Unterstützte Funktionalität der OASIS-Spezifikationen

Der Anwendungsserver unterstützt die OASIS-Spezifikationen (Organization for the Advancement of Structured Information) für Web Services Security (WS-Security).

WebSphere® Application Server unterstützt diese OASIS Web Services Security Version 1.0 Spezifikationen.
In WebSphere Application Server Ausführung 6.1 Feature Pack für Web Services und höher: Die Unterstützung für die OASIS-Standards wurde auf die neuesten Versionen der Web Services Security (WS-Security)-Spezifikationen und -Token aktualisiert. Web Services Security Version 1.1 bietet eine bessere Sicherheitsprüfung für die Signatur, eine standardisierte Methode für die Verschlüsselung von SOAP-Headern und erfüllt die Anforderungen einiger Interoperabilitätsszenarien, die Features aus Web Services Security Version 1.1 verwenden.
Die folgenden Standards werden nur unterstützt in WebSphere Application Server Ausführung 7.0 und später.

Die Unterstützung von WS-SecurityPolicy ist nur für WS-MetadataExchange-Szenarien (Web Services Metadata Exchange) verfügbar, in denen die Zusicherungen in der WSDL-Datei enthalten sind. Nähere Informationen hierzu finden Sie im Artikel über WS-MetadataExchange-Anforderungen.

Im Jahr 2007 hat das OASIS Web Services Secure Exchange Technical Committee (WS-SX) folgende Spezifikationen definiert und genehmigt. Teile dieser Spezifikationen werden unterstützt durch WebSphere Application Server Version 7 und höher.

OASIS: Web Services Security SOAP Message Security 1.0 und 1.1

Die folgende Tabelle zeigt die Aspekte von OASIS: Web Services Security: SOAP Message Security 1.0 Und 1.1 Spezifikationen, die unterstützt werden in WebSphere Application Server Versionen 6 und höher.

Tabelle 1. Aspekte des OASIS SOAP Message Security-Standards werden unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Sicherheitsheader
  • @S11 :actor (für eine Zwischenstation)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 ist der Namespacepräfix für https://www.w3.org/2003/05/soap-envelope bei Verwendung von SOAP Version 1.2)
Sicherheitstoken
  • Benutzernamenstoken (Benutzername und Kennwort)
  • Binäres Sicherheitstoken (X.509 und Lightweight Third Party Authentication (LTPA)
  • Angepasstes Token
    • Anderes binäres Sicherheitstoken
    • XML-Token
      Notiz: WebSphere Application Server bietet keine Implementierung, aber Sie können ein XML-Token mit Plug-In-Punkt verwenden.
Tokenreferenzen
  • Direkte Referenz
  • Schlüssel-ID
  • Schlüsselname
  • Eingebettete Referenz
Signatur Signaturbestätigung
Signaturalgorithmus
  • Digest
    SHA1
    https://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    https://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    https://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    https://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Signatur
    DSA mit SHA1
    https://www.w3.org/2000/09/xmldsig#dsa-sha1

    Verwenden Sie diesen Algorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll.

    RSA mit SHA1
    https://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Kanonisierung
    Kanonisches XML (mit Kommentaren)
    https://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Kanonisches XML (ohne Kommentare)
    https://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exklusive XML-Kanonisierung (mit Kommentaren)
    https://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exklusive XML-Kanonisierung (ohne Kommentare)
    https://www.w3.org/2001/10/xml-exc-c14n#
  • Transformieren
    STR-Umsetzung
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    https://www.w3.org/TR/1999/REC-xpath-19991116
    Verwenden Sie die ursprüngliche XPATH-Umsetzung (Transform) nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
    Notiz: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das kein Attribut vom Typ ID aus einem ds:Reference in einer SIGNATURE enthält, müssen Sie den XPATH-Filter verwenden 2.0 Verwandeln, https://www.w3.org/2002/06/xmldsig-filter2
    Envelope-Signatur
    https://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath-Filter2
    https://www.w3.org/2002/06/xmldsig-filter2
    Notiz: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das keinen ID-Attributtyp aus einem ds:Reference in einer SIGNATURE enthält, müssen Sie den XPATH-Filter verwenden 2.0 Verwandeln, https://www.w3.org/2002/06/xmldsig-filter2
    Entschlüsselungsumsetzung
    https://www.w3.org/2002/07/decrypt#XML
Mit einer Signatur signierte Teile nur für JAX-RPC
  • WebSphere Application Server Schlüsselwörter:
    • body: Signiert den SOAP-Nachrichtenhauptteil.
    • timestamp: Signiert alle Zeitmarken.
    • securitytoken: Signiert alle Sicherheitstoken.
    • dsigkey: Signiert den Signierschlüssel.
    • enckey: Signiert den Chiffrierschlüssel.
    • messageid: Signiert das Element wsa :MessageID in WS-Addressing.
    • to: Signiert das Element wsa:To in WS-Addressing
    • action: Signiert das Element wsa:Action in WS-Addressing
    • relatesto: Signiert das Element wsa:RelatesTo in WS-Addressing

