Conjuntos de políticas de serviços da Web

Os conjuntos de políticas são asserções sobre como os serviços são definidos. Eles são utilizados para simplificar sua configuração de qualidade de serviço para serviço da Web.

Nota: É possível utilizar conjuntos de política apenas com aplicativos JAX-WS (API Java™ para Serviços da Web Baseados em XML). Você não pode utilizar conjuntos de política com aplicativos JAX-RPC (API Java para RPC Baseados em XML).

Os conjuntos de políticas combinam definições de configuração, inclusive aquelas para configuração de transporte e nível de mensagem, como WS-Addressing, WS-ReliableMessaging e WS-Security.

Há dois tipos principais de conjuntos de políticas; conjuntos de políticas de aplicativo e conjuntos de políticas de sistema. Os conjuntos de políticas de aplicativo são utilizados para asserções relacionadas a negócios. Essas asserções também estão relacionadas às operações de negócios definidas no arquivo WSDL (Web Services Description Language). Por outro lado, os conjuntos de políticas de sistema, são utilizados para mensagens de sistema não relacionadas a negócios. Essas mensagens não estão relacionadas às operações de negócios definidas no WSDL, mas se referem às mensagens definidas em outras especificações que aplicam QoS (qualidade de serviço). Exemplos de QoS são as mensagens RST (request security token) que são definidas no WS-Trust, ou mensagens de sequência de criação são definidas nas mensagens de troca de metadados do WS-Reliable Messaging do WS-MetadataExchange.

As políticas são definidas com base em uma qualidade de serviço. A definição de política geralmente é baseada na linguagem padrão de WS-Policy, por exemplo, a política WS-Security é baseada na WS-SecurityPolicy atual dos padrões da OASIS (Organization for the Advancement of Structured Information Standards).

Uma instância de um conjunto de política consiste em uma coleção de políticas. Por exemplo, o conjunto de política padrão WS-I RSP consiste em instâncias dos tipos de política do WS-Security, do WS-Addressing e do WS-ReliableMessaging. Um conjunto de política é identificado por um nome exclusivo que é exclusivo na célula. Um conjunto de política vazio é um conjunto de política sem políticas definidas.

É possível utilizar um conjunto de política padrão após ele ser importado. Se quiser alterar as propriedades para um conjunto de política padrão não editável, você precisará copiar o conjunto de política para criar uma versão editável para modificar. Consulte a cópia do conjunto de política padrão e das configurações de ligação. É possível desempenhar as seguintes ações nos conjuntos de políticas:
  • criar
  • copiar
  • editar
  • excluir
  • conectar aos recursos de serviço como aplicativos
  • desconectar dos recursos de serviço como aplicativos
  • exportar
  • importar
Note quais funções é possível configurar usando os conjuntos de políticas e o relacionamento das informações de segurança configuradas. Um conjunto de política padrão está incluído para você poder importar; depois copie e renomeie para reutilização. É possível utilizar um conjunto de política padrão após ele ser importado, mas se quiser alterar alguma de suas configurações, você precisará copiar o conjunto de política para criar uma versão editável. A configuração pode ser alterada e customizada na cópia.
Importante: Só é possível copiar e customizar conjuntos de políticas utilizando o console administrativo ou comandos administrativos. Os conjuntos de políticas não funcionarão corretamente se forem copiados manualmente.

No servidor de aplicativos, os conjuntos de políticas são armazenados no nível de célula. Os conjuntos de políticas estão localizados centralmente de modo que estejam disponíveis para todos os aplicativos no servidor.

Os seguintes conjuntos de políticas do aplicativo estão instalados no perfil de base ou de implementação de rede (ND) por padrão: WS-I RSP ou WS-I RSP (ND), padrão de WSSecurity de nome de usuário e padrão de WSHTTPS. O WS-I RSP (ND) é instalado em um ambiente de implementação de rede.

Os seguintes conjuntos de políticas estão prontos para você utilizar no estado em que se encontram.
  • Padrão LTPA WSSecurity
  • Padrão HTTPS Kerberos V5
  • SSL WSTransaction
  • Username SecureConversation
  • Padrão Username WSSecurity
  • Padrão WS-Addressing
  • Padrão WSHTTPS
  • WS-I RSP ND
  • WS-ReliableMessaging persistente

O servidor de aplicativos também fornece outros conjuntos de políticas padrão que é possível utilizar ou customizar. Para utilizar os conjuntos de políticas adicionais, você deve importá-los do repositório padrão. Leia sobre a importação de conjuntos de políticas do console administrativo para obter informações adicionais.

