Funcionalidade Suportada de Especificações da OASIS

O servidor de aplicativos suporta as especificações WS-Security (Web Services Security) do OASIS (Organization for the Advancement of Structured Information).

No WebSphere Application Server Versão 6.1 Feature Pack para Serviços da Web, e posterior, o suporte para os padrões OASIS foram atualizados para as versões mais recentes das especificações e tokens do Web Services Security (WS-Security). O Web Services Security Versão 1.1 fornece uma melhor verificação de segurança para assinatura, uma maneira padrão de criptografar cabeçalhos SOAP e atender aos requisitos de alguns dos cenários de interoperabilidade que usam recursos do Web Services Security Versão 1.1.
Os padrões a seguir são suportados apenas no WebSphere Application Server Versão 7.0 e mais recente.

O suporte ao WS-SecurityPolicy está disponível apenas para cenários do WS-MetadataExchange (Web Services Metadata Exchange) em que as asserções são incorporadas no arquivo WSDL. Para obter informações adicionais, leia o tópico sobre pedidos de WS-MetadataExchange.

Em 2007, o OASIS WS-SX (Web Services Secure Exchange) Technical Committee produzia e aprovava as especificações a seguir. Partes dessas especificações são suportadas pelo WebSphere Application Server Versão 7 e mais recente.

OASIS: Web Services Security SOAP Message Security 1.0 e 1.1

A tabela a seguir mostra os aspectos das especificações OASIS: Web Services Security: SOAP Message Security 1.0 e 1.1 suportados no WebSphere Application Server Versões 6 e posteriores.

Tabela 1. Aspectos do OASIS SOAP Message Security padrão suportados no WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Cabeçalho de segurança
  • @S11 :actor (para um intermediário)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 é o prefixo de espaço de nomes para http://www.w3.org/2003/05/soap-envelope ao usar o SOAP Versão 1.2)
Tokens de segurança
  • Token do nome do usuário (nome do usuário e senha)
  • Token de segurança binário (X.509 e LTPA (Lightweight Third Party Authentication))
  • Token customizado
    • Outro token de segurança binário
    • Token XML
      Nota: O WebSphere Application Server não fornece uma implementação, mas é possível utilizar um token XML com o ponto de plug-in.
Referências de token
  • Referência direta
  • Identificador de chave
  • Nome da Chave
  • Referência incorporada
Signature Confirmação de assinatura
Algoritmos de assinatura
  • Compilação
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Assinatura
    DSA com SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    Não utilize esse algoritmo se você desejar que o aplicativo configurado esteja em conformidade com o BSP (Basic Security Profile)

    RSA com SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Canonicalização
    XML Canônico (com comentários)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    XML Canônico (sem comentários)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Canonicalização XML Exclusiva (com comentários)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Canonicalização XML Exclusiva (sem comentários)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • Transformação
    Transformação STR
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    Não utilize a transformação XPATH original se você desejar que o aplicativo configurado esteja em conformidade com o BSP (Basic Security Profile).
    Nota: Ao fazer referência a um elemento em um SECURE_ENVELOPE que não transporta um atributo do tipo ID de um ds:Reference em um SIGNATURE, você deverá usar a Transformação do XPATH Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2
    Assinatura de Envelope
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    Nota: Ao fazer referência a um elemento em um SECURE_ENVELOPE que não transporta um atributo do tipo ID de um ds:Reference em um SIGNATURE, você deverá usar a Transformação do XPATH Filter 2.0, http://www.w3.org/2002/06/xmldsig-filter2
    Transformação de Decriptografia
    http://www.w3.org/2002/07/decrypt#XML
Partes assinadas da assinatura apenas para JAX-RPC
  • Palavras-chave do WebSphere Application Server:
    • body, que assina o corpo da mensagem SOAP
    • timestamp, que assina todos os time stamps
    • securitytoken, que assina todos os tokens de segurança
    • dsigkey, que assina a chave de assinatura
    • enckey, que assina a chave de criptografia
    • messageid, que assina o elemento wsa :MessageID em WS-Addressing.
    • to, que assina o elemento wsa:To em WS-Addressing
    • action, que assina o elemento wsa:Action em WS-Addressing
    • relatesto, que assina o elemento wsa:RelatesTo em WS-Addressing

