Ensembles de règles des services Web
Les ensembles de règles sont des assertions relatives à la façon dont les services sont définis. Ils servent à simplifier votre configuration de qualité de service pour les services Web.
Les ensembles de règles combinent les paramètres de configuration, y compris ceux de la configuration au niveau du transport et des messages, par exemple, WS-Addressing, WS-ReliableMessaging et WS-Security.
Il existe deux principaux types d'ensembles de règles ; les ensembles de règles d'application et les ensembles de règles système. Les ensembles de règles de l'application sont utilisés pour les assertions relatives aux affaires. Ces assertions sont liées aux opérations métier définies dans le fichier WSDL (Web Services Description Language). Les ensembles de règles systèmes, quant à eux, sont utilisés pour les messages système qui ne sont pas liés aux opérations métier. Ces messages ne sont pas liés aux opérations métier définies dans le WSDL, mais font référence aux messages définis dans d'autres spécifications qui appliquent des qualités de service (QoS). Ces QoS correspondent aux messages RST définis dans WS-Trust ou créent des messages de séquences dans les messages d'échange de métadonnées WS-Reliable Messaging de WS-MetadataExchange.
Les règles sont définies en fonction d'une qualité de service. La définition de règles est généralement basée sur le langage standard WS-Policy, par exemple, la règle WS-Security est basée sur les normes WS-SecurityPolicy actuelles d'OASIS (Organization for the Advancement of Structured Information Standards).
Une instance d'un ensemble de règles est constituée d'une collection de règles. Par exemple, l'ensemble de règles WS-I RSP par défaut comprend des instances des types de règles WS-Security, WS-Addressing et WS-ReliableMessaging. Un ensemble de règles est identifié par un nom unique au sein de la cellule. Un ensemble de règles vide est un ensemble de règles dans lequel aucune règle n'est définie.
- Créer
- copie
- modification
- Supprimer
- rattachement à des ressources de service telles que les applications
- détachement de ressources de service telles que les applications
- exportation
- importation
Sur le serveur d'applications, les ensembles de règles sont stockés au niveau des cellules. Les ensembles de règles sont centralisés de sorte qu'ils soient accessibles à toutes les applications du serveur.
Les ensembles de règles d'application suivants sont installés sur le profil de déploiement de base ou réseau (ND) par défaut : WS-I RSP ou WS-I RSP (ND), Username WSSecurity par défaut et WSHTTPS par défaut. WS-I RSP (ND) est installé dans un environnement de déploiement réseau.
- LTPA WSSecurity par défaut
- Kerberos V5 HTTPS par défaut
- SSL WSTransaction
- Username SecureConversation
- Username WSSecurity par défaut
- WS-Addressing par défaut
- WSHTTPS par défaut
- WS-I RSP ND
- WS-ReliableMessaging persistant
Le serveur d'applications fournit également des ensembles de règles supplémentaires que vous pouvez utiliser ou personnaliser. Pour utiliser les ensembles de règles par défaut supplémentaires, vous devez les importer du référentiel par défaut. Pour plus d'informations, lisez la rubrique relative à l'importation des ensembles de règles à partir de la console d'administration.
- WS-I RSP par défaut
- Cet ensemble de règles :
- permet la distribution fiable des messages au destinataire prévu, en activant WS-ReliableMessaging ;
- garantit l'intégrité des messages via la signature numérique, notamment la signature du corps, de l'horodatage et des en-têtes WS-Addressing et WS-ReliableMessaging, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité via le chiffrement, notamment le chiffrement du corps et des éléments de signature, à l'aide des spécifications WS-SecureConversation et WS-Security.
- LTPA WS-I RSP par défaut
- Cet ensemble de règles :
- permet la distribution fiable des messages au destinataire prévu, en activant WS-ReliableMessaging ;
- garantit l'intégrité des messages via la signature numérique, notamment la signature du corps, de l'horodatage et des en-têtes WS-Addressing et WS-ReliableMessaging, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité via le chiffrement, notamment le chiffrement du corps et des éléments de signature, à l'aide des spécifications WS-SecureConversation et WS-Security.
- fournit un jeton LTPA (Lightweight Third Party Authentication) inclus dans le message de la demande, afin d'authentifier le client auprès du service.
