Conjuntos de políticas de servicios web

Los conjuntos de políticas son aserciones sobre cómo se definen los servicios. Se utilizan para simplificar la configuración de la calidad de servicio de los servicios web.

Nota: Sólo puede utilizar los conjuntos de políticas con las aplicaciones JAX-WS (Java™ API for XML-Based Web Services). No puede utilizar los conjuntos de políticas con las aplicaciones JAX-RPC (Java API for XML-Based RPC).

Los conjuntos de políticas combinan valores de configuración, incluidos aquellos para la configuración a nivel de mensaje y de transporte como, por ejemplo, WS-Addressing, WS-ReliableMessaging y WS-Security.

Hay dos tipos principales de conjuntos de políticas: conjuntos de políticas de aplicación y conjuntos de políticas de sistema. Los conjuntos de políticas de aplicación se utilizan para confirmaciones relacionadas con la empresa. Estas confirmaciones están relacionadas con las operaciones empresariales que están definidas en el archivo WSDL (Web Services Description Language). Los conjuntos de políticas de sistema, por otro lado, se utilizan para los mensajes del sistema no relacionados con la empresa. Estos mensajes no están relacionados con las operaciones empresariales que están definidas en el WSDL, sino que se refieren a los mensajes definidos en otras especificaciones que aplican QoS (calidades de servicio). Dichas QoS son los mensajes RST (señal de seguridad de solicitud) definidos en WS-Trust, o crean mensajes de secuencias que se definen en los mensajes de intercambio de metadatos de la mensajería WS-Reliable de WS-MetadataExchange.

Las políticas se definen basándose en una calidad de servicio. La definición de política se basa normalmente en el lenguaje estándar de WS-Policy, por ejemplo, la política de WS-Security se basa en la WS-SecurityPolicy actual de los estándares OASIS (Advancement of Structured Information Standards).

Una instancia de un conjunto de políticas está formada por una colección de políticas. Por ejemplo, el conjunto de políticas predeterminado WS-I RSP está formado por instancias de los tipos de política WS-Security, WS-Addressing y WS-ReliableMessaging. Un conjunto de políticas se identifica mediante un nombre que es exclusivo en toda la célula. Un conjunto de políticas vacío es un conjunto de políticas sin ninguna política definida.

Puede utilizar un conjunto de políticas predeterminado después de importarlo. Si desea cambiar las propiedades de un conjunto de políticas predeterminado que no se puede editar, debe copiar el conjunto de políticas para crear una versión editable que modificar. Consulte la información sobre cómo copiar los valores de los enlaces y los conjuntos de políticas predeterminados. Puede realizar las siguientes acciones en los conjuntos de políticas:
  • crear
  • copiar
  • editar
  • suprimir
  • conectar a recursos de servicio como aplicaciones
  • desconectar de recursos de servicio como aplicaciones
  • export
  • importar
Tenga en cuenta qué funciones puede configurar utilizando conjuntos de políticas y la relación de la información de seguridad que se configura. Se incluye un conjunto de conjuntos de políticas predeterminados que se puede importar, copiar y renombrar para volver a utilizarlo. Puede utilizar un conjunto de políticas predeterminado después de importarlo, pero si desea cambiar alguno de sus valores debe copiar el conjunto de políticas para crear una versión que se pueda modificar. A continuación, puede alterar y personalizar la configuración en la copia.
Importante: Sólo puede copiar y personalizar conjuntos de políticas utilizando la consola administrativa o los mandatos administrativos. Los conjuntos de políticas no funcionan correctamente si se copian de forma manual.

En el servidor de aplicaciones, los conjuntos de políticas se almacenan a nivel de célula. Los conjuntos de políticas se localizan centralmente para que estén disponibles para todas las aplicaciones que hay en el servidor.

Los siguientes conjuntos de políticas de aplicaciones están instalados de forma predeterminada en el perfil base o Network Deployment (ND): WS-I RSP o WS-I RSP (ND), WSSecurity Username predeterminado y WSHTTPS predeterminado. WS-I RSP (ND) está instalado en un entorno de despliegue de red.

