Fonctionnalités prises en charge de la spécification OASIS

Le serveur d'applications prend en charge les spécifications Web Services Security (WS-Security) de la norme OASIS (Organization for the Advancement of Structured Information).

Dans le Feature Pack for Web Services de WebSphere Application Server Version 6.1 ou ultérieure, la prise en charge des normes OASIS a été mise à jour pour les toutes dernières versions des spécifications et des jetons WS-Security (Web Services Security). Web Services Security version 1.1 fournit une meilleure vérification de la sécurité d'une signature, une méthode standard de chiffrement d'en-têtes SOAP, et répond aux conditions requises de certains scénarios d'interopérabilité qui utilisent les fonctions de Web Services Security version 1.1.
Les standards suivants sont pris en charge uniquement dans WebSphere Application Server versions 7.0 et ultérieures.

La prise en charge de WS-SecurityPolicy est disponible uniquement pour des scénarios WS-MetadataExchange (Web Services Metadata Exchange) dans lesquels les assertions sont imbriquées dans le fichier WSDL. Pour plus d'informations, reportez-vous à la rubrique relative aux demandes WS-MetadataExchange.

En 2007, le comité technique WS-SX (Web Services Secure Exchange Technical Comittee) d'OASIS a produit et approuvé les spécifications suivantes. Certaines parties de ces spécifications sont prises en charge par WebSphere Application Server versions 7 et ultérieures.

OASIS : Web Services Security SOAP Message Security 1.0 et 1.1

Le tableau ci-dessous répertorie les différentes caractéristiques des spécifications OASIS: Web Services Security: SOAP Message Security 1.0 et 1.1 prises en charge dans WebSphere Application Server version 6 ou ultérieure.

Tableau 1. Aspects du standard OASIS SOAP Message Security pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
En-tête de sécurité
  • @S11 :actor (pour un intermédiaire)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 est le préfixe d'espace de nom pour http://www.w3.org/2003/05/soap-envelope lors de l'utilisation de SOAP Version 1.2)
Jetons de sécurité
  • Jeton de nom d'utilisateur (nom d'utilisateur et mot de passe)
  • Jeton de sécurité binaire (X.509 et LTPA)
  • Jeton personnalisé
    • Autre jeton de sécurité binaire
    • Jeton XML
      Remarque : WebSphere Application Server ne fournit pas d'implémentation, mais vous pouvez utiliser un jeton XML avec un point de plug-in.
Références du jeton
  • Référence directe
  • Identificateur de clé
  • Nom de clé
  • Référence imbriquée
Signature Confirmation par signature
Algorithmes de signature
  • Méthode de synthèse (Digest)
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Signature
    DSA avec SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    N'utilisez pas cet algorithme si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).

    RSA avec SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Canonisation
    XML canonique (avec commentaires)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    XML canonique (sans commentaires)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Canonisation XML exclusive (avec commentaires)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Canonisation XML exclusive (sans commentaires)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • Transformation
    Transformation STR
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    N'utilisez pas la transformation XPATH d'origine si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).
    Remarque : Lorsque vous vous référez à un élément de SECURE_ENVELOPE ne portant aucun type d'attribut d'ID issus d'un ds:Reference dans un élément SIGNATURE, vous devez utiliser la transformation XPATH Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2.
    Signature enveloppée
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    Remarque : Lorsque vous vous référez à un élément de SECURE_ENVELOPE ne portant aucun type d'attribut d'ID issus d'un ds:Reference dans un élément SIGNATURE, vous devez utiliser la transformation XPATH Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2.
    Transformation du déchiffrement
    http://www.w3.org/2002/07/decrypt#XML
Parties signées pour JAX-RPC uniquement
  • Mots clés de WebSphere Application Server :
    • body, qui signe le corps du message SOAP
    • timestamp, qui signe tous les horodatages
    • securitytoken, qui signe tous les jetons de sécurité
    • dsigkey, qui signe la clé de signature
    • enckey, qui signe la clé de chiffrement
    • messageid, qui signe l'élément wsa :MessageID dans WS-Addressing
    • to, qui signe l'élément wsa:To dans WS-Addressing
    • action, qui signe l'élément wsa:Action dans WS-Addressing
    • relatesto, qui signe l'élément wsa:RelatesTo dans WS-Addressing

