Conjuntos de políticas de servicios web
Los conjuntos de políticas son aserciones sobre cómo se definen los servicios. Se utilizan para simplificar la configuración de la calidad de servicio de los servicios web.
Los conjuntos de políticas combinan valores de configuración, incluidos aquellos para la configuración a nivel de mensaje y de transporte como, por ejemplo, WS-Addressing, WS-ReliableMessaging y WS-Security.
Hay dos tipos principales de conjuntos de políticas: conjuntos de políticas de aplicación y conjuntos de políticas de sistema. Los conjuntos de políticas de aplicación se utilizan para confirmaciones relacionadas con la empresa. Estas confirmaciones están relacionadas con las operaciones empresariales que están definidas en el archivo WSDL (Web Services Description Language). Los conjuntos de políticas de sistema, por otro lado, se utilizan para los mensajes del sistema no relacionados con la empresa. Estos mensajes no están relacionados con las operaciones empresariales que están definidas en el WSDL, sino que se refieren a los mensajes definidos en otras especificaciones que aplican QoS (calidades de servicio). Dichas QoS son los mensajes RST (señal de seguridad de solicitud) definidos en WS-Trust, o crean mensajes de secuencias que se definen en los mensajes de intercambio de metadatos de la mensajería WS-Reliable de WS-MetadataExchange.
Las políticas se definen basándose en una calidad de servicio. La definición de política se basa normalmente en el lenguaje estándar de WS-Policy, por ejemplo, la política de WS-Security se basa en la WS-SecurityPolicy actual de los estándares OASIS (Advancement of Structured Information Standards).
Una instancia de un conjunto de políticas está formada por una colección de políticas. Por ejemplo, el conjunto de políticas predeterminado WS-I RSP está formado por instancias de los tipos de política WS-Security, WS-Addressing y WS-ReliableMessaging. Un conjunto de políticas se identifica mediante un nombre que es exclusivo en toda la célula. Un conjunto de políticas vacío es un conjunto de políticas sin ninguna política definida.
- crear
- copiar
- editar
- suprimir
- conectar a recursos de servicio como aplicaciones
- desconectar de recursos de servicio como aplicaciones
- export
- importar
En el servidor de aplicaciones, los conjuntos de políticas se almacenan a nivel de célula. Los conjuntos de políticas se localizan centralmente para que estén disponibles para todas las aplicaciones que hay en el servidor.
Los siguientes conjuntos de políticas de aplicaciones están instalados de forma predeterminada en el perfil base o Network Deployment (ND): WS-I RSP o WS-I RSP (ND), WSSecurity Username predeterminado y WSHTTPS predeterminado. WS-I RSP (ND) está instalado en un entorno de despliegue de red.
- Valor predeterminado de WSSecurity LTPA
- Kerberos V5 HTTPS predeterminado
- SSL WSTransaction
- Username SecureConversation
- Valor predeterminado de WSSecurity de nombre de usuario
- Valor predeterminado de WS-Addressing
- Valor predeterminado de WSHTTPS
- WS-I RSP ND
- WS-ReliableMessaging persistente
El servidor de aplicaciones también proporciona otros conjuntos de políticas predeterminados que se pueden utilizar o personalizar. Para utilizar los conjuntos de políticas adicionales, debe importarlos del repositorio predeterminado. Obtenga más información sobre cómo importar conjuntos de políticas desde la consola administrativa.
