Web Service 策略集

策略集是有关如何定义服务的声明。他们用于简化 Web Service 的服务质量配置。

注: 您只能将策略集与 Java™ API for XML-Based Web Services (JAX-WS) 应用程序配合使用。不能将策略集与 Java API for XML-based RPC (JAX-RPC) 应用程序配合使用。

策略集合并了配置设置,包括传输和消息级别配置,例如,WS-Addressing、WS-ReliableMessaging 和 WS-Security。

存在两种主要的策略集:应用程序策略集和系统策略集。应用程序策略集用于业务相关的断言。这些断言与在 Web Service 描述语言 (WSDL) 文件中定义的业务操作相关。另一方面,系统策略集用于非业务相关的系统消息。这些消息与 WSDL 中定义的业务操作无关,而是指在其他应用了服务质量 (QoS) 的规范中定义的消息。此类 QoS 是 WS-Trust 中定义的请求安全性令牌 (RST) 消息、WS-ReliableMessaging 中定义的创建序列消息以及 WS-MetadataExchange 的元数据交换消息。

策略根据服务质量定义。策略定义通常基于 WS-Policy 标准语言,例如 WS-Security 策略基于“结构化信息标准促进组织” (OASIS) 标准中的当前 WS-SecurityPolicy。

策略集的实例由一组策略组成。例如,WS-I RSP 缺省策略集由 WS-Security、WS-Addressing 和 WS-ReliableMessaging 策略类型的实例组成。策略集由在单元之间唯一的唯一名称标识。空策略集是未定义任何策略的策略集。

在导入缺省策略集之后,您可以对其进行使用。如果要更改缺省的不可编辑策略集的属性,那么必须复制该策略集以创建可编辑的版本来进行修改。请参阅有关复制缺省策略集和绑定设置的信息。可对策略集执行以下操作:
  • 创建
  • 复制
  • 编辑
  • 删除
  • 连接到服务资源(例如应用程序)
  • 与服务资源(例如应用程序)拆离
  • 导出
  • 导入
应注意可使用策略集配置哪些功能以及所配置的安全性信息的关系。产品提供了一组缺省策略集,您可以将其导入,然后进行复制并重命名以供复用。您可以在导入缺省策略集后对其进行使用,但如果要更改任何设置,那么必须复制该策略集以创建可编辑的版本。然后,可以对此副本更改和定制配置。
要点: 只能使用管理控制台或管理命令来复制和定制策略集。如果手动复制策略集,那么他们不能正常工作。

在应用程序服务器上,策略集存储在单元级别。策略集集中安放,因此他们可用于服务器上的所有应用程序。

缺省情况下,在基本概要文件或 Network Deployment (ND) 概要文件中安装了下列应用程序策略集:“WS-I RSP”或“WS-I RSP (ND)”、“用户名 WSSecurity default”和“WSHTTPS 缺省”。“WS-I RSP (ND)”安装在 Network Deployment 环境中。

下列策略集可供您按原样使用。
  • LTPA WSSecurity Default
  • Kerberos V5 HTTPS default
  • SSL WSTransaction
  • 用户名 SecureConversation
  • 用户名 WSSecurity default
  • WS-Addressing default
  • WSHTTPS default
  • WS-I RSP ND
  • WS-ReliableMessaging 持久

应用程序服务器还提供了其他缺省策略集供您使用或定制。要使用其他策略集,必须从缺省存储库将其导入。有关更多信息,请参阅关于在管理控制台中导入策略集的资料。

提供了下列缺省策略集:
WS-I RSP 缺省
此策略集提供:
  • 通过启用 WS-ReliableMessaging 向期望接收方的可靠消息传递
  • 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、WS-Addressing 头和 WS-ReliableMessaging 头)
  • 机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体和签名元素)
LTPA WS-I RSP 缺省
此策略集提供:
  • 通过启用 WS-ReliableMessaging 向期望接收方的可靠消息传递
  • 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、WS-Addressing 头和 WS-ReliableMessaging 头)
  • 机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体和签名元素)
  • 包括在请求消息中用于向服务认证客户机的轻量级第三方认证 (LTPA) 令牌
用户名 WS-I RSP 缺省
此策略集提供:
  • 通过启用 WS-ReliableMessaging 向期望接收方的可靠消息传递
  • 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、WS-Addressing 头和 WS-ReliableMessaging 头)
  • 机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体和签名元素)
  • 包括在请求消息中用于向服务认证客户机的用户名令牌。请求中的用户名令牌已加密
SecureConversation
此策略集提供:
  • 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、和 WS-Addressing 头)
  • 消息机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体、签名和签名确认元素)
LTPA SecureConversation
此策略集提供:
  • 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、和 WS-Addressing 头)
  • 消息机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体、签名和签名确认元素)
  • 包括在请求消息中用于向服务认证客户机的轻量级第三方认证 (LTPA) 令牌
用户名 SecureConversation
此策略集提供:
  • 消息完整性,通过数字签名(包括使用 WS-SecureConversation 和 WS-Security 规范签署消息体、时间戳记、和 WS-Addressing 头)
  • 消息机密性,通过加密(包括使用 WS-SecureConversation 和 WS-Security 规范加密消息体、签名和签名确认元素)
  • 包括在请求消息中用于向服务认证客户机的用户名令牌。请求中的用户名令牌已加密
WSAddressing 缺省
启用 WS-Addressing 支持,它使用端点引用和消息寻址属性,以便于以标准且可互操作的方式对 Web Service 进行寻址。
WSHTTPS default
为 Web Service 应用程序的 HTTP 协议提供 SSL 传输安全性。
Kerberos V5 HTTPS default
此策略集通过 Kerberos V5 令牌进行消息认证。消息完整性和机密性由安全套接字层 (SSL) 传输安全性提供。此策略集遵循 OASIS Kerberos 令牌概要文件 V1.1 和 WS-Security 规范。