      wsa ist das Namespacepräfix von http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext: Gibt den WS-Context-Header für den SOAP-Header an.
    • wsafrom: Gibt <wsa:From>, das WS-Addressing-Element From, im SOAP-Header an.
    • wsareplyto: Gibt <wsa:ReplyTo>, das WS-Addressing-Element ReplyTo, im SOAP-Header an.
    • wsafaultto: Gibt <wsa:FaultTo>, das WS-Addressing-Element FaultTo, im SOAP-Header an.
    • wsaall: Gibt alle WS-Addressing-Elemente im SOAP-Header an.
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht. Weitere Informationen finden Sie unter https://www.w3.org/TR/1999/REC-xpath-19991116.
Signaturnachrichtenteile nur für JAX-WS
  • Body (signiert den SOAP-Nachrichtenhauptteil)
  • Header (signiert einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht.
    • Nähere Informationen hierzu finden Sie auf der Webseite https://www.w3.org/TR/1999/REC-xpath-19991116.
Verschlüsselung Element "EncryptedHeader"
Verschlüsselungsalgorithmen
Wichtig: In Ihrem Herkunftsland gelten möglicherweise Beschränkungen für den Import, Besitz, die Verwendung oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
  • Datenverschlüsselung
    • Triple DES in CBC: https://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 in CBC: https://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 in CBC: https://www.w3.org/2001/04/xmlenc#aes192-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus im Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile.

      Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

    • AES256 in CBC: https://www.w3.org/2001/04/xmlenc#aes256-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus im Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile.

  • Schlüsselchiffrierung
    • Schlüsseltransport (Verschlüsselung des öffentlichen Schlüssels)
      • https://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Hinweis:
        • Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK 1.5 arbeiten.
        • Die Verwendung der Federal Information Processing Standard (FIPS)-kompatiblen Java™-Kryptografie-Engine unterstützt diesen Transportalgorithmus nicht.
      • RSA Version 1.5: https://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Wrapping von symmetrischen Schlüsseln (Verschlüsselung des privaten Schlüssels)
      • Wrapping von Triple-DES-Schlüsseln: https://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Wrapping von AES-Schlüsseln (aes128): https://www.w3.org/2001/04/xmlenc#kw-aes128
      • AES key wrap (aes192): https://www.w3.org/2001/04/xmlenc#kw-aes192

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus im Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile.

        Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

      • Wrapping von AES-Schlüsseln (aes256): https://www.w3.org/2001/04/xmlenc#kw-aes256

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus im Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile.

  • Manifests-xenc ist das Namespacepräfix von https://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

Der Standard AES (Advanced Encryption Standard) wurde so entworfen, dass er eine stärkere und bessere Leistung für die symmetrische Verschlüsselung über Triple-DES (Data Encryption Standard) bereitstellt. Daher wird empfohlen, falls möglich, AES für die symmetrischen Verschlüsselung zu verwenden.
Teile der Nachrichtenverschlüsselung nur für JAX-RPC
  • WebSphere Application Server Schlüsselwörter
    • bodycontent: Verschlüsselt den Inhalt des SOAP-Hauptteils.
    • usernametoken: Verschlüsselt das Benutzernamenstoken.
    • digestvalue: Verschlüsselt den Digest-Wert der digitalen Signatur.
    • signature: Verschlüsselt die gesamte digitale Signatur.
    • wscontextcontent: Verschlüsselt den Inhalt im WS-Context-Header für den SOAP-Header.
  • XPath-Ausdruck zur Auswahl des XML-Elements in der SOAP-Nachricht
    • XML-Elemente
    • XML-Elementinhalt
Teile der Nachrichtenverschlüsselung nur für JAX-WS
  • Body (verschlüsselt den SOAP-Nachrichtenhauptteil)
  • Header (verschlüsselt einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders; das resultierende Element ist EncryptedHeader)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht
    • Nähere Informationen hierzu finden Sie auf der Webseite https://www.w3.org/TR/1999/REC-xpath-19991116.
Zeitmarke
  • Im WS-Security-Header
  • WebSphere Application Server wird erweitert, um Ihnen das Einfügen von Zeitstempeln in andere Elemente zu ermöglichen, sodass das Alter dieser Elemente bestimmt werden kann.
Fehlerbehandlung SOAP-Fehler
  • Neuer SOAP-Fehler (failure) mit Fehlercode
  • Hinzugefügter Text The message has expired

OASIS: Web Services Security: UsernameToken Profile 1.0

Die folgende Tabelle zeigt die Aspekte des OASIS: Web Services Security Username Token Profile 1.0 Spezifikation, die unterstützt wird in WebSphere Application Server.