- WS-I RSP predeterminado
- Este conjunto de políticas proporciona:
- Entrega de mensajes fiable al destinatario indicado mediante la habilitación de WS-ReliableMessaging
- Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora, las cabeceras de WS-Addressing y las cabeceras de WS-ReliableMessaging utilizando las especificaciones WS-SecureConversation y WS-Security
- Confidencialidad mediante cifrado que incluye el cifrado del cuerpo y los elementos de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
- WS-I RSP LTPA predeterminado
- Este conjunto de políticas proporciona:
- Entrega de mensajes fiable al destinatario indicado mediante la habilitación de WS-ReliableMessaging
- Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora, las cabeceras de WS-Addressing y las cabeceras de WS-ReliableMessaging utilizando las especificaciones WS-SecureConversation y WS-Security
- Confidencialidad mediante cifrado que incluye el cifrado del cuerpo y los elementos de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
- Una señal LTPA (Lightweight Third Party Authentication) que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio
- WS-I RSP Username predeterminado
- Este conjunto de políticas proporciona:
- Entrega de mensajes fiable al destinatario indicado mediante la habilitación de WS-ReliableMessaging
- Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora, las cabeceras de WS-Addressing y las cabeceras de WS-ReliableMessaging utilizando las especificaciones WS-SecureConversation y WS-Security
- Confidencialidad mediante cifrado que incluye el cifrado del cuerpo y los elementos de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
- Una señal de nombre de usuario que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio. La señal de nombre de usuario está cifrada en la solicitud
- SecureConversation
- Este conjunto de políticas proporciona:
- Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-SecureConversation y WS-Security
- Confidencialidad de mensajes mediante cifrado que incluye el cifrado del cuerpo, los elementos de firma y confirmación de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
- SecureConversation LTPA
- Este conjunto de políticas proporciona:
- Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-SecureConversation y WS-Security
- Confidencialidad de mensajes mediante cifrado que incluye el cifrado del cuerpo, los elementos de firma y confirmación de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
- Una señal LTPA (Lightweight Third Party Authentication) que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio
- Username SecureConversation
- Este conjunto de políticas proporciona:
- Integridad de mensajes mediante firma digital que incluye la firma del cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-SecureConversation y WS-Security
- Confidencialidad de mensajes mediante cifrado que incluye el cifrado del cuerpo, los elementos de firma y confirmación de firma, utilizando las especificaciones WS-SecureConversation y WS-Security
- Una señal de nombre de usuario que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio. La señal de nombre de usuario está cifrada en la solicitud
- Valor predeterminado de WSAddressing
- Habilita el soporte de WS-Addressing, que utiliza referencias de punto final y propiedades de direccionamiento de mensajes para facilitar el direccionamiento de servicios web de forma estándar e interoperable.
- Valor predeterminado de WSHTTPS
- Proporciona seguridad de transporte SSL para el protocolo HTTP con las aplicaciones de servicios web.
- Kerberos V5 HTTPS predeterminado
- Este conjunto de políticas proporciona autenticación de mensajes con una señal de Kerberos Versión 5. La confidencialidad y la integridad de mensajes se proporcionan mediante SSL (Secure Sockets Layer). Este conjunto de políticas cumple con las especificaciones de OASIS Kerberos Token Profile V1.1 y WS-Security.
Si utiliza este conjunto de políticas, configure los datos de la autenticación básica y las propiedades personalizadas, como com.ibm.wsspi.wssecurity.krbtoken.targetServiceName y com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost, en los enlaces del cliente. Para obtener más información, consulte los temas Valores de las señales del consumidor o el generador de autenticación y Valores de señales de protección (generador o consumidor).
- SecureConversation de Kerberos V5
- Este conjunto de políticas proporciona integridad de mensaje firmando
digitalmente el cuerpo, la indicación de la hora y las cabeceras
de WS-Addressing. La confidencialidad de los mensajes se proporciona cifrando el cuerpo y la firma. La
política de rutina de carga se configura con la señal de
Kerberos V5. Este conjunto de políticas sigue
la especificación WS-SecureConversation de OASIS para el perfil de señal de
Kerberos además de la especificación de
WS-Security.
Para utilizar este conjunto de políticas, también debe utilizar los enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2 para las aplicaciones. Para obtener más información, consulte el tema Enlaces de ejemplo generales para aplicaciones JAX-WS. Para poder utilizar este nuevo conjunto de políticas, cree un nuevo perfil después de haber instalado el producto.
Para actualizar perfiles existentes con este nuevo conjunto de políticas y los enlaces generales, enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2, deberá realizar algunos pasos manuales. Sólo necesita actualizar el perfil de gestor de despliegue y perfiles de servidor de aplicaciones autónomo. Para completar los pasos manuales para un perfil existente, consulte el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.
