Auf der Seite können
Sie Standardeinstellungen für WS-I, Servicerichtlinien und Bindungen festlegen.
Profilkonformität
In diesem Abschnitt der Seite "Servicerichtlinien" können Sie den Grad der
WS-I-Konformität festlegen. Weitere Informationen zu WS-I finden Sie auf der Website
http://www.ws-i.org/.
- WS-I AP 1.0 (WS-I Attachments Profile 1.0)
- Dieses Profil unterstützt SOAP-Nachrichten, die mit anhangbasierten Web-Services kompatibel sind.
- WS-I BP 1.1 + SSBP 1.0 (WS-I Basic Profile und WS-I Simple SOAP
Binding Profile)
- Diese Profile schließen das Basic Profile und die Anforderungen in Bezug auf die Serialisierung eines Envelope und dessen Darstellung in einer
SOAP-Nachricht mit ein.
- WS-I BP 1.2 (WS-I Basic Profile)
- Das WS-I Basic Profile 1.2 baut auf Basic Profile 1.1 auf, indem Fehlerverzeichnisse des Basic-Profile 1.1 und Anforderungen aus Simple SOAP Binding Profile 1.0 integriert werden,
und fügt Unterstützung für WS-Addressing und MTOM hinzu.
- WS-I BP 2.0 (WS-I Basic Profile)
- Das WS-I Basic Profile 2.0 umfasst eine Reihe nicht proprietärer Web-Service-Spezifikationen sowie Erläuterungen, Verbesserungen, Interpretationen und
Erweiterungen dieser Spezifikationen für eine verbesserte Interoperabilität.
- WS-I BSP 1.0 (WS-I Basic Security Profile)
- Das Basic Security Profile 1.0 bietet Hilfen für die Verwendung von WS-Security und der Sicherheitstokenformate REL, Kerberos, SAML, UserName und X.509.
Für jedes Profil können Sie einen von drei Graden der Konformität
mit den WS-I-Spezifikationen auswählen:
- WS-I-Konformität erfordern - dieser Grad verhindert, dass Sie einen nicht konformen Web-Service erstellen.
- WS-I-Konformität empfehlen - dieser Grad ermöglicht das Erstellen eines nicht konformen Web-Service. Es wird jedoch eine sichtbare Warnung bereitgestellt,
die angibt, warum der Service nicht konform ist.
- WS-I-Konformität ignorieren - Dieser Grad erlaubt das Erstellen eines nicht konformen Web-Service und informiert Sie nicht über die Nichteinhaltung der Vorgaben.
Allgemeine WebSphere-Bindungen
Richtliniensatzbindungen enthalten plattformspezifische Informationen, wie z. B. Informationen zum Keystore, Authentifizierungsdaten
oder persistente Informationen, die für eine Richtliniensatzzuordnung erforderlich sind.
Allgemeine Bindungen, die in
WebSphere Application Server Version 7.0 neu hinzugekommen sind, können für einen Bereich von Richtliniensätzen
konfiguriert und anwendungsübergreifend sowie für Trust-Service-Anhänge verwendet werden. Obwohl allgemeine Bindungen in hohem Maße wiederverwendbar sind, stellen sie keine Konfiguration für
erweiterte Richtlinienanforderungen bereit, wie z. B. mehrere Signaturen.
Bindungen können in der Administrationskonsole von WebSphere Application Server
erstellt und dann optional durch Auswahl von
in den Arbeitsbereich für Entwicklung importiert werden. Erstellte Service- und Clientbindungen können Sie auf den gesamten Arbeitsbereich anwenden
oder auf der Vorgabenseite für Servicerichtlinien als Standardbindung für ein Einzelprojekt angeben.
Mit dem Produkt werden
die folgenden allgemeinen Beispielbindungen geliefert:
Wichtig: - Die allgemeinen Bindungen, die im Lieferumfang des Produkts enthalten sind, sind Beispielbindungen für Provider und Clients. Diese Bindungen sind als Standardbindungen der Zelle definiert. Verwenden Sie diese Bindungen in ihrem aktuellen
Zustand nicht in einer Produktionsumgebung. Wenn Sie die Beispielbindungen verwenden möchten, ändern Sie sie so, dass Sie Ihren Sicherheitsanforderungen in einer Produktionsumgebung entsprechen. Alternativ können Sie eine Kopie der Bindungen erstellen und die Kopie anschließend ändern.