      wsa est le préfixe de l'espace de nom de http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext, qui spécifie l'en-tête WS-Context pour l'en-tête SOAP.
    • wsafrom, qui spécifie l'élément <wsa:From> WS-Addressing From dans l'en-tête SOAP.
    • wsareplyto, qui spécifie l'élément <wsa:ReplyTo> WS-Addressing ReplyTo dans l'en-tête SOAP.
    • wsafaultto, qui spécifie l'élément <wsa:FaultTo> WS-Addressing FaultTo dans l'en-tête SOAP.
    • wsaall, qui spécifie tous les éléments WS-Addressing dans l'en-tête SOAP.
  • Expression XPath pour sélectionner un élément XML dans un message SOAPPath. Pour plus d'informations, voir http://www.w3.org/TR/1999/REC-xpath-19991116.
Parties de message signé pour JAX-WS uniquement
  • Body (qui signe le corps du message SOAP)
  • Header (qui signe un ou plusieurs en-têtes SOAP au sein de l'en-tête SOAP principal)
  • Expression XPath pour sélectionner un élément XML dans un message SOAPPath.
    • Pour plus d'informations, voir http://www.w3.org/TR/1999/REC-xpath-19991116.
Chiffrement Elément EncryptedHeader
Algorithmes de chiffrement
Important : Votre pays d'origine peut imposer des restrictions pour l'importation, l'utilisation ou la réexportation d'un logiciel de chiffrement vers un autre pays. Avant de télécharger ou d'utiliser des fichiers de règles non restreintes, vous devez vérifier les lois en vigueur dans votre pays, sa réglementation et ses règles concernant l'importation, la possession, l'utilisation et la réexportation du logiciel de chiffrement afin de déterminer si cela est autorisé.
  • Chiffrement des données
    • Triple DES dans CBC : http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 dans CBC : http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 dans CBC : http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Cet algorithme requiert le fichier de règles JCE sans restriction. Pour plus d'informations, voir la description de l'algorithme de chiffrement dans Paramètres de configuration des informations de chiffrement : Parties de message.

      N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).

    • AES256 dans CBC : http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Cet algorithme requiert le fichier de règles JCE sans restriction. Pour plus d'informations, voir la description de l'algorithme de chiffrement dans Paramètres de configuration des informations de chiffrement : Parties de message.

  • Chiffrement des clés
    • Transport de clé (cryptographie de clé publique)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Remarque :
        • Lorsqu'elle s'exécute avec Software Development Kit (SDK) Version 1.4, la liste des algorithmes de transport de clé prise en charge n'inclut pas cet algorithme. L'algorithme apparaît dans la liste des algorithmes de transport de clé pris en charge avec SDK Version 1.5.
        • Le moteur de chiffrement Java™ compatible FIPS (Federal Information Processing Standard) ne prend pas en charge cet algorithme de transport.
      • RSA version 1.5 : http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Encapsulation de clé symétrique (cryptographie de clé privée)
      • Clé Triple DES : http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Clé AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Clé AES (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        Cet algorithme requiert le fichier de règles JCE sans restriction. Pour plus d'informations, voir la description de l'algorithme de chiffrement dans Paramètres de configuration des informations de chiffrement : Parties de message.

        N'utilisez pas l'algorithme de chiffrement de données 192 bits si vous voulez que l'application configurée soit compatible avec le profil BSP (Basic Security Profile).