- Valor predeterminado WSSecurity de Kerberos V5
- Este conjunto de políticas proporciona integridad de mensaje firmando
digitalmente el cuerpo, la indicación de la hora y las cabeceras
de WS-Addressing. La confidencialidad de los mensajes se proporciona cifrando
el cuerpo del mensaje y la firma utilizando el cifrado AES
(Advanced Encryption Standard). Se utiliza la clave derivada de la señal
de Kerberos V5. Este conjunto de políticas sigue
la especificación de OASIS para el perfil de señal de
Kerberos, además de la especificación de WS-Security.
Para utilizar este conjunto de políticas, también debe utilizar los enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2 para las aplicaciones. Para obtener más información, consulte el tema Enlaces de ejemplo generales para aplicaciones JAX-WS. Para poder utilizar este nuevo conjunto de políticas, cree un nuevo perfil después de haber instalado el producto.
Para actualizar perfiles existentes con este nuevo conjunto de políticas y los enlaces generales, enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2, deberá realizar algunos pasos manuales. Sólo necesita actualizar el perfil de gestor de despliegue y perfiles de servidor de aplicaciones autónomo. Para completar los pasos manuales para un perfil existente, consulte el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.
- TrustServiceKerberosDefault
- Este conjunto de políticas especifica el
algoritmo simétrico y las claves derivadas para proporcionar seguridad de
mensajes. La integridad de los mensajes se proporciona firmando digitalmente
el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing
utilizando el algoritmo HMAC-SHA1. La confidencialidad de los mensajes se
proporciona cifrando el cuerpo y la firma utilizando AES
(Advanced Encryption Standard). Este conjunto de políticas sigue
las especificaciones de WS-Security y Conversación segura para emitir y
renovar las solicitudes de operaciones de confianza.
Para utilizar este conjunto de políticas, también debe utilizar los enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2 para las aplicaciones. Para obtener más información, consulte el tema Enlaces de ejemplo generales para aplicaciones JAX-WS. Para poder utilizar este nuevo conjunto de políticas, cree un nuevo perfil después de haber instalado el producto.
Para actualizar perfiles existentes con este nuevo conjunto de políticas y los enlaces generales, enlaces de ejemplo generales de Ejemplo de cliente V2 y Ejemplo de proveedor V2, deberá realizar algunos pasos manuales. Sólo necesita actualizar el perfil de gestor de despliegue y perfiles de servidor de aplicaciones autónomo. Para completar los pasos manuales para un perfil existente, consulte el tema Configuración de conjuntos de políticas Kerberos y enlaces de ejemplo generales V2.
- Valor por omisión WSReliableMessaging
- Este conjunto de políticas habilita WS-ReliableMessaging Versión 1.1 y WS-Addressing, y utiliza la calidad de servicio mínima, no persistente y no gestionada. Esta calidad de servicio requiere una configuración mínima. No obstante, es no transaccional y, aunque permite reenviar los mensajes que se pierden en la red, si un servidor deja de estar disponible se perderán los mensajes. Esta calidad de servicio es únicamente para un solo servidor y no funciona en un clúster. La opción de entrega ordenada se ha establecido en "false", por lo que los mensajes no necesariamente se entregan en el orden en el se han enviado.
- WSReliableMessaging persistente
- Este conjunto de políticas habilita WS-ReliableMessaging y WS-Addressing, y utiliza la calidad de servicio máxima, gestionada persistente. Esta calidad de servicio da soporte a invocaciones asíncronas de servicios web, y utiliza un motor de mensajería de integración de servicios y un almacén de mensajes para gestionar el estado de secuencia. Los mensajes se procesan en las transacciones, persisten en el servidor del solicitante de servicios web y en el servidor del proveedor de servicios web y se pueden recuperar en caso de anomalía del servidor. La opción de entrega ordenada se ha establecido en "false", por lo que los mensajes no necesariamente se entregan en el orden en el se han enviado.
- Dado que este conjunto de políticas especifica la calidad de servicio de persistencia gestionada, debe definir enlaces con un bus de integración de servicios y un motor de mensajería que desee utilizar para gestionar el estado WS-ReliableMessaging. Puede conectar y enlazar un conjunto de políticas WS-ReliableMessaging con una aplicación de servicios web utilizando la consola administrativa o la herramienta wsadmin.