Os conjuntos de políticas padrão a seguir são fornecidos:
WS-I RSP Padrão
Este conjunto de política fornece:
  • Entrega de mensagem confiável para o receptor pretendido, ativando-se a WS-ReliableMessaging
  • Integridade da mensagem por assinatura digital, que inclui assinatura do corpo, registro de data e hora, cabeçalhos WS-Addressing e WS-ReliableMessaging usando as especificações WS-SecureConversation e WS-Security
  • Confidencialidade por meio de criptografia, que inclui criptografia do corpo, elementos de assinatura, usando as especificações WS-SecureConversation e WS-Security
Padrão LTPA WS-I RSP
Este conjunto de política fornece:
  • Entrega de mensagem confiável para o receptor pretendido, ativando-se a WS-ReliableMessaging
  • Integridade da mensagem por assinatura digital, que inclui assinatura do corpo, registro de data e hora, cabeçalhos WS-Addressing e WS-ReliableMessaging usando as especificações WS-SecureConversation e WS-Security
  • Confidencialidade por meio de criptografia, que inclui criptografia do corpo, elementos de assinatura, usando as especificações WS-SecureConversation e WS-Security
  • Um token LTPA (Lightweight Third Party Authentication), incluído na mensagem de pedido para autenticar o cliente para o serviço
Padrão Username WS-I RSP
Este conjunto de política fornece:
  • Entrega de mensagem confiável para o receptor pretendido, ativando-se a WS-ReliableMessaging
  • Integridade da mensagem por assinatura digital, que inclui assinatura do corpo, registro de data e hora, cabeçalhos WS-Addressing e WS-ReliableMessaging usando as especificações WS-SecureConversation e WS-Security
  • Confidencialidade por meio de criptografia, que inclui criptografia do corpo, elementos de assinatura, usando as especificações WS-SecureConversation e WS-Security
  • Um token de nome de usuário incluído na mensagem de pedido para autenticar o cliente para o serviço. O token de nome de usuário é criptografado no pedido
SecureConversation
Este conjunto de política fornece:
  • Integridade da mensagem por assinatura digital, que inclui assinatura do corpo, registro de data e hora e cabeçalhos WS-Addressing usando especificações WS-SecureConversation e WS-Security
  • Confidencialidade da mensagem por criptografia, que inclui criptografia do corpo, assinatura e elementos de confirmação de assinatura, usando as especificações WS-SecureConversation e WS-Security
LTPA SecureConversation
Este conjunto de política fornece:
  • Integridade da mensagem por assinatura digital, que inclui assinatura do corpo, registro de data e hora e cabeçalhos WS-Addressing usando especificações WS-SecureConversation e WS-Security
  • Confidencialidade da mensagem por criptografia, que inclui criptografia do corpo, assinatura e elementos de confirmação de assinatura, usando as especificações WS-SecureConversation e WS-Security
  • Um token LTPA (Lightweight Third Party Authentication), incluído na mensagem de pedido para autenticar o cliente para o serviço
Username SecureConversation
Este conjunto de política fornece:
  • Integridade da mensagem por assinatura digital, que inclui assinatura do corpo, registro de data e hora e cabeçalhos WS-Addressing usando especificações WS-SecureConversation e WS-Security
  • Confidencialidade da mensagem por criptografia, que inclui criptografia do corpo, assinatura e elementos de confirmação de assinatura, usando as especificações WS-SecureConversation e WS-Security
  • Um token de nome de usuário incluído na mensagem de pedido para autenticar o cliente para o serviço. O token de nome de usuário é criptografado no pedido
Padrão WSAddressing
Ativa o suporte de WS-Addressing, que utiliza referências de terminal e propriedades de endereçamento de mensagem para facilitar o endereçamento de serviços da Web em uma maneira padronizada e interoperável.
Padrão WSHTTPS
Fornece segurança de transporte SSL para o protocolo HTTP com aplicativos de serviços da Web.
Padrão HTTPS Kerberos V5
Este conjunto de política fornece autenticação de mensagem com um token Kerberos Versão 5. A confidencialidade e a integridade da mensagem são fornecidas pela segurança do transporte Secure Sockets Layer (SSL). Esse conjunto de política segue as especificações OASIS Kerberos Token Profile V1.1 e WS-Security.

Quando você utilizar esse conjunto de política, configure os dados de autenticação básicos e as propriedades customizadas, como com.ibm.wsspi.wssecurity.krbtoken.targetServiceName e com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost nas ligações de cliente. Para obter informações adicionais, consulte os tópicos Configurações do Token do Consumidor ou Gerador de Autenticação e Configurações do Token de Proteção (gerador ou consumidor).

Conversação Segura do Kerberos V5
Este conjunto de política fornece integridade da mensagem por meio da assinatura digital do corpo, do registro de data e hora e dos cabeçalhos do WS-Addressing. O sigilo da mensagem é oferecido pela criptografia do corpo e assinatura. A política de auto-inicialização é configurada com o token Kerberos V5. Esse conjunto de política segue o WS-SecureConversation, a especificação OASIS para o Kerberos Token Profile, além da especificação WS-Security.