      • Clé AES (aes256) : http://www.w3.org/2001/04/xmlenc#kw-aes256

        Cet algorithme requiert le fichier de règles JCE sans restriction. Pour plus d'informations, voir la description de l'algorithme de chiffrement dans Paramètres de configuration des informations de chiffrement : Parties de message.

  • Manifests-xenc est le préfixe de l'espace de nom de http://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

AES (Advanced Encryption Standard) est conçu pour fournir de meilleures performances que Triple-Des (data encryption standard) pour le chiffrement par clé symétrique. Dans la mesure du possible, il est donc recommandé d'utiliser AES pour le chiffrement par clé symétrique.

Parties de message de chiffrement pour JAX-RPC uniquement
  • Mots clés de WebSphere Application Server
    • bodycontent, qui est utilisé pour chiffrer le contenu du corps du message SOAP
    • usernametoken, qui est utilisé pour chiffrer le jeton du nom d'utilisateur
    • digestvalue, qui est utilisé pour chiffrer la valeur "digest" de la signature numérique
    • signature, qui est utilisé pour chiffrer la valeur "entire" de la signature numérique
    • wscontextcontent, qui chiffre le contenu de l'en-tête WS-Context pour l'en-tête SOAP.
  • Expression XPath pour sélectionner un élément XML dans un message SOAP
    • Eléments XML
    • Contenu de l'élément XML
Parties de message de chiffrement pour JAX-WS uniquement
  • Body (qui chiffre le contenu du corps de message SOAP)
  • Header (qui chiffre un ou plusieurs en-têtes SOAP au sein de l'en-tête SOAP principal, résultant en un élément EncryptedHeader)
  • Expression XPath pour sélectionner un élément XML dans un message SOAP
    • Pour plus d'informations, voir http://www.w3.org/TR/1999/REC-xpath-19991116.
Horodatage
  • Dans l'en-tête Web Services Security
  • WebSphere Application Server a été optimisé pour vous permettre d'insérer des horodatages dans d'autres éléments afin de déterminer leur date.
Traitement des erreurs Erreurs SOAP
  • Nouvel incident SOAP avec code incident
  • Le texte indiquant que le message est arrivé à expiration a été ajouté

OASIS: Web Services Security UsernameToken Profile 1.0

Le tableau ci-dessous répertorie les caractéristiques de la spécification OASIS: Web Services Security Username Token Profile 1.0 qui est prise en charge dans WebSphere Application Server.

Tableau 2. Aspects du standard OASIS Username Token Profile V1.0 pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Types de mot de passe Texte
Références du jeton Référence directe

OASIS: Web Services Security UsernameToken Profile 1.1

Le tableau ci-dessous répertorie les caractéristiques de la spécification OASIS: Web Services Security Username Token Profile 1.1 qui est prise en charge dans WebSphere Application Server. Les éléments précédemment pris en charge pour Web Services Security Username Token Profile 1.0 ne sont pas répertoriés mais sont néanmoins pris en charge, sauf indications contraires.

Tableau 3. Aspects du standard OASIS Username Token Profile V1.1 pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Types de mot de passe Texte
Références du jeton Référence directe

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

Le tableau ci-dessous répertorie les caractéristiques de la spécification OASIS: Web Services Security X.509 Certificate Token Profile qui est prise en charge dans WebSphere Application Server version 6 ou ultérieure.

Tableau 4. Aspects du standard OASIS X.509 Certificate Token V1.0 pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Types de jeton
  • X.509 Version 3 : Certificat unique

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3

  • X.509 Version 3 : X509PKIPathv1 sans liste de révocation de certificats (CRL)

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1

  • X.509 Version 3 : PKCS7 avec ou sans liste de révocation de certificats.
Références du jeton
  • Identificateur de clé – identificateur de clé du sujet
  • Référence directe
  • Référence personnalisée – nom et numéro de série de l'émetteur

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

Le tableau ci-dessous répertorie les caractéristiques de la spécification OASIS: Web Services Security X.509 Certificate Token Profile 1.1 qui est prise en charge dans WebSphere Application Server. Les éléments précédemment pris en charge pour Web Services Security X.509 Certificate Token Profile 1.0 ne sont pas répertoriés mais sont néanmoins pris en charge, sauf indications contraires.

