Conseils sur la compatibilité de BSP (Basic Security Profile)
Le profil BSP (Basic Security Profile) WS-I (Web Services Interoperability Organization) 1.0 promeut l'interopérabilité en apportant des clarifications et des amplifications à un ensemble de spécifications de services Web non propriétaires. La sécurité des services Web de WebSphere Application Server propose des options de configuration garantissant que les recommandations BSP et les considérations de sécurité peuvent être activées afin de permettre l'interopérabilité. Le degré auquel vous suivez ces recommandations indique dans quelle mesure l'application que vous configurez est compatible avec le profil BSP (Basic Security Profile).
La prise en charge des applications de sorte qu'elles soient compatibles avec le profil BSP (Basic security Profile) constitue une nouveauté dans WebSphere Application Server Version 9.0. Pour plus d'informations concernant le profil BSP, consultez les informations sur le profil BSP (Basic security profile) WS-I (Web Services Interoperability Organization), Basic Security Profile Version 1.0.
Vous pouvez utiliser une liste prédéfinie de mots clés ou des expressions XPath pour être conforme au profil BSP. Les mots clés et les expressions XPath sont spécifiés dans le fichier de configuration du descripteur de déploiement et sont configurés à l'aide d'un outil d'assemblage.
Recommandations relatives à la compatibilité de BSP (Basic Security Profile)
- N'utilise pas la transformation XPath originale, http://www.w3.org/TR/1999/REC-xpath-19991116
Lorsque vous vous référez à un élément de SECURE_ENVELOPE ne portant aucun type d'attribut d'ID issus d'un ds:Reference dans un élément SIGNATURE, vous devez utiliser la transformation XPath Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2 pour faire référence à cet élément.
Tout attribut ds:Transform/@Algorithm d'un élément SIGNATURE doit avoir une de ces valeurs :- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Content-Only-Transform
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Complete-Transform
- N'utilisez pas l'algorithme de signature http://www.w3.org/2000/09/xmldsig#dsa-sha1.Tout élément ds:SignatureMethod/@Algorithm d'une SIGNATURE reposant sur une clé symétrique doit avoir un des valeurs suivantes :
- Ne spécifiez pas le mot clé digestvalue pour la partie du message à chiffrer. Utilisez plutôt le mot clé signature.
Si la valeur d'un élément ds:DigestValue dans un élément SIGNATURE nécessite un chiffrement, l'élément ds:Signature parent doit être chiffré dans son ensemble. Une SIGNATURE ne doit pas comporter d'élément xenc:EncryptedData parmi ses descendants.
- N'utilisez par le type d'informations clé KEYNAME
Les références KEYNAME peuvent être ambigus et la compatibilité avec le profil BSP interdit l'utilisation de KEYNAME.
Une SECURITY_TOKEN_REFERENCE ne doit pas utiliser un nom clé pour faire référence à un SECURITY_TOKEN. L'élément enfant d'un élément ds:KeyInfo dans un ENCRYPTED_KEY doit être un SECURITY_TOKEN_REFERENCE ou un élément ds:MgmtData. L'utilisation d'un type d'information de clé KEYNAME comme clé de chiffrement donne lieu à un élément enfant KeyName d'un élément ds:KeyInfo, non autorisé pour la compatibilité de profil BSP.
- N'utilisez pas l'algorithme de chiffrement de données binaires http://www.w3.org/2001/04/xmlenc#aes192-cbc.Tout attribut xenc:EncryptionMethod/@Algorithm d'un élément ENCRYPTED_DATA doit avoir une de ces valeurs :
- N'utilisez pas l'encapsulation de clé (aes192) de la norme AES (advanced encryption standard) : http://www.w3.org/2001/04/xmlenc#kw-aes192 algorithme de chiffrement de clé.Utilisé pour l'encapsulation de clé, tout attribut xenc:EncryptionMethod/@Algorithm dans un élément ENCRYPTED_KEY doit avoir une de ces valeurs :
Options de configuration pour la compatibilité BSP
- Lors de la configuration de l'élément ds:Transforms dans une signature, la liste des transformations doit inclure au moins son dernier élément enfant http://www.w3.org/2001/10/xml-exc-c14n# ouhttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- Ajoutez un élément wsse:Nonce ou wsse:Created à un jeton de nom d'utilisateur pour éviter qu'il ne soit relu. Une fois que l'élément est ajouté, signez le jeton de nom d'utilisateur pour éviter que des modifications non détectées surviennent, sinon, une nouvelle relecture se produira.