Conceptos de seguridad de servicios Web para aplicaciones de la Versión 5.x
IBM® admite la seguridad de los servicios Web, que es una ampliación del motor de servicios Web de IBM, para proporcionar una calidad de servicios. La infraestructura de seguridad de WebSphere® Application Server integra completamente la seguridad de servicios Web con la especificación de seguridad Java EE (Java™ Platform, Enterprise Edition).
Subtopics
Especificación de seguridad de servicios web: una cronología
En esta cronología se describe el proceso utilizado para desarrollar las especificaciones de seguridad de servicios web. La cronología incluye las actividades de OASIS (Organization for the Advancement of Structured Information Standards) y las que no son de OASIS.Soporte de seguridad de servicios web
IBM® soporta la seguridad de los servicios web, que es una ampliación del motor de servicios web de IBM , para proporcionar una calidad de servicios. La infraestructura de seguridad de WebSphere Application Server integra completamente la seguridad de servicios web con la especificación de seguridad Java™ EE (Java Platform, Enterprise Edition).Relación entre la seguridad de servicios web y la seguridad Java Platform, Enterprise Edition
En este artículo se describe la relación entre los modelos de seguridad de servicios web (seguridad a nivel de mensaje) y de seguridad de Java EE (Java Platform, Enterprise Edition). También incluye información sobre las comprobaciones de autorización basadas en roles de Java EE.Modelo de Web Services Security en WebSphere Application Server
El modelo de seguridad de servicios web que utiliza WebSphere Application Server es el modelo declarativo. WebSphere Application Server no incluye ninguna API (Interfaz de programas de aplicación) para interactuar mediante programación con la seguridad de servicios web. No obstante, existen algunas Interfaces de proveedores de servicios (SPI) para ampliar algunos comportamientos relacionados con la seguridad.Propagar señales de seguridad
En este ejemplo, las señales de seguridad se propagan mediante la seguridad de servicios web, la infraestructura de WebSphere Application Server y la seguridad Java EE (Java Platform, Enterprise Edition).Restricciones de seguridad de servicios web
El modelo de seguridad de servicios web que utiliza WebSphere Application Server es el modelo declarativo. La versión 5.x de una aplicación debe protegerse con la seguridad de servicios web definiendo las restricciones de seguridad en los descriptores de despliegue de las extensiones de IBM y en los enlaces de las extensiones de IBM.Visión general de los métodos de autenticación
La implementación de seguridad de servicios web de WebSphere Application Server da soporte a los siguientes métodos de autenticación: BasicAuth, LTPA (Lightweight Third Party Authentication), firma digital y aserción de identidad.Visión general de tipos de señales
Web Services Security define dos tipos de señales de seguridad. El archivo de extensiones del descriptor de despliegue define los tipos de señales que puede aceptar el mensaje.firma digital XML
XML-Signature Syntax and Processing (firma XML) es una especificación que define las reglas del proceso y la sintaxis XML para firmar y verificar el contenido digital de las firmas digitales. La especificación ha sido desarrollada conjuntamente por W3C (World Wide Web Consortium) e IETF (Internet Engineering Task Force).Enlace por omisión
La información de enlace predeterminado se define en el archivo ws-security.xml y se puede administrar mediante la consola administrativa o mediante scripts. Sólo se da soporte a los enlaces predeterminados de las aplicaciones JAX-RPC. Los enlaces predeterminados de las aplicaciones JAX-WS no están soportados.Archivo ws-security.xml: configuración predeterminada para WebSphere Application Server, Network Deployment
Para las aplicaciones JAX-RPC, la instalación de WebSphere Application Server, Network Deployment utiliza el archivo ws-security.xml para definir la información de enlaces por omisión de la seguridad de los servicios web para toda una célula.Anclas de confianza
Un ancla de confianza especifica los almacenes de claves que contienen certificados raíz de confianza, los cuales validan el certificado de firmante. El receptor de solicitudes y el receptor de respuestas utilizan estos almacenes de claves para validar el certificado de firmante de la firma digital.Almacén de certificados de colecciones
Un almacén de certificados de colecciones es una colección de certificados de CA (autoridad certificadora) que no son raíz y listas de revocación de certificados, las CRL. Esta colección de certificados de CA y listas CRL se utiliza para comprobar la firma de los mensajes SOAP firmados digitalmente.Localizador de claves