Tableau 5. Aspects du standard OASIS X.509 Certificate Token V1.1 pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Types de jeton X.509 Version 1 : Certificat unique
Références du jeton Identificateur de clé – identificateur de clé du sujet
  • Ne peut référencer qu'un certificat X.509v3
  • Peut définir l'empreinte du certificat défini en utilisant l'attribut http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 de l'élément <wsse:KeyIdentifier>.

OASIS: Web Services Security Kerberos Token Profile 1.1

Le tableau ci-dessous répertorie les caractéristiques de la spécification OASIS: Web Services Security Kerberos Token Profile 1.1 qui est prise en charge dans WebSphere Application Server.

Tableau 6. Aspects du standard OASIS Kerberos Token Profile pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Types de jeton
  • Jeton GSS_API Kerberos v5

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ

  • Jeton GSS_API Kerberos v5 selon RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510

  • Jeton GSS_API Kerberos v5 selon RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

  • Jeton Kerberos v5

    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ

  • Jeton Kerberos v5 selon RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510

  • Jeton Kerberos v5 selon RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412

Références du jeton
  • Référence du jeton de sécurité
  • Identificateur de clé utilisé une fois le jeton Kerberos v5 initial consommé
  • Jeton de clé dérivée basé sur le jeton Kerberos

OASIS: Web Services Security WS-Secure Conversation Draft et Version 1.3

Le tableau ci-dessous répertorie les caractéristiques de la spécification OASIS: WS-SecureConversation prise en charge dans le Feature Pack for Web Services de WebSphere Application Server version 6.1 ou ultérieure. La prise en charge de la version 1.3 de la spécification est assurée dansWebSphere Application Server versions 7.0 et ultérieures.

Tableau 7. Aspects du standard OASIS SecureConversation pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Types de jeton
  • Brouillon de jeton de contexte de sécurité : http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Jeton de contexte de sécurité Version 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Références du jeton Référence directe
Etablissement de contexte de sécurité Jeton de contexte de sécurité créé par un service de jeton de sécurité imbriqué dans WebSphere Application Server.
Renouvellement du contexte Renouvellement automatique du jeton lorsque son expiration est proche.
Annulation du contexte Prise en charge d'une demande d'annulation explicite.
Clés dérivées Les informations suivantes servent à dériver des clés à l'aide d'un secret partagé d'un contexte de sécurité :
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Traitement des erreurs Erreurs SOAP, incluant :
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS: Web Services Security WS-Trust Version 1.0 Draft et Version 1.3

Les tableaux suivants répertorient les caractéristiques des spécifications OASIS : Web Services Security: WS-Trust Version 1.0 Draft et Version 1.3 prises en charge dans le Feature Pack for Web Services de WebSphere Application Server version 6.1 ou ultérieure.

Tableau 8. Aspects du standard OASIS Trust V1.0 et V1.3 pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Espace de nom http://schemas.xmlsoap.org/ws/2005/02/trust
En-tête de requête /wsa:Action
Les options valides sont les suivantes :
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Attributs et éléments de requête

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Les options valides sont les suivantes :
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • Les options valides sont les suivantes :
    • pour http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • pour http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • pour http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
En-tête de réponse /wsa:Action
Les options valides sont les suivantes :
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Attributs et éléments de réponse

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Les réponses valides sont les suivantes :
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Traitement des erreurs

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Tableau 9. Aspects du standard OASIS Trust V1.3 pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS sont pris en charge.
Elément pris en charge Caractéristique spécifique prise en charge
Espace de nom http://docs.oasis-open.org/ws-sx/ws-trust/200512
En-tête de requête /wsa:Action
Les options valides sont les suivantes :
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Attributs et éléments de requête

