Unterstützte Funktionalität der OASIS-Spezifikationen

Der Anwendungsserver unterstützt die OASIS-Spezifikationen (Organization for the Advancement of Structured Information) für Web Services Security (WS-Security).

WebSphere® Application Server unterstützt diese OASIS-Spezifikationen zur Webdienstesicherheit (Version 1.0 ).
In den Versionen „ WebSphere Application Server “, „ 6.1 Feature Pack for Web Services“ und späteren Versionen wurde die Unterstützung für die OASIS-Standards auf die neuesten Versionen der WS-Security-Spezifikationen und -Token aktualisiert. Web Services Security Version 1.1 bietet eine bessere Sicherheitsprüfung für die Signatur, eine standardisierte Methode für die Verschlüsselung von SOAP-Headern und erfüllt die Anforderungen einiger Interoperabilitätsszenarien, die Features aus Web Services Security Version 1.1 verwenden.
Die folgenden Standards werden nur in der Version „ WebSphere Application Server “ ( 7.0 ) und höher unterstützt.

Die Unterstützung von WS-SecurityPolicy ist nur für WS-MetadataExchange-Szenarien (Web Services Metadata Exchange) verfügbar, in denen die Zusicherungen in der WSDL-Datei enthalten sind. Nähere Informationen hierzu finden Sie im Artikel über WS-MetadataExchange-Anforderungen.

Im Jahr 2007 hat das OASIS Web Services Secure Exchange Technical Committee (WS-SX) folgende Spezifikationen definiert und genehmigt. Teile dieser Spezifikationen werden von „ WebSphere Application Server “ ab Version 7 unterstützt.

OASIS: Web Services Security SOAP Message Security 1.0 und 1.1

Die folgende Tabelle zeigt die Aspekte der OASIS-Spezifikationen „Web Services Security: SOAP Message Security“ ( 1.0 ) und „ 1.1 “, die in WebSphere Application Server ab Version 6 unterstützt werden.

Tabelle 1. In „ WebSphere Application Server“ unterstützte Aspekte des OASIS-Standards für SOAP-Nachrichtensicherheit. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Sicherheitsheader
  • @S11 :actor (für eine Zwischenstation)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role (S12 ist der Namespacepräfix für http://www.w3.org/2003/05/soap-envelope bei Verwendung von SOAP Version 1.2)
Sicherheitstoken
  • Benutzernamenstoken (Benutzername und Kennwort)
  • Binäres Sicherheitstoken (X.509 und Lightweight Third Party Authentication (LTPA)
  • Angepasstes Token
    • Anderes binäres Sicherheitstoken
    • XML-Token
      Hinweis: „ WebSphere Application Server “ bietet keine Implementierung, aber Sie können ein XML-Token mit Plug-in-Punkt verwenden.
Tokenreferenzen
  • Direkte Referenz
  • Schlüssel-ID
  • Schlüsselname
  • Eingebettete Referenz
Signatur Signaturbestätigung
Signaturalgorithmus
  • Digest
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • Signatur
    DSA mit SHA1
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    Verwenden Sie diesen Algorithmus nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) kompatibel sein soll.

    RSA mit SHA1
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • Kanonisierung
    Kanonisches XML (mit Kommentaren)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    Kanonisches XML (ohne Kommentare)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    Exklusive XML-Kanonisierung (mit Kommentaren)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exklusive XML-Kanonisierung (ohne Kommentare)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • Transformieren
    STR-Umsetzung
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    Verwenden Sie die ursprüngliche XPATH-Umsetzung (Transform) nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.
    Hinweis: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das kein Attribut vom Typ ID aus einer ds:Reference in einer SIGNATURE enthält, müssen Sie den XPATH-Filter „ 2.0 “ verwenden: http://www.w3.org/2002/06/xmldsig-filter2
    Envelope-Signatur
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath-Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    Hinweis: Wenn Sie auf ein Element in einem SECURE_ENVELOPE verweisen, das kein ID-Attribut vom Typ „ds:Reference“ aus einer SIGNATURE enthält, müssen Sie den XPATH-Filter „ 2.0 “ verwenden: http://www.w3.org/2002/06/xmldsig-filter2
    Entschlüsselungsumsetzung
    http://www.w3.org/2002/07/decrypt#XML
Mit einer Signatur signierte Teile nur für JAX-RPC
  • WebSphere Application Server Stichwörter:
    • body: Signiert den SOAP-Nachrichtenhauptteil.
    • timestamp: Signiert alle Zeitmarken.
    • securitytoken: Signiert alle Sicherheitstoken.
    • dsigkey: Signiert den Signierschlüssel.
    • enckey: Signiert den Chiffrierschlüssel.
    • messageid: Signiert das Element wsa :MessageID in WS-Addressing.
    • to: Signiert das Element wsa:To in WS-Addressing
    • action: Signiert das Element wsa:Action in WS-Addressing
    • relatesto: Signiert das Element wsa:RelatesTo in WS-Addressing

