Unterstützte Funktionalität der OASIS-Spezifikationen

Der Anwendungsserver unterstützt die OASIS-Spezifikationen (Organization for the Advancement of Structured Information) für Web Services Security (WS-Security).

WebSphere® Application Server unterstützt diese OASIS-Spezifikationen für Web Services Security Version 1.0 .
In WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher wurde die Unterstützung für die OASIS-Standards auf die neuesten Versionen der WS-Security-Spezifikationen und -Token aktualisiert. Web Services Security Version 1.1 bietet eine bessere Sicherheitsprüfung für die Signatur, eine standardisierte Methode für die Verschlüsselung von SOAP-Headern und erfüllt die Anforderungen einiger Interoperabilitätsszenarien, die Features aus Web Services Security Version 1.1 verwenden.
Die folgenden Standards werden nur in WebSphere Application Server Version 7.0 und höher unterstützt.

Die Unterstützung von WS-SecurityPolicy ist nur für WS-MetadataExchange-Szenarien (Web Services Metadata Exchange) verfügbar, in denen die Zusicherungen in der WSDL-Datei enthalten sind. Nähere Informationen hierzu finden Sie im Artikel über WS-MetadataExchange-Anforderungen.

Im Jahr 2007 hat das OASIS Web Services Secure Exchange Technical Committee (WS-SX) folgende Spezifikationen definiert und genehmigt. Teile dieser Spezifikationen werden von WebSphere Application Server Version 7 und höher unterstützt.

OASIS: Web Services Security SOAP Message Security 1.0 und 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikationen OASIS: Web Services Security: SOAP Message Security 1.0 und 1.1 , die in WebSphere Application Server Version 6 und höher unterstützt werden.

Tabelle 1. Aspekte des Standards OASIS SOAP Message Security werden in WebSphere Application Serverunterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Sicherheitsheader
  • @S11 :actor (für eine Zwischenstation)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 ist der Namespacepräfix für http://www.w3.org/2003/05/soap-envelope bei Verwendung von SOAP Version 1.2)
Sicherheitstoken
  • Benutzernamenstoken (Benutzername und Kennwort)
  • Binäres Sicherheitstoken (X.509 und Lightweight Third Party Authentication (LTPA)
  • Angepasstes Token
    • Anderes binäres Sicherheitstoken
    • XML-Token
      Hinweis: WebSphere Application Server stellt keine Implementierung bereit, aber Sie können ein XML-Token mit Plug-in-Punkt verwenden.
Tokenreferenzen
  • Direkte Referenz
  • Schlüssel-ID
  • Schlüsselname
  • Eingebettete Referenz
Signatur Signaturbestätigung
Signaturalgorithmus
  • Digest
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Signatur
    DSA mit SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    Verwenden Sie diesen Algorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll.

    RSA mit SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Kanonisierung
    Kanonisches XML (mit Kommentaren)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Kanonisches XML (ohne Kommentare)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exklusive XML-Kanonisierung (mit Kommentaren)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exklusive XML-Kanonisierung (ohne Kommentare)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • Transformieren
    STR-Umsetzung
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    Verwenden Sie die ursprüngliche XPATH-Umsetzung (Transform) nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
    Anmerkung: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das kein Attribut des Typs 'ID' aus einem 'ds: Reference' in einer SIGNATURE enthält, müssen Sie die 2.0 -Transformation 'XPATH Filter' verwenden. http://www.w3.org/2002/06/xmldsig-filter2
    Envelope-Signatur
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath-Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    Hinweis: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das keinen ID-Attributtyp aus einem ds: Reference in einer SIGNATURE enthält, müssen Sie die XPATH-Filter 2.0 -Transformation http://www.w3.org/2002/06/xmldsig-filter2 verwenden.
    Entschlüsselungsumsetzung
    http://www.w3.org/2002/07/decrypt#XML
Mit einer Signatur signierte Teile nur für JAX-RPC
  • WebSphere Application Server -Schlüsselwörter:
    • body: Signiert den SOAP-Nachrichtenhauptteil.
    • timestamp: Signiert alle Zeitmarken.
    • securitytoken: Signiert alle Sicherheitstoken.
    • dsigkey: Signiert den Signierschlüssel.
    • enckey: Signiert den Chiffrierschlüssel.
    • messageid: Signiert das Element wsa :MessageID in WS-Addressing.
    • to: Signiert das Element wsa:To in WS-Addressing
    • action: Signiert das Element wsa:Action in WS-Addressing
    • relatesto: Signiert das Element wsa:RelatesTo in WS-Addressing

