test

Notes de version de la mise à jour 2 de OpenSSO d'Oracle

Chapitre 3  Utilisation du service de jeton de sécurité

En tant que service d'autorité de confiance, le service de jeton de sécurité OpenSSO émet et valide des jetons de sécurité. En tant que fournisseur de sécurité de services Web, le service de jeton de sécurité sécurise la communication entre le client du service Web et le service STS de OpenSSO lui-même. De nombreuses améliorations ont été apportées au service de jeton de sécurité depuis la mise à jour 2 de OpenSSO 8.0.

Ce chapitre se compose des rubriques suivantes :

Ajout d'un module d'authentification WSSAuth

Le module d'authentification de sécurité des services Web permet à OpenSSO de valider un nom d'utilisateur avec un mot de passe Digest reçu comme jeton d'authentification et contenu dans une requête de service de la part du client de services Web à un fournisseur de services Web.

ProcedurePour ajouter une nouvelle instance de module d'authentification de sécurité des services Web

  1. Dans l'onglet Access Manager, cliquez sur le sous-onglet Authentification.

  2. Dans la section Instances de module, cliquez sur Nouvelle.

  3. Dans le champ Nom, saisissez un nom pour l'instance de module d'authentification WSSAuth.

  4. Pour le Type, choisissez WSSAuth.

  5. Configurez l'instance du module d'authentification WSSAuth.

Procedure Pour configurer une instance du module d'authentification WSSAuth

  1. Dans l'onglet Access Manager, cliquez sur le sous-onglet Authentification.

  2. Dans la section Instances du module, cliquez sur le nom de l'instance du module d'authentification WSSAuth que vous souhaitez configurer.

  3. Indiquez les valeurs des attributs de domaine de l'instance du module d'authentification WSSAuth.

    Le tableau suivant présente une liste et les descriptions des attributs que vous pouvez configurer.

    Attribut de recherche utilisateur

    A développer

    Domaine utilisateur

    A développer

    Attribut de mot de passe utilisateur

    A développer

    Niveau d'authentification

    A développer

Ajout d'un module d'authentification OAMAuth

Le module d'authentification d'Oracle permet à OpenSSO d'authentifier et de connecter un administrateur (connexion unique), qui s'est précédemment authentifié sur Oracle Access Manager, à OpenSSO. L'administrateur n'a pas à fournir de références pour OpenSSO.

ProcedurePour ajouter une nouvelle instance du module d'authentification d'Oracle

  1. Dans l'onglet Access Manager, cliquez sur le sous-onglet Authentification.

  2. Dans la section Instances de module, cliquez sur Nouvelle.

  3. Dans le champ Nom, saisissez un nom pour l'instance de module d'authentification d'Oracle.

  4. Pour le Type, choisissez OAMAuth.

  5. Cliquez sur OK.

  6. Configurez l'instance du module d'authentification OAMAuth.

ProcedurePour configurer une instance du module d'authentification d'Oracle

  1. Dans l'onglet Access Manager, cliquez sur le sous-onglet Authentification.

  2. Dans la section Instances du module, cliquez sur le nom de l'instance du module d'authentification OAMAuth que vous souhaitez configurer.

  3. Indiquez les valeurs des attributs de domaine de l'instance du module d'authentification d'Oracle.

    Le tableau suivant présente une liste et les descriptions des attributs que vous pouvez configurer.

    Nom de l'en-tête de l'utilisateur distant

    A développer

    Valeurs d'en-tête autorisées

    La liste des valeurs actuelles affiche A développer

    • Pour ajouter une valeur d'en-tête à la liste, dans le champ Nouvelle valeur, saisissez A développer, puis cliquez sur Ajouter.

    • Pour supprimer une entrée de la liste des valeurs actuelles, sélectionnez l'entrée puis cliquez sur Supprimer.

