Der Anwendungsserver unterstützt die OASIS-Spezifikationen (Organization for the Advancement of Structured
Information) für Web Services Security (WS-Security).
WebSphere® Application Server unterstützt diese OASIS-Spezifikationen für Web Services Security Version 1.0 .
In WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher wurde die Unterstützung für die OASIS-Standards auf die neuesten Versionen der WS-Security-Spezifikationen und -Token aktualisiert. Web Services Security Version 1.1 bietet eine bessere Sicherheitsprüfung für die Signatur,
eine standardisierte Methode für die Verschlüsselung von SOAP-Headern und erfüllt die Anforderungen einiger
Interoperabilitätsszenarien, die Features aus Web Services Security Version 1.1 verwenden.
Die folgenden Standards werden nur in WebSphere Application Server Version 7.0 und höher unterstützt.
Die Unterstützung von
WS-SecurityPolicy ist nur für WS-MetadataExchange-Szenarien
(Web Services Metadata Exchange) verfügbar, in denen
die Zusicherungen in der WSDL-Datei enthalten sind. Nähere Informationen hierzu finden Sie im Artikel über WS-MetadataExchange-Anforderungen.
Im Jahr 2007 hat das OASIS Web Services Secure Exchange Technical Committee (WS-SX) folgende Spezifikationen
definiert und genehmigt. Teile dieser Spezifikationen werden von WebSphere Application Server Version 7 und höher unterstützt.
OASIS: Web Services Security SOAP Message Security 1.0 und
1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikationen OASIS: Web Services Security: SOAP Message Security 1.0 und 1.1 , die in WebSphere Application Server Version 6 und höher unterstützt werden.
Tabelle 1. Aspekte des Standards OASIS SOAP Message Security werden in WebSphere Application Serverunterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Sicherheitsheader |
- @S11 :actor (für eine Zwischenstation)
- @S11:mustUnderstand
- @S12:mustUnderstand
- @S12:role (S12 ist der Namespacepräfix für http://www.w3.org/2003/05/soap-envelope bei Verwendung von
SOAP Version 1.2)
|
| Sicherheitstoken |
- Benutzernamenstoken (Benutzername und Kennwort)
- Binäres Sicherheitstoken (X.509 und Lightweight Third Party Authentication
(LTPA)
- Angepasstes Token
|
| Tokenreferenzen |
- Direkte Referenz
- Schlüssel-ID
- Schlüsselname
- Eingebettete Referenz
|
| Signatur |
Signaturbestätigung |
| Signaturalgorithmus |
- Digest
- SHA1
- http://www.w3.org/2000/09/xmldsig#sha1
- SHA256
- http://www.w3.org/2001/04/xmlenc#sha256
- SHA512
- http://www.w3.org/2001/04/xmlenc#sha512
- MAC
- HMAC-SHA1
- http://www.w3.org/2000/09/xmldsig#hmac-sha1
- Signatur
- DSA mit SHA1
- http://www.w3.org/2000/09/xmldsig#dsa-sha1
Verwenden Sie diesen Algorithmus nicht, wenn Ihre konfigurierte
Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll.
- RSA mit SHA1
- http://www.w3.org/2000/09/xmldsig#rsa-sha1
- Kanonisierung
- Kanonisches XML (mit Kommentaren)
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
- Kanonisches XML (ohne Kommentare)
- http://www.w3.org/TR/2001/REC-xml-c14n-20010315
- Exklusive XML-Kanonisierung (mit Kommentaren)
- http://www.w3.org/2001/10/xml-exc-c14n#WithComments
- Exklusive XML-Kanonisierung (ohne Kommentare)
- http://www.w3.org/2001/10/xml-exc-c14n#
- Transformieren
- STR-Umsetzung
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
- XPath
- http://www.w3.org/TR/1999/REC-xpath-19991116
Verwenden Sie
die ursprüngliche XPATH-Umsetzung (Transform)
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll. Anmerkung: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das kein Attribut des Typs 'ID' aus einem 'ds: Reference' in einer SIGNATURE enthält, müssen Sie die 2.0 -Transformation 'XPATH Filter' verwenden. http://www.w3.org/2002/06/xmldsig-filter2
- Envelope-Signatur
- http://www.w3.org/2000/09/xmldsig#enveloped-signature
- XPath-Filter2
- http://www.w3.org/2002/06/xmldsig-filter2
Hinweis: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das keinen ID-Attributtyp aus einem ds: Reference in einer SIGNATURE enthält, müssen Sie die XPATH-Filter 2.0 -Transformation http://www.w3.org/2002/06/xmldsig-filter2 verwenden.