      wsa ist das Namespacepräfix von http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext: Gibt den WS-Context-Header für den SOAP-Header an.
    • wsafrom: Gibt <wsa:From>, das WS-Addressing-Element From, im SOAP-Header an.
    • wsareplyto: Gibt <wsa:ReplyTo>, das WS-Addressing-Element ReplyTo, im SOAP-Header an.
    • wsafaultto: Gibt <wsa:FaultTo>, das WS-Addressing-Element FaultTo, im SOAP-Header an.
    • wsaall: Gibt alle WS-Addressing-Elemente im SOAP-Header an.
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht. Weitere Informationen finden Sie unter http://www.w3.org/TR/1999/REC-xpath-19991116.
Signaturnachrichtenteile nur für JAX-WS
  • Body (signiert den SOAP-Nachrichtenhauptteil)
  • Header (signiert einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht.
    • Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Verschlüsselung Element "EncryptedHeader"
Verschlüsselungsalgorithmen
Wichtig: Für Ihr Herkunftsland bestehen möglicherweise Einschränkungen hinsichtlich des Imports, des Besitzes, der Verwendung oder des Reexports von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
  • Datenverschlüsselung
    • Triple DES in CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 in CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 in CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

      Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

    • AES256 in CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

  • Schlüsselchiffrierung
    • Schlüsseltransport (Verschlüsselung des öffentlichen Schlüssels)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Hinweis:
        • Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK 1.5 arbeiten.
        • Die Verwendung der FIPS-kompatiblen (Federal Information Processing Standard) Java™ -Verschlüsselungsengine unterstützt diesen Transportalgorithmus nicht.
      • RSA Version 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Wrapping von symmetrischen Schlüsseln (Verschlüsselung des privaten Schlüssels)
      • Wrapping von Triple-DES-Schlüsseln: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Wrapping von AES-Schlüsseln (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Wrapping von AES-Schlüsseln (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

        Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

      • Wrapping von AES-Schlüsseln (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Verschlüsselungsalgorithmus für Schlüssel unter Konfigurationseinstellungen für Verschlüsselungsdaten: Nachrichtenabschnitte.

  • Manifests-xenc ist das Namespacepräfix von http://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

Der Standard AES (Advanced Encryption Standard) wurde so entworfen, dass er eine stärkere und bessere Leistung für die symmetrische Verschlüsselung über Triple-DES (Data Encryption Standard) bereitstellt. Daher wird empfohlen, falls möglich, AES für die symmetrischen Verschlüsselung zu verwenden.
Teile der Nachrichtenverschlüsselung nur für JAX-RPC
  • WebSphere Application Server -Schlüsselwörter
    • bodycontent: Verschlüsselt den Inhalt des SOAP-Hauptteils.
    • usernametoken: Verschlüsselt das Benutzernamenstoken.
    • digestvalue: Verschlüsselt den Digest-Wert der digitalen Signatur.
    • signature: Verschlüsselt die gesamte digitale Signatur.
    • wscontextcontent: Verschlüsselt den Inhalt im WS-Context-Header für den SOAP-Header.
  • XPath-Ausdruck zur Auswahl des XML-Elements in der SOAP-Nachricht
    • XML-Elemente
    • XML-Elementinhalt
Teile der Nachrichtenverschlüsselung nur für JAX-WS
  • Body (verschlüsselt den SOAP-Nachrichtenhauptteil)
  • Header (verschlüsselt einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders; das resultierende Element ist EncryptedHeader)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht
    • Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Zeitmarke
  • Im WS-Security-Header
  • WebSphere Application Server wurde erweitert, damit Sie Zeitmarken in andere Elemente einfügen können, damit das Alter dieser Elemente bestimmt werden kann.
Fehlerbehandlung SOAP-Fehler
  • Neuer SOAP-Fehler (failure) mit Fehlercode
  • Hinzugefügter Text The message has expired

OASIS: Web Services Security: UsernameToken Profile 1.0

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Username Token Profile 1.0 ", die in WebSphere Application Serverunterstützt werden.