- Username WS-I RSP par défaut
- Cet ensemble de règles :
- permet la distribution fiable des messages au destinataire prévu, en activant WS-ReliableMessaging ;
- garantit l'intégrité des messages via la signature numérique, notamment la signature du corps, de l'horodatage et des en-têtes WS-Addressing et WS-ReliableMessaging, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité via le chiffrement, notamment le chiffrement du corps et des éléments de signature, à l'aide des spécifications WS-SecureConversation et WS-Security.
- fournit un jeton de nom d'utilisateur inclus dans le message de la demande, afin d'authentifier le client auprès du service. Le jeton de nom d'utilisateur est chiffré dans la demande.
- SecureConversation
- Cet ensemble de règles :
- garantit l'intégrité des messages via la signature numérique, notamment la signature du corps, de l'horodatage et des en-têtes WS-Addressing, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité des messages via le chiffrement, notamment le chiffrement du corps, de la signature et des éléments de confirmation par signature, à l'aide des spécifications WS-SecureConversation et WS-Security.
- LTPA SecureConversation
- Cet ensemble de règles :
- garantit l'intégrité des messages via la signature numérique, notamment la signature du corps, de l'horodatage et des en-têtes WS-Addressing, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité des messages via le chiffrement, notamment le chiffrement du corps, de la signature et des éléments de confirmation par signature, à l'aide des spécifications WS-SecureConversation et WS-Security.
- fournit un jeton LTPA (Lightweight Third Party Authentication) inclus dans le message de la demande, afin d'authentifier le client auprès du service.
- Username SecureConversation
- Cet ensemble de règles :
- garantit l'intégrité des messages via la signature numérique, notamment la signature du corps, de l'horodatage et des en-têtes WS-Addressing, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité des messages via le chiffrement, notamment le chiffrement du corps, de la signature et des éléments de confirmation par signature, à l'aide des spécifications WS-SecureConversation et WS-Security.
- fournit un jeton de nom d'utilisateur inclus dans le message de la demande, afin d'authentifier le client auprès du service. Le jeton de nom d'utilisateur est chiffré dans la demande.
- WSAddressing par défaut
- Cet ensemble de règles active le support WS-Addressing, qui utilise des références de noeud final et des propriétés d'adressage de message pour faciliter l'adressage des services Web de manière standard et interopérable.
- WSHTTPS par défaut
- Cet ensemble de règles fournit la sécurité du transport SSL pour le protocole HTTP, à l'aide d'applications de services Web.
- Kerberos V5 HTTPS par défaut
- Cet ensemble de règles fournit l'authentification des messages avec un jeton Kerberos Version 5. L'intégrité et la confidentialité des messages sont assurées par la sécurité du transport SSL (Secure Sockets Layer). Cet ensemble de règles suit les spécifications Kerberos Token Profile V1.1 et WS-Security d'OASIS.
Lorsque vous utilisez cet ensemble de règles, configurez les données d'authentification de base et les propriétés personnalisées, telles que com.ibm.wsspi.wssecurity.krbtoken.targetServiceName et com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost dans les liaisons client. Pour plus d'informations, voir les rubriques Paramètres des jetons d'authentification du générateur ou du destinataire et Paramètres des jetons de protection (générateur ou destinataire).
- Kerberos V5 SecureConversation
- Cet ensemble de règles fournit l'intégrité des messages par la
signature numérique du corps du message, l'horodatage et les en-têtes
WS-Addressing. La confidentialité des messages est assurée par le codage et la signature du corps.
Les règles d'amorce sont configurées avec le jeton Kerberos V5. Cet
ensemble de règles suit la spécification WS-SecureConversation, OASIS
pour le profil de jeton Kerberos en plus de la spécification
WS-Security.
Pour utiliser cet ensemble de règles, vous devez aussi utiliser les modèles de liaisons des modèles Client V2 et Provider V2 pour vos applications. Pour plus d'informations, reportez-vous à la rubrique Modèles de liaisons générales pour les applications JAX-WS. Pour utiliser ce nouvel ensemble de règles, créez un profil après avoir installé le produit.
Pour mettre à jour les profils existants avec ce nouvel ensemble de règles et les liaisons générales des modèles Client V2 et Provider V2, des étapes de configuration manuelles sont à accomplir. Il suffit de mettre à jour le profil du gestionnaire de déploiement et les profils des serveurs d'applications autonomes. Pour accomplir ces étapes avec un profil existant, reportez-vous à la rubrique Configuration des ensembles de règles Kerberos et des modèles de liaisons générales V2.
