Web-Service-Richtliniensätze des Produkts

Mit den Richtliniensätzen dieses Produkts können Sie die Servicequalität Ihrer Web-Services einfacher konfigurieren. Durch die Verwendung dieser Richtliniensätze können Sie Konfigurationen für verschiedene Richtlinien kombinieren.

Richtliniensätze von WebSphere Application Server ab Version 7.0.0.7

Ab WebSphere Application Server Version 7 Fixpack 7 können Sie Web-Services mit SAML (Security Assertion Markup Language) schützen. Verwenden Sie SAML-Zusicherungen, um Attribute für Benutzeridentität und Benutzersicherheit darzustellen und bei Bedarf für das Signieren und Verschlüsseln von SOAP-Nachrichtenelementen einzusetzen. WebSphere Application Server unterstützt SAML-Zusicherungen gemäß Definition in der Spezifikation OASIS WSS SAML Token Profile Version 1.1 mit der Methode für die Bestätigung des Bearer-Subjekts und der Methode für die Bestätigung des Holder-of-Key-Subjekts. Richtliniensätze und allgemeine Bindungen, die SAML unterstützen, sind in der SAML-Funktion des Produkts enthalten. Um SAML-Zusicherungen verwenden zu können, müssen Sie die als Beispiel bereitgestellte Bindung modifizieren.

Tipp: Lesen Sie die Informationen zu SAML-Richtliniensätzen in der Dokumentation zu WebSphere Application Server, bevor Sie die Richtliniensätze auf Ihren Web-Service anwenden. In dieser Dokumentation ist beschrieben, wie SAML in WebSphere Application Server unterstützt wird und welche Einschränkungen es gibt (siehe Web-Services mit Security Markup Assertion Language (SAML) sichern).

Richtliniensätze von WebSphere Application Server Version 7.0 und Version 8.0

Zum Produktumfang gehören die folgenden Richtliniensätze von WebSphere Application Server Version 7.0 und Version 8.0:
Kerberos V5 HTTPS default
Dieser Richtliniensatz ermöglicht die Nachrichtenauthentifizierung mit einem Kerberos-Version-5-Token. Nachrichtenintegrität und Vertraulichkeit werden durch die SSL-Transportsicherheit (Secure Sockets Layer) sichergestellt. Dieser Richtliniensatz ist entsprechend den Spezifikationen "OASIS Kerberos Token Profile V1.1" und "WS-Security" definiert.

Bei Verwendung dieses Richtliniensatzes sollten die Basisauthentifizierungsdaten und die angepassten Eigenschaften wie "com.ibm.wsspi.wssecurity.krbtoken.targetServiceName" und "com.ibm.wsspi.wssecurity.krbtoken.targetServiceHost" in den Clientbindungen konfiguriert werden. Weitere Informationen finden Sie im Artikel über die Authentifizierungsgenerator- oder Konsumententokeneinstellungen und die Einstellungen für das Token für Zugriffsschutz (Generator oder Konsument).

LTPA WSSecurity default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen.
  • Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturelemente (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
SSL WSTransaction
Verwenden Sie diesen Richtliniensatz, um verteilte transaktionsorientierte Aufgaben auf der Basis der Spezifikation WS-AtomicTransaction und mit SSL-Transportsicherheit atomar, interoperabel und sicher zu koordinieren. Verwenden Sie diesen Richtliniensatz außerdem, um flexibel verbundene Geschäftsprozesse zu koordinieren. Dabei besteht gleichzeitig die Möglichkeit, Aktionen bei einem Fehler in der Geschäftsaktivität mit der Spezifikation WS-BusinessActivity und mit SSL-Transportsicherheit zu kompensieren.
Username SecureConversation
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigungselemente) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Username-Token wird in der Anforderung verschlüsselt.
Username WSSecurity default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Username-Token wird in der Anforderung verschlüsselt.
WS-I RSP
Dieser Richtliniensatz unterstützt nicht verwaltetes, nicht persistentes WS-ReliableMessaging, das die Möglichkeit bietet, eine Nachricht zuverlässig an den beabsichtigten Empfänger zu übermitteln. Dieser Richtliniensatz funktioniert nur in einer Einzelserverumgebung und nicht in einer Clusterumgebung. Die Nachrichtenintegrität wird durch die digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung des Hauptteils und der Signatur gewährleistet. Dieser Nachrichtensatz folgt den Spezifikationen WS-SecureConversation und WS-Security.

Web-Service-Reliable-Messaging-Richtliniensätze müssen auf auf der Serviceebene angewendet werden, damit die Laufzeitumgebung die Reliable-Messaging-Servicequalität respektiert. Richtliniensätze, die auf der Endpunktebene oder Operationsebene angewendet werden, werden von der Laufzeitumgebung ignoriert.