Los siguientes conjuntos de políticas están disponibles para utilizarse tal cual.
  • Valor predeterminado de WSSecurity LTPA
  • Kerberos V5 HTTPS predeterminado
  • SSL WSTransaction
  • Username SecureConversation
  • Valor predeterminado de WSSecurity de nombre de usuario
  • Valor predeterminado de WS-Addressing
  • Valor predeterminado de WSHTTPS
  • WS-I RSP ND
  • WS-ReliableMessaging persistente

El servidor de aplicaciones también proporciona otros conjuntos de políticas predeterminados que se pueden utilizar o personalizar. Para utilizar los conjuntos de políticas adicionales, debe importarlos del repositorio predeterminado. Obtenga más información sobre cómo importar conjuntos de políticas desde la consola administrativa.

Se proporcionan los siguientes conjuntos de políticas predeterminados:
WS-I RSP predeterminado
Este conjunto de políticas proporciona:
  • Entrega de mensajes fiable al destinatario indicado mediante la habilitación de WS-ReliableMessaging
  • Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora, las cabeceras de WS-Addressing y las cabeceras de WS-ReliableMessaging utilizando las especificaciones WS-SecureConversation y WS-Security
  • Confidencialidad mediante cifrado que incluye el cifrado del cuerpo y los elementos de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
WS-I RSP LTPA predeterminado
Este conjunto de políticas proporciona:
  • Entrega de mensajes fiable al destinatario indicado mediante la habilitación de WS-ReliableMessaging
  • Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora, las cabeceras de WS-Addressing y las cabeceras de WS-ReliableMessaging utilizando las especificaciones WS-SecureConversation y WS-Security
  • Confidencialidad mediante cifrado que incluye el cifrado del cuerpo y los elementos de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
  • Una señal LTPA (Lightweight Third Party Authentication) que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio
WS-I RSP Username predeterminado
Este conjunto de políticas proporciona:
  • Entrega de mensajes fiable al destinatario indicado mediante la habilitación de WS-ReliableMessaging
  • Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora, las cabeceras de WS-Addressing y las cabeceras de WS-ReliableMessaging utilizando las especificaciones WS-SecureConversation y WS-Security
  • Confidencialidad mediante cifrado que incluye el cifrado del cuerpo y los elementos de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
  • Una señal de nombre de usuario que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio. La señal de nombre de usuario está cifrada en la solicitud
SecureConversation
Este conjunto de políticas proporciona:
  • Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-SecureConversation y WS-Security
  • Confidencialidad de mensajes mediante cifrado que incluye el cifrado del cuerpo, los elementos de firma y confirmación de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
SecureConversation LTPA
Este conjunto de políticas proporciona:
  • Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-SecureConversation y WS-Security
  • Confidencialidad de mensajes mediante cifrado que incluye el cifrado del cuerpo, los elementos de firma y confirmación de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
  • Una señal LTPA (Lightweight Third Party Authentication) que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio
Username SecureConversation
Este conjunto de políticas proporciona:
  • Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-SecureConversation y WS-Security
  • Confidencialidad de mensajes mediante cifrado que incluye el cifrado del cuerpo, los elementos de firma y confirmación de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
  • Una señal de nombre de usuario que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio. La señal de nombre de usuario está cifrada en la solicitud
Valor predeterminado de WSAddressing
Habilita el soporte de WS-Addressing, que utiliza referencias de punto final y propiedades de direccionamiento de mensajes para facilitar el direccionamiento de servicios web de forma estándar e interoperable.
Valor predeterminado de WSHTTPS
Proporciona seguridad de transporte SSL para el protocolo HTTP con las aplicaciones de servicios web.
Kerberos V5 HTTPS predeterminado
Este conjunto de políticas proporciona autenticación de mensajes con una señal de Kerberos Versión 5. La confidencialidad y la integridad de mensajes se proporcionan mediante SSL (Secure Sockets Layer). Este conjunto de políticas cumple con las especificaciones de OASIS Kerberos Token Profile V1.1 y WS-Security.

Si utiliza este conjunto de políticas, configure los datos de la autenticación básica y las propiedades personalizadas, como com.ibm.wsspi.wssecurity.krbtoken.targetServiceName y com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, en los enlaces del cliente. Para obtener más información, consulte los temas Valores de las señales del consumidor o el generador de autenticación y Valores de señales de protección (generador o consumidor).

SecureConversation de Kerberos V5
Este conjunto de políticas proporciona integridad de mensaje firmando digitalmente el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing. La confidencialidad de los mensajes se proporciona cifrando el cuerpo y la firma. La política de rutina de carga se configura con la señal de Kerberos V5. Este conjunto de políticas sigue la especificación WS-SecureConversation de OASIS para el perfil de señal de Kerberos además de la especificación de WS-Security.