Tabelle 2. Aspekte des OASIS-Benutzernamen-Token-Profils V1.0 Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security: UsernameToken Profile 1.1

Die folgende Tabelle zeigt die Aspekte des OASIS: Web Services Security Username Token Profile 1.1 Spezifikation, die unterstützt wird in WebSphere Application Server. Komponenten, die zuvor für Web Services Security UsernameToken Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 3. Aspekte des OASIS-Benutzernamen-Token-Profils V1.1 Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

Die folgende Tabelle zeigt die Aspekte von OASIS: Web Services Security X.509 Certificate Token Profile-Spezifikation, die unterstützt wird in WebSphere Application Server Versionen 6 und höher.

Tabelle 4. Aspekte von OASIS X.509 Zertifikatstoken V1.0 Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • X.509 Version 3: Einzelnes Zertifikat

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 Version 3: X509PKIPathv1 ohne Zertifikatswiderrufslisten (Certificate Revocation Lists, CRL)

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 Version 3: PKCS7 mit oder ohne CRLs. Der IBM® Das Software Development Kit (SDK) unterstützt beides. Das Sun Java SE Development Kit 6 (JDK 6) unterstützt PKCS7 nur ohne CRL.
Tokenreferenzen
  • Schlüssel-ID - Subjektschlüssel-ID
  • Direkte Referenz
  • Angepasste Referenz - Name des Ausstellers und Seriennummer

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte von OASIS: Web Services Security X.509 Zertifikattokenprofil 1.1 Spezifikation, die unterstützt wird in WebSphere Application Server. Komponenten, die zuvor für Web Services Security X.509 Certificate Token Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 5. Aspekte von OASIS X.509 Zertifikatstoken V1.1 Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen X.509 Version 1: Single certificate
Tokenreferenzen Schlüssel-ID - Subjektschlüssel-ID
  • Kann nur auf ein X.509v3-Zertifikat verweisen
  • Sie können den Fingerabdruck des angegebenen Zertifikats angeben, indem Sie http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 Attribut des <wsse:KeyIdentifier> Element.

OASIS: Web Services Security Kerberos Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte von OASIS: Web Services Security Kerberos Token-Profil 1.1 Spezifikation, die unterstützt wird in WebSphere Application Server.

Tabelle 6. Aspekte von OASIS Kerberos Token Profile-Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Token des Typs GSS_API Kerberos v5
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • Token des Typs GSS_API Kerberos v5 entsprechend RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • Token des Typs GSS_API Kerberos v5 entsprechend RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
  • Token des Typs Kerberos v5
    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • Token des Typs Kerberos v5 entsprechend RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • Token des Typs Kerberos v5 entsprechend RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412
Tokenreferenzen
  • Referenz des Sicherheitstokens
  • Schlüsselkennung, die verwendet wird, nachdem das ursprüngliche Kerberos-v5-Token konsumiert wurde
  • Abgeleitetes Schlüsseltoken auf der Basies des Kerberos-Tokens

OASIS-Spezifikationen "Web Services Security WS-Secure Conversation Draft" und "Web Services Security WS-Secure Conversation Version 1.3"

Die folgende Tabelle zeigt die Aspekte von OASIS: WS-SecureConversation Spezifikation, die unterstützt wird in WebSphere Application Server Ausführung 6.1 Feature Pack für Web Services und höher. Unterstützung für Version 1.3 der Spezifikation ist in WebSphere Application Server Ausführung 7.0 und später.