      wsa no prefixo de espaço de nomes de http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext, que especifica o cabeçalho WS-Context para o cabeçalho SOAP.
    • wsafrom, que especifica o elemento From <wsa:From> de WS-Addressing no cabeçalho SOAP.
    • wsareplyto, que especifica o elemento ReplyTo <wsa:ReplyTo> de WS-Addressing no cabeçalho SOAP.
    • wsafaultto, que especifica o elemento FaultTo <wsa:FaultTo> de WS-Addressing no cabeçalho SOAP.
    • wsaall, que especifica todos os elementos WS-Addressing no cabeçalho SOAP.
  • Expressão XPath para selecionar um elemento XML em uma mensagem SOAP. Para obter informações adicionais, consulte http://www.w3.org/TR/1999/REC-xpath-19991116.
Partes da mensagem de assinatura apenas para JAX-WS
  • Corpo (que assina o corpo da mensagem SOAP
  • Cabeçalho (que assina um ou mais cabeçalhos SOAP no cabeçalho SOAP principal)
  • Expressão XPath para selecionar um elemento XML em uma mensagem SOAP.
    • Para obter informações adicionais, consulte http://www.w3.org/TR/1999/REC-xpath-19991116.
Criptografia Elemento EncryptedHeader
Algoritmos de criptografia
Importante: O país de origem pode restringir a importação, posse, uso ou a reexportação para outro país de software de criptografia. Antes de fazer o download ou de usar os arquivos de políticas não-restritas, você deverá consultar as leis do seu país, as regulamentações e as políticas referentes à importação, posse, uso e reexportação do software criptografado para determinar se ele é permitido.
  • Criptografia de Dados
    • Triple DES em CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 em CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 em CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Este algoritmo requer o arquivo de políticas JCE não restrito. Para obter informações adicionais, consulte a Descrição do algoritmo de criptografia de chaves em Definições de Configuração de Informações de Criptografia: Partes de Mensagem.

      Não utilize o algoritmo de criptografia de dados de 192 bits se quiser que seu aplicativo configurado seja compatível com BSP (Basic Security Profile).

    • AES256 em CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Este algoritmo requer o arquivo de políticas JCE não restrito. Para obter informações adicionais, consulte a Descrição do algoritmo de criptografia de chaves em Definições de Configuração de Informações de Criptografia: Partes de Mensagem.

  • Criptografia de Chave
    • Transporte de chaves (criptografia de chave pública)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Nota:
        • Ao executar com o SDK (Software Development Kit) Versão 1.4, a lista de algoritmos de transporte de chaves não inclui este. Esse algoritmo aparece na lista de algoritmos de transporte de chaves suportados na execução do SDK Versão 1.5.
        • O uso do mecanismo de criptografia Java™ compatível com o FIPS (Federal Information Processing Standard) não suporta este algoritmo de transporte.
      • RSA Versão 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Agrupamento de chaves simétricas (criptografia de chave privada)
      • Agrupamento de chaves Triple DES: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Agrupamento de chaves AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Agrupamento de chaves AES (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        Este algoritmo requer o arquivo de políticas JCE não restrito. Para obter informações adicionais, consulte a Descrição do algoritmo de criptografia de chaves em Definições de Configuração de Informações de Criptografia: Partes de Mensagem.

        Não utilize o algoritmo de criptografia de dados de 192 bits se quiser que seu aplicativo configurado seja compatível com BSP (Basic Security Profile).

      • Agrupamento de chaves AES (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        Este algoritmo requer o arquivo de políticas JCE não restrito. Para obter informações adicionais, consulte a Descrição do algoritmo de criptografia de chaves em Definições de Configuração de Informações de Criptografia: Partes de Mensagem.

  • Manifests-xenc é o prefixo de espaço de nomes de http://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

O AES (Advanced Encryption Standard) foi projetado para fornecer um desempenho melhor e mais sólido para a criptografia de chaves simétricas sobre Triple-DES (Data Encryption Standard). Portanto, é recomendável usar o AES, se possível, para criptografia de chaves simétricas.

Partes da mensagem de criptografia apenas para JAX-RPC
  • Palavras-chave do WebSphere Application Server
    • bodycontent, utilizada para criptografar o conteúdo do corpo SOAP
    • usernametoken, utilizada para criptografar o token do nome do usuário
    • digestvalue, utilizada para criptografar o valor de compilação da assinatura digital
    • signature, utilizada para criptografar a assinatura digital inteira
    • wscontextcontent, que criptografa o conteúdo no cabeçalho WS-Context para o cabeçalho SOAP.
  • Expressão XPath para selecionar o elemento XML na mensagem SOAP
    • Elementos XML
    • Conteúdo do elemento XML
Partes da mensagem de criptografia apenas para JAX-WS
  • Corpo (que criptografa o conteúdo do corpo da mensagem SOAP
  • Cabeçalho (que criptografa um ou mais cabeçalhos SOAP no cabeçalho SOAP principal, resultando no elemento EncryptedHeader)
  • Expressão XPath para selecionar um elemento XML em uma mensagem SOAP
    • Para obter informações adicionais, consulte http://www.w3.org/TR/1999/REC-xpath-19991116.
Registro de Data e Hora
  • Dentro do cabeçalho do Web Services Security
  • O WebSphere Application Server é estendido para permitir que você insira registros de data e hora em outros elementos para que a idade desses elementos possa ser determinada.
Manipulação de erros Falhas de SOAP
  • Nova falha de SOAP falha com código de falha
  • O texto A mensagem expirou foi incluído

OASIS: Web Services Security UsernameToken Profile 1.0

A tabela a seguir mostra os aspectos da especificação OASIS: Web Services Security Username Token Profile 1.0 suportados no WebSphere Application Server.

Tabela 2. Aspectos do OASIS Username Token Profile V1.0 padrão suportados no WebSphere Application Server. Use a tabela para determinar que aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Tipos de senha Texto
Referências de token Referência direta

OASIS: Web Services Security UsernameToken Profile 1.1

A tabela a seguir mostra os aspectos da especificação OASIS: Web Services Security Username Token Profile 1.1 suportados no WebSphere Application Server. Os itens anteriormente suportados para Web Services Security UsernameToken Profile 1.0 não estão listados, mas ainda são suportados, a não ser que seja especificado de modo contrário.

Tabela 3. Aspectos do OASIS Username Token Profile V1.1 padrão suportados no WebSphere Application Server. Use a tabela para determinar que aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Tipos de senha Text
Referências de token Referência direta

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

A tabela a seguir mostra os aspectos da especificação OASIS: Web Services Security X.509 Certificate Token Profile suportados no WebSphere Application Server Versões 6 e posteriores.

Tabela 4. Aspectos do OASIS X.509 Certificate Token V1.0 padrão suportados no WebSphere Application Server. Use a tabela para determinar que aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Tipos de token
  • X.509 Versão 3: Certificado único

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 Versão 3: X509PKIPathv1 sem CRLs (Certificate Revocation Lists)

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 Versão 3: PKCS7 com ou sem CRLs.
Referências de token
  • Identificador de chave - identificador de chave do assunto
  • Referência direta
  • Referência personalizada - nome e número de série do emissor

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

A tabela a seguir mostra os aspectos da especificação OASIS: Web Services Security X.509 Certificate Token Profile 1.1 suportados no WebSphere Application Server. Os itens anteriormente suportados para Web Services Security X.509 Certificate Token Profile 1.0 não estão listados, mas ainda são suportados, a não ser que seja especificado de modo contrário.

Tabela 5. Aspectos do OASIS X.509 Certificate Token V1.1 padrão suportados no WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Tipos de token X.509 Versão 1: Certificado único
Referências de token Identificador de chave - identificador de chave do assunto
  • É possível fazer referência apenas a um certificado X.509v3
  • É possível especificar a impressão digital do certificado especificado usando o atributo http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 do elemento <wsse:KeyIdentifier>.

OASIS: Web Services Security Kerberos Token Profile 1.1

A tabela a seguir mostra os aspectos do OASIS: A especificação do Web Services Security Kerberos Token Profile 1.1 que é suportada no WebSphere Application Server.

Tabela 6. Aspectos do OASIS Kerberos Token Profile padrão suportados no in WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Tipos de token
  • Token GSS_API Kerberos v5

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ

  • Token GSS_API Kerberos v5 por RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510

  • Token GSS_API Kerberos v5 por RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

  • Token Kerberos v5

    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ

  • Token Kerberos v5 por RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510

  • Token Kerberos v5 por RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412

Referências de token
  • Referência do Token de Segurança
  • Identificador de chave, utilizado após o consumo do token Kerberos v5 inicial
  • Token de chave derivada com base na chave de Kerberos

OASIS: Web Services Security WS-Secure Conversation - Rascunho e Versão 1.3

A tabela a seguir mostra os aspectos da especificação OASIS: WS-SecureConversation suportados no WebSphere Application Server Versão 6.1 Feature Pack para Web Services e posterior. O suporte para a Versão 1.3 da especificação é fornecido no WebSphere Application Server Versão 7.0 e mais recente.

Tabela 7. Aspectos do OASIS SecureConversation padrão suportados no WebSphere Application Server. Use a tabela para determinar que aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Tipos de token
  • Token do Contexto de Segurança - rascunho, versão: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Token do Contexto de Segurança Versão 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Referências de token Referência direta
Estabelecimento do contexto de segurança Token de contexto de segurança criado por um serviço de token de segurança incorporado no WebSphere Application Server.
Renovação de contexto Renovação automática do token quando está prestes a expirar.
Cancelamento de contexto Suporte ao pedido de cancelamento explícito.
Chaves derivadas As seguintes informações são utilizadas para derivar as chaves utilizando-se um segredo compartilhado de um contexto de segurança:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Manipulação de erros Falhas do SOAP, incluindo:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS: Web Services Security WS-Trust Versão 1.0 - Rascunho e Versão 1.3

A tabela a seguir mostra os aspectos das especificações OASIS: Web Services Security: WS-Trust Versão 1.0 - Rascunho e Versão 1.3 suportados no WebSphere Application Server Versão 6.1 Feature Pack para Web Services e posterior.

