Chapitre 1 A propos de la mise à jour 2 de OpenSSO 8.0

Ce chapitre se compose des rubriques suivantes :

• Nouveautés de la mise à jour 2 de OpenSSO 8.0

• Configuration matérielle et logicielle requise pour la mise à jour 2 de OpenSSO 8.0

• Mise à jour 2 de OpenSSO 8.0 : problèmes et solutions

• Documentation sur la mise à jour 2 de OpenSSO 8.0

• Informations et ressources complémentaires

Nouveautés de la mise à jour 2 de OpenSSO 8.0

La mise à jour 2 de OpenSSO 8.0 comprend des améliorations apportées au service de jeton de sécurité et du Fedlet de OpenSSO.

Améliorations du service de jeton de sécurité

Le service de jeton de sécurité comprend désormais les fonctions suivantes :

• Prise en charge de type de jeton pour générer un jeton de sécurité de fournisseur de services Web spécifique

• Prise en charge des liaisons asymétriques et de transport pour X509 et des jetons de sécurité par nom d'utilisateur comme demandeur.

• Application de liaisons SSL/de transport avec un jeton de sécurité par nom d'utilisateur lorsque OpenSSO STS est configuré avec un nom d'utilisateur sur SSL.

• Emission d'un jeton de sécurité détenteur de clé SAML pour le type de clé asymétrique avec clé d'utilisation comme clé publique du client de services Web et jeton de sécurité X509 de client de services Web.

• WSDL est mis à jour de façon dynamique en fonction de la configuration du jeton de sécurité.

• Prise en charge du chiffrement par la clé publique du fournisseur de services Web.

• Chiffrement du mot de passe du nom d'utilisateur statique avant son stockage dans le magasin de configuration.

• Prise en charge du jeton Nom d'utilisateur comme jeton de sécurité Au nom de via une requête WS-Trust.

• Prise en charge de l'émission de jetons SAML Bearer.

• Nouveau module d'authentification de sécurité des services Web, WSSAuth prend en charge la validation des mots de passe Digest.

• Le nouveau module d'authentification OAMAuth permet la connexion unique à l'aide d'Oracle Access Manager avec OpenSSO.

Pour en savoir plus, consultez le Chapitre 3 Utilisation du service de jeton de sécurité.

Améliorations du Fedlet

Le Fedlet comprend désormais les nouvelles fonctions suivantes :

• Prise en charge du chiffrement dans le Fedlet .NET.

• Prise en charge de la connexion dans le Fedlet .NET.

• Le Fedlet .NET prend désormais en charge la déconnexion unique.

• Le Felet .NET offre au fournisseur de service une connexion unique lancée et le support des artefacts.

• Prise en charge de plusieurs fournisseurs d'identités et détection du fournisseur d'identités dans le Fedlet .NET.

• Offre d'informations sur la version dans les propriétés et les fichiers de configuration pour le Fedlet.

• Nouvelle implémentation de mot de passe SPI

• Prise en charge de la requête d'attributs

• Prise en charge de la déconnexion unique

Pour en savoir plus, consultez le Chapitre 4Utilisation du Fedlet de OpenSSO d'Oracle.

Configuration matérielle et logicielle requise pour la mise à jour 2 de OpenSSO 8.0

Consultez Hardware and Software Requirements For OpenSSO Enterprise 8.0 Update 1 du Sun OpenSSO Enterprise 8.0 Update 1 Release Notes

Prise en charge des nouveaux conteneurs Web

La mise à jour 2 de OpenSSO 8.0 prend en charge les conteneurs Web décrits dans Support for New Web Containers du Sun OpenSSO Enterprise 8.0 Update 1 Release Notes, et le nouveau conteneur Web suivant :

• Serveur Oracle WebLogic 10g, version 3 (10.3)

Mise à jour 2 de OpenSSO 8.0 : problèmes et solutions

• CR 6959610 : les exemples de la mise à jour 2 de OpenSSO 8.0 doivent être supprimés dans l'environnement de production.

• CR 6964648 : les nouvelles autorisations de sécurité Java sont requises pour le serveur WebLogic 10.3.3.

• CR 6939443 : échec de l'authentification des certificats avec vérification LDAP ou OCSP sur le serveur WebLogic 10.3.x.

• CR 6967026 : le configurateur ne peut pas se connecter à l'instance de serveur d'annuaire LDAPS depuis GlassFish 2.1.x.

• CR 6948937 : l'activation de la mise à jour 2 de OpenSSO 8.0 dans la console d'administration du serveur WebLogic 10.3.3 entraîne des exceptions.

• CR 6959373 : le conteneur Web doit redémarrer après avoir exécuté le script updateschema.

• CR 6961419 : l'exécution du script updateschema.bat nécessite un fichier de mots de passe.

CR 6959610 : les exemples de la mise à jour 2 de OpenSSO 8.0 doivent être supprimés dans l'environnement de production.

Les exemples de la mise à jour 2 de OpenSSO 8.0 pourraient entraîner des problèmes de sécurité.

Solution. Si vous déployez la mise à jour 2 de OpenSSO 8.0 dans un environnement de production, supprimez les exemples pour prévenir tout problème de sécurité éventuel.

CR 6964648 : les nouvelles autorisations de sécurité Java sont requises pour le serveur WebLogic 10.3.3.

Si vous déployez la mise à jour 2 de OpenSSO 8.0 sur le serveur Oracle WebLogic 10.3.3 avec le gestionnaire de sécurité activé, une autorisation de sécurité Java supplémentaire sera nécessaire.

Solution. Ajoutez l'autorisation suivante au serveur WebLogic 10.3.3 , fichier weblogic.policy :

autorisation java.lang.RuntimePermission "getClassLoader";

CR 6939443 : échec de l'authentification des certificats avec vérification LDAP ou OCSP sur le serveur WebLogic 10.3.x.

En raison d'un problème dans les versions précédentes du serveur Oracle WebLogic telles que 10.3.0 et 10.3.1, l'authentification des certificats avec vérification LDAP ou OSCP activée échoue.

Solution. Ce problème a été corrigé dans le serveur WebLogic 10.3.3. Pour utiliser l'authentification des certificats avec vérification LDAP ou OSCP, utilisez la mise à jour 2 de OpenSSO avec le serveur WebLogic 10.3.3.

CR 6967026 : le configurateur ne peut pas se connecter à l'instance de serveur d'annuaire LDAPS depuis GlassFish 2.1.x.

Si le serveur GlassFish Enterprise v2.1.1 ou v2.1.2 est déployé comme conteneur Web de la mise à jour 2 de OpenSSO 8.0, le configurateur ne peut pas se connecter à une instance de serveur d'annuaire LDAPS.

Solution. Pour utiliser un serveur d'annuaire LDAPS avec GlassFish comme conteneur Web, déployez le serveur GlassFish Enterprise v2.1.

CR 6948937 : l'activation de la mise à jour 2 de OpenSSO 8.0 dans la console d'administration du serveur WebLogic 10.3.3 entraîne des exceptions.

Si vous déployez la mise à jour 2 de OpenSSO 8.0 (opensso.war) dans la console d'administration du serveur WebLogic 10.3.3 et cliquez sur Démarrer pour permettre à la mise à jour 2 de OpenSSO 8.0 de commencer à recevoir des requêtes, des exceptions seront lancées dans la console où le domaine du serveur WebLogic a été démarré.

Note : après avoir démarré la mise à jour 2 de OpenSSO 8.0, il reste lancé et aucune exception n'est lancée à nouveau avant l'arrêt puis le redémarrage de la mise à jour 2 de OpenSSO 8.0.

Solution. Copiez le fichier saaj-impl.jar depuis le fichier opensso-client-jdk15.war de la mise à jour 2 de OpenSSO 8.0 dans le répertoire endorsed de configuration du serveur WebLogic 10.3.3 comme suit :

1. Arrêtez le domaine du serveur Oracle WebLogic 10.3.3.

2. Si nécessaire, décompressez le fichier opensso.zip de la mise à jour 2 de OpenSSO 8.0.

3. Créez un répertoire temporaire et décompressez le fichier zip-root/opensso/samples/opensso-client.zip dans ce répertoire, où zip-root correspond à l'emplacement où vous avez décompressé le fichier opensso.zip. Par exemple :

   cd zip-root/opensso/samples
   mkdir ziptmp
   cd ziptmp
   unzip ../opensso-client.zip

4. Créez un répertoire temporaire et extrayez le fichier saaj-impl.jar depuis opensso-client-jdk15.war. Par exemple :

   cd zip-root/opensso/samples/ziptmp/war
   mkdir wartmp
   cd wartmp
   jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar

5. Créez un nouveau répertoire nommé endorsed sous le répertoire WEBLOGIC_JAVA_HOME/jre/lib (si endorsed n'existe pas déjà), où WEBLOGIC_JAVA_HOME est le JDK que le serveur WebLogic doit utiliser selon sa configuration.

6. Copiez le fichier saaj-impl.jar dans le répertoire WEBLOGIC_JAVA_HOME/jre/lib/endorsed.

7. Démarrez le domaine du serveur WebLogic.

CR 6959373 : le conteneur Web doit redémarrer après avoir exécuté le script updateschema.

Après avoir exécuté le script updateschema.sh ou updateschema.bat , vous devez redémarrer le conteneur Web de la mise à jour 2 de OpenSSO 8.0.

CR 6961419 : l'exécution du script updateschema.bat nécessite un fichier de mots de passe.

Le script updateschema.bat exécute plusieurs commandes ssoadm. Par conséquent, avant d'exécuter updateschema.bat sous Windows, créez un fichier de mots de passe qui contient l'utilisateur du mot de passe en texte clair pour l'utilisateur amadmin. Le script updateschema.bat vous invite à indiquer le chemin d'accès au fichier de mots de passe. Avant la fin du script, le fichier de mots de passe est supprimé.

Documentation sur la mise à jour 2 de OpenSSO 8.0

En plus de ce document, une autre documentation sur OpenSSO 8.0 est disponible dans la collection suivante :

http://docs.sun.com/coll/1767.1

Problèmes détectés dans la documentation

La mise à jour 2 de OpenSSO 8.0 comprend les problèmes détectés dans la documentation suivants :

• CR 6958580 : l'aide en ligne de la console indique les agents de détection non pris en charge.

• CR 6967006 : l'aide en ligne de la console n'indique pas les modules d'authentification OAMAuth et WSSAuth.

• CR 6953582 : la référence à l'API Java du Fedlet doit être publique.

• CR 6953579 : le fichier LISEZMOI du Fedlet de OpenSSO doit indiquer une fonction de déconnexion unique.

CR 6958580 : l'aide en ligne de la console indique les agents de détection non pris en charge.

L'aide en ligne de la console d'administration de la mise à jour 2 de OpenSSO 8.0 indique des agents de détection, même si ces agents ne sont pas pris en charge.

Solution. Aucune. Ignorez les informations sur les agents de détection dans l'aide en ligne.

CR 6967006 : l'aide en ligne de la console n'indique pas les modules d'authentification OAMAuth et WSSAuth.

L'aide en ligne de la console d'administration de la mise à jour 1 de OpenSSO 8.0 n'indique pas les modules d'authentification Oracle Access Manager (OAM) et Web Services Security (WSS).

Solution. Pour en savoir plus sur ces modules d'authentification, consultez le Chapitre 3 Utilisation du service de jeton de sécurité

CR 6953582 : la référence à l'API Java du Fedlet doit être publique.

La référence à l'API Java du Fedlet est disponible dans le cadre de la référence à l'API Java de la mise à jour 2 de Oracle OpenSSO 8.0, disponible dans la collection de documentation suivante : http://docs.sun.com/coll/1767.1.

Note : la mise à jour 2 de OpenSSO 8.0 ne prend pas en charge la méthode getPolicyDecisionForFedlet, même si cette méthode se trouve dans la référence à l'API Java.

CR 6953579 : le fichier LISEZMOI du Fedlet de OpenSSO doit indiquer une fonction de déconnexion unique.

Les fichiers LISEZMOI du Fedlet n'indiquent pas la fonction de déconnexion unique.

Solution. Pour la mise à jour 2 de Oracle OpenSSO 8.0, la fonction de déconnexion unique du Fedlet est expliquée au Chapitre 4Utilisation du Fedlet de OpenSSO d'Oracle.

Informations et ressources complémentaires

Vous trouverez également des informations et ressources utiles aux emplacements suivants :

• Notifications et annonces de désapprobation

• Comment signaler des problèmes et apporter des commentaires

• Fonctions d'accessibilité destinées aux personnes handicapées

• Sites Web tiers associés

• Services client avancés d'Oracle pour les systèmes :

  http://www.oracle.com/us/support/systems/advanced-customer-services/index.html

• Produits logiciels : http://www.oracle.com/us/sun/sun-products-map-075562.html

• SunSolve : http://sunsolve.sun.com/

• Programme Sun Developer Network (SDN) : http://developers.sun.com/

• Sun Developer Services :http://developers.sun.com/services/

Notifications et annonces de désapprobation

• Les API SMS (Service Management Service) (pack com.sun.identity.sm ) et le modèle SMS ne seront pas inclus dans une future version de OpenSSO.

• Le module d'authentification Unix et l'assistant d'authentification Unix (amunixd) ne seront pas inclus dans une future version de OpenSSO.

• Les notes de version de Sun Java System Access Manager 7.1 indiquaient que le pack com.iplanet.am.sdk d'Access Manager, plus connu sous le nom Access Manager SDK (AMSDK), et tous les modèles XML et API associés, ne seront pas inclus dans une future version de OpenSSO.

  Par conséquent, lorsque AMSDK est supprimé, l'option du mode hérité et le support seront également supprimés.

  Aucune option de migration n'est disponible pour l'instant et n'est prévue à l'avenir. Oracle Identity Manager offre des solutions de provisioning utilisateur que vous pouvez utilisez à la place de l'AMSDK. Pour en savoir plus sur Identity Manager, consultez http://www.oracle.com/products/middleware/identity-management/identity-manager.html.

Comment signaler des problèmes et apporter des commentaires

Si vous avez des questions ou des préoccupations au sujet de la mise à jour 2 de OpenSSO 8.0 ou d'une version de patch ultérieure, contactez les Ressources du support sur http://sunsolve.sun.com/.

Ce site contient des liens renvoyant à la base de connaissance, au centre de support en ligne et à la page de suivi des produits (Product Tracker), ainsi qu’à des programmes de maintenance et des numéros de téléphone de support. Si vous demandez de l'aide au sujet d'un problème, veuillez indiquer les informations suivantes :

• la description du problème, notamment la situation dans laquelle il se produit et son impact sur le fonctionnement ;

• le type de machine, la version du système d'exploitation, le conteneur Web et sa version, la version de JDK et la version de OpenSSO, notamment tout patch ou autre logiciel qui pourrait concerner le problème ;

• Etapes à suivre pour atténuer le problème

• tous les journaux d’erreur ou vidages de la mémoire.

Fonctions d'accessibilité destinées aux personnes handicapées

Pour obtenir les fonctions d’accessibilité mises à disposition depuis la publication de ce média, consultez les évaluations produit de la section 508 sur demande afin d’identifier les versions les plus adaptées au déploiement de solutions accessibles.

Pour en savoir plus sur l'engagement d'Oracle à l'égard de l'accessibilité, consultez http://www.oracle.com/index.html.

Sites Web tiers associés

Des adresses URL de sites tiers, qui renvoient à des informations complémentaires connexes, sont référencées dans ce document.

---

Remarque –

Oracle décline toute responsabilité quant à la disponibilité des sites tiers mentionnés dans ce document. Oracle ne garantit pas le contenu, la publicité, les produits ni autres matériaux disponibles sur ces sites ou dans ces ressources, ou accessibles par leur intermédiaire, et ne saurait en être tenu pour responsable. Oracle ne pourra en aucun cas être tenu pour responsable, directement ou indirectement, de tous dommages ou pertes, réels ou invoqués, causés par ou liés à l’utilisation des contenus, biens ou services disponibles dans ou par l’intermédiaire de ces sites ou ressources.

---