Un localizador de claves (com.ibm.wsspi.wssecurity.config.KeyLocator) es una abstracción del mecanismo que recupera la clave para la firma digital y el cifrado.Claves
Las claves se utilizan para la firma XML y el cifrado.Evaluador de ID de confianza
El evaluador de ID de confianza es una abstracción del mecanismo que evalúa si se confía en el nombre de ID suministrado. En un entorno de varios saltos, el receptor eventual es el que utiliza normalmente el evaluador de ID de confianza.Correlaciones de inicio de sesión
Las correlaciones de inicio de sesión que se encuentran en el archivo XML (Extended Markup Language) ibm-webservices-bnd.xmi contienen una configuración de correlación. Esta configuración de correlación define cómo el manejador de seguridad de servicios web correlaciona el elemento <ValueType> de la señal, contenido en la señal de seguridad que se extrae de la cabecera del mensaje, con el método de autenticación correspondiente. El elemento <ValueType> de la señal está dentro de la señal de seguridad que se extrae de una cabecera de mensaje SOAP.cifrado XML
El cifrado XML (Extensible Markup Language) es una especificación desarrollada por W3C (World Wide Web Consortium) en 2002 que contiene los pasos necesarios para cifrar datos, los pasos necesarios para descifrar datos cifrados, la sintaxis para representar datos cifrados XML, la información utilizada para descifrar los datos, y una lista de algoritmos de cifrado como DES (Data Encryption Standard) triple, AES (Advanced Encryption Standard) y RSA (Rivest-Shamir-Adleman).Remitente de solicitudes
El manejador de seguridad en el lado del remitente de solicitudes del mensaje SOAP fuerza las restricciones de seguridad, que se encuentran en el archivo ibm-webservicesclient-ext.xmi, y los enlaces, que se encuentran en el archivo ibm-webservicesclient-bnd.xmi. Estas restricciones y enlaces se aplican a los clientes de aplicaciones Java EE (Java Platform, Enterprise Edition) o cuando los servicios web actúan como un cliente. El manejador de seguridad actúa según las restricciones de seguridad antes de enviar el mensaje SOAP. Por ejemplo, el manejador de seguridad puede firmar digitalmente el mensaje, cifrarlo, crear una indicación de la hora o insertar una señal de seguridad.Receptor de solicitudes
El receptor de solicitudes define el requisito de seguridad del mensaje SOAP. El manejador de seguridad en el lado del receptor de solicitudes del mensaje SOAP fuerza las especificaciones de seguridad definidas en el descriptor de despliegue de extensiones de IBM (ibm-webservices-ext.xmi) y los enlaces (ibm-webservices-bnd.xmi).Remitente de respuestas
El remitente de respuestas define los requisitos de seguridad del mensaje de respuesta SOAP. El manejador de seguridad actúa según las restricciones de seguridad definidas en los descriptores de despliegue de la extensión de IBM.Receptor de respuestas
El receptor de respuestas define los requisitos de seguridad de la respuesta recibida de una solicitud en un servicio web. Las restricciones de seguridad del remitente de respuestas deben coincidir con los requisitos de seguridad del receptor de respuestas. Si las restricciones no coinciden, el interlocutor o el remitente no aceptará la respuesta.Aserción de identidad en un mensaje SOAP
La aserción de identidad es un método para expresar la identidad del remitente (por ejemplo, el nombre de usuario) en un mensaje SOAP. Cuando se utiliza la aserción de identidad como método de autenticación, la decisión de autenticación se toma basándose sólo en el nombre de la identidad, y no en información de otro tipo como, por ejemplo, contraseñas y certificados.Señal de seguridad
Una señal de seguridad representa un conjunto de reclamaciones que realiza un cliente, y puede incluir un nombre, una contraseña, una identidad, una clave, un certificado, un grupo, un privilegio, etc.Soporte de señales conectables
El soporte de señales de seguridad conectables proporciona puntos de plug-in para admitir distintos tipos de señales de seguridad de cliente entre los que se encuentran la generación de señales, la validación de señales y la correlación de una identidad de cliente con una identidad de WebSphere Application Server que utiliza el motor de autorizaciones Java EE (Java Platform, Enterprise Edition). Asimismo, la infraestructura de generación y validación de señales conectables permite insertar señales basadas en XML en la cabecera de los mensajes de los servicios web y validarlas en la validación del lado del receptor.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=container_wssec_concepts_v5_apps
File name: container_wssec_concepts_v5_apps.html