使用此策略集时,请在客户机绑定中配置基本认证数据和定制属性,例如 com.ibm.wsspi.wssecurity.krbtoken.targetServiceName 和 com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost 定制属性。有关更多信息,请参阅“认证生成器或使用者令牌设置”和“保护令牌设置(生成器或使用者)”主题。

Kerberos V5 SecureConversation
此策略集通过对消息体、时间戳记和 WS-Addressing 头进行数字签名来提供消息完整性。通过对消息体和签名进行加密,提供了消息机密性。引导策略带有 Kerberos V5 令牌配置。此策略集遵循 WS-SecureConversation、OASIS 的 Kerberos 令牌概要文件规范以及 WS-Security 规范。

要使用此策略集,还必须将“客户机样本 V2”和“提供程序样本 V2”常规样本绑定用于应用程序。有关更多信息,请参阅“JAX-WS 应用程序的常规样本绑定”主题。要使用这个新策略集,请在安装产品后创建一个新概要文件。

要使用这个新策略集以及常规绑定、“客户机样本 V2”和“提供程序样本 V2”常规样本绑定来更新现有的概要文件,必须完成一些手动步骤。只需要更新 Deployment Manager 概要文件和独立应用程序服务器概要文件。要对现有的概要文件完成手动步骤,请参阅“配置 Kerberos 策略集和 V2 常规样本绑定”主题。

Kerberos V5 WSSecurity 缺省
此策略集通过对消息体、时间戳记和 WS-Addressing 头进行数字签名来提供消息完整性。通过使用高级加密标准 (AES) 加密功能对消息体和签名进行加密,提供了消息机密性。将使用 Kerberos V5 令牌中的派生密钥。此策略集遵循 OASIS 的 Kerberos 令牌概要文件规范以及 WS-Security 规范。

要使用此策略集,还必须将“客户机样本 V2”和“提供程序样本 V2”常规样本绑定用于应用程序。有关更多信息,请参阅“JAX-WS 应用程序的常规样本绑定”主题。要使用这个新策略集,请在安装产品后创建一个新概要文件。

要使用这个新策略集以及常规绑定、“客户机样本 V2”和“提供程序样本 V2”常规样本绑定来更新现有的概要文件,必须完成一些手动步骤。只需要更新 Deployment Manager 概要文件和独立应用程序服务器概要文件。要对现有的概要文件完成手动步骤,请参阅“配置 Kerberos 策略集和 V2 常规样本绑定”主题。

TrustServiceKerberosDefault
此策略集指定了对称算法以及用于提供消息安全性的派生密钥。通过使用 HMAC-SHA1 算法对消息体、时间戳记和 WS-Addressing 头进行数字签名,提供了消息完整性。通过使用高级加密标准 (AES) 加密功能对消息体和签名进行加密,提供了消息机密性。在发出和更新信任操作请求方面,此策略集遵循 WS-Security 和安全对话规范。

要使用此策略集,还必须将“客户机样本 V2”和“提供程序样本 V2”常规样本绑定用于应用程序。有关更多信息,请参阅“JAX-WS 应用程序的常规样本绑定”主题。要使用这个新策略集,请在安装产品后创建一个新概要文件。

要使用这个新策略集以及常规绑定、“客户机样本 V2”和“提供程序样本 V2”常规样本绑定来更新现有的概要文件,必须完成一些手动步骤。只需要更新 Deployment Manager 概要文件和独立应用程序服务器概要文件。要对现有的概要文件完成手动步骤,请参阅“配置 Kerberos 策略集和 V2 常规样本绑定”主题。

