Apinizer üzerinden SOAP tipinde olan backend web servisine isteği yönlendirirken WS-Security ayarları uygulamak için bu politikadan yararlanılır.
Bu politika ile kullanıcılar mesaja WS-Security standartlarında şu ayarları yapabilir:
Time-to-live bilgisi ekleme
Username Token bilgisi ekleme
Şifrelenmiş alanlar oluşturma
İmzalanmış alanlar oluşturma
Politika ayarlarını içeren görsele aşağıda yer verilmiştir:
Politika konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir.
Alan
Açıklama
Operasyon Sırası
(Operation Sequence)
Uygulanacak olan WS-Security ayarlarının hangi sırada işletileceğinin ayarlandığı kısımdır.
Must Understand
Eklenen WS-Security xml elementlerinin mustUnderstand attribute değerinin true veya false olması için bu alan kullanılır.
Bölüm ekle
(Add Entry)
Gerekli ayarların seçilerek eklenmesini sağlayan kısımdır.
Bölümler
Zaman Damgası (Timestamp)
Zaman Damgası ayarlarını içeren görsele aşağıda yer verilmiştir:
Zaman Damgası konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir.
Alan
Açıklama
Yaşam Süresi (sn)
(TTL (sec))
Mesajın ne kadar süreyle geçerli olduğu bilgisini mesaja yerleştirmek için kullanılır. Varsayılan birimi saniyedir.
Kullanıcı Adı Token'ı (Username Token)
Kullanıcı Adı Token ayarlarını içeren görsele aşağıda yer verilmiştir:
Username Token konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir.
Alan
Açıklama
Kullanıcı Adı
(Username)
Backend SOAP web servisinin beklediği kullanıcı adı bilgisidir.
Parola
(Password)
Backend SOAP web servisinin beklediği parola bilgisidir.
Nonce
Bu alan işaretlenirse WS-Security UsernameToken elementinin içine nonce bilgisi üretilerek eklenir
Created
Bu alan işaretlenirse WS-Security UsernameToken elementinin içine created bilgisi üretilerek eklenir
Parola Tipi
(Password Type)
Parola tipi Text ya da Digest olabilir.
Text seçildiğinde password alanının açık bir şekilde, digest seçildiğinde şifrelenmiş bir şekilde backend SOAP web servisine gitmesi sağlanır.
Digest Şifre oluşturma algoritması:
Base64 ( SHA1 (nonce + created + clear text password ) )
Şifreleme (Encryption)
Bu bölümde yapılan ayarlar ile mesajın istenen kısımları şifrelenerek backend SOAP web servisine gitmesi sağlanır.
Şifreleme ayarlarını içeren görsele aşağıda yer verilmiştir:
Şifreleme konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir.
Alan
Açıklama
Key Store
Şifrelenecek olan alanın şifrelenmesi için kullanılacak olan KeyStore bilgisidir.
Anahtar Tanımlayıcı Tipi
(Key Identifier Type)
Anahtar Tanımlayıcı Tipinin ne olması gerektiğinin ayarlandığı kısımdır.
Tip
Açıklama
Binary Security Token
İmzalama yöntemi, imzalama sertifikasını alır, onu BinarySecurityToken'a dönüştürür, güvenlik başlığına koyar ve wsse:SecurityReferenceToken içine ikili güvenlik belirtecine bir Referans ekler. Böylece tüm imza sertifikası alıcıya aktarılır. X509 profili, sertifikanın tamamını göndermek yerine "Issuer Name and Serial Number"ın kullanılmasını önerir.
Lütfen WS Security spesifikasyonu X509 1.1 profiline, bölüm 3.3.2'ye ve WS Security SOAP Message security 1.1 spesifikasyonuna, bölüm 7.2'ye bakın. Not: BinarySecurityToken'a yalnızca yerel referanslar desteklenir.
Issuer Name and Serial Number
"Binary Security Token"ın aksine, alıcıya yalnızca imza sertifikasını veren adı ve seri numarası gönderilir. Bu, gönderilen veri miktarını azaltır. Şifreleme yöntemi, verileri şifrelemek için kullanılan simetrik anahtarı şifrelemek için bu sertifikayla ilişkili ortak anahtarı kullanır. Lütfen WS Security spesifikasyonu X509 1.1 profiline, bölüm 3.3.3'e bakın.
X509 Certificate
Şifreleme yöntemi, verileri şifrelemek için kullanılan simetrik anahtarı şifrelemek için bu sertifikayla ilişkili ortak anahtarı kullanır. Sertifika bir KeyIdentifier belirtecine dönüştürülür ve alıcıya gönderilir. Böylece tüm sertifika verileri alıcıya aktarılır. X509 profili, sertifikanın tamamını göndermek yerine "Issuer Name and Serial Number" yöntemini kullanmanızı önerir.
Lütfen WS Security SOAP Message security 1.1 spesifikasyonu, bölüm 7.3'e bakın. Bunun STANDART OLMAYAN bir yöntem olduğunu unutmayın. Anahtar Tanımlayıcı aracılığıyla bir X.509 Sertifikasına başvurmanın standart yolu, "Konu Anahtarı Tanımlayıcı" kullanmaktır.
Subject Key Identifier
İmzalama sertifikasını tanımlamak için bir "SubjectKeyIdentifier" gönderir. WS Güvenlik spesifikasyonu X509 1.1 profili, bölüm 3.3.1'e bakın.
Thumbprint SHA1 IDENTIFIER
"Thumbprint SHA1 IDENTIFIER", ThumbprintSHA1 özel anahtar tanımlayıcısını ayarlamak için kullanılır.
