Descargue tareas de seguridad de servicios web WebSphere para Dispositivos IBM WebSphere DataPower SOA: Parte 3: Usando la Infraestructura de Política WebSphere DataPower

Este artículo cubrirá cómo usar Dispositivos WebSphere DataPower SOA como el punto de aplicación de la Política WS-Security. También tratara en detalle cómo descargar la política de seguridad de servicios web desde el WebSphere Application Server hacia WebSphere DataPower usando Policy Framework en el dispositivo. Cubriremos Policy Framework que actualmente es soportado en DataPower 3.7.2, así como diferentes formas para depurar Policy Framework. Este artículo es la parte 3 de una serie; las secciones previas detallaron los pasos que usted debe llevar a cabo para descargar la funcionalidad Web Services Security hacia el Dispositivo WebSphere DataPower SOA.

Shiu Fun Poon, Senior Technical Lead, IBM

Shiu Fun Poon es líder Técnico/de Ingeniería dentro del grupo IBM WebSphere DataPower Security. A ella le interesan todos los aspectos de la SOA. Ella trabaja en recursos que proporcionan soporte Web Services Security de acuerdo a OASIS, W3C, Política WS-Security y otros recursos adicionales de seguridad relacionados de los Dispositivos IBM WebSphere DataPower. Ella también contribuye con la mejora Reliable Availability Serviceability [RAS] del dispositivo. Antes de unirse a DataPower, ella era Tech Lead en el Domino Security Team.



Sid Misra, Software Test Specialist, IBM

Sid Misra es Ingeniero de Software del grupo IBM WebSphere Business Events en Bedford, Massachusetts. Antes de unirse al grupo WBE, Sid era SQA Team Lead en IBM DataPower donde trabajó en Política WS-Security, WS-Policy y en otros recursos de seguridad. Tiene una maestría en Ciencias de la Computación del Worcester Polytechnic Institute.



23-01-2012

Prerrequisitos

Para seguir este artículo, asegúrese de tener:

  • WebSphere Application Server 6.1 con Web Services Feature Pack (WSFP)
  • WebSphere DataPower XML Security Gateway XS40 o WebSphere DataPower Integration Appliance XI50, con firmware versión 3.7.1 o superior
  • Credenciales de seguridad para seguridad de servicios web en forma de almacenes de claves JCEKS o las claves privadas/certificados públicos requeridos para las operaciones de criptografía especificadas

En este artículo

Este artículo cubre:

  • Una visión general de Policy Framework en DataPower
  • Configurando un Dispositivo WebSphere DataPower SOA usando Policy Framework para efectuar el procesamiento de seguridad de servicios web para un servicio web WebSphere Application Server implementado
    - La Política de Seguridad a ser descargada desde el WebSphere Application Server es WSSecurity Default
  • Diferentes métodos en WebSphere DataPower para anexar una Política de Seguridad
  • Use la pantalla Policy Parameters para proporcionar las credenciales de tiempo de ejecución necesarias para imponer la Política de Seguridad
  • Información sobre los parámetros de Política de Seguridad disponibles Security Policy
  • Solución de problemas

Introducción

El Dispositivo WebSphere DataPower SOA, versión de firmware 3.7.1, extiende su soporte de Política WS-Security. La Política WS-Security proporciona un lenguaje útil para un modelo de gobierno. Esta compromete tanto al consumidor como al proveedor de servicios con un conjunto de requisitos de seguridad para garantizar que los patrones de intercambio de mensajes entre 2 partes cumplan con la integridad y confidencialidad requeridas. La Política WS-Security es un conjunto de metadatos usados para expresar una combinación de requisitos de seguridad. WebSphere DataPower soporta la Política WS-Security con un proxy de servicios web. Cubriremos los pasos sobre cómo configurar un proxy de servicios web para imponer una Política de seguridad de WebSphere Application Server ™.

Tanto WebSphere Application Server 6.1 con WSFP como WebSphere DataPower 3.6.1 o superior, soportan la Política WS-Security. WebSphere DataPower firmware 3.6.1 o superior soporta 3 espacios de nombre de Política WS-Security.