      wsa ist das Namespacepräfix von http://schemas.xmlsoap.org/ws/2004/08/addressing

    • wscontext: Gibt den WS-Context-Header für den SOAP-Header an.
    • wsafrom: Gibt <wsa:From>, das WS-Addressing-Element From, im SOAP-Header an.
    • wsareplyto: Gibt <wsa:ReplyTo>, das WS-Addressing-Element ReplyTo, im SOAP-Header an.
    • wsafaultto: Gibt <wsa:FaultTo>, das WS-Addressing-Element FaultTo, im SOAP-Header an.
    • wsaall: Gibt alle WS-Addressing-Elemente im SOAP-Header an.
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht. Weitere Informationen finden Sie unter http://www.w3.org/TR/1999/REC-xpath-19991116.
Signaturnachrichtenteile nur für JAX-WS
  • Body (signiert den SOAP-Nachrichtenhauptteil)
  • Header (signiert einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht.
    • Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Verschlüsselung Element "EncryptedHeader"
Verschlüsselungsalgorithmen
Wichtig: In Ihrem Herkunftsland gelten möglicherweise Beschränkungen hinsichtlich der Einfuhr, des Besitzes, der Nutzung oder der Wiederausfuhr von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
  • Datenverschlüsselung
    • Triple DES in CBC: http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • AES128 in CBC: http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • AES192 in CBC: http://www.w3.org/2001/04/xmlenc#aes192-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus unter „Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile“.

      Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

    • AES256 in CBC: http://www.w3.org/2001/04/xmlenc#aes256-cbc

      Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus unter „Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile“.

  • Schlüsselchiffrierung
    • Schlüsseltransport (Verschlüsselung des öffentlichen Schlüssels)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        Hinweis:
        • Wenn Sie mit Software Development Kit (SDK) Version 1.4 arbeiten, ist dieser Algorithmus nicht in der Liste der unterstützten Schlüsseltransportalgorithmen enthalten. Dieser Algorithmus erscheint in der Liste der unterstützten Schlüsseltransportalgorithmen, wenn Sie mit SDK 1.5 arbeiten.
        • Die Verwendung der FIPS-konformen Java™-Kryptografie-Engine unterstützt diesen Transportalgorithmus nicht.
      • RSA Version 1.5: http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • Wrapping von symmetrischen Schlüsseln (Verschlüsselung des privaten Schlüssels)
      • Wrapping von Triple-DES-Schlüsseln: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Wrapping von AES-Schlüsseln (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Wrapping von AES-Schlüsseln (aes192): http://www.w3.org/2001/04/xmlenc#kw-aes192

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus unter „Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile“.

        Verwenden Sie den Algorithmus für 192-Bit-Datenverschlüsselung nicht, wenn Ihre konfigurierte Anwendung mit dem Basic Security Profile (BSP) konform sein soll.

      • Wrapping von AES-Schlüsseln (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256

        Dieser Algorithmus erfordert die uneingeschränkte JCE-Richtliniendatei. Weitere Informationen finden Sie in der Beschreibung des Schlüsselverschlüsselungsalgorithmus unter „Konfigurationseinstellungen für Verschlüsselungsinformationen: Nachrichtenteile“.