Bu tanımlayıcı, güvenlik belirtecini tanımlamak için bir güvenlik belirtecinin SHA-1 özetini kullanır. Lütfen OASIS WSS 1.1 spesifikasyonunun 7.2 bölümüne bakın.
Embedded Key Info
EncryptedData öğesine bir anahtar bilgisi/anahtar adı gömer.
Embed Security Token Reference
EncryptedData öğesine bir keyinfo/wsse:SecurityTokenReference yerleştirir.
Custom Key Info
"Özel Anahtar Bilgileri" dahili olarak yalnızca belirli bir İmza davranışını ayarlamak için kullanılır.
İmzalama anahtarı, referans kimliği ve değer türü harici olarak ayarlanır.
Embedded Key Name
Key Identifier Type alanında ait değer Embedded Key Info ise bu alan aktifleşir.
Simetrik Şifreleme Algoritması
(Symmetric Encoding Algorithm)
Simetrik Şifreleme Algoritmasının seçimi için kullanılır.
3 değerden biri olabilir: AES-128-CBC, AES-192-CBC, AES-256-CBC
Anahtar Şifreleme Algoritması
(Key Encryption Algorithm)
Anahtar Şifreleme Algoritmasının seçimi için kullanılır.
2 değerden biri olabilir: rsa-1_5, rsa-oaep-mgf1p
(Encryption Parts)
Mesajın hangi alanlarının şifreleneceğinin seçildiği kısımdır. Birden fazla alanın şifrelenebilmesine imkan tanır.
Şifrelenecek olan elementin adı, namespace bilgisi, içeriğin mi yoksa elementin mi şifrelenmesi gerektiği bilgileri girilerek tanımlama yapılır.
İmzalama (Signature)
İmzalama ayarlarını içeren görsele aşağıda yer verilmiştir:
İmzalama konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir.
Alan
Açıklama
Key Store
İmzalanacak olan alanın imzalanması için kullanılacak olan KeyStore bilgisidir.
Anahtar Tanımlayıcı Tipi
(Key Identifier Type)
Anahtar Tanımlayıcı Tipinin ne olması gerektiğinin ayarlandığı kısımdır.
Binary Security Token
İmzalama yöntemi, imzalama sertifikasını alır, onu BinarySecurityToken'a dönüştürür, güvenlik başlığına koyar ve wsse:SecurityReferenceToken içine ikili güvenlik belirtecine bir Referans ekler. Böylece tüm imza sertifikası alıcıya aktarılır. X509 profili, sertifikanın tamamını göndermek yerine "Issuer Name and Serial Number"ın kullanılmasını önerir.
Lütfen WS Security spesifikasyonu X509 1.1 profiline, bölüm 3.3.2'ye ve WS Security SOAP Message security 1.1 spesifikasyonuna, bölüm 7.2'ye bakın. Not: BinarySecurityToken'a yalnızca yerel referanslar desteklenir
Issuer Name and Serial Number
"Binary Security Token"ın aksine, alıcıya yalnızca imza sertifikasını veren adı ve seri numarası gönderilir. Bu, gönderilen veri miktarını azaltır. Şifreleme yöntemi, verileri şifrelemek için kullanılan simetrik anahtarı şifrelemek için bu sertifikayla ilişkili ortak anahtarı kullanır. Lütfen WS Security spesifikasyonu X509 1.1 profiline, bölüm 3.3.3'e bakın.
X509 Certificate
Şifreleme yöntemi, verileri şifrelemek için kullanılan simetrik anahtarı şifrelemek için bu sertifikayla ilişkili ortak anahtarı kullanır. Sertifika bir KeyIdentifier belirtecine dönüştürülür ve alıcıya gönderilir. Böylece tüm sertifika verileri alıcıya aktarılır. X509 profili, sertifikanın tamamını göndermek yerine "Issuer Name and Serial Number" yöntemini kullanmanızı önerir.
Lütfen WS Security SOAP Message security 1.1 spesifikasyonu, bölüm 7.3'e bakın. Bunun STANDART OLMAYAN bir yöntem olduğunu unutmayın. Anahtar Tanımlayıcı aracılığıyla bir X.509 Sertifikasına başvurmanın standart yolu, "Konu Anahtarı Tanımlayıcı" kullanmaktır.
Subject Key Identifier
İmzalama sertifikasını tanımlamak için bir "SubjectKeyIdentifier" gönderir. WS Güvenlik spesifikasyonu X509 1.1 profili, bölüm 3.3.1'e bakın.
Thumbprint SHA1 IDENTIFIER
"Thumbprint SHA1 IDENTIFIER", ThumbprintSHA1 özel anahtar tanımlayıcısını ayarlamak için kullanılır.
Bu tanımlayıcı, güvenlik belirtecini tanımlamak için bir güvenlik belirtecinin SHA-1 özetini kullanır. Lütfen OASIS WSS 1.1 spesifikasyonunun 7.2 bölümüne bakın.
Embedded Key Info
EncryptedData öğesine bir anahtar bilgisi/anahtar adı gömer.
Embed Security Token Reference
EncryptedData öğesine bir keyinfo/wsse:SecurityTokenReference yerleştirir.
Custom Key Info
"Özel Anahtar Bilgileri" dahili olarak yalnızca belirli bir İmza davranışını ayarlamak için kullanılır.
İmzalama anahtarı, referans kimliği ve değer türü harici olarak ayarlanır.
İmza Algoritması
(Signature Algorithm)
İmza Algoritması seçimi için kullanılır.
2 değerden biri olabilir: rsa-sha1, dsa-sha1
İmza Kanonikleştirme
(Signature Canonicalization)
İmza Kanonikleştirme yönteminin seçimi için kullanılır.
