Protection des messages Kerberos pour les services Web
La sécurité de niveau message est basée sur la spécification OASIS (Organization for the Advancement of Structured Information Standards) relative à Web Services Security Kerberos Token Profile version 1.1. Consultez cette rubrique pour mieux comprendre l'implémentation de la protection des messages avec un jeton Kerberos pour les services Web.
Protection des messages
Le serveur d'applications peut interopérer avec une autre technologie de services Web grâce à l'implémentation du profil de jeton OASIS. Cette spécification définit les normes de sécurisation d'un message SOAP avec un jeton Kerberos. Cependant, l'authentification mutuelle n'est pas définie par le profil du jeton. La spécification 0ASIS relative à Web Services SOAP Message Security décrit comment sécuriser un message SOAP par la signature et le chiffrement en utilisant et en référençant un jeton Kerberos. En particulier, la spécification OASIS définit comment le jeton Kerberos, en tant que paquet AP_REQ encapsulé et non-encapsulé est codé et connecté au message SOAP. Le jeton décrit dans le profil du jeton Kerberos OASIS est limité au paquet AP_REQ, qui se compose d'un ticket de service et d'un authentificateur. Le paquet AP_REQ est obtenu à partir du centre de distribution de clés (KDC), qui sert de service d'authentification tiers.
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
Le jeton AP_REQ résultant peut avoir un encadrement GSS-API (encapsulé) ou être brute (non encapsulé). Le codage du jeton doit être Base-64.