Tabelle 2. Aspekte des OASIS-Benutzernamenstokenprofils V1.0 , die in WebSphere Application Serverunterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security: UsernameToken Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Username Token Profile 1.1 ", die in WebSphere Application Serverunterstützt werden. Komponenten, die zuvor für Web Services Security UsernameToken Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 3. Aspekte des Standards OASIS Username Token Profile V1.1 , die in WebSphere Application Serverunterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

Die folgende Tabelle enthält die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile", die in WebSphere Application Server Version 6 und höher unterstützt werden.

Tabelle 4. Aspekte des OASIS-Standards X.509 Certificate Token V1.0 , die in WebSphere Application Serverunterstützt werden Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • X.509 Version 3: Einzelnes Zertifikat

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 Version 3: X509PKIPathv1 ohne Zertifikatswiderrufslisten (Certificate Revocation Lists, CRL)

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 Version 3: PKCS7 mit oder ohne CRLs.
Tokenreferenzen
  • Schlüssel-ID - Subjektschlüssel-ID
  • Direkte Referenz
  • Angepasste Referenz - Name des Ausstellers und Seriennummer

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security X.509 Certificate Token Profile 1.1 ", die in WebSphere Application Serverunterstützt werden. Komponenten, die zuvor für Web Services Security X.509 Certificate Token Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 5. Aspekte des OASIS-Standards X.509 Certificate Token V1.1 , unterstützt in WebSphere Application Server. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen X.509 Version 1: Single certificate
Tokenreferenzen Schlüssel-ID - Subjektschlüssel-ID
  • Kann nur auf ein X.509v3-Zertifikat verweisen
  • Mit dem Attribut http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 des Elements <wsse:KeyIdentifier> kann der Thumbprint des angegebenen Zertifikats angegeben werden.

OASIS: Web Services Security Kerberos Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation "OASIS: Web Services Security Kerberos Token Profile 1.1 ", die in WebSphere Application Serverunterstützt werden.

Tabelle 6. Aspekte des Kerberos -Tokenprofilstandards von OASIS, die in WebSphere Application Serverunterstützt werden Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Token des Typs GSS_API Kerberos v5
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • Token des Typs GSS_API Kerberos v5 entsprechend RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • Token des Typs GSS_API Kerberos v5 entsprechend RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
  • Token des Typs Kerberos v5
    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • Token des Typs Kerberos v5 entsprechend RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • Token des Typs Kerberos v5 entsprechend RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412
Tokenreferenzen
  • Referenz des Sicherheitstokens
  • Schlüsselkennung, die verwendet wird, nachdem das ursprüngliche Kerberos-v5-Token konsumiert wurde
  • Abgeleitetes Schlüsseltoken auf der Basies des Kerberos-Tokens

OASIS-Spezifikationen "Web Services Security WS-Secure Conversation Draft" und "Web Services Security WS-Secure Conversation Version 1.3"

Die folgende Tabelle zeigt die Aspekte der OASIS: WS-SecureConversation Spezifikation, die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden. Unterstützung für Version 1.3 der Spezifikation wird in WebSphere Application Server Version 7.0 und höher bereitgestellt.

Tabelle 7. Aspekte des OASIS-Standards SecureConversation , die in WebSphere Application Serverunterstützt werden Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Security Context Token Draft Version: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Security Context Token Version 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Tokenreferenzen Direkte Referenz
Einrichtung des Sicherheitskontextes Sicherheitskontexttoken, das von einem Sicherheitstokenservice erstellt wird, der in WebSphere Application Serverintegriert ist.
Kontextverlängerung Automatische Verlängerung des Tokens, wenn sich der Verfallszeitpunkt nähert
Kontextabbruch Unterstützung der expliziten Abbruchanforderung.
Abgeleitete Schlüssel Folgende Informationen werden verwendet, um Schlüssel mithilfe eines geheimen Schlüssels für gemeinsame Nutzung (Shared Secret) abzuleiten:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Fehlerbehandlung SOAP-Fehler, einschließlich der Folgenden:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS-Spezifikationen "Web Services Security WS-Trust Version 1.0 Draft" und "Web Services Security WS-Trust"

Die folgenden Tabellen zeigen die Aspekte der Spezifikationen "OASIS: Web Services Security: WS-Trust Version 1.0 Draft" und "Version 1.3 ", die in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden.