Para utilizar este conjunto de políticas, también debe utilizar los enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2 para las aplicaciones. Para obtener más información, consulte el tema Enlaces de ejemplo generales para aplicaciones JAX-WS. Para poder utilizar este nuevo conjunto de políticas, cree un nuevo perfil después de haber instalado el producto.

Para actualizar perfiles existentes con este nuevo conjunto de políticas y los enlaces generales, enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2, deberá realizar algunos pasos manuales. Sólo necesita actualizar el perfil de gestor de despliegue y perfiles de servidor de aplicaciones autónomo. Para completar los pasos manuales para un perfil existente, consulte el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.

Valor predeterminado WSSecurity de Kerberos V5
Este conjunto de políticas proporciona integridad de mensaje firmando digitalmente el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing. La confidencialidad de los mensajes se proporciona cifrando el cuerpo del mensaje y la firma utilizando el cifrado AES (Advanced Encryption Standard). Se utiliza la clave derivada de la señal de Kerberos V5. Este conjunto de políticas sigue la especificación de OASIS para el perfil de señal de Kerberos, además de la especificación de WS-Security.

Para utilizar este conjunto de políticas, también debe utilizar los enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2 para las aplicaciones. Para obtener más información, consulte el tema Enlaces de ejemplo generales para aplicaciones JAX-WS. Para poder utilizar este nuevo conjunto de políticas, cree un nuevo perfil después de haber instalado el producto.

Para actualizar perfiles existentes con este nuevo conjunto de políticas y los enlaces generales, enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2, deberá realizar algunos pasos manuales. Sólo necesita actualizar el perfil de gestor de despliegue y perfiles de servidor de aplicaciones autónomo. Para completar los pasos manuales para un perfil existente, consulte el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.

TrustServiceKerberosDefault
Este conjunto de políticas especifica el algoritmo simétrico y las claves derivadas para proporcionar seguridad de mensajes. La integridad de los mensajes se proporciona firmando digitalmente el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando el algoritmo HMAC-SHA1. La confidencialidad de los mensajes se proporciona cifrando el cuerpo y la firma utilizando AES (Advanced Encryption Standard). Este conjunto de políticas sigue las especificaciones de WS-Security y Conversación segura para emitir y renovar las solicitudes de operaciones de confianza.

Para utilizar este conjunto de políticas, también debe utilizar los enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2 para las aplicaciones. Para obtener más información, consulte el tema Enlaces de ejemplo generales para aplicaciones JAX-WS. Para poder utilizar este nuevo conjunto de políticas, cree un nuevo perfil después de haber instalado el producto.

Para actualizar perfiles existentes con este nuevo conjunto de políticas y los enlaces generales, enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2, deberá realizar algunos pasos manuales. Sólo necesita actualizar el perfil de gestor de despliegue y perfiles de servidor de aplicaciones autónomo. Para completar los pasos manuales para un perfil existente, consulte el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.

