第四十八章解决安全问题

本主题提供信息来帮助识别 IRIS 中 SOAP 安全问题的原因。

有关与安全无关的问题的信息，请参阅 IRIS 中的 SOAP 问题故障排除。

故障排除所需的信息

要解决 SOAP 问题，通常需要以下信息：

Option	Usable with SSL/TLS?	Shows HTTP headers?	Comments
IRIS SOAP log	Yes	No	对于安全错误，此日志显示的详细信息比 SOAP 故障中包含的更多。
Web Gateway trace	Yes	Yes	对于使用 MTOM（MIME 附件）的 SOAP 消息问题，查看 HTTP 标头至关重要。
Third-party tracing tools	No	Depends on the tool	一些跟踪工具还显示较低级别的详细信息，例如实际发送的数据包，这在进行故障排除时至关重要。

这 IRIS 中的 SOAP 问题故障排除中进行了讨论。

正确处理故障也非常有用，这样就可以收到最好的信息。请参阅 SOAP 故障处理。

如果入站消息验证失败或 IRIS 发出不支持的策略替代错误，则检查以下项目很有用：

如果使用它进行加密，则使用要向其发送消息的实体的证书。加密使用此证书的公钥。

如果使用它进行签名，则使用自己的证书，并使用关联的私钥进行签名。在这种情况下，请确保已加载私钥，并且已正确指定私钥文件的密码。

确保证书由 IRIS 信任的证书颁发机构签名。
如果正在使用 WS-Policy，请务必编辑生成的配置类以指定要使用的 IRIS 凭证集。请参阅编辑生成的策略。
如果 Web 服务需要 <UsernameToken>，请确保 IRIS Web 客户端正在发送此令牌，并且其中包含正确的信息。 IRIS 无法自动指定要发送的 <UsernameToken> ；这必须在运行时完成。请参阅添加时间戳和用户名令牌。

确保 IRIS 支持 Web 服务或客户端所需的至少一种安全策略。请参阅 SOAP 安全标准。
- 如果身份验证失败，则在 <UsernameToken> 中识别用户，并检查该用户所属的角色。