Support Web Services Security (WSS)
IBM® prend en charge la sécurité des services Web (Web Services Security), une extension du moteur IBM Web Services, afin de fournir une qualité de service. L'infrastructure de sécurité de WebSphere Application Server intègre pleinement la sécurité des services Web avec la spécification de sécurité de Java™ Platform, Enterprise Edition (Java EE).
WebSphere Application Server, versions 4.x, 5 et 5.0.1, prend en charge la signature numérique pour Apache SOAP version 2.x. A partir de WebSphere Application Server version 5.0.2, IBM prend en charge la sécurité des services Web. L'implémentation IBM est basée sur la spécification de sécurité des services Web, Web Services Security (WS-Security), proposée à l'origine par IBM, Microsoft et VeriSign en avril 2002. Les versions antérieures de la spécification provisoire proposée sont disponibles dans Web Services Security (WS-Security) Version 1.0 05 avril 2002 et dans Web Services Security Addendum 18 août 2002. L'implémentation WebSphere Application Server dépend de la spécification 13 de la version de travail OASIS. (Pour connaître la dernière spécification de travail, reportez-vous au site Web OASIS Web Services Security TC.) Toutefois, toutes les fonctions de la spécification OASIS working Draft 13 ne sont pas implémentées.
La sécurité des services Web n'est pas prise en charge dans un client non géré ni dans un client pur Java. Lorsqu'un ID utilisateur et un mot de passe sont intégrés dans un message de demande, l'authentification est effectuée à l'aide de l'ID utilisateur et du mot de passe. Si l'authentification aboutit, une identité utilisateur est établie et un accès aux ressources est autorisé en fonction de cette identité. Une fois que l'ID utilisateur et le mot de passe sont authentifiés par l'environnement d'exécution de la sécurité des services Web, un conteneur Java EE effectue l'autorisation.
Elément | Remarques |
---|---|
UsernameToken (Jeton de nom d'utilisateur) | La méthode d'authentification par vérification du nom d'utilisateur et du mot de passe (BasicAuth) ainsi que la méthode d'authentification par vérification d'identité sont prises en charge. WebSphere Application Server prend en charge nonce qui est une valeur générée de manière aléatoire. |
BinarySecurityToken (Jeton de sécurité binaire) | Les certificats X.509 et LTPA (Lightweight Third Party Authentication) peuvent être intégrés mais il n'existe aucune implémentation permettant d'intégrer des tickets Kerberos. Toutefois, les modules de génération et de validation de jeton binaire sont connectables et dépendent des API JAAS (JavaAuthentication and Authorization Service). Vous pouvez étendre cette implémentation afin de générer et de valider d'autres types de jeton de sécurité binaire. |
Signature | Le certificat X.509 est incorporé dans un jeton de sécurité binaire et peut être référencé par la SecurityTokenReference (référence de jeton de sécurité). WebSphere Application Server ne prend pas en charge la signature partagée effectuée à l'aide de clés. |
Chiffrement | Les balises XML EncryptedKey et ReferenceList sont prises en charge. KeyIdentifier spécifie les clés publiques et KeyName identifie les clés confidentielles. WebSphere Application Server a la possibilité de mapper une identité authentifiée vers une clé pour chiffrement ou d'utiliser le certificat de signataire pour chiffrer le message de réponse. |
Horodatage | WebSphere Application Server prend en charge les attributs Created et Expires. L'ancienneté du message, qui indique si le message est compatible avec des contraintes de temps prédéfinies, est vérifiée uniquement si l'attribut Expires est présent dans le message. WebSphere Application Server ne prend pas en charge l'attribut Received défini dans l'ajout. A la place, WebSphere Application Server utilise l'attribut TimestampTraceReceived qui est défini dans la spécification OASIS. |
Jeton XML | Vous pouvez insérer et valider un format arbitraire de jetons XML dans un message. Ce mécanisme de format dépend des API JAAS. |
Méthode | Elément |
---|---|
Signature numérique XML |
|
Chiffrement XML |
|
AuthMethod |
|
Méthode | Elément |
---|---|
Signature numérique XML |
|
Chiffrement XML |
|
- Intégrité du message
- Authenticité du message
- Confidentialité du message
- Caractère privé du message
- Sécurité du niveau de transport : fourni par SSL (Secure Sockets Layer)
- Propagation du jeton de sécurité (connectable)
- Vérification d'identité
- OASIS Web Services Security: SOAP Message Security Working Draft 13, May 2003
- http://schemas.xmlsoap.org/ws/2003/06/secext
- OASIS Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd
http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
- OASIS Web Services Security: SOAP Message Security 1.1 (WS-Security 2004)
- http://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd
http://docs.oasis-open.org/wss/2004/01/oasis- 200401-wss-wssecurity-utility-1.0.xsd
Environnement d'exécution | Envoi | Réception |
---|---|---|
JAX-RPC draft 13 | OASIS draft 13 | OASIS draft 13 |
JAX-RPC | OASIS wssec 1.0 | OASIS wssec 1.0 OASIS draft 13 |
JAX-WS | OASIS wssec 1.1 OASIS wssec 1.0 |
OASIS wssec 1.1 OASIS wssec 1.0 OASIS draft13 |
- Spécification d'avril 2002
- http://schemas.xmlsoap.org/ws/2002/04/secext
- Ajout d'août 2002
- http://schemas.xmlsoap.org/ws/2002/07/secext
Pour obtenir une description des fonctions non prises en charge, reportez-vous au tableau des éléments de sécurité des services Web.