Para usar este conjunto de política, você também deve usar as ligações de amostra gerais Client sample V2 e Provider sample V2 para seus aplicativos. Para obter informações adicionais, consulte o tópico Ligações de Amostra Gerais para Aplicativos JAX-WS. Para usar este novo conjunto de políticas, crie um novo perfil após instalar o produto.

Para atualizar perfis existentes com esse novo conjunto de política e as ligações gerais, ligações de amostra gerais Amostra de Cliente V2 e Amostra de Provedor V2, você deve concluir algumas etapas manuais. Você só precisa atualizar perfil de gerenciador de implementação e os perfis do servidor de aplicativos independente. Para concluir as etapas manuais para um perfil existente, consulte o tópico Configurando Conjuntos de Políticas Kerberos e Ligações de Amostra Gerais V2.

Padrão WSSecurity do Kerberos V5
Este conjunto de política fornece integridade da mensagem por meio da assinatura digital do corpo, do registro de data e hora e dos cabeçalhos do WS-Addressing. O sigilo da mensagem é fornecido pela criptografia do corpo e assinatura utilizando a criptografia Advanced Encryption Standard (AES). A chave derivada do token Kerberos V5 é utilizada. Esse conjunto de política segue a especificação OASIS para o Kerberos Token Profile, além da especificação WS-Security.

Para usar este conjunto de política, você também deve usar as ligações de amostra gerais Client sample V2 e Provider sample V2 para seus aplicativos. Para obter informações adicionais, consulte o tópico Ligações de amostra gerais para aplicativos JAX-WS. Para usar este novo conjunto de políticas, crie um novo perfil após instalar o produto.

Para atualizar perfis existentes com esse novo conjunto de política e as ligações gerais, ligações de amostra gerais Amostra de Cliente V2 e Amostra de Provedor V2, você deve concluir algumas etapas manuais. Você só precisa atualizar perfil de gerenciador de implementação e os perfis do servidor de aplicativos independente. Para concluir as etapas manuais para um perfil existente, consulte o tópico Configurando Conjuntos de Políticas Kerberos e Ligações de Amostra Gerais V2.

TrustServiceKerberosDefault
Este conjunto de política especifica o algoritmo simétrico e as chaves derivadas para fornecer segurança a mensagens. A integridade da mensagem é oferecida pela assinatura digital do corpo, do registro de data e hora e de cabeçalhos WS-Addressing utilizando o algoritmo HMAC-SHA1. A confidencialidade da mensagem é fornecida pela criptografia do corpo e assinatura utilizando a criptografia Advanced Encryption Standard (AES). Esse conjunto de política segue as especificações WS-Security e Conversação Segura para emitir e renovar pedidos de operação de confiança.

Para utilizar este conjunto de política, você também deve utilizar as ligações de amostra gerais Amostra de Cliente V2 e Amostra de Provedor V2 para seus aplicativos. Para obter informações adicionais, consulte o tópico Ligações de Amostra Gerais para Aplicativos JAX-WS. Para usar este novo conjunto de políticas, crie um novo perfil após instalar o produto.

Para atualizar perfis existentes com esse novo conjunto de política e as ligações gerais, ligações de amostra gerais Amostra de Cliente V2 e Amostra de Provedor V2, você deve concluir algumas etapas manuais. Você só precisa atualizar perfil de gerenciador de implementação e os perfis do servidor de aplicativos independente. Para concluir as etapas manuais para um perfil existente, consulte o tópico Configurando Conjuntos de Políticas Kerberos e Ligações de Amostra Gerais V2.