- Kerberos V5 WSSecurity par défaut
- Cet ensemble de règles fournit l'intégrité des messages par la
signature numérique du corps du message, l'horodatage et les en-têtes
WS-Addressing. La confidentialité des messages est assurée par le
codage et la signature du corps du message via le chiffrement AES
(Advanced Encryption Standard). La clé dérivée du jeton Kerberos V5
est utilisée. Cet ensemble de règles suit la spécification OASIS pour
le profil de jeton Kerberos en plus de la spécification WS-Security.
Pour utiliser cet ensemble de règles, vous devez aussi utiliser les modèles de liaisons des modèles Client V2 et Provider V2 pour vos applications. Pour plus d'informations, reportez-vous à la rubrique Modèles de liaisons générales pour les applications JAX-WS. Pour utiliser ce nouvel ensemble de règles, créez un profil après avoir installé le produit.
Pour mettre à jour les profils existants avec ce nouvel ensemble de règles et les liaisons générales des modèles Client V2 et Provider V2, des étapes de configuration manuelles sont à accomplir. Il suffit de mettre à jour le profil du gestionnaire de déploiement et les profils des serveurs d'applications autonomes. Pour accomplir ces étapes avec un profil existant, reportez-vous à la rubrique Configuration des ensembles de règles Kerberos et des modèles de liaisons générales V2.
- TrustServiceKerberosDefault
- Cet ensemble de règles indique l'algorithme symétrique, ainsi que
les clés dérivés en vue de sécuriser les messages. L'intégrité des
messages est assurée par la signature numérique du corps du message,
l'horodatage et les en-têtes WS-Addressing à l'aide de l'algorithme
HMAC-SHA1. La confidentialité des messages est assurée par le codage
de la signature et du corps du message via le chiffrement AES
(Advanced Encryption Standard). Cet ensemble de règles obéit aux
spécifications de WS-Security et de Secure Conversation pour émettre
et renouveler les demandes d'opérations sécurisées.
Pour utiliser cet ensemble de règles, vous devez aussi utiliser les modèles de liaisons des modèles Client V2 et Provider V2 pour vos applications. Pour plus d'informations, reportez-vous à la rubrique Modèles de liaisons générales pour les applications JAX-WS. Pour utiliser ce nouvel ensemble de règles, créez un profil après avoir installé le produit.
Pour mettre à jour les profils existants avec ce nouvel ensemble de règles et les liaisons générales des modèles Client V2 et Provider V2, des étapes de configuration manuelles sont à accomplir. Il suffit de mettre à jour le profil du gestionnaire de déploiement et les profils des serveurs d'applications autonomes. Pour accomplir ces étapes avec un profil existant, reportez-vous à la rubrique Configuration des ensembles de règles Kerberos et des modèles de liaisons générales V2.
- WSReliableMessaging par défaut
- Cet ensemble de règles active WS-ReliableMessaging Version 1.1 et WS-Addressing. Il utilise également la qualité de service minimale, non permanente non gérée. Cette qualité de service requiert une configuration minimale. Cependant, elle n'est pas transactionnelle et bien que permettant le renvoi des messages perdus sur le réseau, si le serveur devient indisponible, vous perdez les messages. Cette qualité de service s'applique à un serveur unique et ne fonctionne pas dans un cluster. La livraison dans l'ordre a pour valeur "false", de sorte que les messages ne sont pas nécessairement livrés dans l'ordre dans lequel ils ont été envoyés.
- WSReliableMessaging permanent
- Cet ensemble de règles active WS-ReliableMessaging et WS-Addressing. Il utilise également la qualité de service minimale, permanente gérée. Cette qualité de service prend en charge les appels de services Web asynchrones et utilise un moteur de messagerie d'intégration de service ainsi qu'un emplacement de stockage des messages pour gérer l'état de la séquence. Les messages sont traités au sein de transactions, conservés sur le serveur du demandeur de service Web et sur le serveur du fournisseur de services Web et peuvent être récupérés en cas de défaillance du serveur. La livraison dans l'ordre a pour valeur "false", de sorte que les messages ne sont pas nécessairement livrés dans l'ordre dans lequel ils ont été envoyés.
- Etant donné que cet ensemble de règles indique une qualité de service permanente gérée, vous devez définir des liaisons vers le bus d'intégration de services et le moteur de messagerie via lesquels vous allez gérer l'état WS-ReliableMessaging. Vous pouvez associer et lier un ensemble de règles WS-ReliableMessaging à une application de service Web à l'aide de la console d'administration ou de l'outil wsadmin.
