Содержание


Передача функций защиты Web-сервисов на платформе WebSphere устройствам IBM WebSphere DataPower SOA Appliance

Часть 3. Использование инфраструктуры WebSphere DataPower Policy Framework

Comments

Серия контента:

Этот контент является частью # из серии # статей: Передача функций защиты Web-сервисов на платформе WebSphere устройствам IBM WebSphere DataPower SOA Appliance

Следите за выходом новых статей этой серии.

Этот контент является частью серии:Передача функций защиты Web-сервисов на платформе WebSphere устройствам IBM WebSphere DataPower SOA Appliance

Следите за выходом новых статей этой серии.

Предварительные требования

Для работы с данной статьей необходимы следующие программные продукты:

  • WebSphere Application Server 6.1 с Web Services Feature Pack (WSFP).
  • WebSphere DataPower XML Security Gateway XS40 или WebSphere DataPower Integration Appliance XI50 3.7.1 или более новой версии.
  • Удостоверения защиты для Web Service Security в виде хранилищ ключей JCEKS, закрытых ключей или открытых сертификатов, необходимых для определенных криптографических операций.

В данной статье

В данной статье рассматриваются следующие темы:

  • Обзор инфраструктуры Policy Framework в DataPower.
  • Настройка WebSphere DataPower SOA Appliance при помощи Policy Framework на выполнение функциональности Web Service Security для Web-сервисов, развернутых на сервере WebSphere Application Server:
    - передаваемой с сервера WebSphere Application Server политикой безопасности является WS-Security Default.
  • Различные методы подключения политики безопасности в WebSphere DataPower.
  • Использование экрана Policy Parameters для предоставления удостоверений среды времени исполнения, необходимых для применения политики безопасности.
  • Информация о доступных параметрах политики безопасности.
  • Устранение неисправностей.

В WebSphere DataPower SOA Appliance со встроенным ПО версии 3.7.1 расширена поддержка WS-Security Policy. WS-Security Policy предоставляет язык определения политик, полезный в модели руководства. Она связывает потребителя и поставщика сервиса с набором требований к защите, гарантируя соответствие шаблонов обмена сообщениями между двумя участниками требованиям целостности и конфиденциальности. WS-Security Policy представляет собой набор метаданных, использующихся для выражения совокупности требований к защите. WebSphere DataPower поддерживает WS-Security Policy при помощи прокси Web-сервисов (Web Service Proxy). Мы рассмотрим действия по настройке Web Service Proxy для обеспечения выполнения политики Security Policy сервера WebSphere Application Server.

И WebSphere Application Server 6.1 с WSFP, и WebSphere DataPower 3.6.1 или более новой версии поддерживают политику WS-Security Policy. WebSphere DataPower со встроенным ПО 3.6.1 или более новой версии поддерживает 3 пространства имен WS-Security Policy.

WebSphere DataPower поддерживает два режима обработки политики WS-Security Policy: filter (фильтрация) и enforce (обеспечение выполнения). В режиме filter устройство не изменяет сообщение, а только проверяет его синтаксис. В режиме enforce сообщение может изменяться при проверке его соответствия требованиям защиты. В приведенной ниже таблице представлено сравнение различных режимов и направлений трафика.

Поскольку устройство WebSphere DataPower SOA Appliance является мостом между внешней вызывающей программой и серверным сервисом, направление движения сообщения также влияет на выполняемые устройством действия по обеспечению согласованности с утверждениями политики WS-Security.