- Entschlüsselungsumsetzung
- http://www.w3.org/2002/07/decrypt#XML
|
| Mit einer Signatur signierte Teile nur für JAX-RPC |
|
| Signaturnachrichtenteile nur für JAX-WS |
- Body (signiert den SOAP-Nachrichtenhauptteil)
- Header (signiert einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders)
- XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht.
- Nähere Informationen hierzu finden
Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
|
| Verschlüsselung |
Element "EncryptedHeader" |
| Verschlüsselungsalgorithmen |
Wichtig: Für Ihr Herkunftsland bestehen möglicherweise Einschränkungen hinsichtlich des Imports, des Besitzes, der Verwendung oder des Reexports von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug
auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
- Datenverschlüsselung
- Triple DES in CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
- AES128 in CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
- AES192 in CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc
Dieser Algorithmus erfordert
die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.
Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
- AES256 in CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc
Dieser Algorithmus erfordert
die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.
- Schlüsselchiffrierung
- Schlüsseltransport (Verschlüsselung des öffentlichen Schlüssels)
- http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
Hinweis:
- Wenn Sie mit
Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der
unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der
unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK
1.5 arbeiten.
- Die Verwendung der FIPS-kompatiblen (Federal Information Processing Standard) Java™ -Verschlüsselungsengine unterstützt diesen Transportalgorithmus nicht.
- RSA Version 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
- Wrapping von symmetrischen Schlüsseln (Verschlüsselung des privaten Schlüssels)
- Wrapping von Triple-DES-Schlüsseln: http://www.w3.org/2001/04/xmlenc#kw-tripledes
- Wrapping von AES-Schlüsseln (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
- Wrapping von AES-Schlüsseln (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192
Dieser Algorithmus erfordert
die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.
Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung
nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
- Wrapping von AES-Schlüsseln (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
Dieser Algorithmus erfordert
die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.
- Manifests-xenc ist das Namespacepräfix von http://www.w3.org/TR/xmlenc-core
- xenc:ReferenceList
- xenc:EncryptedKey
Der Standard AES (Advanced Encryption Standard) wurde so entworfen,
dass er eine stärkere und bessere Leistung für die
symmetrische Verschlüsselung über
Triple-DES (Data Encryption Standard)
bereitstellt. Daher wird empfohlen, falls möglich, AES für die symmetrischen Verschlüsselung zu verwenden.
|
| Teile der Nachrichtenverschlüsselung nur für JAX-RPC |
- WebSphere Application Server -Schlüsselwörter
- bodycontent: Verschlüsselt den Inhalt des SOAP-Hauptteils.
- usernametoken: Verschlüsselt das Benutzernamenstoken.
- digestvalue: Verschlüsselt den Digest-Wert der digitalen Signatur.
- signature: Verschlüsselt die gesamte digitale Signatur.
- wscontextcontent: Verschlüsselt
den Inhalt im WS-Context-Header für den SOAP-Header.
- XPath-Ausdruck zur Auswahl des XML-Elements in der SOAP-Nachricht
- XML-Elemente
- XML-Elementinhalt
|
| Teile der Nachrichtenverschlüsselung nur für JAX-WS |
- Body (verschlüsselt den SOAP-Nachrichtenhauptteil)
- Header (verschlüsselt einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders; das resultierende Element ist EncryptedHeader)
- XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht
- Nähere Informationen hierzu finden
Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
|
| Zeitmarke |
- Im WS-Security-Header
- WebSphere Application Server wurde erweitert, damit Sie Zeitmarken in andere Elemente einfügen können, damit das Alter dieser Elemente bestimmt werden kann.
|
| Fehlerbehandlung |
SOAP-Fehler
- Neuer SOAP-Fehler (
failure) mit Fehlercode
- Hinzugefügter Text
The message has expired
|
OASIS: Web Services Security: UsernameToken Profile 1.0
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Username Token Profile 1.0 ", die in WebSphere Application Serverunterstützt werden.
Tabelle 2. Aspekte des OASIS-Benutzernamenstokenprofils V1.0 , die in WebSphere Application Serverunterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Kennworttypen |
Text |
| Tokenreferenzen |
Direkte Referenz |
OASIS: Web Services Security: UsernameToken Profile 1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Username Token Profile 1.1 ", die in WebSphere Application Serverunterstützt werden. Komponenten, die zuvor für Web Services Security UsernameToken Profile 1.0
unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.
Tabelle 3. Aspekte des Standards OASIS Username Token Profile V1.1 , die in WebSphere Application Serverunterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Kennworttypen |
Text |
| Tokenreferenzen |
Direkte Referenz |
OASIS: Web Services Security X.509 Certificate Token Profile 1.0
Die folgende Tabelle enthält die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile", die in WebSphere Application Server Version 6 und höher unterstützt werden.
Tabelle 4. Aspekte des OASIS-Standards X.509 Certificate Token V1.0 , die in WebSphere Application Serverunterstützt werden Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Tokentypen |
|
| Tokenreferenzen |
- Schlüssel-ID - Subjektschlüssel-ID
- Direkte Referenz
- Angepasste Referenz - Name des Ausstellers und Seriennummer
|
OASIS: Web Services Security X.509 Certificate Token Profile 1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile 1.1 ", die in WebSphere Application Serverunterstützt werden. Komponenten, die zuvor für Web Services Security X.509 Certificate
Token Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.
Tabelle 5. Aspekte des OASIS-Standards X.509 Certificate Token V1.1 , unterstützt in WebSphere Application Server. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Tokentypen |
X.509 Version 1: Single certificate |
| Tokenreferenzen |
Schlüssel-ID - Subjektschlüssel-ID
- Kann nur auf ein X.509v3-Zertifikat verweisen
- Mit dem Attribut http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 des Elements <wsse:KeyIdentifier> kann der Thumbprint des angegebenen Zertifikats angegeben werden.
|
OASIS: Web Services Security Kerberos Token Profile 1.1
Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Kerberos Token Profile 1.1 ", die in WebSphere Application Serverunterstützt werden.
Tabelle 6. Aspekte des Kerberos -Tokenprofilstandards von OASIS, die in WebSphere Application Serverunterstützt werden Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Tokentypen |
- Token des Typs GSS_API Kerberos v5
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
- Token des Typs GSS_API Kerberos v5 entsprechend RFC1510
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- Token des Typs GSS_API Kerberos v5 entsprechend RFC4120
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
- Token des Typs Kerberos v5
http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- Token des Typs Kerberos v5 entsprechend RFC1510
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- Token des Typs Kerberos v5 entsprechend RFC4120
http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412
|
| Tokenreferenzen |
- Referenz des Sicherheitstokens
- Schlüsselkennung, die verwendet wird, nachdem das ursprüngliche Kerberos-v5-Token konsumiert wurde
- Abgeleitetes Schlüsseltoken auf der Basies des Kerberos-Tokens
|
OASIS-Spezifikationen "Web Services Security WS-Secure Conversation Draft" und
"Web Services Security WS-Secure Conversation Version 1.3"
Die folgende Tabelle zeigt die Aspekte der OASIS: WS-SecureConversation Spezifikation, die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden. Unterstützung für Version 1.3 der Spezifikation wird in WebSphere Application Server Version 7.0 und höher bereitgestellt.
Tabelle 7. Aspekte des OASIS-Standards SecureConversation , die in WebSphere Application Serverunterstützt werden Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Tokentypen |
- Security Context Token Draft Version: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
- Security Context Token Version 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
|
| Tokenreferenzen |
Direkte Referenz |
| Einrichtung des Sicherheitskontextes |
Sicherheitskontexttoken, das von einem Sicherheitstokenservice erstellt wird, der in WebSphere Application Serverintegriert ist. |
| Kontextverlängerung |
Automatische Verlängerung des Tokens, wenn sich der Verfallszeitpunkt nähert |
| Kontextabbruch |
Unterstützung der expliziten Abbruchanforderung. |
| Abgeleitete Schlüssel |
Folgende Informationen werden verwendet, um Schlüssel mithilfe eines
geheimen Schlüssels für gemeinsame Nutzung (Shared Secret) abzuleiten:
- /wsc:DerivedKeyToken/wsse:SecurityTokenReference
- /wsc:DerivedKeyToken/wsc:Label
- /wsc:DerivedKeyToken/wsc:Nonce
- /wsc:DerivedKeyToken/wsc:Length
|
| Fehlerbehandlung |
SOAP-Fehler, einschließlich der Folgenden:
- wsc:BadContextToken
- wsc:UnsupportedContextToken
- wsc:RenewNeeded
- wsc:UnableToRenew
|
OASIS-Spezifikationen "Web Services Security WS-Trust Version 1.0 Draft" und "Web Services Security WS-Trust"
Die folgenden Tabellen zeigen die Aspekte der Spezifikationen "OASIS: Web Services Security: WS-Trust Version 1.0 Draft" und "Version 1.3 ", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden.
Tabelle 8. Aspekte des Standards OASIS Trust V1.0 und V1.3 , die in WebSphere Application Serverunterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Namespace |
http://schemas.xmlsoap.org/ws/2005/02/trust |
| Anforderungsheader |
/wsa:ActionGültige Optionen:
- http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
- http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
- http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
- http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
|
| Anforderungselemente und -attribute |
/wst:RequestSecurityToken
/wst:RequestSecurityToken/@Context
/wst:RequestSecurityToken/wst:RequestType
- Gültige Optionen:
- http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
- http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
- http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
- http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
- Gültige Optionen:
- für http://schemas.xmlsoap.org/ws/2005/02/sc/sct
- /wst:RequestSecurityToken/wsp:AppliesTo
- /wst:RequestSecurityToken/wst:Entropy
- /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
- /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
- für http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
- /wst:RequestSecurityToken/wst:Lifetime
- /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
- /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
- /wst:RequestSecurityToken/wst:KeySize
- /wst:RequestSecurityToken/wst:KeyType
- für http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
- /wst:RequestSecurityToken/wst:RenewTarget
- /wst:RequestSecurityToken/wst:Renewing
- /wst:RequestSecurityToken/wst:Renewing/@Allow
- /wst:RequestSecurityToken/wst:Renewing/@OK
- /wst:RequestSecurityToken/wst:CancelTarget
- /wst:RequestSecurityToken/wst:ValidateTarget
- /wst:RequestSecurityToken/wst:Issuer
|
| Antwortheader |
/wsa:ActionGültige Optionen:
- http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
- http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
- http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
- http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
|
| Antwortelemente und -attribute |
/wst:RequestSecurityTokenResponse
/wst:RequestSecurityTokenResponse/@Context
/wst:RequestSecurityTokenResponse/wst:TokenType
/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken
/wst:RequestSecurityTokenResponse/wsp:AppliesTo
/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken
/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference
/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference
/wst:RequestSecurityTokenResponse/wst:RequestedProofToken
/wst:RequestSecurityTokenResponse/wst:Entropy
/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret
/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type
/wst:RequestSecurityTokenResponse/wst:Lifetime
/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created
/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires
/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey
/wst:RequestSecurityTokenResponse/wst:KeySize
/wst:RequestSecurityTokenResponse/wst:Renewing
/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow
/wst:RequestSecurityTokenResponse/wst:Renewing/@OK
/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled
/wst:RequestSecurityTokenResponse/wst:Status
/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
- Gültige Antworten:
- http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
- http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid
/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
|
| Fehlerbehandlung |
wst:InvalidRequest
wst:FailedAuthentication
wst:RequestFailed
wst:InvalidSecurityToken
wst:AuthenticationBadElements
wst:BadRequest
wst:ExpiredData
wst:InvalidTimeRange
wst:InvalidScope
wst:RenewNeeded
wst:UnableToRenew
|
Tabelle 9. Aspekte des Standards OASIS Trust V1.3 werden in WebSphere Application Serverunterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
| Unterstützte Funktionalität |
Bestimmter Aspekt, der unterstützt wird |
| Namespace |
http://docs.oasis-open.org/ws-sx/ws-trust/200512 |
| Anforderungsheader |
/wsa:ActionGültige Optionen:
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
|
| Anforderungselemente und -attribute |
/wst:RequestSecurityToken
/wst:RequestSecurityToken/@Context
/wst:RequestSecurityToken/wst:RequestType
- Gültige Optionen:
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
- Gültige Optionen:
- für http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
- /wst:RequestSecurityToken/wsp:AppliesTo
- /wst:RequestSecurityToken/wst:Entropy
- /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
- /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
- für http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
- /wst:RequestSecurityToken/wst:Lifetime
- /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
- /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
- /wst:RequestSecurityToken/wst:KeySize
- /wst:RequestSecurityToken/wst:KeyType
- für http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
- /wst:RequestSecurityToken/wst:RenewTarget
- /wst:RequestSecurityToken/wst:Renewing
- /wst:RequestSecurityToken/wst:Renewing/@Allow
- /wst:RequestSecurityToken/wst:Renewing/@OK
- /wst:RequestSecurityToken/wst:CancelTarget
- /wst:RequestSecurityToken/wst:ValidateTarget
- /wst:RequestSecurityToken/wst:Issuer
|
| Antwortheader |
/wsa:ActionGültige Optionen:
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
|
| Antwortelemente und -attribute |
/wst:RequestSecurityTokenResponse
/wst:RequestSecurityTokenResponse/@Context
/wst:RequestSecurityTokenResponse/wst:TokenType
/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken
/wst:RequestSecurityTokenResponse/wsp:AppliesTo
/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken
/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference
/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference
/wst:RequestSecurityTokenResponse/wst:RequestedProofToken
/wst:RequestSecurityTokenResponse/wst:Entropy
/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret
/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type
/wst:RequestSecurityTokenResponse/wst:Lifetime
/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created
/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires
/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey
/wst:RequestSecurityTokenResponse/wst:KeySize
/wst:RequestSecurityTokenResponse/wst:Renewing
/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow
/wst:RequestSecurityTokenResponse/wst:Renewing/@OK
/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled
/wst:RequestSecurityTokenResponse/wst:Status
/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
- Gültige Antworten:
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid
/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
|
| Fehlerbehandlung |
wst:InvalidRequest
wst:FailedAuthentication
wst:RequestFailed
wst:InvalidSecurityToken
wst:AuthenticationBadElements
wst:BadRequest
wst:ExpiredData
wst:InvalidTimeRange
wst:InvalidScope
wst:RenewNeeded
wst:UnableToRenew
|
Funktionalität, die von WebSphere Application Server nicht unterstützt wird.
Die folgende Liste enthält die Funktionalität, die in den OASIS-Spezifikationen, OASIS-Entwürfen und anderen Empfehlungen, aber nicht von WebSphere Application Server Version 6 und höher unterstützt wird:
Nicht unterstützte Funktion für "WS-Trust Version 1.0 Draft" und "WS-Trust Version
1.3"
In den folgenden Tabellen sind die Aspekte der Spezifikationen OASIS: Web Services Security: WS-Trust Version 1.0 Draft und Version 1.3 aufgeführt, die nicht in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden.
Tabelle 10. Aspekte des Standards OASIS Trust V1.0 und V1.3 , die in WebSphere Application Servernicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
| Nicht unterstütztes Thema |
Spezifischer Aspekt, der nicht unterstützt wird |
| Elemente und Attribute |
/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
Nicht unterstützte Anforderungsoptionen:
- für http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey and http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
- /wst:RequestSecurityToken/wst:Claims
- /wst:RequestSecurityToken/wst:AllowPostdating
- /wst:RequestSecurityToken/wst:OnBehalfOf
- /wst:RequestSecurityToken/wst:AuthenticationType
- /wst:RequestSecurityToken/wst:KeyType
- für http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
- /wst:RequestSecurityToken/wst:SignatureAlgorithm
- /wst:RequestSecurityToken/wst:EncryptionAlgorithm
- /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
- /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
- /wst:RequestSecurityToken/wst:Encryption
- /wst:RequestSecurityToken/wst:ProofEncryption
- /wst:RequestSecurityToken/wst:UseKey
- /wst:RequestSecurityToken/wst:UseKey/@Sig
- /wst:RequestSecurityToken/wst:SignWith
- /wst:RequestSecurityToken/wst:EncryptWith
- /wst:RequestSecurityToken/wst:DelegateTo
- /wst:RequestSecurityToken/wst:Forwardable
- /wst:RequestSecurityToken/wst:Delegatable
- /wst:RequestSecurityToken/wsp:Policy
- /wst:RequestSecurityToken/wsp:PolicyReference
|
| Antwortelemente und -attribute |
/wst:RequestSecurityTokenResponseCollection
/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse
|
Tabelle 11. Aspekte des Standards V1.3 von OASIS Trust, die in WebSphere Application Servernicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
| Nicht unterstütztes Thema |
Spezifischer Aspekt, der nicht unterstützt wird |
| Elemente und Attribute |
/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
Nicht unterstützte Anforderungsoptionen:
- für http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey and
http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
- /wst:RequestSecurityToken/wst:Claims
- /wst:RequestSecurityToken/wst:AllowPostdating
- /wst:RequestSecurityToken/wst:OnBehalfOf
- /wst:RequestSecurityToken/wst:AuthenticationType
- /wst:RequestSecurityToken/wst:KeyType
- für http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
- /wst:RequestSecurityToken/wst:SignatureAlgorithm
- /wst:RequestSecurityToken/wst:EncryptionAlgorithm
- /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
- /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
- /wst:RequestSecurityToken/wst:Encryption
- /wst:RequestSecurityToken/wst:ProofEncryption
- /wst:RequestSecurityToken/wst:UseKey
- /wst:RequestSecurityToken/wst:UseKey/@Sig
- /wst:RequestSecurityToken/wst:SignWith
- /wst:RequestSecurityToken/wst:EncryptWith
- /wst:RequestSecurityToken/wst:DelegateTo
- /wst:RequestSecurityToken/wst:Forwardable
- /wst:RequestSecurityToken/wst:Delegatable
- /wst:RequestSecurityToken/wsp:Policy
- /wst:RequestSecurityToken/wsp:PolicyReference
|
| Antwortheader |
/wsa:Action
Nicht unterstützte Antworten:
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
- http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate
|