WSReliableMessaging padrão
Esse conjunto de políticas ativa a WS-ReliableMessaging Versão 1.1 e o WS-Addressing usa a qualidade de serviço mínima, não persistente e não gerenciada. Essa qualidade de serviço requer a configuração mínima. No entanto, ela não é transacional e, embora permita o reenvio de mensagens que estão perdias na rede, se um servidor ficar indisponível você perderá as mensagens. Essa qualidade de serviço destina-se apenas para servidor único, e não funciona em um cluster. A entrega ordenada é configurada para "false", portanto, as mensagens não são entregues necessariamente na ordem em que elas são enviadas.
WSReliableMessaging persistente
Esse conjunto de políticas ativa a WS-ReliableMessaging e o WS-Addressing usa a qualidade de serviço máxima, persistente gerenciada. Esta qualidade de serviço suporta as chamadas de serviço da Web assíncronas e usa um mecanismo do sistema de mensagens de integração de serviço e armazenamento de mensagem para gerenciar o estado da sequência. As mensagens são processadas nas transações, persistem no servidor solicitador do serviço da Web e são recuperáveis se houver falha do servidor. A entrega ordenada é configurada para "false", portanto, as mensagens não são entregues necessariamente na ordem em que elas são enviadas.
Como este conjunto de políticas especifica qualidade de serviço gerenciada persistente, você precisa definir ligações para o barramento de integração de serviços e o mecanismo de sistema de mensagens que deseja usar para gerenciar o estado WS-ReliableMessaging. É possível anexar e ligar um conjunto de políticas WS-ReliableMessaging a um aplicativo de serviço da Web usando o console administrativo ou a ferramenta wsadmin.
WSReliableMessaging 1_0
Esse conjunto de políticas ativa a WS-ReliableMessaging Versão 1.0 e o WS-Addressing usa a qualidade de serviço mínima, não persistente e não gerenciada. Essa qualidade de serviço requer a configuração mínima. No entanto, ela não é transacional e, embora permita o reenvio de mensagens que estão perdias na rede, se um servidor ficar indisponível você perderá as mensagens. Essa qualidade de serviço destina-se apenas para servidor único, e não funciona em um cluster. A entrega ordenada é configurada para "false", portanto, as mensagens não são entregues necessariamente na ordem em que elas são enviadas.
É possível usar este conjunto de políticas com os serviços da Web baseados em .NET.
Padrão WSSecurity
Este conjunto de política fornece:
  • Integridade da mensagem por meio de assinatura digital (usando a criptografia de chave pública RSA) para assinar o corpo, o registro de data e hora e os cabeçalhos de WS-Addressing usando as especificações WS-Security.
  • Confidencialidade de mensagem por meio de criptografia (usando a criptografia de chave pública RSA) para criptografar o corpo, assinatura e elementos de assinatura usando as especificações WS-Security.
Padrão LTPA WSSecurity
Este conjunto de política fornece:
  • Integridade da mensagem por meio de assinatura digital (usando a criptografia de chave pública RSA) para assinar o corpo, o registro de data e hora e os cabeçalhos de WS-Addressing usando as especificações WS-Security.
  • Confidencialidade de mensagem por meio de criptografia (usando a criptografia de chave pública RSA) para criptografar o corpo, assinatura e elementos de assinatura usando as especificações WS-Security.
  • Um token LTPA (Lightweight Third Party Authentication), incluído na mensagem de pedido para autenticar o cliente para o serviço.
Padrão Username WSSecurity
Este conjunto de política fornece:
  • Integridade da mensagem por meio de assinatura digital (usando a criptografia de chave pública RSA) para assinar o corpo, o registro de data e hora e os cabeçalhos de WS-Addressing usando as especificações WS-Security.
  • Confidencialidade de mensagem por meio de criptografia (usando a criptografia de chave pública RSA) para criptografar o corpo, assinatura e elementos de assinatura usando as especificações WS-Security.
  • Um token de nome de usuário incluído na mensagem de pedido para autenticar o cliente para o serviço. O token de nome do usuário é criptografado no pedido.
WSTransaction
Este conjunto de política permite o WS-Transaction, que fornece:
  • A capacidade de coordenar o trabalho transacional distribuído de maneira central e interoperável utilizando a especificação WS-AtomicTransaction.
  • A capacidade de coordenar processo de negócios fracamente acoplados que são distribuídos por amplo ambiente heterogêneo de serviço da Web, com a capacidade de compensar ações se ocorrer uma falha na atividade de negócios, utilizando a especificação WS-BusinessActivity.
SSL WSTransaction
Este conjunto de política permite o WS-Transaction, que fornece:
  • A capacidade de coordenar trabalho transacional distribuído de maneira central, interoperável e segura, utilizando a especificação WS-AtomicTransaction e a segurança de Transporte SSL.
  • A capacidade de coordenar os processos de negócios livremente acoplados, com a capacidade de compensar ações se ocorrer uma falha na atividade de negócios, de maneira segura, utilizando a especificação WS-BusinessActivity e a segurança Transporte SSL.

Os conjuntos de políticas não incluem informações de ambiente ou específicas da plataforma, como chaves para assinatura, informações sobre armazenamento de chaves ou armazenamento persistente. Esse tipo de informação é definido na ligação. Um anexo de conjunto de política define como um conjunto de política é anexado aos recursos e às ligações do serviço. A definição de anexo está fora da definição do conjunto de política e está definida como metadados associados aos dados de aplicativo.

As ligações são constituídas de informações de ambiente e específicas de plataforma. As ligações gerais como ligações de cliente ou provedor de serviços para o domínio de segurança global podem ser compartilhadas nos aplicativos.

As ligações são necessárias para permitir que os conjuntos de políticas trabalhem com aplicativos. Utilize o console administrativo para configurar as ligações gerais e as ligações específicas do aplicativo. Leia sobre a definição de informações de ligação para conjuntos de políticas para obter informações adicionais sobre o trabalho com anexos e ligações.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wsspsps
Nome do arquivo: cwbs_wsspsps.html