WSAddressing default
Der Standardrichtliniensatz WSAddressing ist eine transportunabhängige Methode für die einheitliche Adressierung von Web-Services und Nachrichten. Der WSAddressing-Standardrichtliniensatz basiert auf der WS-Addressing-Spezifikation. Der WS-Addressing-Standard vereinfacht die Adressierung von Web-Services mit Endpunktreferenzen und Eigenschaften der Nachrichtenadressierung, sodass die Adressierung gemäß den Standards und interoperabel erfolgen kann. Verwenden Sie den vom Anwendungsserver bereitgestellten WSAddressing-Standardrichtliniensatz. Wenn Sie den Richtliniensatz anpassen möchten, müssen Sie den Richtliniensatz zuerst kopieren und anschließend angepasste Richtlinieneinstellungen und -bindungen konfigurieren, die Ihren Anforderungen entsprechen.
WSHTTPS default
Mit diesem Richtliniensatz wird SSL-Transportsicherheit für das HTTP-Protokoll bei Web-Service-Anwendungen gewährleistet.
WSReliableMessaging persistent
Mit diesem Richtliniensatz werden WS-ReliableMessaging und WS-Addressing aktiviert. Es wird die maximale Servicequalität (verwaltet und persistent) verwendet. Diese Servicequalität unterstützt asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher für die Verwaltung der Nachrichtenfolge. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server und dem Web-Service-Providerserver persistent gespeichert und sind bei einem Serverausfall wiederherstellbar. Die Zustellung unter Einhaltung der Reihenfolge ist auf "falsch" gesetzt. Nachrichten werden deshalb nicht zwingend in der Sendereihenfolge zugestellt.

Da dieser Richtliniensatz eine verwaltete persistente Servicequalität angibt, müssen Sie Bindungen zum Service Integration Bus und zur Messaging-Engine, mit denen Sie den WS-ReliableMessaging-Zustand verwalteten möchten, definieren. Sie können einen WS-ReliableMessaging-Richtliniensatz in der Administrationskonsole oder mit dem Tool wsadmin an eine Web-Service-Anwendung anhängen oder binden.

Web-Service-Reliable-Messaging-Richtliniensätze müssen auf auf der Serviceebene angewendet werden, damit die Laufzeitumgebung die Reliable-Messaging-Servicequalität respektiert. Richtliniensätze, die auf der Endpunktebene oder Operationsebene angewendet werden, werden von der Laufzeitumgebung ignoriert.

