Dicas de Conformidade do Basic Security Profile
O Web Services Interoperability Organization (WS-I) Basic Security Profile (BSP) 1.0 promove interoperabilidade fornecendo esclarecimentos e amplificações para um conjunto de especificações de serviços da Web sem propriedade. O WebSphere Application Server Web Services Security fornece opções de configuração para garantir que as recomendações e as considerações de segurança do BSP possam ser ativadas para garantir interoperabilidade. O grau até o qual você segue essas recomendações é uma medida de até que ponto o aplicativo que você está configurando está em conformidade com o BSP (Basic Security Profile).
O suporte para aplicativos para corresponder ao BSP (Basic Security Profile) é novo no WebSphere Application Server Versão 9.0. Para obter informações adicionais sobre o Basic Security Profile, consulte WS-I (Web Services Interoperability) Organization BSP (Basic Security Profile), Basic Security Profile Versão 1.0.
É possível utilizar uma lista predefinida de palavras-chave ou expressões XPath para estar em conformidade com o BSP. As palavras-chave e as expressões XPath são especificadas no arquivo de configuração do descritor de implementação e são configuradas por meio de uma ferramentas de montagem.
Recomendações do Basic Security Profile
- Não utilize a transformação XPath original, http://www.w3.org/TR/1999/REC-xpath-19991116
Ao fazer referência a um elemento em um SECURE_ENVELOPE que não possui um tipo de atributo ID de um ds:Reference em um elemento SIGNATURE, você deve utilizar a transformação do XPath Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2 para fazer referência a esse elemento.
Qualquer atributo ds:Transform/@Algorithm em um elemento SIGNATURE deve ter um destes valores:- http://www.w3.org/2001/10/xml-exc-c14n#
- http://www.w3.org/2002/06/xmldsig-filter2
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Content-Only-Transform
- http://docs.oasis-open.org/wss/2004/XX/oasis-2004XX-wss-swa-profile-1.0#Attachment-Complete-Transform
- Não utilize o algoritmo de assinatura http://www.w3.org/2000/09/xmldsig#dsa-sha1.Qualquer elemento ds:SignatureMethod/@Algorithm em um SIGNATURE baseado em uma chave simétrica deve ter um dos seguintes valores:
- Não especifique a palavra-chave digestvalue para a parte da mensagem a ser criptografada. Em vez disso, utilize a palavra-chave signature.
Se o valor de um elemento ds:DigestValue em um elemento SIGNATURE requer criptografia, o elemento ds:Signature pai inteiro deve ser criptografado. Um SIGNATURE não deve ter nenhum elemento xenc:EncryptedData entre seus descendentes.
- Não utilize o tipo de informações chave KEYNAME
As referências KEYNAME podem ser ambíguas e a conformidade com o BSP não permite a utilização de KEYNAME.
Um SECURITY_TOKEN_REFERENCE não deve utilizar um nome de chave para fazer referência a um SECURITY_TOKEN. O elemento filho de um elemento ds:KeyInfo em um ENCRYPTED_KEY deve ser SECURITY_TOKEN_REFERENCE ou um elemento ds:MgmtData. Utilizando um tipo de informação chave KEYNAME para uma chave de criptografia resulta em um elemento filho KeyName de um elemento ds:KeyInfo e não é permitido para conformidade com BSP.
- Não utilize o algoritmo de criptografia de dados de bits http://www.w3.org/2001/04/xmlenc#aes192-cbc.Qualquer atributo xenc:EncryptionMethod/@Algorithm em um elemento ENCRYPTED_DATA deve ter um destes valores:
- Não utilize o agrupamento de chaves AES (Advanced Encryption Standard) (aes192): algoritmo de criptografia de chaves http://www.w3.org/2001/04/xmlenc#kw-aes192.Quando utilizado para o agrupamento de chaves, qualquer atributo xenc:EncryptionMethod/@Algorithm de um elemento ENCRYPTED_KEY deve ter um destes valores:
Opções de Configuração para Conformidade com BSP
- Ao configurar o elemento ds:Transforms em uma assinatura, a lista de transformações deve incluir como seu último elemento filho http://www.w3.org/2001/10/xml-exc-c14n# ou http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- Inclua um elemento wsse:Nonce ou wsse:Created em um token Username para evitar a reprodução. Após a inclusão do elemento, assine o token Username para evitar a alteração não detectada desses campos; caso contrário, a reprodução pode ocorrer.