Serviço de Confiança

O serviço de token de segurança fornecido pelo WebSphere Application Server é chamado serviço confiável. O serviço confiável do WebSphere Application Server utiliza os mecanismos de sistema de mensagens segura do WS-Trust (Web Services Trust) para definir as extensões adicionais para a emissão, a troca e a validação de tokens de segurança.

O WS-Trust (Web Services Trust) é um padrão OASIS que possibilita a interoperabilidade de tokens de segurança pela definição de um protocolo de pedido/resposta. Esse protocolo permite que agentes SOAP, como um cliente de serviços da Web, solicitem alguma autoridade confiável se um token de segurança específico for trocado por outro.

O WebSphere Application Server não está fornecendo um serviço de token de segurança completo que implementa todo o conteúdo da especificação do rascunho do WS-Trust. O suporte do WebSphere Application Server do WS-Trust enfoca o estabelecimento de um token de contexto de segurança para conversação segura. O WebSphere Application Server suporta vários dos recursos de segurança descritos na versão 1.3 do padrão OASIS do WS-Trust, de 19 de março de 2007.

Cliente WS-Trust de Terceiros

O WebSphere Application Server não fornece uma implementação de cliente do WS-Trust. É possível usar um cliente ativado pelo WS-Trust de terceiro, mas se isso for feito, o WebSphere Application Server não suportará um cliente ativado de confiança de terceiro. Um cliente de confiança pode facilitar a geração dessas mensagens soap e o processamento da resposta, mas o cliente não é necessário.

O WebSphere Application Server enfoca a emissão, a renovação e o cancelamento do token de contexto de segurança para o WS-SecureConversation (Web Services Secure Conversation).

Deve-se seguir a especificação WS-Trust para fazer pedidos do serviço de confiança. Essa especificação inclui a utilização de cabeçalhos WS-Addressing (Web Services Addressing). Os cabeçalhos WS-Addressing são definidos nas especificações de agosto de 2004 ou de agosto de 2005. De acordo com a especificação, o corpo SOAP deve consistir em um único elemento RequestSecurityToken. Esse elemento pode conter subelementos, conforme definido nas especificações WS-Trust e WS-SecureConversation.

É possível proteger as mensagens SOAP WS-Trust utilizando a política de auto-inicialização definida no conjunto de política. A política de segurança de auto-inicialização é chamada no processo de um inicializador que estabelece a comunicação com um serviço de aplicativo. Pedidos iniciais para serviços diferentes do serviço de aplicativo são protegidos pela utilização da política de auto-inicialização. Esses pedidos inicias geralmente envolvem um ou mais pedidos para um STS (security token service), como o serviço confiável do WebSphere Application Server. Um exemplo de pedido pode ser a aquisição do token de contexto de segurança necessário para o WS-SecureConversation. Um inicializador é a função que inicia o pedido original e, na maioria dos casos, é o cliente. O conjunto de política de auto-inicialização do cliente deve corresponder aos conjuntos de políticas anexados de emissão e renovação do serviço de confiança para o terminal. Os conjuntos de políticas anexados de validação e cancelamento do serviço de confiança para o terminal devem corresponder ao conjunto de política do aplicativo do cliente.

O Websphere Application Server fornece duas formas de proteger mensagens SOAP destinadas ao serviço de confiança. Uma delas é utilizar a política de auto-inicialização definida no conjunto de política. A outra é utilizar o WSS API (Web Services Security API). Seu aplicativo pode utilizar o WSS API para adquirir o token de contexto de segurança para o WS-SecureConversation programático baseado na API.

Para Conversação Segura, um pedido do cliente para um trabalho de terminal é suspenso enquanto um novo (segundo) pedido é gerado e processado pelo serviço de confiança. O token de contexto de segurança retornado com o segundo pedido é utilizado para derivar chaves que protegem a comunicação com o serviço.

Funções do Serviço de Confiança de Alto Nível

A lista a seguir inclui as funções relacionadas do WS-Trust atualmente suportadas no WebSphere Application Server. A lista não é completa e tem como foco apenas as funções de alto nível.