WebSphere DataPower soporta dos modalidades de proceso para una Política de Seguridad, filtro e imposición. En la modalidad de filtro, el mensaje no será alterado por el dispositivo y solo se revisa la sintaxis del dispositivo. En la modalidad de imposición, el mensaje puede ser alterado para verificar si el mensaje cumple con el requisito de seguridad. La siguiente tabla proporciona un contraste entre las diferentes modalidades y la dirección del tráfico.

Como el Dispositivo WebSphere DataPower SOA hace un puente entre el interlocutor de primer plano y el servicio de backend, la dirección del mensaje también afecta las acciones tomadas por el dispositivo para conformarse a una afirmación de Política WS-Security.

Tabla 1. Modalidad de Filtro vs. Imposición
Afirmación de Política WS-SecurityModalidad de FiltroModalidad de Imposición
SolicitudRespuestaSolicitudRespuesta
Afirmación de Seguridad
sp:SignedElements
Rechaza la solicitud de un cliente si el elemento especificado no está firmado con el algoritmo especificadoRechaza la respuesta del servidor si el elemento especificado no está firmado con el algoritmo especificadoFiltro + Rechaza el mensaje de solicitud del cliente si la firma no está verificada.Filtro + Firma el elemento en el mensaje de respuesta del servidor si no está firmado por el servidor.
Afirmación de confidencialidad
sp:EncryptedElements
Rechaza la solicitud del cliente si el elemento especificado no está cifrado con el algoritmo especificado. Como WebSphere DataPower no descifrará solicitudes entrantes en modalidad de filtro , la verificación es para asegurar que el elemento no exista en el borrado.*Rechaza la respuesta del servidor si el elemento especificado no está cifrado con el algoritmo especificado. WebSphere DataPower no descifrará solicitudes entrantes en modalidad de filtro , la verificación es para asegurar que el elemento no exista en el borrado.Filtro + Rechaza el mensaje de solicitud del cliente si WebSphere DataPower no puede descifrar el mensaje o si el elemento no existe en el mensaje de solicitud descifrado.Filtro + Cifra el elemento en la respuesta del servidor si todavía no lo está.

* En un proxy de servicios web, si el soap:Body del mensaje entrante está cifrado, WebSphere DataPower descifrará el mensaje automáticamente para recibir un soap:Body descifrado. La información de soap:Body es usada para determinar el mensaje cifrado wsdl:operation.

WebSphere Application Server 6.1 con WSFP proporciona una lista de conjuntos de políticas para soportar diferentes requisitos de integridad y confidencialidad de la aplicación de servicios web. En este ejercicio, el Dispositivo WebSphere DataPower SOA se utilizará para descargar el requisito de seguridad intensivo en procesamiento de política WS-Security Predeterminada setâ. Esto permite al WebSphere Application Server 6.1 manejar la aplicación intensiva en recursos y la lógica de negocios. Y pada ese fin, WebSphere DataPower hospedará el punto final del servicio web. El dispositivo solo reenviará el mensaje al Servidor de Aplicación de backend cuando el requisito de seguridad del mensaje solicitado se haya satisfecho. WebSphere DataPower llevará a cabo cualquier transformación necesaria en los datos de respuesta del Servidor de Aplicación, de acuerdo con la Política WS-Security, antes de que envíe la respuesta de retorno al interlocutor.

Figura 1. Tráfico de datos antes de descargar el conjunto predeterminado de políticas WS-Security hacia el Dispositivo WebSphere DataPower SOA
Tráfico de datos antes de descargar el conjunto predeterminado de políticas WS-Security hacia el Dispositivo WebSphere DataPower SOA
Figura 2. Tráfico de datos después de descargar el conjunto predeterminado de políticas WS-Security hacia el Dispositivo WebSphere DataPower SOA
Tráfico de datos después de descargar el conjunto predeterminado de políticas WS-Security hacia el Dispositivo WebSphere DataPower SOA