  • Manifests-xenc ist das Namespacepräfix von http://www.w3.org/TR/xmlenc-core
    • xenc:ReferenceList
    • xenc:EncryptedKey

Der Standard AES (Advanced Encryption Standard) wurde so entworfen, dass er eine stärkere und bessere Leistung für die symmetrische Verschlüsselung über Triple-DES (Data Encryption Standard) bereitstellt. Daher wird empfohlen, falls möglich, AES für die symmetrischen Verschlüsselung zu verwenden.
Teile der Nachrichtenverschlüsselung nur für JAX-RPC
  • WebSphere Application Server Stichwörter
    • bodycontent: Verschlüsselt den Inhalt des SOAP-Hauptteils.
    • usernametoken: Verschlüsselt das Benutzernamenstoken.
    • digestvalue: Verschlüsselt den Digest-Wert der digitalen Signatur.
    • signature: Verschlüsselt die gesamte digitale Signatur.
    • wscontextcontent: Verschlüsselt den Inhalt im WS-Context-Header für den SOAP-Header.
  • XPath-Ausdruck zur Auswahl des XML-Elements in der SOAP-Nachricht
    • XML-Elemente
    • XML-Elementinhalt
Teile der Nachrichtenverschlüsselung nur für JAX-WS
  • Body (verschlüsselt den SOAP-Nachrichtenhauptteil)
  • Header (verschlüsselt einen oder mehrere SOAP-Header innerhalb des SOAP-Hauptheaders; das resultierende Element ist EncryptedHeader)
  • XPath-Ausdruck zur Auswahl eines XML-Elements in einer SOAP-Nachricht
    • Nähere Informationen hierzu finden Sie auf der Webseite http://www.w3.org/TR/1999/REC-xpath-19991116.
Zeitmarke
  • Im WS-Security-Header
  • WebSphere Application Server wurde erweitert, damit Sie Zeitstempel in andere Elemente einfügen können, um deren Alter zu bestimmen.
Fehlerbehandlung SOAP-Fehler
  • Neuer SOAP-Fehler (failure) mit Fehlercode
  • Hinzugefügter Text The message has expired

OASIS: Web Services Security: UsernameToken Profile 1.0

Die folgende Tabelle zeigt die Aspekte der OASIS-Spezifikation „Web Services Security Username Token Profile“ ( 1.0 ), die in „ WebSphere Application Server “ unterstützt werden.

Tabelle 2. In „ WebSphere Application Server“ werden bestimmte Aspekte des OASIS-Standards „Username Token Profile“ ( V1.0 ) unterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security: UsernameToken Profile 1.1

Die folgende Tabelle zeigt die Aspekte der OASIS-Spezifikation „Web Services Security Username Token Profile“ ( 1.1 ), die in „ WebSphere Application Server “ unterstützt werden. Komponenten, die zuvor für Web Services Security UsernameToken Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 3. In „ WebSphere Application Server“ werden bestimmte Aspekte des OASIS-Standards „Username Token Profile“ ( V1.1 ) unterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Kennworttypen Text
Tokenreferenzen Direkte Referenz

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

Die folgende Tabelle zeigt die Aspekte der OASIS-Spezifikation „Web Services Security X.509 Certificate Token Profile“, die in „ WebSphere Application Server “ ab Version 6 unterstützt werden.

Tabelle 4. In „WebSphere Application Server “ werden bestimmte Aspekte des OASIS-Standards „ X.509 “ (Zertifikatstoken- V1.0 ) unterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • X.509 Version 3: Einzelnes Zertifikat

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 Version 3: X509PKIPathv1 ohne Zertifikatswiderrufslisten (Certificate Revocation Lists, CRL)

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 Version 3: PKCS7 mit oder ohne CRLs.
Tokenreferenzen
  • Schlüssel-ID - Subjektschlüssel-ID
  • Direkte Referenz
  • Angepasste Referenz - Name des Ausstellers und Seriennummer

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte der OASIS-Spezifikation „Web Services Security X.509 Certificate Token Profile“ ( 1.1 ), die in WebSphere Application Server unterstützt werden. Komponenten, die zuvor für Web Services Security X.509 Certificate Token Profile 1.0 unterstützt wurden, sind nicht aufgelistet, werden aber, sofern nicht anders angegeben, weiterhin unterstützt.

