La sécurité des services Web pour WebSphere Application Server repose sur la spécification OASIS Web Services Security (WSS) Version 1.0, le profil de jeton de nom d'utilisateur version 1.0 et le profil de jeton X.509 version 1.0. Ces normes et profils permettent d'assurer la protection des messages échangés dans un environnement de services web. Cette spécification définit les fonctions principales de protection de l'intégrité et de la confidentialité d'un message et fournit des mécanismes permettant d'associer au message les réclamations liées à la sécurité. WSS est une norme concernant les messages fondée sur la sécurisation des messages SOAP via la signature numérique XML, la confidentialité via le chiffrement XML et la propagation des données d'identification via les jetons de sécurité. Les services Web JAX-WS, introduits dans le Feature Pack for Web Services, peuvent être sécurisés aisément à l'aide des ensembles de règles.
Pour sécuriser les services Web, vous devez tenir compte d'un large ensemble d'exigences de sécurité, notamment l'authentification, les droits d'accès, la confidentialité, la confiance, l'intégrité, les canaux de communication sécurisés, la fédération, la délégation et l'audit, à travers un large éventail de topologies d'applications et d'organisation. L'une de ces exigences clé du modèle de sécurité dans l'environnement actuel est la capacité d'interagir avec des technologies de sécurité autrefois incompatibles, comme l'infrastructure de clé publique et Kerberos, dans des environnements hétérogènes tels que Microsoft .NET et Java™ (Java EE). L'organigramme des technologies et la pile des protocoles de sécurité des services web complète sont décrits dans l'article Security in a Web Services World: A Proposed Architecture and Roadmap .
La spécification Web Services Security: SOAP Message Security 1.0 présente un ensemble standard d'extensions SOAP que vous pouvez utiliser pour sécuriser des services Web. Ces normes confirment l'intégrité et la confidentialité qui sont assurées par par des technologies de signature numérique et de chiffrement. Par ailleurs, la sécurité des services web fournit un mécanisme général permettant l'association de jetons de sécurité à des messages. Un exemple typique de jeton de sécurité est un jeton de nom d'utilisateur dans lequel un nom d'utilisateur et un mot de passe sont inclus sous forme de texte. La sécurité des services web définit la méthode à suivre pour coder des jetons de sécurité binaires, tels que les certificats X.509 et les tickets Kerberos. Cependant, les jetons de sécurité requis ne sont pas définis dans la spécification Web Service Security Version 1.0. En revanche, les jetons sont définis dans des profils distincts, tels que le profil du jeton de nom d'utilisateur, le profil du jeton X.509, le profil SAML, le profil Kerberos et le profil XML.
Dans V6.1 Feature Pack for Web Services et V7, WebSphere Application Server utilise le modèle d'ensemble de règles pour implémenter la spécification WSS Version 1.1, le profil de jeton de nom d'utilisateur version 1.1 et le profil de jeton X.509 version 1.1. Les ensembles de règles combinent les paramètres de configuration, y compris ceux de la configuration au niveau du transport et des messages, par exemple, WS-Addressing, WS-ReliableMessaging, WS-SecureConversation et WS-Security.
Pour activer les ensembles de règles pour vos services Web, voir Gestion des ensembles de règles pour les services Web JAX-WS et les clients.
Le manuel suivant contient un chapitre relatif aux ensembles de règles sur le site WebSphere Application Server V6.1 Feature Pack for Web Services:IBM® Redbooks: Web Services Feature Pack for WebSphere Application Server V6.1
En plus des informations fournies dans la présente documentation, plusieurs tutoriels et articles utiles décrivant comment sécuriser les services Web à l'aide de WebSphere Application Server sont disponibles sur le site developerWorks.