Таблица 1. Сравнение режимов Filter и Enforce
Утверждения политики WS-SecurityРежим FilterРежим Enforce
ЗапросОтветЗапросОтвет
Integrity Assertion
sp:SignedElements

(утверждение о целостности)
Отклонить клиентский запрос, если указанный элемент не подписан при помощи указанного алгоритма.Отклонить ответ сервера, если указанный элемент не подписан при помощи указанного алгоритма.Filter + Reject (фильтровать и отклонить) клиентский запрос, если цифровая подпись не подтверждена.Filter + Sign (фильтровать и подписать) элемент сообщения ответа сервера, если он не был подписан сервером.
Confidentiality Assertion
sp:EncryptedElements

(утверждение о конфиденциальности)
Отклонить клиентский запрос, если указанный элемент не зашифрован при помощи указанного алгоритма. Поскольку в режиме filter WebSphere DataPower не будет дешифровать входящий запрос, проверка позволяет гарантировать, что элемент не существует в открытом виде*.Отклонить ответ сервера, если указанный элемент не зашифрован при помощи указанного алгоритма. Поскольку в режиме filter WebSphere DataPower не будет дешифровать входящий запрос, проверка позволяет гарантировать, что элемент не существует в открытом виде.Filter +Reject (фильтровать и отклонить) клиентский запрос, если WebSphere DataPower не может дешифровать сообщение или если элемент не существует в дешифрованном сообщении запроса.Filter +Encrypt (фильтровать и шифровать) элемент в ответе сервера, если элемент еще не зашифрован.

* Если soap:Body входящего запроса зашифрован в Web Service Proxy, WebSphere DataPower будет автоматически дешифровать сообщение, чтобы получить дешифрованный элемент soap:Body. Информация из soap:Body используется для определения зашифрованного сообщения wsdl:operation.

WebSphere Application Server 6.1 с WSFP предоставляет список наборов политик для поддержки различных требований к целостности и конфиденциальности приложения, основанного на Web-сервисах. В данном упражнении на устройство WebSphere DataPower SOA Appliance передается ресурсоемкая работа по проверке требований защиты набора политик WS-Security Default. Это позволяет серверу WebSphere Application Server 6.1 обрабатывать ресурсоемкие приложения и бизнес-логику. Поэтому в WebSphere DataPower будет размещена конечная точка Web-сервиса. Устройство будет направлять сообщение на сервер приложений только в случае удовлетворения требований к системе защиты. WebSphere DataPower также будет выполнять все необходимые преобразования данных ответа сервера приложений согласно политике WS-Security перед его отправкой обратно вызывающей программе.

Рисунок 1. Поток данных до передачи набора политик WS-Security Default в WebSphere DataPower SOA Appliance
Рисунок 1. Поток данных до передачи набора политик WS-Security Default в WebSphere DataPower SOA Appliance
Рисунок 1. Поток данных до передачи набора политик WS-Security Default в WebSphere DataPower SOA Appliance
Рисунок 2. Поток данных после передачи набора политик WS-Security Default в WebSphere DataPower SOA Appliance
Рисунок 2. Поток данных после передачи набора политик WS-Security Default в WebSphere DataPower SOA Appliance
Рисунок 2. Поток данных после передачи набора политик WS-Security Default в WebSphere DataPower SOA Appliance

Набор политик WAS WS-Security Default содержит следующий список требований к защите:

  • Запрос и ответ должны быть подписаны и зашифрованы с использованием маркера X509v3:
    - на используемый для подписи сертификат должна быть ссылка в DirectReference.
  • Алгоритм, используемый для цифровой подписи и шифрования: SHA1, AES128.
  • wsse:Timestamp должен существовать в обоих сообщениях (запрос/ответ), а цифровая подпись должна охватывать элемент wsse:Timestamp.
  • Сначала сообщение должно быть подписано. Подписанное сообщение шифруется.
  • Должны быть подписаны следующие элементы: wsse:Timestamp, все элементы Header с WS-Addressing и soap:Body.
  • Должны быть зашифрованы следующие элементы: dsig:Signature и soap:Body.