Richtliniensätze von WebSphere Application Server Version 6.1

Zum Produktumfang gehören die folgenden Richtliniensätze von WebSphere Application Server Version 6.1:
RAMP-Standardrichtliniensätze
RAMP default
Standardrichtliniensatz Reliable Asynchronous Messaging Profile (RAMP) 1.0. Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Vertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
LTPA RAMP default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Vertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
Username RAMP default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Zuverlässige Nachrichtenübermittlung an den gewünschten Empfänger durch Aktivierung von WS-ReliableMessaging
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke, der WS-Addressing-Header und der WS-ReliableMessaging-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Vertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Username-Token wird in der Anforderung verschlüsselt.
SecureConversation-Richtliniensätze
SecureConversation
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
LTPA SecureConversation
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
Username SecureConversation
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur (Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Nachrichtenvertraulichkeit durch Verschlüsselung (Verschlüsselung des Hauptteils, der Signatur und der Signaturbestätigung) auf der Basis der Spezifikationen WS-SecureConversation und WS-Security
  • Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Username-Token wird in der Anforderung verschlüsselt.
WSReliableMessaging-Richtliniensätze
WSReliableMessaging default
Dieser Richtliniensatz unterstützt WS-ReliableMessaging und WS-Addressing und verwendet die minimale Servicequalität (nicht verwaltet und nicht persistent). Diese Servicequalität erfordert eine Minimalkonfiguration. Obwohl dieser Richtliniensatz nicht transaktionsorientiert ist und obwohl er das erneute Senden von Nachrichten, die im Netz verloren gehen, unterstützt, gehen bei einem Ausfall eines Servers Nachrichten verloren. Diese Servicequalität ist nur für einen Einzelserver geeignet. In einem Cluster kann sie nicht verwendet werden.
WSReliableMessaging 1_0
Dieser Richtliniensatz unterstützt WS-ReliableMessaging Version 1.0 und WS-Addressing und verwendet die minimale Servicequalität (nicht verwaltet und nicht persistent). Diese Servicequalität erfordert eine Minimalkonfiguration, ist jedoch nicht transaktionsorientiert. Obwohl dieser Richtliniensatz das erneute Senden von Nachrichten, die im Netz verlorengehen, unterstützt, gehen bei einem Ausfall eines Servers Nachrichten verloren. Diese Servicequalität ist nur für einen Einzelserver geeignet. In einem Cluster kann sie nicht verwendet werden. Sie können diesen Richtliniensatz für .NET-basierte Web-Services verwenden.
WSReliableMessaging persistent
Mit diesem Richtliniensatz werden WS-ReliableMessaging und WS-Addressing aktiviert. Es wird die maximale Servicequalität (verwaltet und persistent) verwendet. Diese Servicequalität unterstützt asynchrone Web-Service-Aufrufe und verwendet eine Messaging-Engine für die Serviceintegration und einen Nachrichtenspeicher für die Verwaltung der Nachrichtenfolge. Nachrichten werden innerhalb von Transaktionen verarbeitet, auf dem Web-Service-Requester-Server und dem Web-Service-Providerserver persistent gespeichert und sind bei einem Serverausfall wiederherstellbar.
Web-Service-Reliable-Messaging-Richtliniensätze müssen auf auf der Serviceebene angewendet werden, damit die Laufzeitumgebung die Reliable-Messaging-Servicequalität respektiert. Richtliniensätze, die auf der Endpunktebene oder Operationsebene angewendet werden, werden von der Laufzeitumgebung ignoriert.
WSSecurity-Standardrichtliniensätze
WSSecurity default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
LTPA WSSecurity default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • LTPA-Token (Lightweight Third Party Authentication) in der Anforderungsnachricht zur Authentifizierung des Clients beim Service
Username WSSecurity default
Dieser Richtliniensatz stellt die folgenden Features bereit:
  • Nachrichtenintegrität durch digitale Signatur des Hauptteils, der Zeitmarke und der WS-Addressing-Header (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • Nachrichtenvertraulichkeit durch Verschlüsselung des Nachrichtenhauptteils, der Signatur und der Signaturbestätigung (mit dem RSA-Verschlüsselungsverfahren mit öffentlichem Schlüssel) gemäß WS-Security-Spezifikationen
  • Username-Token in der Anforderungsnachricht zur Authentifizierung des Clients beim Service. Das Username-Token wird in der Anforderung verschlüsselt.
WSTransaction-Richtliniensätze
WSTransaction
Mit diesem Richtliniensatz wird der Standard WS-Transaction aktiviert, der auf der Basis der Spezifikation WS-AtomicTransaktion eine atomare und interoperable Koordination verteilter Transaktionen ermöglicht.
SSL WSTransaction
Mit diesem Richtliniensatz wird der Standard WS-Transaction aktiviert, der auf der Basis der Spezifikation WS-AtomicTransaktion und der SSL-Transportsicherheit eine atomare, interoperable und sichere Koordination verteilter Transaktionen ermöglicht.
Weitere Standardrichtliniensätze
WSAddressing default
Mit diesem Richtliniensatz wird WS-Addressing-Unterstützung aktiviert, sodass die Adressierung von Web-Services mit Endpunktreferenzen und Nachrichtenadressierungseigenschaften gemäß den Standards und interoperabel erfolgen kann.
WSHTTPS default
Mit diesem Richtliniensatz wird SSL-Transportsicherheit für das HTTP-Protokoll bei Web-Service-Anwendungen gewährleistet.

Systemrichtliniensätze von WebSphere Application Server Version 7.0 und Version 8.0

Zum Produktumfang gehören die folgenden Systemrichtliniensätze von WebSphere Application Server Version 7.0 und Version 8.0:
SystemWSSecurityDefault
Dieser Systemrichtliniensatz legt den asymmetrischen Algorithmus und die öffentlichen und privaten Schlüssel für die Unterstützung der Nachrichtensicherheit fest. Die Nachrichtenintegrität wird durch die digitale Signatur von Hauptteil, Zeitmarke und WS-Addressing-Headern mit dem RSA-Verschlüsselungsverfahren gewährleistet. Die Nachrichtenvertraulichkeit wird durch die Verschlüsselung von Hauptteil und Signatur mit dem RSA-Verschlüsselungsverfahren gewährleistet. Dieser Richtliniensatz folgt den WS-Security-Spezifikationen für das Absetzen und Erneuern von Anforderungen von Trustoperationen.
Symbol das den Typ des Artikels anzeigt. Konzeptartikel
Nutzungsbedingungen für Information Center | Feedback

Symbol für Zeitmarke Letzte Aktualisierung: 29.04.2014

Dateiname: cpsui002.html