Tabelle 8. Aspekte des Standards OASIS Trust V1.0 und V1.3 , die in WebSphere Application Serverunterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://schemas.xmlsoap.org/ws/2005/02/trust
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew
Tabelle 9. Aspekte des Standards OASIS Trust V1.3 werden in WebSphere Application Serverunterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://docs.oasis-open.org/ws-sx/ws-trust/200512
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Funktionalität, die von WebSphere Application Server nicht unterstützt wird.

Die folgende Liste enthält die Funktionalität, die in den OASIS-Spezifikationen, OASIS-Entwürfen und anderen Empfehlungen, aber nicht von WebSphere Application Server Version 6 und höher unterstützt wird:
  • Web Services Security: SOAP Messages with Attachments (SwA) Profile 1.0
    Anmerkung: Wenn Sie das Programmiermodell JAX-WS verwenden, wird die Sicherung des MTOM-Anhangs (SOAP Message Transmission Optimization Mechanism) unterstützt. Nähere Informationen hierzu finden Sie im Artikel über die Aktivierung von MTOM für JAX-WS-Web-Services.
  • XrML-Tokenprofil
  • Digitale XML-Envelope-Signatur
  • Digitale XML-Envelope-Verschlüsselung
  • Die folgenden WS-SecureConversation Funktionen werden von WebSphere Application Server nicht unterstützt:
    • Zwei Methoden zum Aufbau eines Sicherheitskontextes werden nicht unterstützt: 1) Sicherheitskontexttoken, das von einer der miteinander kommunizierenden Parteien erstellt und in einer Nachricht weitergegeben wird, und 2) Sicherheitskontexttoken, das durch Vereinbarung oder Austausch erstellt wird.
    • SCT-Weitergabe
    • Änderung von Sicherheitskontexten
  • Die folgenden Umsetzungsalgorithmen für digitale Signaturen werden nicht unterstützt:
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP Message Normalization

      Weitere Informationen finden Sie unter SOAP Version 1.2 Message Normalization , z. B. wenn ein leerer Header oder ein Headereintrag mit mustUnderstand=false entfernt wird.

    • Entschlüsselungsumsetzung
  • Der folgende Schlüsselvereinbarungsalgorithmus für die Verschlüsselung wird nicht unterstützt:
  • Der folgende Kanonisierungsalgorithmus für die Verschlüsselung, der in der XML-Verschlüsselungsspezifikation optional ist, wird nicht unterstützt:
    • Kanonisches XML mit oder ohne Kommentare
    • Exklusive XML-Kanonisierung mit oder ohne Kommentare
  • Die digitale DSA-Signatur wird nicht unterstützt.
  • Die Datenverschlüsselung mit vorab vereinbarten symmetrischen Schlüsseln wird nicht unterstützt.
  • Die Prüfung eines fälschungssicheren Herkunftsnachweises für digitale Signaturen wird nicht unterstützt.
  • In beiden Versionen der Spezifikation "Username Token Profile" wird der Digest-Kennworttyp nicht unterstützt.
  • In der Spezifikation "Username Token Version 1.1 Profile" wird die Ableitung von Schlüsseln auf der Basis eines Kennworts nicht unterstützt.

Nicht unterstützte Funktion für "WS-Trust Version 1.0 Draft" und "WS-Trust Version 1.3"

In den folgenden Tabellen sind die Aspekte der Spezifikationen OASIS: Web Services Security: WS-Trust Version 1.0 Draft und Version 1.3 aufgeführt, die nicht in WebSphere Application Server Version 6.1 Feature Pack for Web Services und höher unterstützt werden.

Tabelle 10. Aspekte des Standards OASIS Trust V1.0 und V1.3 , die in WebSphere Application Servernicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey and http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse
Tabelle 11. Aspekte des Standards V1.3 von OASIS Trust, die in WebSphere Application Servernicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortheader

/wsa:Action

Nicht unterstützte Antworten:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate