Configuration de la sécurité des services Web à l'aide des API WSS
Les interfaces de programmation de la sécurité des services Web (API WSS) permettent de sécuriser des messages SOAP.
Avant de commencer
La sécurité des services Web prend en charge les modèles de programmation suivants :
- API de programmation pour sécuriser des messages SOAP avec Web Services Security
(API WSS).
La conception du modèle de programmation d'API a été révisée. La nouvelle conception est un modèle de programmation basé sur une interface et s'appuie sur les normes Web Services Security Version 1.1 ; cependant, la conception inclut également un support pour Web Services Security Version 1.0 qui permet la sécurisation du message SOAP. L'implémentation du modèle de programmation WSS API est une version simplifiée. Elle est basée sur un avant projet pour JSR-183, qui est le JSR de définition de la liaison API Java™ pour la sécurité de service Web. Dans la mesure où le code de l'application a été conçu pour être programmé pour l'interface, un code d'application programmé à l'aide de l'implémentation de la source ouverte doit pouvoir s'exécuter sur WebSphere Application Server avec un minimum de modifications voire aucune.
- Interfaces SPI (Service Programming Interfaces) pour un fournisseur de
services.
De la même façon, l'interface SPI de génération et de destination de jetons d'exécution pour la sécurité des services Web a été repensée pour que la même interface de jeton de sécurité et la même implémentation du module de connexion JAAS puissent être utilisées pour la SPI et l'API WSS. Les interfaces SPI de WSS du fournisseur de services étendent les types de jeton de sécurité et fournissent des clés et des clés de dérivation pour la signature, la vérification de signature, le chiffrement et le déchiffrement.
Pourquoi et quand exécuter cette tâche
- Types de jeton de sécurité et clés dérivées pour la signature
- Signature et vérification
- Chiffrement et déchiffrement
La figure suivante montre comment utiliser les API WSS simplifiées pour sécuriser un message SOAP à l'aide de la signature numérique XML et du chiffrement XML.
Le modèle de configuration des services web a également été re-conçu d'un modèle de descripteur de déploiement en un modèle d'ensemble de règles. Le modèle de programmation de la configuration repose sur la configuration d'ensembles de règles utilisant une stratégie de sécurité pour indiquer des contraintes de sécurité.
Les fonctions proposées par les configurations d'ensemble de règles sont identiques à celles prises en charge par l'API WSS pour le module d'exécution de Web Services Security. Cependant, la règle de sécurité définie à l'aide d'ensembles de règles a la priorité sur l'API WSS. Lorsque l'API WSS et l'ensemble de règles sont tous les deux utilisés dans l'application, la règle de sécurité de l'ensemble de règles est par défaut appliquée et l'API WSS ignorée. Pour utiliser l'API WSS dans l'application, assurez-vous qu'aucun ensemble de règles n'est associé à l'application ou aux ressources de l'application ou vérifiez que l'ensemble de règles lié ne contient aucune règle de sécurité.
Web Service Security peut être activé à l'aide d'un ensemble de règles configuré via la console d'administration, ou à l'aide de l'API WSS pour la configuration.
A l'aide des API WSS; effectuez les étapes suivantes de haut niveau pour sécuriser le message SOAP :
Procédure
Résultats
Que faire ensuite
Les interfaces SPI (Services Programming Interfaces) de génération et de destination de jetons d'exécution pour la sécurité des services Web ont été repensées afin que la même interface de jeton de sécurité et la même implémentation du module de connexion JAAS puissent être utilisées dans la SPI et l'API WSS. Voir les informations sur la SPI pour des descriptions plus détaillées.