- WSReliableMessaging 1_0
- Este conjunto de políticas habilita WS-ReliableMessaging Versión 1.0 y WS-Addressing, y utiliza la calidad de servicio mínima, no persistente y no gestionada. Esta calidad de servicio requiere una configuración mínima. No obstante, es no transaccional y, aunque permite reenviar los mensajes que se pierden en la red, si un servidor deja de estar disponible se perderán los mensajes. Esta calidad de servicio es únicamente para un solo servidor y no funciona en un clúster. La opción de entrega ordenada se ha establecido en "false", por lo que los mensajes no necesariamente se entregan en el orden en el se han enviado.
- Puede utilizar este conjunto de políticas con servicios web basados en .NET.
- Valor predeterminado de WSSecurity
- Este conjunto de políticas proporciona:
- Integridad de mensajes mediante firma digital (utilizando la criptografía de clave pública RSA) para firmar el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-Security.
- Confidencialidad de mensajes mediante cifrado (utilizando la criptografía de clave pública RSA) para cifrar el cuerpo, la firma y los elementos de firma, utilizando las especificaciones WS-Security.
- Valor predeterminado de WSSecurity LTPA
- Este conjunto de políticas proporciona:
- Integridad de mensajes mediante firma digital (utilizando la criptografía de clave pública RSA) para firmar el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-Security.
- Confidencialidad de mensajes mediante cifrado (utilizando la criptografía de clave pública RSA) para cifrar el cuerpo, la firma y los elementos de firma, utilizando las especificaciones WS-Security.
- Una señal LTPA (Lightweight Third Party Authentication) que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio.
- Valor predeterminado de WSSecurity de nombre de usuario
- Este conjunto de políticas proporciona:
- Integridad de mensajes mediante firma digital (utilizando la criptografía de clave pública RSA) para firmar el cuerpo, la indicación de la hora y las cabeceras de WS-Addressing utilizando las especificaciones WS-Security.
- Confidencialidad de mensajes mediante cifrado (utilizando la criptografía de clave pública RSA) para cifrar el cuerpo, la firma y los elementos de firma, utilizando las especificaciones WS-Security.
- Una señal de nombre de usuario que se incluye en el mensaje de la solicitud para autenticar el cliente en el servicio. La señal del nombre de usuario está cifrada en la solicitud.
- WSTransaction
- Este conjunto de políticas habilita WS-Transaction, lo que proporciona:
- La capacidad de coordinar trabajo de transacciones distribuidas de forma atómica e interoperativa utilizando la especificación WS-AtomicTransaction.
- La capacidad de coordinar procesos empresariales emparejados de forma menos estricta que estén distribuidos en un entorno tan heterogéneo de servicios web, con la posibilidad de compensar las acciones si se produce una anomalía, mediante la especificación WS-BusinessActivity.
- SSL WSTransaction
- Este conjunto de políticas habilita WS-Transaction, lo que proporciona:
- La capacidad de coordinar el trabajo de transacciones distribuidas de forma atómica, interoperativa y segura utilizando la especificación WS-AtomicTransaction y la seguridad de transportes SSL.
- La capacidad de coordinar procesos empresariales emparejados de forma menos estricta, con la posibilidad de compensar con seguridad las acciones si se produce una anomalía, mediante la especificación WS-BusinessActivity y la seguridad de Transporte SSL.
Los conjuntos de políticas no incluyen información específica del entorno o la plataforma como, por ejemplo, claves para firmar, información del almacén de claves o información del almacén persistente. Este tipo de información se define en el enlace. Una conexión de conjunto de políticas define cómo se conecta un conjunto de políticas con los recursos del servicio y los enlaces. La definición de la conexión está fuera de la definición del conjunto de políticas y se define como metadatos asociados con los datos de aplicación.
Los enlaces están formados por información específica del entorno y la plataforma. Los enlaces generales, como los enlaces del cliente de servicio o del proveedor para el dominio de seguridad global se pueden compartir entre aplicaciones.
Los enlaces son necesarios para permitir que los conjuntos de políticas trabajen con las aplicaciones. Utilice la consola administrativa para configurar enlaces generales y enlaces específicos de aplicaciones. Consulte el apartado sobre la definición de información de enlaces para conjuntos de políticas para obtener más información acerca de cómo trabajar con conexiones y enlaces.