WAS política WS-Security predeterminada set contiene la siguiente lista de requisitos de seguridad:

  • Tanto el mensaje de solicitud como el de respuesta deben estar firmados/cifrados con el token X509v3
    - El certificado usado para firmar debe ser referenciado con DirectReference
  • El algoritmo a ser usado para firma y cifrado : SHA1, AES128
  • wsse:Timestamp debe existir en los mensajes de solicitud/respuesta y la firma debe cubrir el elementowsse:Timestamp
  • El mensaje primero debe ser firmado. El mensaje firmado será cifrado.
  • Los siguientes elementos deben ser firmados: wsse:Timestamp, cualquier elemento de Encabezado con WS-Addressing y soap:Body
  • Los siguientes elementos deben ser cifrados: dsig:Signature y soap:Body

Prerrequisitos para descargar el conjunto predeterminado de Política WS-Security

Antes de poder descargar la política WS-Security predeterminada y los vínculos desde WAS hacia un Dispositivo WebSphere DataPower SOA, se requiere lo siguiente:

  • Una aplicación funcional entre un cliente WAS y un servidor WAS que use la política WS-Security predeterminada. La política WS-Addressing debe ser desactivada. Esto se logra haciendo una copia de la WSSecurity predeterminada, y removiendo el soporte WS-Addressing.
Figura 3. Deshabilitando WS-Addressing
Deshabilitando WS-Addressing

Haga clic para ampliar la imagen

Figura 3. Deshabilitando WS-Addressing

Deshabilitando WS-Addressing
  • Usando el archivo WSDL para el servicio web de la aplicación de arriba. Vamos a usar EchoService desde WAS
  • La clave pública y privada usada por el servidor de aplicación WAS para firmar el mensaje. La clave privada es usada para descifrar el mensaje de solicitud
  • La clave pública del cliente WAS que es usada para cifrar el mensaje de respuesta y que también es usada para verificar el mensaje de solicitud

Configuración de WebSphere DataPower para el conjunto predeterminado de política WS-Security

  1. Inicie sesión en el Dispositivo DataPower SOA usando la WebGUI Management Interface (https://[ip]:9090)
  2. Seleccione Web Services Proxy
Figura 4. Panel de Control
Panel de Control
  1. Cree un nuevo proxy de servicio web, haciendo clic en el botón Add
Figura 5. Configuración de Web Service Proxy "Add"
Configuración de Web Service Proxy
  1. Use EchoService como nombre de proxy. Seleccione Create Web Service Proxy
Figura 6. Configuración de Web Service Proxy
Configuración de Web Service Proxy
  1. Complete Basic information en Configure Web Service Proxy
  2. Web Service Proxy WSDLs : Add WSDL (no cambie el predeterminado)
  3. WSDL File URL
    - Seleccione Upload para cargar el archivo WDSL
Figura 7. Carga del archivo WSDL
Carga del archivo WSDL
  1. Use WS-Policy References : on
  2. WS-Policy Parameter Set : Seleccione para crear un nuevo conjunto de parámetros WS-Policy
    - WebSphere DataPower descargará la funcionalidad de seguridad WAS, por lo tanto para WS-Security
    - De forma predeterminada se requieren los siguientes parámetros:
    - Clave de firma/Certificado de firma : se usan para generar una respuesta firmada en el mensaje de respuesta
    - Certificado de Cifrado: se utiliza para cifrar el mensaje de respuesta
    - Verificación Valcred : se usa para verificar la firma del mensaje de solicitud
    - Remover Encabezado de Seguridad: dado el dispositivo, manejará todo el aspecto de seguridad de mensaje, el encabezado WS-Security debe removerse del Mensaje SOAP antes de que sea enviado a WAS. Si esto no se ha completado, WAS intentará validar el mensaje con base en el encabezado WS-Security.
Figura 8. Parámetros de Política
Parámetros de Política

* Si no se proporciona un parámetro para imponer una Afirmación de Política de Seguridad dada, WebSphere DataPower Framework automáticamente convertirá la imposición de esa Afirmación de Política de Seguridad a modalidad de filtro. Por ejemplo, para *enforce* sp:SignedParts en el lado de respuesta del tráfico, se deben especificar Signing Certificate y Signing Key. Si no se suministran, entonces el dispositivo convertirá la modalidad de ejecución para sp:SignedParts a fitro. Así, si el servidor backend no proporciona una respuesta firmada por cada requisito sp:SignedParts, la respuesta será rechazada por el dispositivo y no será pasada al cliente.

