesario.

WebSphere Application Server se centra en la emisión, renovación y cancelación de la señal de contexto de seguridad de Web Services Secure Conversation (WS-SecureConversation).

Se debe seguir la especificación WS-Trust para realizar solicitudes del servicio de confianza. Esta especificación incluye el uso de cabeceras de Web Services Addressing (WS-Addressing). Las cabeceras de WS-Addressing se especifican en las especificaciones de agosto de 2004 y de agosto de 2005. En cuanto a la especificación, el cuerpo SOAP debe componerse de un solo elemento RequestSecurityToken (RST). Este elemento puede contener subelementos, como se ha definido en las especificaciones WS-Trust y WS-SecureConversation.

Puede proteger los mensajes SOAP de WS-Trust utilizando la política de rutina de carga definida en el conjunto de políticas. La política de seguridad de rutina de carga se invoca en el proceso de un iniciador al establecer comunicación con un servicio de aplicación. Las solicitudes iniciales para los servicios distintos del servicio de aplicación se protegen utilizando la política de rutina de carga. Estas solicitudes iniciales normalmente incluyen una o más solicitudes para un servicio de señal de seguridad (STS), como el servicio de confianza de WebSphere Application Server. Un ejemplo de una solicitud puede ser la adquisición de la señal de contexto de seguridad necesaria para WS-SecureConversation. Un iniciador es el rol que inicia la solicitud original y, en la mayoría de los casos, es el cliente. El conjunto de políticas de rutina de carga del cliente debe corresponder a los conjuntos de políticas conectados de renovación y emisión del servicio de confianza para el punto final. Los conjuntos de políticas conectados de cancelación y validación del servicio de confianza para el punto final deben corresponder al conjunto de políticas de aplicación del cliente.

Websphere Application Server proporciona dos formas de proteger los mensajes SOAP con destino al servicio de confianza. Una forma es utilizar la política de rutina de carga que está definida en el conjunto de políticas. Una segunda forma es utilizar la API de Web Services Security (WSS API). La aplicación puede utilizar la API de WSS para adquirir la señal de contexto de seguridad para WS-SecureConversation mediante programa que se basa en API.

Para Secure Conversation, una solicitud del cliente al servicio de punto final queda suspendida mientras el servicio de confianza genera y procesa una nueva (segunda) solicitud. La señal de contexto de seguridad devuelto por la segunda solicitud se utiliza para obtener claves que protegen las comunicaciones con el servicio.

Funciones del servicio de confianza de alto nivel

En la siguiente lista se incluyen las funciones relacionadas con WS-Trust soportadas actualmente en WebSphere Application Server. La lista no está completa y se centra únicamente en las funciones de alto nivel.

  • El componente de servicio de confianza se ha incorporado y está disponible en cada WebSphere Application Server que procesa los mensajes del protocolo WS-Trust.
  • La comunicación se consigue mediante RequestSecurityToken (RST), RequestSecurityTokenCollection (RSTC), RequestSecurityTokenResponse (RSTR) y RequestSecurityTokenResponseCollection (RSTRC).
    Nota: Se puede efectuar una solicitud RST para un servicio de señal de seguridad externa (servicio de confianza). Sin embargo, la restricción es que la señal de contexto de seguridad, que es necesaria para WS-SecureConversation, la debe proporcionar el servicio de confianza de WebSphere Application Server.
  • Una política de seguridad para cada una de las operaciones WS-Trust (emitir, cancelar, validar y renovar).
  • Proveedor de señales de contexto de seguridad preconfigurado que emite señales para un URL específico.
  • Especificación de parámetros específicos de la señal de un proveedor de señales (por ejemplo, hora de caducidad).
  • Una señal de contexto de seguridad para WS-SecureConversation.
  • Soporte a la colocación en memoria caché de la señal de contexto de seguridad en entornos en clúster y no en clúster. WebSphere Application Server emite señales de seguridad cuando se le solicita si la solicitud cumple con los requisitos de seguridad. No obstante, WS-SecureConversation que proporciona WebSphere Application Server sólo procesa señales de contexto de seguridad emitidas por WebSphereApplication Server.
  • Tenga en cuanta que el servicio de confianza de WebSphere Application Server sólo da soporte a la señal de contexto de seguridad.
  • El servicio de confianza da soporte a la especificación de sumisión (2004/08) y a las versiones de WS-Addressing de especificación final (2005/08).
  • El servicio de confianza utiliza el conjunto de políticas predeterminado llamado TrustServiceSecurityDefault, que incluye WS-Security y WS-Addressing, y proporciona seguridad predeterminada para las operaciones de emisión y renovación.
  • El servicio de confianza utiliza otro conjunto de políticas predeterminado denominado TrustServiceSymmetricDefault, que incluye WS-Security y WS-Addressing, y proporciona seguridad predeterminada para las operaciones de cancelación y validación.