    Niveau d'authentification

    A développer

Génération de jetons de sécurité

Le service de jeton de sécurité (STS) de OpenSSO d'Oracle établit une relation de confiance entre un client de services Web et un fournisseur de services Web, puis agit en tant que courtier entre eux. Le service Web peut compter sur les jetons émis par une seule entité OpenSSO STS au lieu d'avoir à communiquer avec plusieurs clients. Ainsi, OpenSSO STS réduit considérablement les frais de gestion du point de confiance.

Les sections suivantes fournissent des instructions sur la détermination de vos besoins en jetons de sécurité, et sur la configuration du service de jeton de sécurité pour générer et valider des jetons afin de répondre à ces besoins.

Enregistrement d'un fournisseur de services Web à OpenSSO STS

Lorsque vous ajoutez un nouveau profil d'agent de sécurité de fournisseur de services Web, ce dernier est automatiquement enregistré sur OpenSSO STS. Consultez les sections suivantes pour en savoir plus :

Une fois que vous avez enregistré un fournisseur de services Web sur OpenSSO STS, vous pouvez configurer ce service de façon à ce qu'il génère des jetons de sécurité de client Web acceptables par le fournisseur de services Web.

Enregistrement d'un jeton de sécurité de client de services Web depuis OpenSSO STS

Avant de pouvoir configurer le service de jeton de sécurité, pour générer des jetons de sécurité de client Web, vous devez déterminer le type de jeton dont le fournisseur de services Web a besoin. OpenSSO STS prend en charge les jetons de sécurité du projet Liberty Alliance et les jetons du profil de sécurité de base d'interopérabilité avec les services Web.

Processus de génération de jetons de sécurité

Lorsque la sécurité est activée à l'aide de jetons du projet Liberty Alliance, le client HTTP, ou le navigateur, envoie une requête d'accès via le client de services Web au fournisseur de services Web. Un agent de sécurité des services Web redirige la requête vers le service d'authentification OpenSSO STS. Une fois le mécanisme de sécurité du projet Liberty Alliance en place, un agent de sécurité HTTP émet la redirection. Lorsque la sécurité WS-IBS est utilisée, un agent de sécurité SOAP émet la redirection.

Le service d'authentification STS de OpenSSO détermine le mécanisme de sécurité enregistré par le fournisseur de services Web, et récupère les jetons de sécurité appropriés. Suite à une authentification réussie, le client des services Web fournit un corps de message SOAP alors que l'agent de sécurité SOAP du côté du client des services Web insère l'en-tête de sécurité et un jeton. Le message est alors signé avant l'envoi de la requête au fournisseur de services Web.

L'agent de sécurité SOAP du côté du fournisseur de services Web vérifie la sécurité et le jeton de sécurité de la requête SOAP avant de transférer la requête au fournisseur de services Web lui-même. Le fournisseur de services Web la traite ensuite et renvoie une réponse, signée par l'agent de sécurité SOAP, au client des services Web. L'agent de sécurité SOAP du côté du client des services Web vérifie alors la signature avant de transférer la réponse au client des services Web.

Le tableau suivant comporte une liste et de brèves descriptions des jetons pris en charge pour les transactions du projet Liberty Alliance.

Tableau 3–1 Jetons du demandeur : Projet Liberty Alliance

Jeton

Répond à ces besoins

X.509 

  • Le service Web sécurisé utilise une infrastructure de clé publique (PKI) dans laquelle le client des services Web fournit une clé publique comme moyen d'identifier le demandeur, et de l'authentifier avec le fournisseur de services Web.

  • Le service Web sécurisé utilise une infrastructure de clé publique (PKI) dans laquelle le client des services Web fournit une clé publique comme moyen d'identifier le demandeur, et de l'authentifier avec le fournisseur de services Web.

Jeton Bearer 

  • Le service Web sécurisé utilise la méthode de confirmation du jeton Bearer SAML (Security Assertion Markup Language).

  • Le client des services Web fournit une assertion SAML avec les informations sur la clé publique comme moyen d'authentifier le demandeur pour le fournisseur de services Web.

  • Une seconde signature associé l'assertion au message SOAP.

  • La liaison de la seconde signature utilise des règles définies par le projet Liberty Alliance.

Jeton SAML 

  • Le service Web sécurité utilise la méthode de confirmation du détenteur de clé.

  • Le client des services Web ajoute une assertion SAML et une signature numérique à un en-tête SOAP.

  • Un certificat d'expéditeur ou une clé publique est également fourni avec la signature.

  • L'envoi est traité à l'aide de règles définies par le projet Liberty Alliance.

Le tableau suivant comporte une liste et de brèves descriptions des jetons pris en charge pour les transactions WS-IBS.

Tableau 3–2 Jetons du demandeur - WS-IBS

Jeton

Répond à ces besoins

Nom d’utilisateur 

  • Le service Web sécurisé nécessite un nom d'utilisateur, un mot de passe et, en option, une signature de la requête.

  • Le client du service Web fournit un jeton de nom d'utilisateur comme moyen d'identifier le demandeur.

  • Le client du service Web fournit un mot de passe, un secret partagé ou un équivalent de mot de passe pour authentifier l'identité pour le fournisseur de services Web.

X.509 

Le service Web sécurisé utilise une infrastructure de clé publique (PKI) dans laquelle le client des services Web fournit une clé publique comme moyen d'identifier le demandeur et d'accomplir l'authentification avec le fournisseur de services Web. 

Détenteur de clé SAML 

  • Le service Web sécurité utilise la méthode de confirmation du détenteur de clé.

  • Le client des services Web fournit une assertion SAML avec les informations sur la clé publique comme moyen d'authentifier le demandeur pour le fournisseur de services Web.

  • Une seconde signature associé l'assertion à la charge utile SOAP.

Bons d'expéditeur SAML 

  • Le service Web sécurité utilise la méthode de confirmation des bons d'expéditeur SAML.

  • Le client des services Web ajoute une assertion SAML et une signature numérique à un en-tête SOAP. Un certificat d'expéditeur ou une clé publique est également fourni avec la signature.

Utilisation de la matrice de génération de jetons de sécurité

Utilisez la matrice de génération de jetons de sécurité pour vous aider à configurer OpenSSO STS afin de générer un jeton de sécurité de client de services Web requis par le fournisseur de services Web. Tout d'abord, dans la dernière colonne intitulée Jeton de sortie OpenSSO STS, recherchez une description qui répond aux besoins en jetons du fournisseur de services Web. Puis utilisez les valeurs des paramètres de la même ligne lorsque vous configurez le service de jeton de sécurité. La « légende de la matrice de génération de jetons » fournit des informations sur les en-têtes de tableau et les options disponibles. Consultez la section 5.2.3, « Pour configurer le service de jeton de sécurité » pour obtenir des instructions détaillées sur la configuration. Pour obtenir des informations générales sur la sécurité des services Web et la terminologie associée, consultez :

La matrice de génération de jetons de sécurité résume les paramètres fréquemment utilisés du service de jeton de sécurité et les types de jetons de sécurité que OpenSSO STS génère en fonction de ces paramètres.

Tableau 3–3 Matrice de génération de jetons de sécurité

Ligne

Liaison de sécurité au niveau des messages

Jeton de client de services Web

Type de clé

Pour le jeton

Clé d'utilisation

Jeton de sortie de OpenSSO STS

Asymétrique  

X509  

Bearer  

Oui  

Aucun  

Bearer SAML, pas de clé de vérification 

Asymétrique  

Nom d'utilisateur  

Bearer  

Oui  

Aucun  

Bearer SAML, pas de clé de vérification 

Asymétrique  

X509  

Bearer  

Aucun  

Aucun  

Bearer SAML, pas de clé de vérification 

Asymétrique  

Nom d'utilisateur  

Bearer  

Aucun  

Aucun  

Bearer SAML, pas de clé de vérification 

Asymétrique  

X509  

Symétrique  

Oui  

Aucun  

Détenteur de clé SAML, clé de vérification symétrique 

Asymétrique  

Nom d'utilisateur  

Symétrique  

Oui  

Aucun  

Détenteur de clé SAML, clé de vérification symétrique 

Asymétrique  

X509  

Symétrique  

Aucun  

Aucun  

Détenteur de clé SAML, symétrique 

Asymétrique  

Nom d'utilisateur  

Symétrique  

Aucun  

Aucun  

Détenteur de clé SAML, clé de vérification symétrique 

Asymétrique  

X509  

Asymétrique  

Aucun  

Clé publique du client de services Web  

Détenteur de clé SAML, clé de vérification asymétrique 

10 

Asymétrique  

X509  

Propriétaire Oracle pour les bons d'expéditeur SAML  

Oui  

Aucun  

Bons d'expéditeur SAML, pas de clé de vérification 

11 

Asymétrique  

Nom d'utilisateur  

Propriétaire Oracle pour les bons d'expéditeur SAML  

Oui  

Aucun  

Bons d'expéditeur SAML, pas de clé de vérification 

12 

Asymétrique  

X509  

Propriétaire Oracle pour les bons d'expéditeur SAML  

Aucun  

Aucun  

ERREUR 

13 

Asymétrique  

Nom d'utilisateur  

Propriétaire Oracle pour les bons d'expéditeur SAML  

Aucun  

Aucun  

ERREUR 

14 

Transport  

Nom d'utilisateur  

Bearer  

Oui  

Aucun  

Bearer SAML, pas de clé de vérification 

15 

Transport  

Nom d'utilisateur  

Bearer  

Aucun  

Aucun  

Bearer SAML, pas de clé de vérification 

16 

Transport  

Nom d'utilisateur  

Symétrique  

Oui  

Aucun  

Détenteur de clé SAML, symétrique 

17 

Transport  

Nom d'utilisateur  

Symétrique  

Aucun  

Aucun  

Détenteur de clé SAML, clé de vérification symétrique 

18 

Transport  

Nom d'utilisateur  

Propriétaire Oracle pour les bons d'expéditeur SAML  

Oui  

Aucun  

Bons d'expéditeur SAML, pas de clé de vérification 

19 

Transport  

Nom d'utilisateur  

Propriétaire Oracle pour les bons d'expéditeur SAML  

Aucun  

Aucun  

ERREUR 

20 

Asymétrique  

Nom d'utilisateur  

Asymétrique  

Aucun  

Clé publique du client de services Web  

ERREUR 

21 

Transport  

Nom d'utilisateur  

Asymétrique  

Aucun  

Clé publique du client de services Web  

ERREUR 

22 

Asymétrique  

X509  

Asymétrique  

Oui  

Aucun  

ERREUR 

23 

Asymétrique  

Nom d'utilisateur  

Asymétrique  

Oui  

Aucun  

ERREUR 

24 

Transport  

Nom d'utilisateur  

Asymétrique  

Oui  

Aucun  

ERREUR 

25 

Asymétrique  

X509  

Asymétrique  

Aucun  

Aucun  

Détenteur de clé SAML, clé de vérification asymétrique 

26 

Asymétrique  

X509  

Aucun  

Aucun  

Aucun  

Détenteur de clé SAML, clé de vérification asymétrique 

27 

Asymétrique  

Nom d'utilisateur  

Aucun  

Aucun  

Aucun  

Détenteur de clé SAML, clé de vérification symétrique 

28 

Transport  

Nom d'utilisateur  

Aucun  

Aucun  

Aucun  

Détenteur de clé SAML, clé de vérification symétrique 

Service de jeton de sécurité : problèmes et solutions

A développer

Configuration : problèmes et solutions

A développer

Erratum dans la documentation

A développer