Предварительные условия для передачи набора политик WS-Security Default

Чтобы иметь возможность передать политику WS-Security Default и связывания с WAS в WebSphere DataPower SOA Appliance, необходимы:

  • Рабочее приложение между WAS-клиентом и WAS-сервером, использующее политику WS-Security Default. Политика WS-Addressing должна быть отключена. Это можно сделать путем копирования WS-Security и удаления поддержки WS-Addressing.
Рисунок 3. Отключение WS-Addressing
Рисунок 3. Отключение WS-Addressing
Рисунок 3. Отключение WS-Addressing
  • Использование WSDL-файла для Web-сервиса из указанного выше приложения. Мы собираемся использовать EchoService из WAS.
  • Открытый и закрытый ключи, используемые сервером приложений WAS для подписывания сообщений. Закрытый ключ используется для дешифрования сообщения запроса.
  • Открытый ключ WAS-клиента, который используется для шифрования ответа, а также для проверки сообщения запроса.

Настройка WebSphere DataPower на набор политик WS-Security Default

  1. Войдите в DataPower SOA Appliance, используя интерфейс WebGUI Management (https://[ip]:9090).
  2. Выберите Web Services Proxy.
Рисунок 4. Панель управления
Рисунок 4. Панель управления
Рисунок 4. Панель управления
  1. Создайте новый прокси Web-сервиса, для чего нажмите кнопку Add.
Рисунок 5. Панель Configure Web Service Proxy "Add"
Рисунок 5. Панель Configure Web Service Proxy Add
Рисунок 5. Панель Configure Web Service Proxy Add
  1. В качестве имени прокси используйте EchoService. Нажмите кнопку Create Web Service Proxy.
Рисунок 6. Панель Configure Web Service Proxy
Рисунок 6. Панель Configure Web Service Proxy
Рисунок 6. Панель Configure Web Service Proxy
  1. Заполните область Basic в Configure Web Service Proxy.
  2. Web Service Proxy WSDLs: Add WSDL (не меняйте значения по умолчанию).
  3. WSDL File URL:
    - нажмите Upload для загрузки WSDL-файла.
Рисунок 7. Загрузка WSDL-файла
Рисунок 7. Загрузка WSDL-файла
Рисунок 7. Загрузка WSDL-файла
  1. Use WS-Policy References: on
  2. WS-Policy Parameter Set: нажмите кнопку + для создания нового набора параметров WS-Policy:
    - в WebSphere DataPower будет передана функциональность защиты WAS, а также WS-Security.
    - По умолчанию необходимы следующие параметры:
    - Signing Key/Signing Certificate (ключ для подписи/сертификат для подписи): используются для генерирования подписанного ответного сообщения.
    - Encryption Certificate (сертификат шифрования): используется для шифрования ответного сообщения.
    - Verification Valcred: используется для проверки цифровой подписи в сообщении запроса.
    - Remove Security Header (удаление заголовка безопасности): так как устройство будет управлять всеми аспектами защиты сообщения, заголовок WS-Security необходимо удалить из SOAP-сообщения до отправки его в WAS. Если этого не сделать, WAS будет пытаться выполнить проверку сообщения на основе заголовка WS-Security Header.
Рисунок 8. Параметры политики
Рисунок 8. Параметры политики
Рисунок 8. Параметры политики

* Если для обеспечения выполнения определенного утверждения политики безопасности не предоставлен параметр, инфраструктура WebSphere DataPower Framework будет автоматически использовать режим filter. Например, чтобы обеспечить выполнение утверждения sp:SignedParts на стороне ответа, необходимо указать Signing Certificate и Signing Key. Если этого не сделать, устройство установит для sp:SignedParts режим выполнения filter. Т.е. если сервер предоставляет неподписанный ответ на требование sp:SignedParts, этот ответ будет отклонен устройством и не будет направлен вызывающему клиенту.

