Support Web Services Security (WSS)

IBM® prend en charge la sécurité des services Web (Web Services Security), une extension du moteur IBM Web Services, afin de fournir une qualité de service. L'infrastructure de sécurité de WebSphere Application Server intègre pleinement la sécurité des services Web avec la spécification de sécurité de Java™ Platform, Enterprise Edition (Java EE).

Important : Il existe une grande différence entre les applications version 5.x, version 6.0.x et ultérieure. Les informations concernent uniquement les applications Version 5.x utilisées avec WebSphere Application Server Version 6.0.x et versions ultérieures. Les informations ne s'appliquent pas aux applications version 6.0.x et versions ultérieures.

WebSphere Application Server, versions 4.x, 5 et 5.0.1, prend en charge la signature numérique pour Apache SOAP version 2.x. A partir de WebSphere Application Server version 5.0.2, IBM prend en charge la sécurité des services Web. L'implémentation IBM est basée sur la spécification de sécurité des services Web, Web Services Security (WS-Security), proposée à l'origine par IBM, Microsoft et VeriSign en avril 2002. Les versions antérieures de la spécification provisoire proposée sont disponibles dans Web Services Security (WS-Security) Version 1.0 05 avril 2002 et dans Web Services Security Addendum 18 août 2002. L'implémentation WebSphere Application Server dépend de la spécification 13 de la version de travail OASIS. (Pour connaître la dernière spécification de travail, reportez-vous au site Web OASIS Web Services Security TC.) Toutefois, toutes les fonctions de la spécification OASIS working Draft 13 ne sont pas implémentées.

La sécurité des services Web n'est pas prise en charge dans un client non géré ni dans un client pur Java. Lorsqu'un ID utilisateur et un mot de passe sont intégrés dans un message de demande, l'authentification est effectuée à l'aide de l'ID utilisateur et du mot de passe. Si l'authentification aboutit, une identité utilisateur est établie et un accès aux ressources est autorisé en fonction de cette identité. Une fois que l'ID utilisateur et le mot de passe sont authentifiés par l'environnement d'exécution de la sécurité des services Web, un conteneur Java EE effectue l'autorisation.

WebSphere Application Server fournit une implémentation des fonctions clés de la sécurité des Services Web en fonction des spécifications suivantes :
Le tableau suivant fournit un récapitulatif des éléments de sécurité des services Web pris en charge par WebSphere Application Server :
Tableau 1. Eléments de sécurité des services Web pris en charge. Utilisez le tableau pour déterminer les security pris en charge.
Elément Remarques
UsernameToken (Jeton de nom d'utilisateur) La méthode d'authentification par vérification du nom d'utilisateur et du mot de passe (BasicAuth) ainsi que la méthode d'authentification par vérification d'identité sont prises en charge. WebSphere Application Server prend en charge nonce qui est une valeur générée de manière aléatoire.
BinarySecurityToken (Jeton de sécurité binaire) Les certificats X.509 et LTPA (Lightweight Third Party Authentication) peuvent être intégrés mais il n'existe aucune implémentation permettant d'intégrer des tickets Kerberos. Toutefois, les modules de génération et de validation de jeton binaire sont connectables et dépendent des API JAAS (JavaAuthentication and Authorization Service). Vous pouvez étendre cette implémentation afin de générer et de valider d'autres types de jeton de sécurité binaire.
Signature Le certificat X.509 est incorporé dans un jeton de sécurité binaire et peut être référencé par la SecurityTokenReference (référence de jeton de sécurité). WebSphere Application Server ne prend pas en charge la signature partagée effectuée à l'aide de clés.
Chiffrement Les balises XML EncryptedKey et ReferenceList sont prises en charge. KeyIdentifier spécifie les clés publiques et KeyName identifie les clés confidentielles. WebSphere Application Server a la possibilité de mapper une identité authentifiée vers une clé pour chiffrement ou d'utiliser le certificat de signataire pour chiffrer le message de réponse.
Horodatage WebSphere Application Server prend en charge les attributs Created et Expires. L'ancienneté du message, qui indique si le message est compatible avec des contraintes de temps prédéfinies, est vérifiée uniquement si l'attribut Expires est présent dans le message. WebSphere Application Server ne prend pas en charge l'attribut Received défini dans l'ajout. A la place, WebSphere Application Server utilise l'attribut TimestampTraceReceived qui est défini dans la spécification OASIS.
Jeton XML Vous pouvez insérer et valider un format arbitraire de jetons XML dans un message. Ce mécanisme de format dépend des API JAAS.
La signature et le chiffrement de pièces jointes ne sont pas pris en charge par WebSphere Application Server. Cependant, WebSphere Application Server signe et chiffre les éléments suivants pour le message de demande.
Tableau 2. Eléments signés et chiffrés pour le message de demande. Les éléments permettent d'effectuer l'authentification.
Méthode Elément
Signature numérique XML
  • Corps
  • Securitytoken
  • Timestamp
Chiffrement XML
  • Bodycontent
  • Usernametoken
AuthMethod
  • BasicAuth (authentification de base)
  • IDAssertion (d'un serveur WebSphere Application Server vers un autre serveur WebSphere Application Server)
  • Signature
  • LTPA (Lightweight Third Party Authentication) côté serveur
  • Autres jetons client
WebSphere Application Server signe et chiffre les éléments suivants pour le message de demande :
Tableau 3. Eléments signés et chiffrés pour le message de réponse. Les éléments permettent d'effectuer l'authentification.
Méthode Elément
Signature numérique XML
  • Corps
  • Timestamp
Chiffrement XML
  • Bodycontent
WebSphere Application Server fournit les fonctions suivantes pour la sécurité des services Web :
  • Intégrité du message
  • Authenticité du message
  • Confidentialité du message
  • Caractère privé du message
  • Sécurité du niveau de transport : fourni par SSL (Secure Sockets Layer)
  • Propagation du jeton de sécurité (connectable)
  • Vérification d'identité
Les espaces de nom suivants sont utilisés pour l'envoi d'un message :
OASIS Web Services Security: SOAP Message Security Working Draft 13, May 2003
http://schemas.xmlsoap.org/ws/2003/06/secext

http://schemas.xmlsoap.org/ws/2003/06/utility

OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd

OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd

http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd

Tableau 4. Récapitulatif des espaces de nom. Le tableau suivant récapitule les espaces de nom qui sont utilisés pour envoyer et recevoir des messages.
Environnement d'exécution Envoi Réception
JAX-RPC draft 13 OASIS draft 13 OASIS draft 13
JAX-RPC OASIS wssec 1.0 OASIS wssec 1.0

OASIS draft 13

JAX-WS OASIS wssec 1.1

OASIS wssec 1.0

OASIS wssec 1.1

OASIS wssec 1.0

OASIS draft13

L'environnement d'exécution de la sécurité des services Web dans WebSphere Application Server ne peut pas accepter les espaces de nom suivants :
Spécification d'avril 2002
http://schemas.xmlsoap.org/ws/2002/04/secext
Ajout d'août 2002
http://schemas.xmlsoap.org/ws/2002/07/secext

http://schemas.xmlsoap.org/ws/2002/07/utility

Pour obtenir une description des fonctions non prises en charge, reportez-vous au tableau des éléments de sécurité des services Web.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssecurityws
Nom du fichier : rwbs_wssecurityws.html