- WSReliableMessaging 1_0
- Cet ensemble de règles active WS-ReliableMessaging Version 1.0 et WS-Addressing. Il utilise également la qualité de service minimale, non permanente non gérée. Cette qualité de service requiert une configuration minimale. Cependant, elle n'est pas transactionnelle et bien que permettant le renvoi des messages perdus sur le réseau, si le serveur devient indisponible, vous perdez les messages. Cette qualité de service s'applique à un serveur unique et ne fonctionne pas dans un cluster. La livraison dans l'ordre a pour valeur "false", de sorte que les messages ne sont pas nécessairement livrés dans l'ordre dans lequel ils ont été envoyés.
- Cet ensemble de règles est compatible avec les services Web .NET.
- WSSecurity par défaut
- Cet ensemble de règles :
- garantit l'intégrité des messages via la signature numérique (à l'aide du chiffrement à clé publique RSA), qui permet de signer le corps, l'horodatage et les en-têtes WS-Addressing, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité via le chiffrement (à l'aide du chiffrement à clé publique RSA), qui permet de chiffrer le corps, la signature et les éléments de signature, à l'aide des spécifications WS-Security.
- LTPA WSSecurity par défaut
- Cet ensemble de règles :
- garantit l'intégrité des messages via la signature numérique (à l'aide du chiffrement à clé publique RSA), qui permet de signer le corps, l'horodatage et les en-têtes WS-Addressing, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité via le chiffrement (à l'aide du chiffrement à clé publique RSA), qui permet de chiffrer le corps, la signature et les éléments de signature, à l'aide des spécifications WS-Security.
- fournit un jeton LTPA (Lightweight Third Party Authentication) inclus dans le message de la demande, afin d'authentifier le client auprès du service.
- Username WSSecurity par défaut
- Cet ensemble de règles :
- garantit l'intégrité des messages via la signature numérique (à l'aide du chiffrement à clé publique RSA), qui permet de signer le corps, l'horodatage et les en-têtes WS-Addressing, à l'aide des spécifications WS-SecureConversation et WS-Security ;
- garantit la confidentialité via le chiffrement (à l'aide du chiffrement à clé publique RSA), qui permet de chiffrer le corps, la signature et les éléments de signature, à l'aide des spécifications WS-Security.
- fournit un jeton de nom d'utilisateur inclus dans le message de la demande, afin d'authentifier le client auprès du service. Le jeton de nom d'utilisateur est chiffré dans la demande.
- WSTransaction
- Cet ensemble de règles active WS-Transaction qui permet :
- la coordination atomique et interopérable des travaux transactionnels répartis, à l'aide de la spécification WS-AtomicTransaction ;
- la coordination de processus métier dispersés, répartis dans l'environnement de services Web hétérogène, avec la capacité de compenser des actions si un incident se produit dans l'activité métier, à l'aide de la spécification WS-BusinessActivity.
- SSL WSTransaction
- Cet ensemble de règles active WS-Transaction qui permet :
- la coordination atomique, interopérable et sécurisée des travaux transactionnels répartis, à l'aide de la spécification WS-AtomicTransaction et de la sécurité de transport SSL.
- la coordination de processus métier dispersés, avec la capacité de compenser des actions si un incident se produit dans l'activité métier, à l'aide de la spécification WS-BusinessActivity et de la sécurité du transport SSL.
Les ensembles de règles ne contiennent pas d'informations propres à l'environnement ou à la plateforme, telles que les clés de signature, des informations relatives aux fichiers de clés ou des informations de stockage permanent. Ce type d'informations est défini dans la liaison. Une association d'ensemble de règles définit la façon dont un ensemble de règles est associé à des liaisons et ressources de service. La définition d'association est extérieure à la définition d'ensemble de règles et est définie sous forme de métadonnées associées à des données d'application.
Les liaisons comprennent des informations propres à l'environnement et à la plateforme. Les liaisons générales, telles que les liaisons de client ou de fournisseur de services pour le domaine de sécurité global peuvent être partagées entre applications.
Pour permettre aux ensembles de règles de gérer des applications, des liaisons sont nécessaires. Utilisez la console d'administration pour configurer des liaisons générales et des liaisons spécifiques à une application. Pour plus d'informations sur la gestion des associations et des liaisons, consultez la rubrique relative à la définition d'informations de liaison pour les ensembles de règles.