  1. WS-Policy Enforcement Mode: enforce. Нажмите кнопку Next.
Рисунок 9. WS-Policy Enforcement Mode
Рисунок 9. WS-Policy Enforcement Mode
Рисунок 9. WS-Policy Enforcement Mode
  1. Далее нужно настроить Front Side Handler (внешний обработчик) и конечную точку на сервере для Web Service Proxy.
Рисунок 10. Front Side Handler
Рисунок 10. Front Side Handler
Рисунок 10. Front Side Handler
  1. Нажмите кнопку +, расположенную ниже Local Endpoint Handler, и выберите HTTP Front Side Handler.
Рисунок 11. Выбор HTTP Front Side Handler
Рисунок 11. Выбор HTTP Front Side Handler
Рисунок 11. Выбор HTTP Front Side Handler
  1. Выберите порт 8855 (Name: http8855 и Port Number: 8855).
  2. Нажмите Apply.
Рисунок 12. Настройка HTTP Front Side Handler
Рисунок 12. Настройка HTTP Front Side Handler
Рисунок 12. Настройка HTTP Front Side Handler
  1. Нажмите Add для добавления Local Endpoint Handler.
Рисунок 13. Добавление Local Endpoint Handler
Рисунок 13. Добавление Local Endpoint Handler
Рисунок 13. Добавление Local Endpoint Handler
  1. Заполните область Remote:
    - Protocol: http
    - Hostname (IP Address): IP-адрес WAS-сервера (9.33.82.80).
  2. Нажмите Next.
Рисунок 14. Remote Data
Рисунок 14. Remote Data
Рисунок 14. Remote Data
  1. На данном этапе Web Service Policy должна находиться в рабочем состоянии. Перейдите на вкладку Policy. Теперь к Web Service Policy необходимо прикрепить политику. Перейдите на вкладку Policy.
Рисунок 15. Вкладка Policy
Рисунок 15. Вкладка Policy
Рисунок 15. Вкладка Policy
  1. WAS WS-Security Default соответствует политика wsp-sp-1-1-was-wssecurity-default.xml. Эта политика содержит три фрагмента: binding-policy (политика-связывание), request_parts (части запроса) и response_parts (части ответа). Мы воспользуемся тем, что request_parts и response_parts одинаковы. Спецификация WS-Security Policy четко указывает, какое связывание может использоваться с конкретным субъектом политики (Policy Subject). Если вы захотите отклониться от указанных ниже действий, внимательно следите за тем, чтобы утверждение политики прикреплялось к правильному субъекту политики. Выберите yes для Show portType and binding nodes.
Рисунок 16. Show portType and Binding Nodes
Рисунок 16. Show portType and Binding Nodes
Рисунок 16. Show portType and Binding Nodes
  1. Прикрепите wsp-sp-1-1-was-wssecurity-default.xml#binding-policy к субъекту Endpoint Policy Subject. В данном случае мы прикрепим его к элементу wsdl:portType.
Рисунок 17. Additional Policy Sources #binding-policy
Рисунок 17. Additional Policy Sources #binding-policy
Рисунок 17. Additional Policy Sources #binding-policy
  1. Прикрепите wsp-sp-1-1-was-wssecurity-default.xml#request_parts к субъекту Operation Policy Subject, так чтобы оба элемента wsdl:input и wsdl:output использовали одну и ту же политику. В данном случае мы подключим ее к wsdl:operation.
Рисунок 18. Additional Policy Sources #request_parts
Рисунок 18. Additional Policy Sources #request_parts
Рисунок 18. Additional Policy Sources #request_parts
  1. На данном этапе мы выключим проверку схемы для ответного сообщения. Согласно политике WS-Security Default, ответное сообщение должно быть зашифровано, следовательно, оно не пройдет процесс проверки схемы, выполняемый Web Service Proxy. Существует два способа сделать это: использовать карту исключений (exception map) или запретить проверку схемы для ответа. Мы будем использовать второй вариант. Проверку можно отключить в интерфейсе WebGUI. Снимите отметку против Schema validate response messages.
Рисунок 19. Отключение Schema Validation Response Message
Рисунок 19. Отключение Schema Validation Response Message
Рисунок 19. Отключение Schema Validation Response Message
  1. Нажмите кнопку Done.
  2. Создайте ID Credential для связи с открытым и закрытым ключами для WAS.
  3. В панели управления выберите Keys & Certs Management.
  4. Identification Credentials - for identifying self.
  5. Нажмите кнопку Add:
    - Name: was-server.
    - Crypto Key: was-server.
    - Certificate: was-server.
    - Нажмите Apply.
Рисунок 20. Crypto Identification Credentials
Рисунок 20. Crypto Identification Credentials
Рисунок 20. Crypto Identification Credentials