Tabelle 7. Aspekte von OASIS SecureConversation Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Security Context Token Draft Version: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Security Context Token Version 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Tokenreferenzen Direkte Referenz
Einrichtung des Sicherheitskontextes Sicherheitskontexttoken, das von einem Sicherheitstokendienst erstellt wird, der in das WebSphere Application Server.
Kontextverlängerung Automatische Verlängerung des Tokens, wenn sich der Verfallszeitpunkt nähert
Kontextabbruch Unterstützung der expliziten Abbruchanforderung.
Abgeleitete Schlüssel Folgende Informationen werden verwendet, um Schlüssel mithilfe eines geheimen Schlüssels für gemeinsame Nutzung (Shared Secret) abzuleiten:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Fehlerbehandlung SOAP-Fehler, einschließlich der Folgenden:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS-Spezifikationen "Web Services Security WS-Trust Version 1.0 Draft" und "Web Services Security WS-Trust"

Die folgenden Tabellen zeigen die Aspekte der OASIS: Web Services Security: WS-Trust Version 1.0 Entwurf und Version 1.3 Spezifikationen, die unterstützt werden in WebSphere Application Server Ausführung 6.1 Feature Pack für Web Services und höher.

Tabelle 8. Aspekte des OASIS Trust V1.0 Und V1.3 Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://schemas.xmlsoap.org/ws/2005/02/trust
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew
Tabelle 9. Aspekte des OASIS Trust V1.3 Standard unterstützt in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://docs.oasis-open.org/ws-sx/ws-trust/200512
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Funktionalität, die nicht unterstützt wird von WebSphere Application Server

Die folgende Liste zeigt die Funktionalität, die in den OASIS-Spezifikationen, OASIS-Entwürfen und anderen Empfehlungen unterstützt wird, jedoch nicht von WebSphere Application Server Version 6 und höher:
  • Web Services Security: SOAP Messages with Attachments (SwA) Profile 1.0
    Notiz: Bei Verwendung des JAX-WS-Programmiermodells wird die Sicherung des SOAP-MTOM-Anhangs (Message Transmission Optimization Mechanism) unterstützt. Nähere Informationen hierzu finden Sie im Artikel über die Aktivierung von MTOM für JAX-WS-Web-Services.
  • XrML-Tokenprofil
  • Digitale XML-Envelope-Signatur
  • Digitale XML-Envelope-Verschlüsselung
  • Die folgende WS-SecureConversation Funktionalität wird nicht unterstützt von WebSphere Application Server:
    • Zwei Methoden zum Aufbau eines Sicherheitskontextes werden nicht unterstützt: 1) Sicherheitskontexttoken, das von einer der miteinander kommunizierenden Parteien erstellt und in einer Nachricht weitergegeben wird, und 2) Sicherheitskontexttoken, das durch Vereinbarung oder Austausch erstellt wird.
    • SCT-Weitergabe
    • Änderung von Sicherheitskontexten
  • Die folgenden Umsetzungsalgorithmen für digitale Signaturen werden nicht unterstützt:
    • XSLT: https://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP Message Normalization

      Sehen SOAP-Version 1.2 Nachrichtennormalisierung für Informationen, wie z.B. einen leeren Header oder einen Headereintrag mitmustUnderstand=false wird entfernt und so weiter.

    • Entschlüsselungsumsetzung
  • Der folgende Schlüsselvereinbarungsalgorithmus für die Verschlüsselung wird nicht unterstützt:
  • Der folgende Kanonisierungsalgorithmus für die Verschlüsselung, der in der XML-Verschlüsselungsspezifikation optional ist, wird nicht unterstützt:
    • Kanonisches XML mit oder ohne Kommentare
    • Exklusive XML-Kanonisierung mit oder ohne Kommentare
  • Die digitale DSA-Signatur wird nicht unterstützt.
  • Die Datenverschlüsselung mit vorab vereinbarten symmetrischen Schlüsseln wird nicht unterstützt.
  • Die Prüfung eines fälschungssicheren Herkunftsnachweises für digitale Signaturen wird nicht unterstützt.
  • In beiden Versionen der Spezifikation "Username Token Profile" wird der Digest-Kennworttyp nicht unterstützt.
  • In der Spezifikation "Username Token Version 1.1 Profile" wird die Ableitung von Schlüsseln auf der Basis eines Kennworts nicht unterstützt.

Nicht unterstützte Funktion für "WS-Trust Version 1.0 Draft" und "WS-Trust Version 1.3"

Die folgenden Tabellen zeigen die Aspekte der OASIS: Web Services Security: WS-Trust Version 1.0 Entwurf und Version 1.3 Spezifikationen, die nicht unterstützt in WebSphere Application Server Ausführung 6.1 Feature Pack für Web Services und höher.

Tabelle 10. Aspekte des OASIS Trust V1.0 Und V1.3 Standard, der nicht unterstützt wird in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey and http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse
Tabelle 11. Aspekte des OASIS Trust V1.3 Standard, der nicht unterstützt wird in WebSphere Application Server . Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortheader

/wsa:Action

Nicht unterstützte Antworten:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate