Visão Geral da Configuração e de Ligações da Plataforma
A política do Web Services Security é especificada na extensão IBM® dos descritores de implementação de serviços da Web ao usar o modelo de programação JAX-RPC e nos conjuntos de política ao usar o modelo de programação JAX-WS. As informações sobre ligação para suportar a política do Web Services Security são armazenadas na extensão IBM dos descritores de implementação de serviços da Web para os modelos de programação JAX-RPC e JAX-WS.
Devido à complexidade destes arquivos, não é recomendável editar o descritor de implementação e os arquivos de ligação manualmente com um editor de texto, porque eles podem causar erros. É recomendável, no entanto, que você use as ferramentas fornecidas pela IBM para configurar as restrições do Web Services Security para um aplicativo. Essas ferramentas são o console administrativo do WebSphere Application Server ou uma ferramenta do conjunto. Para obter informações adicionais sobre as ferramentas de montagem da IBM, consulte as informações sobre ferramentas de montagem.
É possível usar a função do conjunto de políticas do WebSphere Application Server para simplificar sua configuração de serviços da Web, pois os conjuntos de política agrupam a segurança e outras configurações de serviços da Web em unidades reutilizáveis. Os conjuntos de política são asserções sobre como a qualidade dos serviços é definida. Um conjunto de política incorpora tipos de política e suas configurações.
Além do descritor de implementação do aplicativo e dos arquivos de ligação, os WebSphere Application Server Versões 6 e posterior têm uma configuração do nível de célula e do nível do servidor. Estas configurações são globais para todos os aplicativos. Como os aplicativos WebSphere Application Server Versão 6 e posterior suportam aplicativos 5.x, algumas das configurações são válidas para os aplicativos da Versão 5.x apenas e alguns são válidos apenas para os aplicativos da Versão 6 e posterior.
A figura a seguir representa o relacionamento do descritor de implementação do aplicativo e os arquivos de ligação com a célula (apenas WebSphere Application Server, Network Deployment) ou com a configuração do nível do servidor.
Configuração da Plataforma
- Tempo Limite de Cache Nonce
- Essa opção, que é encontrada no nível da célula (apenas WebSphere Application Server, Network Deployment) e o nível do servidor, especifica o valor de tempo limite do cache para um nonce em segundos.
- Idade máxima do nonce:
- Essa opção, que é encontrada no nível da célula (apenas WebSphere Application Server, Network Deployment) e no nível do servidor, especifica o tempo de vida padrão para o nonce em segundos.
- Inclinação do Relógio do Nonce
- Essa opção, que é encontrada no nível da célula (apenas WebSphere Application Server, Network Deployment) e no nível do servidor, especifica o clock skew padrão da conta para atraso da rede, atraso de processamento etc. É utilizada para calcular quando o nonce expira. Sua unidade de medida é em segundos.
- Distribuir Armazenamento em Cache de Nonce
- Este recurso permite distribuir o cache para o nonce para diferentes servidores em um cluster. Ele está disponível para o WebSphere Application Server Versão 6.0.x e posterior.
- Localizador de chave
- Este recurso especifica como as chaves são recuperadas para assinatura, criptografia e decriptografia. As classes de implementação para o localizador de chaves são diferentes nos WebSphere Application Server Versões 6 e posterior e Versão 5.x.
- Armazenamento de certificados de coleta
- Este recurso especifica o armazenamento de certificados para validação do caminho do certificado. Geralmente é utilizado para validar tokens X.509 durante a verificação de assinatura ou a construção de um token X.509 com uma Certificate Revocation List codificada no formato PKCS#7. A lista de revogação de certificado é suportada para os aplicativos WebSphere Application Server Versão 6.x e posterior apenas.
- Âncoras confiáveis
- Este recurso especifica o nível de confiança para o certificado signatário e geralmente é utilizado na validação do token X.509 durante a verificação de assinatura.
- Avaliadores de IDs confiáveis
- Este recurso especifica como verificar o nível de confiança da identidade. O recurso é utilizado com asserção de identidade.
- Mapeamentos de Login
- Este recurso especifica a ligação da configuração de login com os métodos de autenticação. Esse recurso é usado pelos aplicativos WebSphere Application Server Versão 5.x apenas e foi descontinuado.
Ligações Padrão
A configuração do nível da célula padrão e das ligações do nível do servidor padrão foi alterada no WebSphere Application Server. Anteriormente, era possível configurar apenas um conjunto de ligações padrão para a célula e, opcionalmente, um conjunto de ligações padrão para cada servidor. Na versão 7.0 e mais recente, é possível configurar uma ou mais ligações gerais do provedor e uma ou mais ligações gerais do cliente. No entanto, apenas uma ligação geral de provedor e uma ligação geral de cliente pode ser designada como padrão.
A figura a seguir mostra o relacionamento entre o arquivo EAR (Enterprise Archive) do aplicativo e o arquivo ws-security.xml.
O EAR 1 e o EAR 2 dos aplicativos possuem ligações específicas no arquivo de ligação do aplicativo. No entanto, o EAR 3 e o EAR 4 dos aplicativos não possuem uma ligação no arquivo de ligação do aplicativo; é necessário fazer referência a ela para utilizar as ligações padrão definidas no arquivo ws-security.xml. A configuração é resolvida pela configuração mais próxima na hierarquia. Por exemplo, pode haver três localizadores de chaves denominados mykeylocator definidos no arquivo de ligação do aplicativo, no nível do servidor e no nível da célula.
Se mykeylocator for referido na ligação de aplicativos, o localizador de chaves definido na ligação de aplicativos será utilizado. O escopo de visibilidade dos dados depende de onde os dados estão definidos. Se os dados estiverem definidos na ligação de aplicativo, sua visibilidade terá o escopo definido para esse aplicativo específico. Se os dados estiverem definidos no nível do servidor, o escopo de visibilidade será para todos os aplicativos implementados nesse servidor. Se os dados forem definidos no nível da célula, o escopo de visibilidade será todos os aplicativos implementados nos servidores na célula. Em geral, se os dados não se destinarem a ser compartilhados por outros aplicativos, defina a configuração no nível de ligação de aplicativo.
A figura a seguir mostra o relacionamento das ligações nos níveis do aplicativo, do servidor e de célula (WebSphere Application Server, Network Deploymentapenas).
Ligações Gerais
Essas ligações são utilizadas como as ligações padrão no nível da célula ou no nível do servidor. As ligações gerais fornecidas com o WebSphere Application Server são inicialmente definidas como as ligações padrão, mas é possível escolher uma ligação diferente do padrão ou alterar o nível de ligação que deveria ser usado como o padrão, por exemplo, de ligação de nível de célula para ligação de nível do servidor.
Na versão 7.0 e mais recente, há dois tipos de ligações: ligações específicas do aplicativo e ligações gerais. Os dois tipos de ligações são suportados para os conjuntos de políticas do WS-Security. As ligações gerais podem ser compartilhadas entre vários aplicativos e para conexões de serviço de confiança. Há dois tipos de ligações gerais: uma para provedores de serviços e uma para clientes de serviços. Várias ligações gerais podem ser definidas para o provedor e também para o cliente.