Serviceintegrationstechnologien und WS-Security

In einem WS-Security-Szenario entspricht der Nachrichtenfluss dem in der folgenden Abbildung dargestellten:

Abb. 1. Nachrichtenflüsse
Diese Abbildung veranschaulicht die Nachrichtenflüsse.

Der Client generiert eine Anforderung, die von der Web-Service-Engine des Clients verarbeitet wird. Die Engine liest die Sicherheitskonfiguration des Clients und wendet die in der Datei ibm-webservicesclient-ext.xmi definierte Sicherheit auf die SOAP-Nachricht an. Anschließend ruft die Engine weitere Bindungsinformationen aus der Datei ibm-webservicesclient-bnd.xmi ab (z. B. die Position eines Keystore im Dateisystem).

Nach Erhalt einer SOAP-Nachricht verweist die Web-Service-Engine des Servers auf die Dateien mit der Erweiterung *.xmi für den aufgerufenen Web-Service. In diesem Fall teilt die Datei ibm-webservices-ext.xmi der Engine mit, welche Sicherheit die eingehende Nachricht haben muss (z. B. dass der Hauptteil der Nachricht unterzeichnet sein muss). Falls die Nachricht den Sicherheitsanforderungen nicht genügt, wird sie zurückgewiesen. Die Web-Service-Engine überprüft alle Sicherheitsinformationen und übergibt die Nachricht dann an den aufgerufenen Web-Service.

Wenn der Client die Antwort des Servers erhält, ist der Prozess umgekehrt. Die Dateien mit der Erweiterung *.xmi des Web-Service teilen der Web-Service-Engine mit, welche Sicherheit auf die Antwortnachricht anzuwenden ist. Die Clientdateien mit der Erweiterung *.xmi teilen der Client-Engine mit, welche Sicherheitsanforderungen die Antwortnachricht erfüllen muss.

Die folgende Abbildung zeigt den Nachrichtfluss, wenn Sie dieses Szenario auf eingehende oder abgehende Services anwenden:

In dieser Abbildung tauscht ein Client Anfrage- und Antwortnachrichten mit einem eingehenden Dienst aus, während ein ausgehender Dienst Anfrage- und Antwortnachrichten mit einem Ziel-Webdienst austauscht.
Erläuterungen zu diesem Szenario:
  • In den *.xmi-Dateien der Clientanwendung und des Ziel-Web-Service werden die Sicherheitseinstellungen definiert. Diese Informationen erhalten Sie von den Eigentümern.
  • Der eingehende Service und der abgehende Service haben Sicherheitseinstellungen, die Sie für sie konfigurieren.
Zum Sichern eines eingehenden oder abgehenden Service wenden Sie die folgenden Typen von WS-Security-Ressourcen auf die Ports an, die der Service verwendet:
  • WS-Security-Konfigurationen
  • WS-Security-Bindungen
Der Ressourcentyp Konfigurationen gibt die erforderliche Sicherheitsstufe an (z. B. Hauptteil muss signiert sein), und der Ressourcentyp Bindungen enthält die Informationen, die die Laufzeitumgebung benötigt, um die Konfiguration zu implementieren (z. B. Zum Signieren des Hauptteils diesen Schlüssel verwenden).
WS-Security-Ressourcen werden gesondert von den Web-Services verwaltet, die sie verwenden. Deshalb können Sie eine Bindungs- oder Konfigurationsressource erstellen und anschließend auf mehrere Web-Services anwenden. Die Sicherheitsanforderungen für einen Service für eingehende Daten (der als Ziel-Web-Service auftritt) unterscheiden sich erheblich von den Sicherheitsanforderungen eines Service für abgehende Daten (der als Client auftritt). Deshalb ist jeder WS-Security-Ressourcentyp in weitere Subtypen eingeteilt. Wenn Sie eine neue Konfigurationsressource erstellen, hängt die Art der Konfigurationsressource, die Sie erstellen möchten, davon ab, ob die Konfiguration für eingehende oder ausgehende Dienste gilt. Wenn Sie eine neue Bindungsressource erstellen, hängt die Art der Bindungsressource, für die Sie sich entscheiden, vom Kontext ab, in dem die Bindung verwendet wird:
  • Bindung für das Konsumieren von Anforderungen von einem Client an einen eingehenden Service
  • Bindung für das Generieren von Anforderungen von einem abgehenden Service an einen Ziel-Web-Service
  • Bindung für das Konsumieren von Antworten von einem Ziel-Web-Service an einen abgehenden Service
  • Bindung für das Generieren von Antworten von einem eingehenden Service an einen Client
Wenn Sie WS-Security-Ressourcen erstellen, haben Sie die Wahl zwischen Ressourcen, die der Spezifikation „Web Services Security (WS-Security) – 1.0 “ entsprechen, und Ressourcen, die der Spezifikation „WS-Security Draft 13“ entsprechen.
Hinweis: Die Verwendung von WS-Security Draft 13 wurde in der Version „ 6.0 “ von „ WebSphere® Application Server “ als veraltet eingestuft. Da die Spezifikation WS-Notification Draft 13 jedoch veraltet ist, sollten Sie sie nur verwenden, um die fortgesetzte Nutzung einer vorhandenen Web-Service-Clientanwendung zuzulassen, die auf der Basis der Spezifikation WS-Notification Draft 13 geschrieben wurde.
Weitere Informationen zur Entstehungsgeschichte der WS-Security Draft 13-Spezifikation finden Sie unter „Web Services Security-Spezifikation – eine Chronologie “.