Valor por omisión WSReliableMessaging
Este conjunto de políticas habilita WS-ReliableMessaging Versión 1.1 y WS-Addressing, y utiliza la calidad de servicio mínima, no persistente y no gestionada. Esta calidad de servicio requiere una configuración mínima. No obstante, es no transaccional y, aunque permite reenviar los mensajes que se pierden en la red, si un servidor deja de estar disponible se perderán los mensajes. Esta calidad de servicio es únicamente para un solo servidor y no funciona en un clúster. La opción de entrega ordenada se ha establecido en "false", por lo que los mensajes no necesariamente se entregan en el orden en el se han enviado.
WSReliableMessaging persistente
Este conjunto de políticas habilita WS-ReliableMessaging y WS-Addressing, y utiliza la calidad de servicio máxima, gestionada persistente. Esta calidad de servicio da soporte a invocaciones asíncronas de servicios web, y utiliza un motor de mensajería de integración de servicios y un almacén de mensajes para gestionar el estado de secuencia. Los mensajes se procesan en las transacciones, persisten en el servidor del solicitante de servicios web y en el servidor del proveedor de servicios web y se pueden recuperar en caso de anomalía del servidor. La opción de entrega ordenada se ha establecido en "false", por lo que los mensajes no necesariamente se entregan en el orden en el se han enviado.
Dado que este conjunto de políticas especifica la calidad de servicio de persistencia gestionada, debe definir enlaces con un bus de integración de servicios y un motor de mensajería que desee utilizar para gestionar el estado WS-ReliableMessaging. Puede conectar y enlazar un conjunto de políticas WS-ReliableMessaging con una aplicación de servicios web utilizando la consola administrativa o la herramienta wsadmin.
WSReliableMessaging 1_0
Este conjunto de políticas habilita WS-ReliableMessaging Versión 1.0 y WS-Addressing, y utiliza la calidad de servicio mínima, no persistente y no gestionada. Esta calidad de servicio requiere una configuración mínima. No obstante, es no transaccional y, aunque permite reenviar los mensajes que se pierden en la red, si un servidor deja de estar disponible se perderán los mensajes. Esta calidad de servicio es únicamente para un solo servidor y no funciona en un clúster. La opción de entrega ordenada se ha establecido en "false", por lo que los mensajes no necesariamente se entregan en el orden en el se han enviado.
Puede utilizar este conjunto de políticas con servicios web basados en .NET.
Valor predeterminado de WSSecurity
Este conjunto de políticas proporciona:
  • Integridad de mensajes mediante firma digital (utilizando la criptografía de clave pública RSA) para firmar el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-Security.
  • Confidencialidad de mensajes mediante cifrado (utilizando la criptografía de clave pública RSA) para cifrar el cuerpo, la firma y los elementos de firma, utilizando las especificaciones WS-Security.
Valor predeterminado de WSSecurity LTPA
Este conjunto de políticas proporciona:
  • Integridad de mensajes mediante firma digital (utilizando la criptografía de clave pública RSA) para firmar el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-Security.
  • Confidencialidad de mensajes mediante cifrado (utilizando la criptografía de clave pública RSA) para cifrar el cuerpo, la firma y los elementos de firma, utilizando las especificaciones WS-Security.
  • Una señal LTPA (Lightweight Third Party Authentication) que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio.
Valor predeterminado de WSSecurity de nombre de usuario
Este conjunto de políticas proporciona:
  • Integridad de mensajes mediante firma digital (utilizando la criptografía de clave pública RSA) para firmar el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-Security.
  • Confidencialidad de mensajes mediante cifrado (utilizando la criptografía de clave pública RSA) para cifrar el cuerpo, la firma y los elementos de firma, utilizando las especificaciones WS-Security.
  • Una señal de nombre de usuario que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio. La señal del nombre de usuario está cifrada en la solicitud.
WSTransaction
Este conjunto de políticas habilita WS-Transaction, lo que proporciona:
  • La capacidad de coordinar trabajo de transacciones distribuidas de forma atómica e interoperativa utilizando la especificación WS-AtomicTransaction.
  • La capacidad de coordinar procesos empresariales emparejados de forma menos estricta que estén distribuidos en un entorno tan heterogéneo de servicios web, con la posibilidad de compensar las acciones si se produce una anomalía, mediante la especificación WS-BusinessActivity.
SSL WSTransaction
Este conjunto de políticas habilita WS-Transaction, lo que proporciona:
  • La capacidad de coordinar el trabajo de transacciones distribuidas de forma atómica, interoperativa y segura utilizando la especificación WS-AtomicTransaction y la seguridad de transportes SSL.
  • La capacidad de coordinar procesos empresariales emparejados de forma menos estricta, con la posibilidad de compensar con seguridad las acciones si se produce una anomalía, mediante la especificación WS-BusinessActivity y la seguridad de Transporte SSL.

Los conjuntos de políticas no incluyen información específica del entorno o la plataforma como, por ejemplo, claves para firmar, información del almacén de claves o información del almacén persistente. Este tipo de información se define en el enlace. Una conexión de conjunto de políticas define cómo se conecta un conjunto de políticas con los recursos del servicio y los enlaces. La definición de la conexión está fuera de la definición del conjunto de políticas y se define como metadatos asociados con los datos de aplicación.

Los enlaces están formados por información específica del entorno y la plataforma. Los enlaces generales, como los enlaces del cliente de servicio o del proveedor para el dominio de seguridad global se pueden compartir entre aplicaciones.

Los enlaces son necesarios para permitir que los conjuntos de políticas trabajen con las aplicaciones. Utilice la consola administrativa para configurar enlaces generales y enlaces específicos de aplicaciones. Consulte el apartado sobre la definición de información de enlaces para conjuntos de políticas para obtener más información acerca de cómo trabajar con conexiones y enlaces.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wsspsps
File name: cwbs_wsspsps.html