Поскольку Web Service Proxy должен дешифровать soap-сообщение для soap:Body, перед этим он должен определить, на какую операцию направить входящий трафик. Существует два способа предоставить информацию о ключах, которые Web Service Proxy может использовать для автоматического дешифрования. Предпочтительным способом является создание идентификационных удостоверений.

  • Определите идентификационные удостоверения, которые будут связывать открытый сертификат с соответствующим ему закрытым ключом.
  • Укажите Decrypt Key в Proxy Settings Web Service Proxy.
Рисунок 21. Ключ дешифрования
Рисунок 21. Ключ дешифрования
Рисунок 21. Ключ дешифрования

Отключение политики WS-Security Default Policy у поставщика Web-сервисов WAS

Остановите и запустите Service Provider. Это гарантирует выполнение Service Provider без политики WS-Security Default Policy и связывания.

Рисунок 22. Service Providers
Рисунок 22. Service Providers
Рисунок 22. Service Providers

Изменение программы тестирования для использования WebSphere DataPower

Опять остановите и запустите Service Provider. Это гарантирует выполнение Service Provider без политики WS-Security Default Policy и связывания.

Рисунок 23. Service Providers
Рисунок 23. Service Providers
Рисунок 23. Service Providers

Изменение программы тестирования для использования WebSphere DataPower в качестве Service URI

  • Измените Service URI на конечную точку Web-сервисов, находящуюся в DataPower.
  • Нажмите Send Message.
  • Отобразится ответ, повторяющий содержимое запроса.
Рисунок 24. Ответ General Message
Рисунок 24. Ответ General Message
Рисунок 24. Ответ General Message
Таблица 2. Список параметров среды исполнения политики WS-Security для Web Service Proxy
Имя параметраОписаниеУтверждения политики WS-Security
Kerberos Client Principal[ответ] Используется для подписывания сообщения.sp:KerberosToken
Kerberos Server Principal[запрос] Используется для проверки цифровой подписи сообщения.sp:KerberosToken
Kerberos Keytab[запрос/ответ] Файл Keytab для Kerberos.sp:KerberosToken
Verification Valcred[запрос] Используется для проверки цифровой подписи по асимметричному алгоритму.sp:SignedParts
sp:SignedElements
sp:SignedSupportingTokens
sp:SignedEncryptedSupportingToken
sp:OnlySignEntireHeadersAndBody
Signing Certificate[ответ] Для генерирования KeyInfo для Signing Key, соответствующий Signing Key.sp:SignedParts
sp:SignedElements
sp:SignedSupportingTokens
sp:SignedEncryptedSupportingToken
sp:OnlySignEntireHeadersAndBody
Signing Key[ответ] Для подписывания цифровой подписью ответного сообщения.sp:SignedParts
sp:SignedElements
sp:SignedSupportingTokens
sp:SignedEncryptedSupportingToken
sp:OnlySignEntireHeadersAndBody
Encryption Certificate[ответ] Для шифрования ответного сообщения.sp:EncryptedParts
sp:EncryptedElements
sp:ContentEncryptedElements
sp:EncryptedSupportingToken
sp:SignedEncryptedSupportingToken
Decryption Key[запрос] Для дешифрования входящих запросов. Данный прокси Web-сервисов будет автоматически дешифровать сообщение, если элемент soap:Body зашифрован. Этот параметр не применим для элементов, зашифрованных с использованием другого ключа.sp:EncryptedParts
sp:EncryptedElements
sp:ContentEncryptedElements
sp:EncryptedSupportingToken
sp:SignedEncryptedSupportingToken
AAA Policy[ответ] Для генерирования необходимого маркера ответного сообщения.sp:UsernameToken
sp:SamlToken
sp:SecurityContextToken
sp:SecureConversationToken
sp:SignedSupportingTokens
sp:EncryptedSupportingTokens
sp:SignedEncryptedSupportingToken
Remove Security Header[запрос] Удаляет заголовок WS-Security, wsse:Security, из запроса перед отправкой устройством сообщения на сервер.-
Timestamp Expiration Override Period[ответ] Переопределяет время, отводящееся на цифровую подпись (по умолчанию - 300 секунд).sp:SymmetricBinding
sp:AsymmetricBinding
sp:TransportBinding
Interoperable with[запрос/ответ] Переключает указанный поставщиком код для участия во взаимодействиях.-
WebSphere DataPower Specific Features[запрос] Не выполнять проверку временной отметки при проверке цифровой подписи.