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Les options valides sont les suivantes :
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • Les options valides sont les suivantes :
    • pour http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • pour http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • pour http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
En-tête de réponse /wsa:Action
Les options valides sont les suivantes :
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Attributs et éléments de réponse

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Les réponses valides sont les suivantes :
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Traitement des erreurs

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Fonctionnalités non prises en charge par WebSphere Application Server

La liste suivante répertorie les fonctionnalités prises en charge dans les spécifications, les avant-projets et autres recommandations OASIS, mais qui ne sont pas prises en charge par WebSphere Application Server version 6 ou ultérieure :
  • Web Services Security SOAP Messages with Attachments (SwA) profile 1.0
    Remarque : Lors de l'utilisation du modèle de programmation JAX-WS, la sécurisation de l'association MTOM (Message Transmission Optimization Mechanism) de SOAP est prise en charge. Pour plus d'informations, voir la rubrique Activation de MTOM pour les services web JAX-WS.
  • Profil de jeton XrML
  • Signature numérique associée à XML
  • Chiffrement numérique associé à XML
  • Les fonctionnalités WS-SecureConversation suivantes ne sont pas prises en charge par WebSphere Application Server :
    • Deux méthodes d'établissement de contexte de sécurité ne sont pas prises en charge : 1) jeton de contexte de sécurité créé par l'une des parties qui communiquent et propagé à l'aide d'un message et 2) jeton de contexte de sécurité créé par la négociation ou les échanges.
    • Propagation SCT
    • Modification de contextes de sécurité
  • Les algorithmes de transformation de signatures numériques suivants ne sont pas pris en charge :
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP Message Normalization

      Pour plus d'informations, par exemple, sur la suppression d'un en-tête vide ou d'une entrée d'en-tête à l'aide de mustUnderstand=false, voir SOAP Version 1.2 Message Normalization

    • Transformation du déchiffrement
  • L'algorithme de concordance des clés pour le chiffrement suivant n'est pas pris en charge :
  • L'algorithme de canonisation pour le chiffrement suivant, qui est facultatif dans la spécification de chiffrement XML, n'est pas pris en charge :
    • XML canonique avec ou sans commentaires
    • Canonisation XML exclusive avec ou sans commentaires
  • La signature numérique DSA n'est pas prise en charge.
  • Le chiffrement de données de clé symétrique pré-convenu n'est pas pris en charge.
  • L'audit de la non répudiation des signatures numériques n'est pas pris en charge.
  • Dans les deux versions de la spécification Username Token Profile, le type digest password n'est pas pris en charge.
  • Dans la spécification Username Token Version 1.1 Profile, la dérivation de clé n'est pas prise en charge.

Fonction non prise en charge pour WS-Trust Version 1.0 Draft et Version 1.3

Les tableaux suivants répertorient les caractéristiques des spécifications OASIS : Web Services Security: WS-Trust Version 1.0 Draft et Version 1.3 non prises en charge dans le Feature Pack for Web Services de WebSphere Application Server version 6.1 ou ultérieure.

Tableau 10. Aspects du standard OASIS Trust V1.0 et V1.3 non pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS ne sont pas pris en charge.
Elément non pris en charge Caractéristique spécifique non prise en charge
Eléments et attributs

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Options de requête non prises en charge :
  • pour http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey et http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • pour http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Attributs et éléments de réponse

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse

Tableau 11. Aspects du standard OASIS Trust V1.3 non pris en charge dans WebSphere Application Server. Aidez-vous du tableau ci-dessous pour déterminer quels aspects du standard OASIS ne sont pas pris en charge.
Elément non pris en charge Caractéristique spécifique non prise en charge
Eléments et attributs

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Options de requête non prises en charge :
  • pour http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey et http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • pour http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey et http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
En-tête de réponse

/wsa:Action

Réponses non prises en charge :
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_supportfunction
Nom du fichier : cwbs_supportfunction.html