Pour Apache Axis2 (l'implémentation recommandée pour le services Web), il existe des données d'identification par défaut pour l'authentification. Un utilisateur peut modifier ces données d'identification à un niveau global ou pour un service si nécessaire. Afin de garantir que les services Web ne sont pas vulnérables face à une violation de sécurité, cet utilisateur par défaut n'est pas autorisé à accéder aux services Web par défaut. Pour l'autorisation, un service Web doit être associé à un groupe de sécurité ou à un rôle de sécurité lié à l'utilisateur (par exemple WEBSVCS) pour y accéder. La vérification de l'autorisation de l'utilisateur est un processus manuel. Pour plus d'informations sur les services Web, consultez la section Personnalisation de la fonctionnalité d'exécution du récepteur du Guide de services Web Cúram ainsi que le chapitre sur l'autorisation dans ce manuel.
Pour Apache Axis 1.4, c'est-à-dire les services Web existants, une fois qu'un processus est modélisé en tant que service Web, ce service Web est automatiquement connecté à l'application à l'aide des données d'identification par défaut. Cet utilisateur par défaut est configuré pour l'autorisation automatiquement, c'est-à-dire que l'utilisateur a accès au service Web créé. La prudence est donc conseillée lorsqu'une classe devient visible en tant que service Web. Reportez-vous à la section Services Web entrants existants du Guide des services Web Cúram.
Il existe un certain nombre d'autres rubriques associées à la sécurité des services Web (par exemple, le chiffrement des données) qui utilisent Rampart. Pour plus d'informations, consultez le Guide des services Web Cúram.