Tabelle 5. In „WebSphere Application Server “ werden bestimmte Aspekte des OASIS-Standards „ X.509 “ (Zertifikatstoken- V1.1 ) unterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen X.509 Version 1: Single certificate
Tokenreferenzen Schlüssel-ID - Subjektschlüssel-ID
  • Kann nur auf ein X.509v3-Zertifikat verweisen
  • Der Fingerabdruck des angegebenen Zertifikats kann mithilfe des Attributs „ http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 “ des Elements „ <wsse:KeyIdentifier> “ angegeben werden.

OASIS: Web Services Security Kerberos Token Profile 1.1

Die folgende Tabelle zeigt die Aspekte der Spezifikation „OASIS: Web Services Security Kerberos Token Profile“ ( 1.1 ), die in „ WebSphere Application Server “ unterstützt werden.

Tabelle 6. In „ WebSphere Application Server“ unterstützte Aspekte des OASIS-Standards „ Kerberos -Token-Profil“. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Token des Typs GSS_API Kerberos v5
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • Token des Typs GSS_API Kerberos v5 entsprechend RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • Token des Typs GSS_API Kerberos v5 entsprechend RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
  • Token des Typs Kerberos v5
    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • Token des Typs Kerberos v5 entsprechend RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • Token des Typs Kerberos v5 entsprechend RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412
Tokenreferenzen
  • Referenz des Sicherheitstokens
  • Schlüsselkennung, die verwendet wird, nachdem das ursprüngliche Kerberos-v5-Token konsumiert wurde
  • Abgeleitetes Schlüsseltoken auf der Basies des Kerberos-Tokens

OASIS-Spezifikationen "Web Services Security WS-Secure Conversation Draft" und "Web Services Security WS-Secure Conversation Version 1.3"

Die folgende Tabelle zeigt die Aspekte der OASIS-Spezifikation „ WS-SecureConversation “, die in „ WebSphere Application Server “ Version „ 6.1 Feature Pack for Web Services“ und späteren Versionen unterstützt werden. Unterstützung für die Version 1.3 der Spezifikation ist in WebSphere Application Server Version 7.0 und höher enthalten.

Tabelle 7. Von „ WebSphere Application Server“ unterstützte Aspekte des OASIS-Standards „ SecureConversation “. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Tokentypen
  • Security Context Token Draft Version: http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • Security Context Token Version 1.3: http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
Tokenreferenzen Direkte Referenz
Einrichtung des Sicherheitskontextes Sicherheitskontext-Token, das von einem Sicherheitstoken-Dienst erstellt wurde, der in den „ WebSphere Application Server “ eingebettet ist.
Kontextverlängerung Automatische Verlängerung des Tokens, wenn sich der Verfallszeitpunkt nähert
Kontextabbruch Unterstützung der expliziten Abbruchanforderung.
Abgeleitete Schlüssel Folgende Informationen werden verwendet, um Schlüssel mithilfe eines geheimen Schlüssels für gemeinsame Nutzung (Shared Secret) abzuleiten:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
Fehlerbehandlung SOAP-Fehler, einschließlich der Folgenden:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS-Spezifikationen "Web Services Security WS-Trust Version 1.0 Draft" und "Web Services Security WS-Trust"

Die folgenden Tabellen zeigen die Aspekte der Spezifikationen „OASIS: Web Services Security: WS-Trust Version 1.0 Draft“ und „Version 1.3 “, die in „ WebSphere Application Server Version 6.1 Feature Pack for Web Services“ und späteren Versionen unterstützt werden.

Tabelle 8. In WebSphere Application Server werden bestimmte Aspekte der OASIS-Standards „Trust V1.0“ und „ V1.3 “ unterstützt. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://schemas.xmlsoap.org/ws/2005/02/trust
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew
Tabelle 9. In „ WebSphere Application Server“ unterstützte Aspekte des OASIS-Standards „Trust V1.3 “. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards unterstützt werden.
Unterstützte Funktionalität Bestimmter Aspekt, der unterstützt wird
Namespace http://docs.oasis-open.org/ws-sx/ws-trust/200512
Anforderungsheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
Anforderungselemente und -attribute

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • Gültige Optionen:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • Gültige Optionen:
    • für http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
Antwortheader /wsa:Action
Gültige Optionen:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • Gültige Antworten:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
Fehlerbehandlung