- Eine Bindung kann keiner Service-Provider-Ressource zugewiesen werden,
die nicht über einen Richtliniensatz verfügt oder die eine übernommene Zuordnung verwendet.
Wenn Sie einer solchen Service-Provider-Ressource
eine Bindung zuordnen möchten, müssen Sie der Ressource zuerst einen Richtliniensatz zuordnen.
Es ist auch nicht möglich, eine Bindung einer Service-Client-Ressource zuzuordnen, die keine gültige
Richtlinienkonfiguration oder eine übernommene Richtlinienzuordnung hat. Damit eine Bindung einer solche Service-Client-Ressource zugewiesen werden kann, müssen Sie zunächst einen
Richtliniensatz zuordnen oder festlegen, dass die
Providerrichtlinie verwendet werden soll.
Weitere Informationen zu allgemeinen Bindungen und ihrer Erstellung finden Sie im
Artikel
Richtliniensatzbindungen definieren
und verwalten der Dokumentation zu WebSphere Application Server Version 7.0.
Richtliniensätze von WebSphere Application Server
Auf der Seite "Benutzervorgaben" können Sie
den Standardrichtliniensatz für Web-Services und -Clients auswählen.
Wenn Sie in der Workbench eine Laufzeit oder einen Stub zur Installation auswählen, werden bereits mehrere Richtliniensätze aufgenommen.
Weitere Richtliniensätze können importiert werden.
Folgende Richtliniensätze werden von der Workbench aufgenommen:
- Richtliniensätze von WebSphere Application
Server
- Standardsatz Kerberos V5 HTTPS. Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem
Kerberos-Version-5-Token.
Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt.
Dieser Richtliniensatz ist entsprechend den Spezifikationen
"OASIS Kerberos Token Profile V1.1" und
"WS-Security" definiert. Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften
wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und
"com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden.
Weitere Informationen finden Sie im Artikel über die
Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz
(Generator oder Konsument) im WebSphere Application Server Information Center.
- Standardsatz LTPA WSSecurity. Dieser Richtlliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
- SSL WSTransaction. Mit diesem Richtliniensatz wird der Standard WS-Transaction aktiviert, der
auf der Basis der Spezifikation WS-AtomicTransaktion und der SSL-Transportsicherheit eine atomare, interoperable und sichere Koordination verteilter Transaktionen
ermöglicht.
- Username SecureConversation. Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der
WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
- Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der
Spezifikationen WS-SecureConversation und WS-Security
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- Standardsatz Username WSSecurity. Dieser Richtliniensatz stellt die folgenden Features bereit:
- Nachrichtenintegrität durch digitale Signatur
des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
- Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit
dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel)
gemäß WS-Security-Spezifikationen
- Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service.
Das Username-Token wird in der Anforderung verschlüsselt.
- WS-I RSP Mit diesem Richtliniensatz wird WS-ReliableMessaging Version 1.1 (minimale Servicequalität, nicht verwaltet und nicht persistent) aktiviert, sodass
eine Nachricht zuverlässig an den vorgesehenen Empfänger gesendet werden kann. Dieser Richtliniensatz funktioniert nur in einer Einzelserverumgebung und nicht in einer Clusterumgebung. Diese Servicequalität erfordert eine Minimalkonfiguration. Obwohl dieser Richtliniensatz nicht transaktionsorientiert ist und das erneute Senden von im Netz verlorengegangenen Nachrichten unterstützt, gehen
bei einem Serverausfall Nachrichten verloren.
Die Zustellung unter Einhaltung der Reihenfolge ist auf "falsch" gesetzt. Nachrichten werden deshalb nicht zwingend in der Sendereihenfolge zugestellt. Die Nachrichtenintegrität wird durch die digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und der Signatur gewährleistet. Dieser Nachrichtensatz folgt
den Spezifikationen WS-SecureConversation
und WS-Security.
- Standardsatz WSAddressing. Der Standardrichtliniensatz WSAddressing ist eine transportunabhängige
Methode für die einheitliche Adressierung von Web-Services und Nachrichten. Mit diesem Richtliniensatz wird WS-Addressing-Unterstützung aktiviert,
sodass die Adressierung von Web-Services mit Endpunktreferenzen und Nachrichtenadressierungseigenschaften gemäß den Standards und interoperabel erfolgen kann.
