test

Notas de la versión de Oracle OpenSSO Update 2

Capítulo 3 Uso del servicio de token de seguridad

Como servicio de entidad de emisora de confianza, el servicio de token de seguridad de OpenSSO emite y valida tokens de seguridad. Como proveedor de seguridad de servicios web, el servicio de token de seguridad protege la comunicación entre el cliente de servicios web y el propio servicio STS de OpenSSO. Se ha realizado un gran número de mejoras en el servicio de token de seguridad desde la versión OpenSSO 8.0 Update 2.

Este capítulo contiene los temas siguientes:

Adición de un módulo de autenticación WSSAuth

El módulo de autenticación de seguridad de servicios web permite a OpenSSO validar un nombre de usuario con una contraseña implícita recibida como token de autenticación e incluida en una solicitud de servicio del cliente de servicios web enviada a un proveedor de servicios web.

ProcedurePara agregar una nueva instancia del módulo de autenticación de seguridad de servicios web

  1. En la ficha Access Manager, haga clic en la ficha secundaria Autenticación.

  2. En la sección Instancias del módulo, haga clic en Nuevo.

  3. En el campo Nombre, escriba un nombre para la instancia del módulo de autenticación WSSAuth.

  4. En Tipo, seleccione WSSAuth.

  5. Configure la instancia del módulo de autenticación WSSAuth.

Procedure Para configurar una instancia del módulo de autenticación WSSAuth

  1. En la ficha Access Manager, haga clic en la ficha secundaria Autenticación.

  2. En la sección Instancias del módulo, haga clic en el nombre de la instancia del módulo de autenticación WSSAuth que desee configurar.

  3. Especifique valores para los atributos de dominio de la instancia del módulo de autenticación WSSAuth.

    En la siguiente tabla se proporcionan una lista y descripciones de los atributos que puede configurar.

    Atributo de búsqueda de usuario

    Pendiente de desarrollo

    Dominio de usuario

    Pendiente de desarrollo

    Atributo de contraseña de usuario

    Pendiente de desarrollo

    Nivel de autenticación

    Pendiente de desarrollo

Adición de un módulo de autenticación OAMAuth

El módulo de autenticación de Oracle permite a OpenSSO realizar una autenticación y aplicar un inicio de sesión único para un administrador que anteriormente se haya autenticado en OpenSSO en Oracle Access Manager. El administrador no tiene que proporcionar las credenciales para autenticarse en OpenSSO.

ProcedurePara agregar una nueva instancia del módulo de autenticación de Oracle

  1. En la ficha Access Manager, haga clic en la ficha secundaria Autenticación.

  2. En la sección Instancias del módulo, haga clic en Nuevo.

  3. En el campo Nombre, escriba un nombre para la instancia del módulo de autenticación de Oracle.

  4. En Tipo, seleccione OAMAuth.

  5. Haga clic en Aceptar.

  6. Configure la instancia del módulo de autenticación OAMAuth.

ProcedurePara configurar una instancia del módulo de autenticación de Oracle

  1. En la ficha Access Manager, haga clic en la ficha secundaria Autenticación.

  2. En la sección Instancias del módulo, haga clic en el nombre de la instancia del módulo de autenticación OAMAuth que desee configurar.

  3. Especifique valores para los atributos de dominio de la instancia del módulo de autenticación de Oracle.

    En la siguiente tabla se proporcionan una lista y descripciones de los atributos que puede configurar.

    Nombre de encabezado de usuario remoto

    Pendiente de desarrollo

    Valores de encabezado permitidos

    La lista de valores actuales muestra Pendiente de desarrollo

    • Para añadir un valor de encabezado a la lista, escriba Pendiente de desarrollo en el campo Nuevo valor y, a continuación, haga clic en Añadir.

    • Para suprimir una entrada de la lista de valores actuales, seleccione la entrada y, a continuación, haga clic en Suprimir.

    Nivel de autenticación

    Pendiente de desarrollo

Creación de tokens de seguridad

El servicio de token de seguridad de Oracle OpenSSO (servicio STS de OpenSSO) establece una relación de confianza entre un cliente y un proveedor de servicios web y, a continuación, consolida esta confianza entre ellos. The web service can trust tokens issued by just one entity?OpenSSO STS? en lugar de tener que comunicarse con varios clientes. De esta forma, el servicio STS de OpenSSO reduce significativamente la carga adicional indirecta de la administración de puntos de confianza.

En las siguientes secciones se proporcionan instrucciones para determinar sus necesidades de token de seguridad y para configurar el servicio de token de seguridad a fin de generar y validar los tokens de seguridad que satisfagan estas necesidades.

