A WS-SecurityPolicy egy WS* specifikáció, amit az IBM és 12 másik cég hozott létre és lett OASIS szabvány az 1.2-es verziótól kezdve. A WS-SecurityPolicy kiegészíti a WS-Security, WS-Trust és WS-SecureConversation által definiált biztonsági szabályokat. A WS-SecurityPolicy alapja a WS-Policy framework. A WS-SecurityPolicy több általános biztonsági beállítást tesz lehetővé, mint például a Szállítási rétegre (<TransportBinding>), valamint az üzenet rétegre vonatkozó biztonsági beállítások (<AsymmetricBinding>), időbélyegzés és a tokenek típusainak meghatározása.

A WS-SecurityPolicy a következő esetekre kínál megoldást:

  • Az olyan üzenet elemek azonosítása, amiket alá kell írni, titkosítani kell, vagy a létezésüket kell ellenőrizni.
  • Token formátumok meghatározása (SAML, X509, felhasználónév, stb...).
  • Biztonsági beállítások, amik a szállítási és üzenet réteg biztonságát, a kriptográfiai algoritmusokat határozzák meg, valamint a szükséges időbélyegeket írják le.
  • Saját token eljárások, amikkel például felhasználónévvel lehet azonosítást végezni.

A WS-SecurityPolicy legtöbbször a Webszolgáltatást leíró WSDL-hez van hozzáadva, a WS Policy Attachment[1]-ben defniált módon.

A következő névtereket kell beállítani:

<p:Policy 
   xmlns:p="http://www.w3.org/ns/ws-policy">
   xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200802">
   ...
</p:Policy>

Időbélyegzés használata:

<sp:IncludeTimestamp />

Szállítási réteg (https) vagy üzenet réteg biztonság (XML Dsig/XML Enc):

<ExactlyOne>
  <sp:TransportBinding>...</sp:TransportBinding>
  <sp:AsymmetricBinding>...</sp:AsymmetricBinding >
</ExactlyOne>

SAML biztonsági tokenként:

<sp:IssuedToken>
  <sp:RequestSecurityTokenTemplate>
    <wst:TokenType>...#SAMLV2.0</wst:TokenType>
  </sp:RequestSecurityTokenTemplate>
</sp:IssuedToken>

Token szolgáltatók és megadott token formátum használata:

<sp:IssuedToken>
  <sp:Issuer>
    <wsa:EndpointReference>
      <wsa:Address>http://sampleorg.com/sts</wsa:Address>
     </wsa:EndpointReference>
  </sp:Issuer>
  <sp:RequestSecurityTokenTemplate>
    <wst:TokenType>
       http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID
    </wst:TokenType>
        ...
  </sp:RequestSecurityTokenTemplate>
  ...
</sp:IssuedToken>

Az üzenet fejléce és tartalma alá kell, hogy legyen írva:

<sp:SignedParts xmlns:sp="..." ... >
  <sp:Body />?
  <sp:Header Name="xs:NCName"? Namespace="xs:anyURI" ... />*
...
</sp:SignedParts>

További WS policy lehetőségek

szerkesztés

A Web Services Security Policy Nyelv két különböző XML alapú leírási módot is jelent:

  1. A fentebb bemutatott, WS-Policy framework alapú, az itt[2] megadott specifikációban leírtak szerinti nyelv
  2. WSPL, A Webszolgáltatások XACML profiljában leírt nyelv, ami végül nem került véglegesítésre.[3]

Fordítás

szerkesztés
  • Ez a szócikk részben vagy egészben a WS-SecurityPolicy című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.