Architecture de haut niveau pour la sécurité des services Web

La stratégie de sécurité des Services Web est indiquée dans l'extension IBM® des descripteurs de déploiement des services Web lors de l'utilisation du modèle de programmation JAX-RPC et dans des ensembles de règles lors de l'utilisation du modèle de programmation JAX-WS. Une application client JAX-WS autonome peut spécifier une stratégie de sécurité de services Web à l'aide d'un programme. Les données de liaison qui prennent en charge la stratégie de sécurité des services Web sont stockées dans l'extension IBM des descripteurs de déploiement des services Web pour les modèles de programmation JAX-RPC et JAX-WS. L'environnement d'exécution de la sécurité des services Web applique les vérifications de sécurité spécifiées dans le document de règles ou dans le programme de l'application, dans cet ordre.

meilleures pratiques : IBM WebSphere Application Server prend en charge les modèles de programmation JAX-WS (Java™ API for XML-Based Web Services) et JAX-RPC (Java API for XML-based RPC). JAX-WS représente la future génération du modèle de programmation des services Web qui étend la base du modèle JAX-RPC. L'utilisation du modèle de programmation JAX-WS stratégique simplifie le développement des services et des clients Web par la prise en charge d'un modèle d'annotations normalisé. Bien que le modèle de programmation et les applications JAX-RPC soient toujours pris en charge, vous avez tout avantage à recourir au modèle de programmation JAX-WS, facile à mettre en oeuvre, pour développer de nouvelles applications et de nouveaux clients de services Web.

WebSphere Application Server utilise le modèle de déploiement des services Web Java EE (Java Platform, Enterprise Edition) Version 1.4 ou ultérieure pour implémenter la sécurité des services Web. L'un des avantages du modèle de déploiement consiste en ce que vous pouvez définir les exigences de sécurité des Services Web hors de la logique métier de l'application. Avec la séparation des rôles, le développeur de l'application peut se concentrer sur la logique métier et l'expert en sécurité peut spécifier les exigences de sécurité.

La figure ci-dessous présente le modèle d'architecture de haut niveau utilisé pour sécuriser les services Web dans WebSphere Application Server :

Modèle d'architecture de haut niveau

Vous pouvez aussi utiliser l'API WSS API pour sécuriser le message, comme illustré dans la section ci-dessous :

Client utilisant l'API WSS pour sécuriser le message

Il existe deux ensembles de configuration côté client et côté serveur.
Générateur de demande
Cette configuration côté client définit les exigences de sécurité des services Web pour la demande de message SOAP sortante. Ces exigences peuvent impliquer la génération d'une demande de message SOAP qui utilise une signature numérique, intègre le chiffrement et associe des jetons de sécurité. Dans les versions 5.0.2, 5.1 et 5.1.1 de WebSphere Application Server, le générateur de demande était appelé émetteur de demande.
Destinataire de la demande
Cette configuration côté serveur définit les exigences de sécurité des services Web pour la demande de message SOAP entrante. Ces exigences peuvent impliquer plusieurs vérifications : la configuration vérifie que les parties d'intégrité requises comportent une signature numérique, vérifie la signature numérique, vérifie que les parties confidentielles requises sont chiffrées par le générateur de demande, déchiffre les parties confidentielles requises, valide les jetons de sécurité et vérifie que le contexte de sécurité est configuré avec l'identité appropriée. Dans les versions 5.0.2, 5.1 et 5.1.1 de WebSphere Application Server, le destinataire de demande était appelé récepteur de demande.
Générateur de réponse
Cette configuration côté serveur définit les exigences de sécurité des services Web pour la réponse de message SOAP sortante. Ces exigences peuvent impliquer la génération de la réponse de message SOAP avec la sécurité des services Web, y compris l'ajout d'une signature numérique, le chiffrement et l'association de jetons de sécurité, si nécessaire. Dans les versions 5.0.2, 5.1 et 5.1.1 de WebSphere Application Server, le générateur de réponse était appelé émetteur de réponse.
Destinataire de la réponse
Cette configuration côté client définit les exigences de sécurité des Services Web pour la réponse SOAP entrante. Ces exigences peuvent impliquer plusieurs vérifications : la configuration vérifie que les parties d'intégrité sont signées, vérifie la signature, vérifie que les parties confidentielles requises sont chiffrées et que les parties sont déchiffrées, et valide les jetons de sécurité. Dans les versions 5.0.2, 5.1 et 5.1.1 de WebSphere Application Server, le destinataire de la réponse était appelé récepteur de réponse.

WebSphere Application Server n'inclut pas de négociation de stratégie de sécurité ni d'échange entre client et serveur. Cette négociation de la stratégie de sécurité, comme définie par les spécifications WS-Policy, WS-PolicyAssertion et WS-SecurityPolicy, n'est pas prise en charge par WebSphere Application Server.

Remarque : Les exigences de sécurité des Services Web définies dans le générateur de demande doivent correspondre à celles du consommateur de la demande. Les exigences définies dans le générateur de réponse doivent correspondre à celles du destinataire de la réponse. Si tel n'est pas le cas, la demande ou la réponse est rejetée car les contraintes de sécurité des Services Web ne peuvent pas être satisfaites par le consommateur de la demande et le consommateur de la réponse.
Le format des liaisons et des descripteurs de déploiement de sécurité des Services Web appartient à IBM. Toutefois, les outils suivants permettent de les éditer :
Outils d'assemblage IBM
Les outils d'assemblage IBM permettent de modifier la liaison et le descripteur de déploiement de la sécurité des services Web. Ils permettent également d'assembler des modules Web et EJB (Enterprise JavaBeans). Pour plus d'informations, reportez-vous à la rubrique relative aux outils d'assemblage.
Console d'administration de WebSphere Application Server
Cet outil permet de modifier la liaison de sécurité des Services Web d'une application déployée.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_highlvlarchwss
Nom du fichier : cwbs_highlvlarchwss.html