WSReliableMessaging 缺省
此策略集启用 WS-ReliableMessaging V1.1 和 WS-Addressing 并使用最低服务质量非受管非持久此服务质量只需要进行最低限度的配置。但是,它是非事务性的,虽然它允许重新发送在网络中丢失的消息,但如果服务器不可用,您将丢失消息。此服务质量仅适用于单服务器,不支持集群。 按序传递设置为“false”,所以消息不必按发送他们的顺序进行传递。
WSReliableMessaging 持久
此策略集启用 WS-ReliableMessaging 和 WS-Addressing 并使用最高服务质量受管持久。此服务质量支持异步 Web Service 调用,并使用服务集成消息传递引擎和消息存储来管理序列状态。在事务中处理的消息持久保存在 Web Service 请求者服务器和 Web Service 提供程序服务器中,并且在服务器发生故障时可进行恢复。按序传递设置为“false”,所以消息不必按发送他们的顺序进行传递。
由于此策略集指定受管持久服务质量,所以您必须定义要用于管理 WS-ReliableMessaging 状态的服务集成总线和消息传递引擎的绑定。可以使用管理控制台或使用 wsadmin 工具将 WS-ReliableMessaging 策略集连接并绑定到 Web Service 应用程序。
WSReliableMessaging 1_0
此策略集启用 WS-ReliableMessaging V1.0 和 WS-Addressing 并使用最低服务质量非受管非持久此服务质量只需要进行最低限度的配置。但是,它是非事务性的,虽然它允许重新发送在网络中丢失的消息,但如果服务器不可用,您将丢失消息。此服务质量仅适用于单服务器,不支持集群。 按序传递设置为“false”,所以消息不必按发送他们的顺序进行传递。
可将此策略集与基于 .NET 的 Web Service 配合使用。
WSSecurity 缺省
此策略集提供:
  • 消息完整性,通过数字签名(使用 RSA 公用密钥密码术)使用 WS-Security 规范签署消息体、时间戳记和 WS-Addressing 头。
  • 消息机密性,通过加密(使用 RSA 公用密钥密码术)使用 WS-Security 规范加密消息体、签名和签名元素。
LTPA WSSecurity Default
此策略集提供:
  • 消息完整性,通过数字签名(使用 RSA 公用密钥密码术)使用 WS-Security 规范签署消息体、时间戳记和 WS-Addressing 头。
  • 消息机密性,通过加密(使用 RSA 公用密钥密码术)使用 WS-Security 规范加密消息体、签名和签名元素。
  • 包括在请求消息中用于向服务认证客户机的轻量级第三方认证 (LTPA) 令牌。
用户名 WSSecurity default
此策略集提供:
  • 消息完整性,通过数字签名(使用 RSA 公用密钥密码术)使用 WS-Security 规范签署消息体、时间戳记和 WS-Addressing 头。
  • 消息机密性,通过加密(使用 RSA 公用密钥密码术)使用 WS-Security 规范加密消息体、签名和签名元素。
  • 包括在请求消息中用于向服务认证客户机的用户名令牌。请求中的用户名令牌已加密。
WSTransaction
此策略集启用了 WS-Transaction,后者提供了下列功能:
  • 通过使用 WS-AtomicTransaction 规范,能够以原子方式和互操作方式对分布式事务工作进行协调。
  • 通过使用 WS-BusinessActivity 规范,能够对分布在异构 Web Service 环境中的松散耦合业务流程进行协调,并能够在业务活动发生故障时对操作进行补偿。
SSL WSTransaction
此策略集启用了 WS-Transaction,后者提供了下列功能:
  • 通过使用 WS-AtomicTransaction 规范和 SSL 传输安全性,能够以原子方式和互操作方式安全地对分布式事务工作进行协调。
  • 通过使用 WS-BusinessActivity 规范和 SSL 传输安全性,能够对松散耦合业务流程进行协调,并能够在业务活动发生故障时安全地对操作进行补偿。

策略集不包括特定于环境或平台的信息(例如用于签署的密钥)、密钥库信息或持久存储信息。此类型的信息在绑定中定义。策略集附件定义如何将策略集附加至服务资源和绑定。附件定义在策略集定义之外,以与应用程序数据相关联的元数据的方式定义。

绑定由特定于环境和平台的信息组成。可以在应用程序之间共享常规绑定(例如用于全局安全域的服务客户机绑定或提供程序绑定)。

绑定是使策略集能够与应用程序配合使用所必需的。请使用管理控制台来配置常规绑定以及特定于应用程序的绑定。有关使用连接和绑定的更多信息,请参阅有关策略集定义绑定的信息。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_wsspsps
文件名:cwbs_wsspsps.html