  • O componente de serviço confiável é incorporado e está disponível em cada WebSphere Application Server que processa as mensagens de protocolo do WS-Trust.
  • A comunicação é realizada pelo RST (RequestSecurityToken), RSTC (RequestSecurityTokenCollection), RSTR (RequestSecurityTokenResponse) e RSTRC (RequestSecurityTokenResponseCollection).
    Nota: É possível fazer um pedido RST para um serviço de token de segurança externo (serviço de confiança). Entretanto, a restrição é que o token de contexto de segurança, que é necessária para o WS-SecureConversation, deve ser fornecida pelo serviço confiável do WebSphere Application Server.
  • Uma política de segurança para cada uma das operações do WS-Trust (emitir, cancelar, validar e renovar).
  • Provedor de Token de Contexto de Segurança pré-configurado que emite tokens para uma URL específica.
  • Especificação de parâmetros específicos do token de um provedor de tokens (por exemplo, tempo de expiração).
  • Um token de contexto de segurança para WS-SecureConversation.
  • Suporte ao armazenamento em cache para o token de contexto de segurança nos ambientes em cluster e sem cluster. O WebSphere Application Server emitirá os tokens de contexto de segurança quando solicitados se o pedido atender os requisitos de segurança. Entretanto o WS-SecureConversation fornecido pelo WebSphere Application Server só processa tokens de contexto de segurança emitidos pelo WebSphere Application Server.
  • Note que o serviço confiável do WebSphere Application Server só suporta o token de contexto de segurança.
  • O serviço de confiança suporta as versões da especificação de Envio (2004/08) e da especificação final (2005/08) de WS-Addressing.
  • O serviço de confiança utiliza um conjunto de política padrão chamado TrustServiceSecurityDefault, que inclui o WS-Security e o WS-Addressing e fornece a segurança padrão para as operações de emissão e renovação.
  • O serviço de confiança utiliza um segundo conjunto de política padrão chamado TrustServiceSymmetricDefault, que inclui o WS-Security e o WS-Addressing e fornece a segurança padrão para as operações de cancelamento e validação.

Funções do Serviço de Confiança Não Suportadas

As funções a seguir do WS-Trust de alto nível não são suportadas no WebSphere Application Server. A lista não é completa e tem como foco apenas as funções-chave:
  • Nenhum protocolo de negociação e troca é suportado.
  • Nenhum outro tipo de token pronto para o uso é atualmente suportado; apenas o token de contexto de segurança é suportado.
  • Nenhuma especificação Trust10 de WS-SecurityPolicySet é suportada.
  • Não é suportado nenhum RSTR (RequestSecurityTokenResponse) não solicitado.
  • Um pedido RST (Request Security Token) não pode ser emitido para um STS (Security Token Service) para estabelecer uma conversação segura; apenas o serviço de confiança integrado é atualmente suportado.
  • Os pedidos de política contidos no RST não são considerados.
  • A capacidade de correção de um token (a operação de correção) não é suportada.
  • Um terminal externo dedicado para acesso ao serviço de token não é suportado; apenas o serviço de confiança integrado é suportado atualmente.
  • O serviço de confiança não suporta o elemento entropy que contém uma EncryptedKey.
  • A delegação e o redirecionamento não são suportados.
  • O elemento OnBehalfOf não é suportado.
  • A ligação KET (Key Exchange Token) não é suportada.

Operações do Serviço de Confiança

O WebSphere Application Server suporta especificamente a capacidade do serviço confiável, em nome do terminal, para emitir um token de contexto de segurança para o WS-SecureConversation. O suporte à emissão de tokens é atualmente limitado apenas ao token de contexto de segurança. Também existe um gerenciamento de política de confiança para definir uma política para o serviço de confiança para emitir, cancelar, validar ou renovar tokens.

O serviço de token suporta o Espaço de Nomes do Esquema WS-Trust. Neste espaço de nomes, as seguintes ações são suportadas:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
O serviço de token também suporta o espaço de nomes do esquema WS-SecureConversation. Neste espaço de nomes, as seguintes ações são suportadas:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/SCT/Renew

Um RST de entrada para a operação de emissão do token de contexto de segurança deve conter um elemento Entropy. O elemento Entropy deve conter um BinarySecret. O serviço de confiança não suporta o elemento Entropy que contém uma EncryptedKey.

Observe que o serviço de confiança não suporta ações RSTR não solicitadas. Além disso, a capacidade de corrigir um token não é suportada pelo WebSphere Application Server. Além disso, consulte a seção intitulada Funções do Serviço de Confiança não Suportadas.

Arquivos Relacionados ao Conjunto de Política de Confiança

O conjunto de política de serviço de confiança padrão para emissão e renovação é TrustServiceSecurityDefault. É possível configurar o conjunto de política correspondente e a ligação para cada URL de terminal em serviço.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wstrust
Nome do arquivo: cwbs_wstrust.html