- Standardsatz WSHTTPS Mit diesem Richtliniensatz wird SSL-Transportsicherheit für das HTTP-Protokoll bei Web-Service-Anwendungen
gewährleistet.
- WSReliableMessaging persistent. Mit diesem Richtliniensatz werden
WS-ReliableMessaging und WS-Addressing aktiviert. Es wird die maximale Servicequalität (verwaltet und persistent) verwendet. Diese Servicequalität unterstützt
asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher
für die Verwaltung der Nachrichtenfolge. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server
und dem Web-Service-Providerserver persistent gespeichert und sind bei einem Serverausfall wiederherstellbar. Die Zustellung unter Einhaltung der Reihenfolge ist auf "falsch" gesetzt. Nachrichten werden deshalb nicht zwingend in der Sendereihenfolge zugestellt. Da dieser Richtliniensatz eine verwaltete persistente Servicequalität angibt, müssen Sie Bindungen zum Service Integration Bus und
zur Messaging-Engine, mit denen Sie den WS-ReliableMessaging-Zustand verwalteten möchten, definieren.
Sie können einen WS-ReliableMessaging-Richtliniensatz in der Administrationskonsole von
WebSphere Application Server oder mit dem Tool wsadmin an eine Web-Service-Anwendung anhängen oder binden.
- Systemrichtlinien von WebSphere Application
Server
- SystemWSSecurityDefault Dieser Systemrichtliniensatz gibt den asymmetrischen Algorithmus sowie den öffentlichen und privaten Schlüssel für die
Nachrichtensicherheit an. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil,
Zeitmarke und WS-Addressing-Headern mit dem RSA-Verschlüsselungsverfahren gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur
mit dem RSA-Verschlüsselungsverfahren gewährleistet.
Dieser Richtliniensatz folgt den
WS-Security-Spezifikationen für das Absetzen und Erneuern von Anforderungen von Trustoperationen.
Weitere Informationen zu Systemrichtliniensätzen finden Sie unter
Systemrichtliniensätze.
WebSphere-Programmiermodelle
- Wertigkeit der Nachricht für das Durchsuchen von JAX-WS-Anmerkungen
- Mit dieser Vorgabe können Sie die Stufe der Fehlernachrichten festlegen, die beim
Scannen von JAX-WS-Annotationen generiert werden.
Die WebSphere-JAX-WS-Laufzeit durchsucht Webanwendungen nach
JAX-WS-Annotationen, wenn die Anwendungen zu WebSphere Application Server hinzugefügt werden. Aus Leistungsgründen scannt
WebSphere Application
Server standardmäßig nicht alle Projekte auf Annotationen. Ab WebSphere Application Server
Version 7 werden Webmodule der Version 2.4 nur gescannt, wenn die Eigenschaft
UseWSFEP61ScanPolicy in der Datei MANIFEST.MF auf true gesetzt ist. Die Workbench fügt eine Fehlermarkierung hinzu, um Sie darüber zu
informieren, dass WebSphere keinen Annotationsscan durchführt.
Wenn Sie jedoch mit einer Implementierung der JAX-WS-Laufzeit ohne WebSphere
arbeiten, ist diese Fehlernachricht ungültig und könnte Sie von einer Publikation in
WebSphere Application Server abhalten.
Verwenden Sie diese Vorgabe, um die Dringlichkeitsstufe der Fehlernachrichten für Ihren Arbeitsbereich oder Ihr Projekt so zu ändern,
dass Sie erfolgreich publizieren können.
- Anleitungen für Methoden-Exposure von JAX-WS 2.1.6 und höher bereitstellen
- Unterstützung für JAX-WS 2.1.6 und aktuellere Versionen können Sie aktivieren, indem Sie diese Vorgabe auf
wahr setzen. Ist diese Unterstützung aktiviert, werden Warnungen für Methoden in
Java™-Klassen abgesetzt, die resultierend aus der neuen Spezifikation implizit zugänglich gemacht werden.
Mithilfe einer verfügbaren Schnellkorrektur können diese Methoden ausgeblendet werden, um eine Web-Service-Schnittstelle aus Zeiten vor den
JAX-WS-Standards beibehalten zu können.
Weitere Informationen zu JAX-WS 2.1.6 finden Sie unter
Java API for XML based Web Services.