[ответ] Использовать динамический сертификат цифровой подписи – используется сертификат цифровой подписи из сообщения запроса для шифрования сообщения ответа.
-

Отладка

  • Включение отладочного режима для прокси Web-сервисов

На приведенном ниже рисунке отображен фрагмент тестовой транзакции (#68802), в которой входящее и исходящее сообщения содержат элемент UsernameToken11.

В рамках запроса производилось два вызова. Каждый вызов представлял собой альтернативу в использовании политики. Первый вызов проверяет UsernameToken10. Поскольку сообщение содержит Uernametoken11, политика не выполняется. После неудачной первой попытки отправить сообщение (вызов) инфраструктура автоматически активизирует вторую альтернативу (вызов). Здесь проверяется UsernameToken11. Поэтому вызов успешен.

При ответе выполнялось три вызова. Первый вызов – это проверка ошибки SOAP. Поскольку сообщение не является ошибкой SOAP, проверка завершается неудачей. (Обратите внимание, что на стороне ответа первый вызов всегда является проверкой ошибки SOAP, т.е. если с сервера возвращается ошибка SOAP, к ней не применяется никакая политика, и эта ошибка SOAP возвращается вызывающей стороне в неизмененном виде.) Также неудачно завершается второй вызов, проверяющий UsernameToken10. Однако третий вызов проходит успешно, так как проверяется UsernameToken11.

Рисунок 25. Листинг транзакции
Рисунок 25. Листинг транзакции
Рисунок 25. Листинг транзакции
  • Использование командной строки

Используйте команду show policy-config для извлечения многочисленных правил и действий, созданных для политики, ассоциированной с прокси Web-сервисов. Выполните эту команду, используя следующий формат: show policy-config номер выполнения.

Если не указан номер выполнения (execution number), команда возвращает подробную информацию обо всех действиях и правилах среды исполнения, созданных для реализации требований политики.

Можно также использовать команды show policy-attachment и show policy-parameter для извлечения подробной конфигурационной информации для объектов Policy Attachments и Policy Parameter соответственно.

Для определения номера выполнения используйте интерфейс WebGUI. В WebGUI выберите STATUS -> Web Services -> Web Services WSDLs. В данном случае нас интересует номер 85.

Рисунок 26. Отображение политики
Рисунок 26. Отображение политики
Рисунок 26. Отображение политики

Ниже приведена информация, выводимая на экран командой policy-config 85. Есть несколько правил и действий, созданных для политики, ассоциированной с WSP:

  • Правило operation_85_1-2-process-resp работает на стороне ответа.
  • Правило operation_85_1-2-req работает на стороне запроса.
  • Действие operation_85_1-1-1-request-rule-UsernameToken – это фильтр, проверяющий UsernameToken на стороне запроса.
  • Действие operation_85_1-1-1-response-rule-filter – это фильтр, выполняющий проверку на стороне ответа.

Выделенные участки имен показывают, что существует соглашение по именованию, согласно которому указывается направление сгенерированного правила или действия.

