Ajout de portions chiffrées à l'aide de l'API WSSEncryptPart
Vous pouvez sécuriser les messages SOAP, sans utiliser d'ensemble de règles de configuration, en utilisant les API Web Services Security (WSS API). Pour configurer les portions chiffrées pour les liaisons du générateur de la demande (côté client), utilisez l'API WSSEncryptPart afin de définir les portions chiffrées ou d'ajouter des éléments à la liste. WSSEncryptPart est une interface qui se trouve dans le package com.ibm.websphere.wssecurity.wssapi.encryption.
Avant de commencer
Vous pouvez utiliser les API WSS ou configurer des ensembles de règles à l'aide de la console d'administration pour activer les portions chiffrées. Pour sécuriser des messages SOAP, utilisez les API WSS afin d'exécuter les tâches de chiffrement suivantes, si besoin est :
- Configurez le chiffrement et choisissez les méthodes de chiffrement à l'aide de l'API WSSEncryption.
- Configurez les portions chiffrées à l'aide de l'API WSSEncryptpart, si besoin est.
Pourquoi et quand exécuter cette tâche
Les paramètres de confidentialité exigent l'application de contraintes de confidentialité aux messages générés. Ces contraintes incluent l'indication des portions du message généré à chiffrer et celles auxquelles associer des éléments chiffrés. Les informations de chiffrement côté générateur sont utilisées pour chiffrer un message SOAP sortant. Le générateur de la requête est configuré pour le client.
L'API WSSEncryptPart fournit des informations sur les portions chiffrées et définit celles ajoutées pour protéger la confidentialité des messages. Utilisez-la pour définir la méthode de transformation et préciser la portion à laquelle elle doit être appliquée. Elle définit uniquement la méthode de transformation si le protocole SOAP est employé pour les associations. L'API WSSEncryptPart n'est généralement pas obligatoire, sauf dans certains cas pour des tâches comme la définition de la méthode de transformation.
Les portions chiffrées et les informations relatives affichées dans le tableau suivant servent à protéger la confidentialité des messages.
Portions chiffrées | Description |
---|---|
part | Ajoute l'objet WSSEncryptPart comme cible de la portion chiffrée. |
keyword | Ajoute les portions chiffrées à l'aide de mots clés. Les portions chiffrées par défaut que vous pouvez ajouter à l'aide de mots clés sont BODY_CONTENT et SIGNATURE. WebSphere Application Server prend en charge les mots clés suivants :
|
xpath | Ajoute la portion chiffrée à l'aide d'une expression XPath. |
signature | Ajoute le composant WSSSignature comme cible de la portion
chiffrée. WSSSignature s'applique uniquement si le message SOAP comporte un élément de signature. |
header | Ajoute l'en-tête SOAP, indiqué par QName, comme cible de la partie chiffrée. |
securityToken | Ajoute l'objet SecurityToken comme cible de la partie chiffrée. |
Certains comportements par défaut s'appliquent aux portions chiffrées. La façon la plus simple d'utiliser l'API WSSEncryptPart est d'appliquer les comportements par défaut. Elle fournit des valeurs par défaut pour l'algorithme de transformation, les objets cibles et les portions chiffrées (comme le contenu du corps SOAP et la signature).
Les comportements de chiffrement par défaut incluent :
Choix relatifs aux portions chiffrées | Comportement par défaut |
---|---|
Parties de message SOAP à chiffrer à l'aide de mots clés | Indique les mots clés à employer pour les portions chiffrées. WebSphere Application Server définit par défaut les pportions de message SOAP suivantes pour le chiffrement :
|
La méthode de transformation à ajouter | WebSphere Application Server n'indique aucune méthode de transformation par défaut. Spécifiez une méthode de transformation uniquement si vous utilisez le protocole SOAP avec des associations. |
Procédure
Résultats
Que faire ensuite
Après l'activation des portions chiffrées pour la liaison du générateur de la demande (côté client), vous devez indiquer les mêmes portions à déchiffrer pour la liaison du destinataire de la réponse (côté client). Ensuite, pour configurer le déchiffrement et les portions déchiffrées, utilisez les API WSS ou configurez des ensembles de règles à l'aide de la console d'administration.