Registro de un proveedor de servicios web en el servicio STS de OpenSSO

Al agregar un nuevo perfil de agente de seguridad del proveedor de servicios web, este proveedor se registra automáticamente en el servicio STS de OpenSSO. Consulte las siguientes secciones para obtener más información:

Una vez registrado un proveedor de servicios web en el servicio STS de OpenSSO, puede configurar este servicio a fin de generar tokens de seguridad del cliente web adecuados para el proveedor de servicios web.

Solicitud de un token de seguridad del cliente de servicios web desde el servicio STS de OpenSSO

Antes de configurar el servicio de token de seguridad para generar tokens de seguridad del cliente web, debe determinar qué tipo de token de seguridad necesita el proveedor de servicios web. El servicio STS de OpenSSO admite tokens de seguridad de Liberty Alliance Project y del perfil de seguridad básico de interoperabilidad de servicios web.

Flujo de proceso de creación de tokens de seguridad

Una vez habilitada la seguridad mediante los tokens de Liberty Alliance Project, el cliente HTTP o el navegador, se envía una solicitud de acceso mediante el cliente de servicios web al proveedor de servicios web. Un agente de seguridad de servicios web redirecciona la solicitud al servicio de autenticación STS de OpenSSO. Una vez instalado el mecanismo de seguridad de Liberty Alliance Project, un agente de seguridad HTTP emite el redireccionamiento. Si se utiliza la seguridad WS-IBS, un agente de seguridad SOAP emitirá el redireccionamiento.

El servicio de autenticación STS de OpenSSO determina el mecanismo de seguridad registrado por el proveedor de servicios web y recupera los tokens de seguridad adecuados. Tras realizar con éxito la autenticación, el cliente de servicios web proporciona el cuerpo del mensaje SOAP, mientras que el agente de seguridad SOAP del cliente de servicios web introduce un encabezado de seguridad y un token. A continuación, se firma el mensaje antes de enviar la solicitud a WSP.

El agente de seguridad SOAP del proveedor de servicios web verifica la firma y el token de seguridad de la solicitud SOAP antes de reenviarla al propio proveedor de servicios web. A continuación, el proveedor de servicios web la procesa y devuelve una respuesta, firmada por el agente de seguridad SOAP, al cliente de servicios web. El agente de seguridad SOAP del cliente de servicios web verifica la firma antes de reenviar la respuesta al propio cliente de servicios web.

En la siguiente tabla se proporcionan una lista y descripciones breves de los tokens admitidos para las transacciones de Liberty Alliance Project.

Tabla 3–1 Tokens del solicitante - Liberty Alliance Project

Token

Cumple estos requisitos

X.509 

  • El servicio web seguro utiliza una infraestructura de claves públicas (PKI) en la que el cliente de servicios web proporciona una clave pública a fin de identificar al solicitante y realizar la autenticación en el proveedor de servicios web.

  • El servicio web seguro utiliza una infraestructura de claves públicas (PKI) en la que el cliente de servicios web proporciona una clave pública a fin de identificar al solicitante y realizar la autenticación en el proveedor de servicios web.

Token de portador 

  • El servicio web seguro utiliza el método de confirmación de tokens de portador de SAML (Lenguaje de marcado de aserciones de seguridad).

  • WSC proporciona una aserción SAML con información de clave pública a fin de autenticar al solicitante en el proveedor de servicios web.

  • Una segunda firma enlaza la aserción al mensaje SOAP.

  • El enlace de la segunda firma utiliza las reglas definidas por Liberty Alliance Project.

Token de SAML 

  • El servicio web seguro utiliza el método de confirmación de titular de clave de SAML.

  • WSC agrega una aserción SAML y una firma digital a un encabezado SOAP.

  • También se proporciona una clave pública o un certificado del remitente con la firma.

  • El envío se procesa mediante las reglas definidas por Liberty Alliance Project.

En las siguientes tablas se proporcionan una lista y descripciones breves de los tokens admitidos para las transacciones de WS-IBS.

Tabla 3–2 Tokens del solicitante - WS-IBS

Token

Cumple estos requisitos

Nombre de usuario 

  • El servicio web seguro necesita un nombre de usuario, una contraseña y, de forma opcional, una solicitud firmada.

  • El consumidor del servicio web proporciona un token de nombre de usuario a fin de identificar al solicitante.

  • El consumidor del servicio web proporciona una contraseña, un secreto compartido u otro elemento equivalente a una contraseña para autenticar la identidad en el proveedor de servicios web.

X.509 

El servicio web seguro utiliza una infraestructura de claves públicas (PKI) en la que el consumidor del servicio web proporciona una clave pública a fin de identificar al solicitante y realizar la autenticación en el proveedor de servicios web. 

Titular de clave de SAML 

  • El servicio web seguro utiliza el método de confirmación de titular de clave de SAML.

  • El consumidor del servicio web proporciona una aserción SAML con información de clave pública a fin de autenticar al solicitante en el proveedor de servicios web.

  • Una segunda firma enlaza la aserción a los datos útiles SOAP.

Vales del remitente de SAML 

  • El servicio web seguro utiliza el método de confirmación de titular de vales del remitente de SAML.

  • El consumidor del servicio web agrega una aserción SAML y una firma digital a un encabezado SOAP. También se proporciona una clave pública o un certificado del remitente con la firma.

Uso de la matriz de creación de tokens de seguridad

Use la matriz de creación de tokens de seguridad para ayudarle a configurar el servicio STS de OpenSSO a fin de generar el token de seguridad del cliente de servicios web necesario para el proveedor de servicios web. En primer lugar, en la columna titulada Token de salida del servicio STS de OpenSSO, se proporciona una descripción para cumplir los requisitos de tokens del proveedor de servicios web. A continuación, utilice los valores de parámetros de la misma fila al configurar el servicio de token de seguridad. La "Leyenda de la matriz de creación de tokens" proporciona información sobre los encabezados de la tabla y las opciones disponibles. Consulte la sección 5.2.3, "Para configurar el servicio de token de seguridad" para obtener instrucciones de configuración detalladas. Para obtener información general sobre la seguridad de servicios web y la terminología relacionada, consulte:

En la matriz de creación de tokens de seguridad, se proporciona un resumen de la configuración de los parámetros del servicio de token de seguridad utilizados frecuentemente y los tipos de tokens de seguridad que genera el servicio STS de OpenSSO en función de estos valores.

Tabla 3–3 Matriz de creación de tokens de seguridad

Fila

Enlace de seguridad de nivel de mensaje

Token del cliente de servicios web

Tipo de clave

Token "En nombre de"

Uso de la clave

Token de salida del servicio STS de OpenSSO

Asimétrico  

X509  

Portador  

Sí  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

Nombre de usuario  

Portador  

Sí  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

X509  

Portador  

No  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

Nombre de usuario  

Portador  

No  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

X509  

Simétrica  

Sí  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

Nombre de usuario  

Simétrica  

Sí  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

X509  

Simétrica  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

Nombre de usuario  

Simétrica  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

X509  

Asimétrico  

No  

Clave pública del cliente de servicios web  

Titular de clave de SAML, clave de prueba asimétrica 

10 

Asimétrico  

X509  

Clave patentada de Oracle para vales del remitente de SAML  

Sí  

No  

Vales del remitente, sin clave de prueba 

11 

Asimétrico  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

Sí  

No  

Vales del remitente, sin clave de prueba 

12 

Asimétrico  

X509  

Clave patentada de Oracle para vales del remitente de SAML  

No  

No  

ERROR 

13 

Asimétrico  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

No  

No  

ERROR 

14 

Transporte  

Nombre de usuario  

Portador  

Sí  

No  

Portador de SAML, sin clave de prueba 

15 

Transporte  

Nombre de usuario  

Portador  

No  

No  

Portador de SAML, sin clave de prueba 

16 

Transporte  

Nombre de usuario  

Simétrica  

Sí  

No  

Titular de clave de SAML, clave de prueba simétrica 

17 

Transporte  

Nombre de usuario  

Simétrica  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

18 

Transporte  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

Sí  

No  

Vales del remitente, sin clave de prueba 

19 

Transporte  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

No  

No  

ERROR 

20 

Asimétrico  

Nombre de usuario  

Asimétrico  

No  

Clave pública del cliente de servicios web  

ERROR 

21 

Transporte  

Nombre de usuario  

Asimétrico  

No  

Clave pública del cliente de servicios web  

ERROR 

22 

Asimétrico  

X509  

Asimétrico  

Sí  

No  

ERROR 

23 

Asimétrico  

Nombre de usuario  

Asimétrico  

Sí  

No  

ERROR 

24 

Transporte  

Nombre de usuario  

Asimétrico  

Sí  

No  

ERROR 

25 

Asimétrico  

X509  

Asimétrico  

No  

No  

Titular de clave de SAML, clave de prueba asimétrica 

26 

Asimétrico  

X509  

No  

No  

No  

Titular de clave de SAML, clave de prueba asimétrica 

27 

Asimétrico  

Nombre de usuario  

No  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

28 

Transporte  

Nombre de usuario  

No  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

Problemas y soluciones del servicio de token de seguridad

Pendiente de desarrollo

Problemas de configuración y soluciones

Pendiente de desarrollo

Erratas en la documentación

Pendiente de desarrollo