Funciones del servicio de confianza que no están soportadas

A continuación se detallan las funciones de WS-Trust de alto nivel que no están soportadas en WebSphere Application Server. La lista no es completa y se centra únicamente en las funciones clave:
  • No se da soporte a ningún protocolo de negociación e intercambio.
  • De forma predeterminada, actualmente no se da soporte a ningún otro tipo de señal;sólo se da soporte a la señal de contexto de seguridad.
  • No se da soporte a las especificaciones Trust10 de WS-SecurityPolicySet.
  • No se da soporte a solicitudes RequestSecurityTokenResponse (RSTR) no solicitadas.
  • No se puede emitir una solicitud de señal de seguridad de solicitud (RST) a un servicio de señal de seguridad (STS) externo para establecer Secure Conversation; actualmente sólo se da soporte al servicio de confianza incorporado.
  • Las solicitudes de política que se incluyen en la solicitud RST no se atienden.
  • No se da soporte a la capacidad de corregir una señal (la operación de corrección).
  • No se da soporte a un punto final externo dedicado para acceder al servicio de señal; actualmente sólo se da soporte al servicio de confianza incorporado.
  • Los servicios de confianza no dan soporte al elemento Entropy que contiene un elemento EncryptedKey.
  • No se da soporte a la delegación ni al reenvío.
  • No se da soporte al elemento OnBehalfOf.
  • No se da soporte a la señal de intercambio de claves (KET).

Operaciones del servicio de confianza

WebSphere Application Server admite la capacidad del servicio de confianza, por cuenta del punto final, para emitir una señal de contexto de seguridad para WS-SecureConversation. El soporte para la emisión de señales actualmente está limitado a únicamente la señal de contexto de seguridad. También existe la gestión de política de confianza para definir una política para el servicio de confianza para emitir, cancelar, validar o renovar señales.

El servicio de señal da soporte al espacio de nombres de esquema de WS-Trust. En este espacio de nombres, se da soporte a las siguientes acciones:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
El servicio de señal también da soporte al espacio de nombres de esquema de WS-SecureConversation. En este espacio de nombres, se da soporte a las siguientes acciones:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Renew

Una solicitud RST de entrada para la operación de emisión de señal de contexto de seguridad debe contener un elemento Entropy. El elemento Entropy debe contener un BinarySecret. Los servicios de confianza no dan soporte al elemento Entropy que contiene un elemento EncryptedKey.

Tenga en cuenta que el servicio de confianza no da soporte a acciones RSTR no solicitadas. Además, WebSphere Application Server no da soporte a la capacidad de corregir una señal. Consulte también la sección titulada Funciones del servicio de confianza que no están soportadas.

Archivos relacionados con conjuntos de políticas de confianza

El conjunto de políticas del servicio de confianza para emitir y renovar es TrustServiceSecurityDefault. Puede configurar el correspondiente enlace y conjunto de políticas para cada URL de punto final de servicio.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wstrust
File name: cwbs_wstrust.html