OpenSSO Enterprise 8.0 包含 Sun Java System Access Manager 和 Sun Java System Federation Manager 的早期发行版中的功能,例如访问管理、联合管理和 Web 服务安全性。OpenSSO Enterprise 还包含本部分中介绍的新增功能。
有关 3.0 版策略代理的新增功能,参见以下指南之一:
《Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for J2EE Agents》
或
《Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents 》
简化安装和配置:
要安装 OpenSSO Enterprise,只需使用相应的 Web 容器管理控制台或命令行实用程序部署 opensso.war 文件。首次使用部署 URI (/opensso) 访问服务器时会导向到配置程序,可通过此程序执行初始化配置任务,例如指定管理员密码以及配置和用户数据存储库。
还可以使用 opensso.war 文件为分布式验证 UI 服务器、仅控制台、仅服务器、身份认证提供者 (Identity Provider, IDP) 搜索服务部署创建和部署特定 WAR 文件。
集中服务器和代理配置数据:
OpenSSO Enterprise 和 3.0 版策略代理的配置数据存储在集中配置数据系统信息库中。可以使用 OpenSSO Enterprise 管理控制台或新的 ssoadm 命令行实用程序指定配置值。无需再在 AMConfig.properties 或 AMAgent.properties 文件中设置属性。
许多配置属性为“可热交换的”,这表示无需在修改属性后重新启动 Web 容器。
通过嵌入式数据存储库选项,可在不安装 Sun Java System Directory Server 的情况下透明地存储 OpenSSO Enterprise 和 3.0 版策略代理配置数据。
执行 OpenSSO Enterprise 服务器的初始化配置的命令行配置程序(除 GUI 配置程序以外)。
OpenSSO Enterprise 管理控制台常见任务:
创建 SAMLv2 提供者。可以容易地创建 SAMLv2 托管的或远程身份认证提供者 (IDP) 或服务提供者 (Service Provider, SP)。
创建 Fedlet。Fedlet 是 SAMLv2 SSO 协议的轻量级服务提供者 (SP) 实现。Fedlet 允许身份认证提供者 (IDP) 启用没有实现联合的 SP。SP 只将 Fedlet 添加到一个 Java Web 应用程序,然后部署该应用程序。
测试联合连通性。可以对新的或现有联合部署进行测试或故障排除,以判断是否成功连接,并确定问题的来源。
已添加新的 Web 容器,如OpenSSO Enterprise 8.0 支持的 Web 容器中所述。
可以使用基于 JSR 196 SPI 的提供者将简化的 Web 服务安全性代理部署在 Glassfish 和 Sun Java System Application Server 9.1。
WS 联合身份验证支持身份联合规范。OpenSSO Enterprise 具体支持 WS 联合身份验证被动请求者配置文件。
已添加对 XACML 版本 2.0 的支持,具体而言是 XACMLAuthzDecisionQuery 和 XACMLAuthzDecisionStatement,如同在 XACML v2.0 的 SAML 2.0 配置文件中指定的一样。
“安全验证”和“属性交换”使应用程序可通过 IDP 和 SP 应用程序之间的安全传输提供用户验证和属性信息。
多个联合协议集线器允许 OpenSSO Enterprise IDP 像联合集线器一样在不同联合协议(例如 SAMLv2、ID-FF 和 WS 联合身份验证)之间执行单点注销。
SAMLv2 配置文件支持 IDP 代理、联合提供者、NameID 映射、ECP、验证查询和属性查询。
可在OpenSSO Enterprise 8.0 支持的 Web 容器上采用安全令牌服务 (Security Token Service, STS)。
支持 SAMLv2 声明故障转移。
新的命令行实用程序 (ssoadm) 可以配置 OpenSSO Enterprise 服务器和 3.0 版策略代理。
已添加对 Sun Identity Manager、SiteMinder 和 Oracle Access Manager 的集成。
支持服务标签。参见在 Sun Inventory 使用服务标签。
分布式验证 UI 服务器包括允许用户执行初始化配置任务(例如指定 OpenSSO Enterprise 服务器并提供分布式验证 UI 服务器的用户和密码)的配置程序。
分布式验证 UI 服务器还支持跨域单点登录 (Cross Domain Single Sign-on, CDSSO)。
国际化和本地化更改包括:
除英文之外,OpenSSO Enterprise 还支持法文、西班牙文、德文、日文、韩文、简体中文和繁体中文。
本地化文件默认捆绑在 opensso.war 文件中(与 Access Manager 7 2005Q4 和 Access Manager 7.1 不同,其本地化文件均位于单独的本地化软件包中)。
OpenSSO Enterprise 和 Express 发行版均包含 Unix、SecurID 和 SafeWord 验证模块。SecurID 目前是基于 Java 的验证模块。
升级支持包括:
从 Access Manager 6.3、7.0 或 7.1 以及 Federation Manager 7.0 升级到 OpenSSO Enterprise 8.0
策略代理从 2.2 版代理升级到 3.0 版