  1. WS-Policy Modo de Imposición : enforce y seleccione "Next"
Figura 9. WS-Policy Modo de Imposición
WS-Policy Modo de Imposición

Haga clic para ampliar la imagen

Figura 9. WS-Policy Modo de Imposición

WS-Policy Modo de Imposición
  1. Lo siguiente es para configurar un Manejador de Primer Plano y un punto final de backend para el proxy de servicios web
Figura 10. Manejador de Primer Plano
Manejador de Primer Plano

Haga clic para ampliar la imagen

Figura 10. Manejador de Primer Plano

Manejador de Primer Plano
  1. Seleccione + bajo Local Endpoint Handler -> Seleccione HTTP Front Side Handler
Figura 11. Seleccione HTTP Front Side Handler
Seleccione HTTP Front Side Handler
  1. Seleccione el puerto 8855 (Name : http8855 & Port Number : 8855)
  2. Seleccione Apply
Figura 12. Configuración de HTTP Front Side Handler
Configuración de HTTP Front Side Handler
  1. Seleccione Add para añadir el Local Endpoint Handler
Figura 13. Añadiendo "Local Endpoint Handler"
Añadiendo
  1. Complete la información remota:
    - Protocolo : http
    - Hostname (IP Address) : dirección IP del servidor WAS (9.33.82.80)
  2. Seleccione Next
Figura 14. Datos remotos
Datos remotos
  1. En este punto, la Política de Servicio Web ya debe estar funcionando. Ahora tenemos que anexar la política a esta Política de Servicio Web. Seleccione la pestaña Policy.
Figura 15. Pestaña Policy
Pestaña Policy
  1. La política que coincide con la WAS WS-Security predeterminada es wsp-sp-1-1-was-wssecurity-default.xml. Esta política contiene 3 fragmentos de política, política de enlace, request_parts y response_parts. Aprovecharemos el hecho de que tanto request_parts como response_parts son las mismas. La especificación de Política WS-Security es bastante específica en cuanto a cuál enlace se puede usar en cuál sujeto de política. Si usted se va a desviar de los siguientes pasos, por favor asegúrese de que está anexando la afirmación de política al sujeto de política adecuado. Seleccione yes en Show portType and binding nodes:.
Figura 16. Mostrar portType y Binding Nodes
Mostrar portType y Binding Nodes

Haga clic para ampliar la imagen

Figura 16. Mostrar portType y Binding Nodes

Mostrar portType y Binding Nodes
  1. Anexe wsp-sp-1-1-was-wssecurity-default.xml#binding-policy a Endpoint Policy Subject. En este caso, la anexaremos al elemento wsdl:portType
Figura 17. Fuentes de política adicionales #binding-policy
Fuentes de política adicionales #binding-policy
  1. Anexe wsp-sp-1-1-was-wssecurity-default.xml#request_parts a Operation Policy Subject, de manera que wsdl:input y wsdl:output utilicen la misma política. En este caso, la anexaremos a wsdl:operation
Figura 18. Fuentes de política adicionales #request_parts
Fuentes de política adicionales #request_parts
  1. A este punto desactivaremos la validación de esquema para el mensaje de respuesta. Según la política WS-Security predeterminada, el mensaje de respuesta debe estar cifrado y por lo tanto fallará el esquema de validación hecho por el proxy de servicios web. Hay 2 formas de manejar esto, una es con correlacionamiento de excepción, y la otra es desactivar la validación de esquema para la respuesta. Usaremos la segunda opción. Esto se puede hacer haciendo clic en el recuadro de selección en la WebGUI. Desmarque Schema validate response messages.
Figura 19. Desactivación de Schema Validation Response Message
Desactivación de Schema Validation Response Message
  1. Haga clic en "Done"
  2. Cree una ID Credential la clave pública y la privada was-server para WAS.
  3. Desde el Panel de Control; seleccione Keys & Certs Management
  4. Credenciales de Identificación - para identificarse
  5. Seleccione "Add"
    - Name : was-server
    - Crypto Key : was-server
    - Certificate : was-server
    - Seleccione "Apply"
Figura 20. Credenciales de Identificación Crípticas
Credenciales de Identificación Crípticas

Porque el proxy de servicio web debe descifrar el mensaje soap para soap:Body, antes de poder determinar hacia cuál operación enrutar el tráfico entrante. Existen dos formas de proporcionar información de clave que el proxy de servicios web puede usar para auto-descifrado. Y la creación de una credencial de identidad es el método preferido.

  • Defina una credencial de identidad que relacionará un certificado público con su clave privada correspondiente
  • Especifique una ecrypt Key en Proxy Settings de Web Service Proxy
Figura 21. Clave de descifrado
Clave de descifrado

Desactive la Política WS-Security Predeterminada en el proveedor de servicios web WAS

Asegúrese de haber detenido el Proveedor de Servicios e inicie el Proveedor de Servicios. Esto es para garantizar que el Proveedor de Servicios no se esté ejecutando con ninguna Política WS-Security predeterminada ni enlaces.

Figura 22. Proveedores de Servicios
Proveedores de Servicios

Modifique el programa de prueba para que use WebSphere DataPower

De nuevo, asegúrese de haber detenido el Proveedor de Servicios e inicie el Proveedor de Servicios. Esto es para garantizar que el Proveedor de Servicios no se esté ejecutando con ninguna Política WS-Security predeterminada ni enlaces.

Figura 23. Proveedores de Servicios
Proveedores de Servicios

Modifique el programa de prueba para que use WebSphere DataPower como el Service URI

  • Modifique Service URI: por el punto final Web Service que es hospedado por DataPower.
  • Haga clic en Send Message
  • Aparecerá el eco del mensaje de solicitud
Figura 24. Respuesta de Mensaje General
Respuesta de Mensaje General

Haga clic para ampliar la imagen

Figura 24. Respuesta de Mensaje General

Respuesta de Mensaje General
Tabla 2. Lista de los parámetros de tiempo de ejecución para Política WS-Security para proxy de servicios web
Nombre de ParámetroDescriptionAfirmación de Política WS-Security
Kerberos Client Principal[respuesta] Usado para firmar el mensajesp:KerberosToken
Kerberos Server Principal[solicitud] Usado para verificar la firma en el mensajesp:KerberosToken
Kerberos Keytab[solicitud/respuesta] Archivo keytab para Kerberossp:KerberosToken
Verification Valcred[solicitud] Usado para verificar la firma que está firmada con algoritmo asimétricosp:SignedParts
sp:SignedElements
sp:SignedSupportingTokens
sp:SignedEncryptedSupportingToken
sp:OnlySignEntireHeadersAndBody
Signing Certificate[respuesta] Para generar KeyInfo para la Signing Key, la Signing Key correspondientesp:SignedParts
sp:SignedElements
sp:SignedSupportingTokens
sp:SignedEncryptedSupportingToken
sp:OnlySignEntireHeadersAndBody
Signing Key[respuesta] Para firmar el mensaje de respuestasp:SignedParts
sp:SignedElements
sp:SignedSupportingTokens
sp:SignedEncryptedSupportingToken
sp:OnlySignEntireHeadersAndBody
Encryption Certificate[respuesta] Para cifrar el mensaje de respuestasp:EncryptedParts
sp:EncryptedElements
sp:ContentEncryptedElements
sp:EncryptedSupportingToken
sp:SignedEncryptedSupportingToken
Decryption Key[solicitud] Para descifrar el mensaje de solicitud entrante. Dado el proxy de servicio web auto descifra el mensaje cuando soap:Body está cifrado. El uso de este parámetro está limitado a otros elementos cifrados los cuales son cifrados con una clave diferentesp:EncryptedParts
sp:EncryptedElements
sp:ContentEncryptedElements
sp:EncryptedSupportingToken
sp:SignedEncryptedSupportingToken
AAA Policy[respuesta] Para generar un token requerido para mensaje de respuestasp:UsernameToken
sp:SamlToken
sp:SecurityContextToken
sp:SecureConversationToken
sp:SignedSupportingTokens
sp:EncryptedSupportingTokens
sp:SignedEncryptedSupportingToken
Remove Security Header[solicitud] Este remueve el encabezado WS-Security, wsse:Security, del mensaje de solicitud antes de que el dispositivo envíe el mensaje al servidor de backend -
Timestamp Expiration Override Period[respuesta] Este sobrescribe el vencimiento predeterminado de Timestamp durante la firma, el predeterminado es 300 segundossp:SymmetricBinding
sp:AsymmetricBinding
sp:TransportBinding
Interoperable with[solicitud/respuesta] Este intercambia código especificad o por el proveedor por motivos de interoperabilidad-
WebSphere DataPower Specific Features[solicitud] No verifica Timestamp durante la verificación de firma

[respuesta] Usa Dynamic Signing Certificate “ este usa el certificado de firma del mensaje de solicitud para cifrar el mensaje de respuesta
-

Depuración

  • Active la sonda para el proxy de servicio web

La siguiente figura muestra una captura de sonda de una transacción (#68802), en la que el mensaje de entrada y el de salida contienen UsernameToken11.

Hubo dos llamados bajo solicitud. Cada llamado representó una alternativa en la política. El primer llamado es para verificar UsernameToken10. Dado que el mensaje contiene Uernametoken11, el mensaje falla la política. Después de que el mensaje falla la primera alternativa (llamado), la infraestructura de la política automáticamente desencadena una segunda alternativa (llamado). La segunda alternativa es verificada para UsernameToken11. Y así tuvo éxito.

Bajo la respuesta, hubo 3 llamados. El primero fue una verificación de falla soap. Como el mensaje no era una falla SOAP; falló esta verificación. (Note que en el lado de respuesta, el primer llamado siempre es una verificación de falla SOAP, de manera que si se retorna una falla SOAP desde el backend, no se aplica ninguna política a la falla SOAP y esta puede retornarse intacta al interlocutor). El mensaje también falló el segundo llamado debido a la verificación para UsernameToken10. Sin embargo el mensaje pasó el tercer llamado, el cual verificaba para UsernameToken11.

Figura 25. Listado de transacciones
Listado de transacciones
  • Use la línea de comando

Use el comando show policy-config para recuperar múltiples reglas y acciones que sean creadas para la política que está asociada con el proxy de servicios web. Invoque este comando con el siguiente formato para una ejecución específica: show policy-configexecution number

Sin execution number el comando retorna detalles sobre todas las reglas y acciones de tiempo de ejecución que son creadas para hacer cumplir un requisito de política.

Usted también puede usar los comandos show policy-attachment y show policy-parameter para recuperar detalles de configuración para los objetos Policy Attachments y Policy Parameter, respectivamente.

Para determinar el número de ejecución, use la WebGUI. Desde la WebGUI, seleccione STATUS -> Web Services -> Web Services WSDLs. En este caso, estamos interesados en 85.

Figura 26. Show Policy
Show Policy

Haga clic para ampliar la imagen

Figura 26. Show Policy

Show Policy

El resultado de show policy-config 85 se lista abajo. Existen múltiples reglas y acciones creadas para la política asociada con el WSP.

  • Rule operation_85_1-2-process-resp está activada para el lado de respuesta del tráfico
  • Rule operation_85_1-2-req está del lado de la solicitud
  • Action operation_85_1-1-1-request-rule-UsernameToken es un filtro, el filtro verifica un UsernameToken en el lado de solicitud
  • Action operation_85_1-1-1-response-rule-filter es una verificación de filtro del lado de la respuesta

Desde la porción resaltada del nombre usted puede saber que hay una convención de nombre que transporta la información direccional sobre la regla o acción generada.

Listado 1. Show policy-config Output
xi50[ws-security-policy](config)# show policy-config 85
Rule Name         Details
  ---------         -------
  operation_85_1-2-process-resp [up] --- type: response ---
                    filter INPUT store:///required-elements-filter.xsl NULL
                    results INPUT    


  Rule Name         Details
  ---------         -------
  operation_85_1-2-req [up] --- type: request ---
                    filter INPUT store:///required-elements-filter.xsl NULL
                    results INPUT    

	...............  More generated rule ............

action: operation_85_1-1-1-request-rule-UsernameToken [up]
-----------------------------------------------------
 admin-state enabled
 type filter
 input INPUT
 transform store:///required-elements-filter.xsl
 output NULL
 named-inouts default
 parameter RequiredElementXPaths "/*[local-name()='Envelope' and 
   (namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' or 
namespace-uri()='http://www.w3.
 transactional off
 soap-validation body
 sql-source-type static
 asynchronous off
 results-mode first-available
 retry-count 0
 retry-interval 1000 msec
 multiple-outputs off
 iterator-type XPATH
 timeout 0 msec

action: operation_85_1-1-1-response-rule-filter [up]
-----------------------------------------------
 admin-state enabled
 type filter
 input INPUT
 transform store:///required-elements-filter.xsl
 output NULL
 named-inouts default
 parameter RequiredElementXPaths "/*[local-name()='Envelope' and 
  (namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' or 
namespace-uri()='http://www.w3.
 transactional off
 soap-validation body
 sql-source-type static
 asynchronous off
 results-mode first-available
 retry-count 0
 retry-interval 1000 msec
 multiple-outputs off
 iterator-type XPATH
 timeout 0 msec

	...............  More generated action ............

El resultado del comando show policy-attachment se lista a continuación. El anexo de política lista la política anexada externamente hacia un servicio proxy de servicio web. En el siguiente ejemplo, policy, wsp-sp-1-1-sign-parts.xml, es anexada a {urn:GoogleSearch}GoogleSearchService. Esto implica que todos los mensajes que están asociados con {urn:GoogleSearch}GoogleSearchService deben cumplir esta política, y que la acción debe usar el modo impuesto.

Listado 2. Show policy-attachment Output
policy-attachments: test_GoogleSearch.wsdl [up]
------------------------------------------
 admin-state enabled
 enforcement-mode enforce
 policy-references on
 external-policy service {urn:GoogleSearch}GoogleSearchService   
store:///policies/templates/wsp-sp-1-1-sign-parts.xml

policy-attachments: SecPolicyAttachment-enforce [up]
-----------------------------------------------
 admin-state enabled
 enforcement-mode enforce
 policy-references on
 ignore-attachment-point service {tns1}service

policy-attachments: SecPolicyAttachment-filter [up]
----------------------------------------------
 admin-state enabled
 enforcement-mode filter
 policy-references on
 ignore-attachment-point service {tns1}service

El resultado del comando show policy-parameter se lista a continuación. Los parámetros de política son necesarios para la imposición.

Listado 3. Show policy-parameter Output
policy-parameters: SecPolicyParameterAliceCertificate [up]
-----------------------------------------------------
 admin-state enabled
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512}
ws-secpol-Certificate name:secpol-cert-alice
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}
ws-secpol-Certificate name:secpol-cert-alice

policy-parameters: SecPolicyParameterAliceDecryptKey [up]
----------------------------------------------------
 admin-state enabled
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512}
ws-secpol-DecryptKey secpol-key-alice
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}
ws-secpol-DecryptKey secpol-key-alice

Recursos

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=SOA y servicios web , WebSphere
ArticleID=788273
ArticleTitle=Descargue tareas de seguridad de servicios web WebSphere para Dispositivos IBM WebSphere DataPower SOA: Parte 3: Usando la Infraestructura de Política WebSphere DataPower
publish-date=01232012