Tabela 8. Aspectos do OASIS Trust V1.0 and V1.3 padrão suportados no WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Namespace http://schemas.xmlsoap.org/ws/2005/02/trust
Cabeçalho do pedido /wsa:Action
As opções válidas incluem:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Elementos e atributos do pedido

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • As opções válidas incluem:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • As opções válidas incluem:
    • para http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • para http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • para http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Cabeçalho da resposta /wsa:Action
As opções válidas incluem:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Elementos e atributos da resposta

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • As respostas válidas incluem:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Manipulação de erros

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Tabela 9. ]Aspectos of OASIS Trust V1.3 padrão suportados no in WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS são suportados.
Tópico Suportado Aspecto Específico Suportado
Namespace http://docs.oasis-open.org/ws-sx/ws-trust/200512
Cabeçalho do pedido /wsa:Action
As opções válidas incluem:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Elementos e atributos do pedido

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • As opções válidas incluem:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • As opções válidas incluem:
    • para http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Cabeçalho da resposta /wsa:Action
As opções válidas incluem:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Elementos e atributos da resposta

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • As respostas válidas incluem:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

Manipulação de erros

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Funcionalidade que não é suportada pelo WebSphere Application Server

A lista a seguir mostra a funcionalidade suportada nas especificações OASIS, rascunhos do OASIS e outras recomendações, mas que não é suportada pelo WebSphere Application Server Versão 6 e posterior:
  • Web Services Security SOAP Messages with Attachments (SwA) profile 1.0
    Nota: Ao utilizar o modelo de programação JAX-WS, a proteção ao anexo SOAP MTOM (Message Transmission Optimization Mechanism) é suportada. Consulte o tópico Ativando MTOM para Serviços da Web JAX-WS para obter informações adicionais.
  • Perfil do Token XrML
  • XML que envolve assinatura digital
  • XML que envolve criptografia digital
  • A funcionalidade de WS-SecureConversation a seguir não é suportada pelo WebSphere Application Server:
    • Dois métodos para o estabelecimento de contexto de segurança não são suportados: 1) token de contexto de segurança criado por uma das partes de comunicação e propagado com uma mensagem; e 2) token de contexto de segurança criado por negociação ou trocas.
    • Propagação de SCT
    • Melhoramento de contextos de segurança
  • Os seguintes algoritmos de transformação para assinaturas digitais não são suportados:
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP Message Normalization

      Consulte Normalização de Mensagem SOAP Versão 1.2 para obter informações sobre como um cabeçalho vazio ou entrada de cabeçalho com mustUnderstand=false é removido, por exemplo.

    • Transformação de Decriptografia
  • O seguinte algoritmo de acordo chave para criptografia não é suportado:
  • O seguinte algoritmo de canonicalização para criptografia, que é opcional na especificação de criptografia XML, não é suportado:
    • XML canônico com ou sem comentários
    • Canonicalização XML exclusiva com ou sem comentários
  • A assinatura digital DSA não é suportada.
  • A criptografia de dados de chave simétrica não é suportada.
  • A auditoria para irrecusabilidade de assinaturas digitais não é suportada.
  • Nas duas versões da especificação Username Token Profile, o tipo de senha digest não é suportado.
  • Nas duas versões da especificação Username Token Versão 1.1. Profile, a derivação de chave baseada em uma senha não é suportada.

Função não Suportada para o WS-Trust Versão 1.0 - Rascunho e Versão 1.3

A tabela a seguir mostra os aspectos das especificações OASIS: Web Services Security: WS-Trust Versão 1.0 - Rascunho e Versão 1.3 não suportados no WebSphere Application Server Versão 6.1 Feature Pack para Web Services e posterior.

Tabela 10. Aspectos do OASIS Trust V1.0 e V1.3 padrão que não são suportados no WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS não são suportados.
Tópico não suportado Aspecto específico que não é suportado
Elementos e atributos

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Opções de pedidos não suportados:
  • para http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey e http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • para http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Elementos e atributos da resposta

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse

Tabela 11. Aspectos do OASIS Trust V1.3 padrão não suportados no WebSphere Application Server. Use a tabela para determinar quais aspectos do padrão OASIS não são suportados.
Tópico não suportado Aspecto específico que não é suportado
Elementos e atributos

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Opções de pedidos não suportados:
  • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey e http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • para http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey e http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Cabeçalho da resposta

/wsa:Action

Respostas não suportadas:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_supportfunction
Nome do arquivo: cwbs_supportfunction.html