Śledzenie działania w ramach zabezpieczeń komunikatów
W tym temacie opisano śledzenie działań na potrzeby przetwarzania zabezpieczeń, które odbywa się w następujących trzech fazach:
Wymiana negocjacji/SCT. Może się to zdarzyć w warstwie transportu (za pośrednictwem binarnej wymiany danych) lub warstwie komunikatów (za pośrednictwem wymiany komunikatów PROTOKOŁU SOAP).
Szyfrowanie/odszyfrowywanie komunikatów z weryfikacją podpisu i uwierzytelnianiem. Ślady są wyświetlane w działaniu otoczenia, zazwyczaj "Proces akcji".
Autoryzacja i weryfikacja. Może się to zdarzyć lokalnie lub podczas komunikacji między punktami końcowymi.
Negocjacje/wymiana SCT
W fazie negocjacji/wymiany SCT na kliencie są tworzone dwa typy działań: "Konfigurowanie bezpiecznej sesji" i "Zamknij bezpieczną sesję". "Konfigurowanie bezpiecznej sesji" obejmuje ślady wymiany komunikatów RST/RSTR/SCT, podczas gdy "Zamknij bezpieczną sesję" zawiera ślady komunikatu Anuluj.
Na serwerze każde żądanie/odpowiedź dla RST/RSTR/SCT pojawia się we własnym działaniu. Jeśli propagateActivity=true zarówno na serwerze, jak i kliencie, działania na serwerze mają ten sam identyfikator i są wyświetlane razem w obszarze "Konfigurowanie bezpiecznej sesji" podczas przeglądania śledzenia usługi.
Ten model śledzenia aktywności jest prawidłowy dla uwierzytelniania nazwy użytkownika/hasła, uwierzytelniania certyfikatu i uwierzytelniania NTLM.
W poniższej tabeli wymieniono działania i ślady negocjacji i wymiany SCT.
| Warstwa | Czas, kiedy odbywa się wymiana negocjacji/SCT | Działania | Ślady |
|---|---|---|---|
| Bezpieczny transport (HTTPS, SSL) | Po odebraniu pierwszej wiadomości. | Ślady są emitowane w działaniu otoczenia. | - Ślady wymiany - Ustanowiono bezpieczny kanał - Udostępnianie uzyskanych wpisów tajnych. |
| Secure Message Layer (WSHTTP) | Po odebraniu pierwszej wiadomości. | Na kliencie: - "Skonfiguruj bezpieczną sesję" z "akcji procesu" tego pierwszego komunikatu dla każdego żądania/odpowiedzi dla RST/RSTR/SCT. - "Zamknij bezpieczną sesję" dla wymiany ANULUJ z "Zamknij działanie serwera proxy". To działanie może wystąpić poza innymi działaniami otoczenia, w zależności od tego, kiedy sesja jest zamknięta. Na serwerze: - Jedno działanie "Akcja procesu" dla każdego żądania/odpowiedzi dla RST/SCT/Cancel na serwerze. Jeśli propagateActivity=truedziałania RST/RSTR/SCT są scalane z "Konfigurowanie sesji zabezpieczeń", a anulowanie zostanie scalone z działaniem "Zamknij" od klienta.Istnieją dwa etapy konfigurowania bezpiecznej sesji: 1. Negocjacje uwierzytelniania. Jest to opcjonalne, jeśli klient ma już odpowiednie poświadczenia. Tę fazę można wykonać za pośrednictwem bezpiecznego transportu lub wymiany komunikatów. W tym drugim przypadku mogą wystąpić wymiany 1 lub 2 RST/RSTR. W przypadku tych wymian ślady są emitowane w nowych działaniach żądań/odpowiedzi zgodnie z wcześniejszymi projektami. 2. Bezpieczny zakład sesji (SCT), w którym odbywa się jedna wymiana RST/RSTR w tym miejscu. Ma to takie same działania otoczenia, jak opisano wcześniej. |
- Ślady wymiany - Ustanowiono bezpieczny kanał - Udostępnianie uzyskanych wpisów tajnych. |
Uwaga
W trybie zabezpieczeń mieszanych uwierzytelnianie negocjacji odbywa się w wymianach binarnych, ale SCT odbywa się w zamian komunikatów. W trybie transportu czysta negocjacje odbywają się tylko w transporcie bez dodatkowych działań.
Szyfrowanie i odszyfrowywanie komunikatów
W poniższej tabeli wymieniono działania i ślady szyfrowania/odszyfrowywania komunikatów, a także uwierzytelnianie za pomocą podpisu.
| Secure Transport Layer (HTTPS, SSL) i Secure Message Layer (WSHTTP) | |
|---|---|
| Czas szyfrowania/odszyfrowywania wiadomości i uwierzytelniania podpisu | Po odebraniu wiadomości |
| Działania | Ślady są emitowane w działaniu ProcessAction na kliencie i serwerze. |
| Ślady | - sendSecurityHeader (nadawca): - Wiadomość z podpisem - Szyfrowanie danych żądania - receiveSecurityHeader (odbiornik): - Weryfikowanie podpisu - Odszyfrowywanie danych odpowiedzi -Uwierzytelniania |
Uwaga
W trybie czystego transportu szyfrowanie/odszyfrowywanie komunikatów odbywa się tylko w transporcie bez dodatkowych działań.
Autoryzacja i weryfikacja
W poniższej tabeli wymieniono działania i ślady autoryzacji.
| Autoryzacja | Czas, kiedy nastąpi autoryzacja | Działania | Ślady |
|---|---|---|---|
| Lokalne (ustawienie domyślne) | Po odszyfrowaniu komunikatu na serwerze | Ślady są emitowane w działaniu ProcessAction na serwerze. | Autoryzowane przez użytkownika. |
| Zdalnie | Po odszyfrowaniu komunikatu na serwerze | Ślady są emitowane w nowym działaniu wywoływanym przez działanie ProcessAction. | Autoryzowane przez użytkownika. |