Листинг 1. Результат выполнения команды Show policy-config
xi50[ws-security-policy](config)# show policy-config 85
Rule Name         Details
  ---------         -------
  operation_85_1-2-process-resp [up] --- type: response ---
                    filter INPUT store:///required-elements-filter.xsl NULL
                    results INPUT    


  Rule Name         Details
  ---------         -------
  operation_85_1-2-req [up] --- type: request ---
                    filter INPUT store:///required-elements-filter.xsl NULL
                    results INPUT    

	...............  More generated rule ............

action: operation_85_1-1-1-request-rule-UsernameToken [up]
-----------------------------------------------------
 admin-state enabled
 type filter
 input INPUT
 transform store:///required-elements-filter.xsl
 output NULL
 named-inouts default
 parameter RequiredElementXPaths "/*[local-name()='Envelope' and 
   (namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' or 
namespace-uri()='http://www.w3.
 transactional off
 soap-validation body
 sql-source-type static
 asynchronous off
 results-mode first-available
 retry-count 0
 retry-interval 1000 msec
 multiple-outputs off
 iterator-type XPATH
 timeout 0 msec

action: operation_85_1-1-1-response-rule-filter [up]
-----------------------------------------------
 admin-state enabled
 type filter
 input INPUT
 transform store:///required-elements-filter.xsl
 output NULL
 named-inouts default
 parameter RequiredElementXPaths "/*[local-name()='Envelope' and 
  (namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' or 
namespace-uri()='http://www.w3.
 transactional off
 soap-validation body
 sql-source-type static
 asynchronous off
 results-mode first-available
 retry-count 0
 retry-interval 1000 msec
 multiple-outputs off
 iterator-type XPATH
 timeout 0 msec

	...............  More generated action ............

Ниже приведена информация, выводимая командой show policy-attachment. В списке прикрепленных политик указывается прикрепленная извне политика для данного сервиса Web Service Proxy. В следующем примере политика wsp-sp-1-1-sign-parts.xml прикреплена к {urn:GoogleSearch}GoogleSearchService. Это подразумевает, что все сообщения, ассоциированные с {urn:GoogleSearch}GoogleSearchService, должны соответствовать этой политике, а действие должно использовать режим enforce.

Листинг 2. Результат выполнения команды Show policy-attachment
policy-attachments: test_GoogleSearch.wsdl [up]
------------------------------------------
 admin-state enabled
 enforcement-mode enforce
 policy-references on
 external-policy service {urn:GoogleSearch}GoogleSearchService   
store:///policies/templates/wsp-sp-1-1-sign-parts.xml

policy-attachments: SecPolicyAttachment-enforce [up]
-----------------------------------------------
 admin-state enabled
 enforcement-mode enforce
 policy-references on
 ignore-attachment-point service {tns1}service

policy-attachments: SecPolicyAttachment-filter [up]
----------------------------------------------
 admin-state enabled
 enforcement-mode filter
 policy-references on
 ignore-attachment-point service {tns1}service

Ниже приведена информация, выводимая командой show policy-parameter. Параметры политики необходимы для обеспечения ее выполнения.

Листинг 3. Результат выполнения команды Show policy-parameter
policy-parameters: SecPolicyParameterAliceCertificate [up]
-----------------------------------------------------
 admin-state enabled
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512}
ws-secpol-Certificate name:secpol-cert-alice
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}
ws-secpol-Certificate name:secpol-cert-alice

policy-parameters: SecPolicyParameterAliceDecryptKey [up]
----------------------------------------------------
 admin-state enabled
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200512}
ws-secpol-DecryptKey secpol-key-alice
 parameter {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}
ws-secpol-DecryptKey secpol-key-alice

Ресурсы для скачивания


Похожие темы


Комментарии

Войдите или зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=SOA и web-сервисы, WebSphere
ArticleID=807108
ArticleTitle=Передача функций защиты Web-сервисов на платформе WebSphere устройствам IBM WebSphere DataPower SOA Appliance: Часть 3. Использование инфраструктуры WebSphere DataPower Policy Framework
publish-date=03272012