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

Funktionen, die von WebSphere Application Server nicht unterstützt werden

Die folgende Liste enthält Funktionen, die in den OASIS-Spezifikationen, OASIS-Entwürfen und anderen Empfehlungen unterstützt werden, jedoch nicht von „ WebSphere Application Server “ Version 6 und höher unterstützt werden:
  • Web Services Security: SOAP Messages with Attachments (SwA) Profile 1.0
    Hinweis: Bei Verwendung des JAX-WS-Programmiermodells wird die Sicherung von Anhängen im Rahmen des SOAP Message Transmission Optimization Mechanism (MTOM) unterstützt. Nähere Informationen hierzu finden Sie im Artikel über die Aktivierung von MTOM für JAX-WS-Web-Services.
  • XrML-Tokenprofil
  • Digitale XML-Envelope-Signatur
  • Digitale XML-Envelope-Verschlüsselung
  • Die folgenden Funktionen von „ WS-SecureConversation “ werden von „ WebSphere Application Server “ nicht unterstützt:
    • Zwei Methoden zum Aufbau eines Sicherheitskontextes werden nicht unterstützt: 1) Sicherheitskontexttoken, das von einer der miteinander kommunizierenden Parteien erstellt und in einer Nachricht weitergegeben wird, und 2) Sicherheitskontexttoken, das durch Vereinbarung oder Austausch erstellt wird.
    • SCT-Weitergabe
    • Änderung von Sicherheitskontexten
  • Die folgenden Umsetzungsalgorithmen für digitale Signaturen werden nicht unterstützt:
    • XSLT: http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP Message Normalization

      Weitere Informationen, z. B. dazu, dass ein leerer Header oder ein Header-Eintrag mit mustUnderstand=false entfernt wird, finden Sie unter „SOAP-Version- 1.2 -Nachrichtennormalisierung “.

    • Entschlüsselungsumsetzung
  • Der folgende Schlüsselvereinbarungsalgorithmus für die Verschlüsselung wird nicht unterstützt:
  • Der folgende Kanonisierungsalgorithmus für die Verschlüsselung, der in der XML-Verschlüsselungsspezifikation optional ist, wird nicht unterstützt:
    • Kanonisches XML mit oder ohne Kommentare
    • Exklusive XML-Kanonisierung mit oder ohne Kommentare
  • Die digitale DSA-Signatur wird nicht unterstützt.
  • Die Datenverschlüsselung mit vorab vereinbarten symmetrischen Schlüsseln wird nicht unterstützt.
  • Die Prüfung eines fälschungssicheren Herkunftsnachweises für digitale Signaturen wird nicht unterstützt.
  • In beiden Versionen der Spezifikation "Username Token Profile" wird der Digest-Kennworttyp nicht unterstützt.
  • In der Spezifikation "Username Token Version 1.1 Profile" wird die Ableitung von Schlüsseln auf der Basis eines Kennworts nicht unterstützt.

Nicht unterstützte Funktion für "WS-Trust Version 1.0 Draft" und "WS-Trust Version 1.3"

Die folgenden Tabellen zeigen die Aspekte der Spezifikationen „OASIS: Web Services Security: WS-Trust Version 1.0 Draft“ und „Version 1.3 “, die in „ WebSphere Application Server Version 6.1 Feature Pack for Web Services“ und späteren Versionen nicht unterstützt werden.

Tabelle 10. Bestimmte Aspekte der OASIS-Standards „Trust V1.0 “ und „ V1.3 “, die in WebSphere Application Server nicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey and http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortelemente und -attribute

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse
Tabelle 11. Aspekte des OASIS-Standards „Trust V1.3 “, die in „ WebSphere Application Server“ nicht unterstützt werden. Stellen Sie anhand der Tabelle fest, welche Aspekte des OASIS-Standards nicht unterstützt werden.
Nicht unterstütztes Thema Spezifischer Aspekt, der nicht unterstützt wird
Elemente und Attribute

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

Nicht unterstützte Anforderungsoptionen:
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • für http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey and http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
Antwortheader

/wsa:Action

Nicht unterstützte Antworten:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate