Ce chapitre se compose des rubriques suivantes :
La mise à jour 2 de OpenSSO 8.0 comprend des améliorations apportées au service de jeton de sécurité et du Fedlet de OpenSSO.
Le service de jeton de sécurité comprend désormais les fonctions suivantes :
Prise en charge de type de jeton pour générer un jeton de sécurité de fournisseur de services Web spécifique
Prise en charge des liaisons asymétriques et de transport pour X509 et des jetons de sécurité par nom d'utilisateur comme demandeur.
Application de liaisons SSL/de transport avec un jeton de sécurité par nom d'utilisateur lorsque OpenSSO STS est configuré avec un nom d'utilisateur sur SSL.
Emission d'un jeton de sécurité détenteur de clé SAML pour le type de clé asymétrique avec clé d'utilisation comme clé publique du client de services Web et jeton de sécurité X509 de client de services Web.
WSDL est mis à jour de façon dynamique en fonction de la configuration du jeton de sécurité.
Prise en charge du chiffrement par la clé publique du fournisseur de services Web.
Chiffrement du mot de passe du nom d'utilisateur statique avant son stockage dans le magasin de configuration.
Prise en charge du jeton Nom d'utilisateur comme jeton de sécurité Au nom de via une requête WS-Trust.
Prise en charge de l'émission de jetons SAML Bearer.
Nouveau module d'authentification de sécurité des services Web, WSSAuth prend en charge la validation des mots de passe Digest.
Le nouveau module d'authentification OAMAuth permet la connexion unique à l'aide d'Oracle Access Manager avec OpenSSO.
Pour en savoir plus, consultez le Chapitre 3 Utilisation du service de jeton de sécurité.
Le Fedlet comprend désormais les nouvelles fonctions suivantes :
Prise en charge du chiffrement dans le Fedlet .NET.
Prise en charge de la connexion dans le Fedlet .NET.
Le Fedlet .NET prend désormais en charge la déconnexion unique.
Le Felet .NET offre au fournisseur de service une connexion unique lancée et le support des artefacts.
Prise en charge de plusieurs fournisseurs d'identités et détection du fournisseur d'identités dans le Fedlet .NET.
Offre d'informations sur la version dans les propriétés et les fichiers de configuration pour le Fedlet.
Nouvelle implémentation de mot de passe SPI
Prise en charge de la requête d'attributs
Prise en charge de la déconnexion unique
Pour en savoir plus, consultez le Chapitre 4Utilisation du Fedlet de OpenSSO d'Oracle.
La mise à jour 2 de OpenSSO 8.0 prend en charge les conteneurs Web décrits dans Support for New Web Containers du Sun OpenSSO Enterprise 8.0 Update 1 Release Notes, et le nouveau conteneur Web suivant :
Serveur Oracle WebLogic 10g, version 3 (10.3)
CR 6959373 : le conteneur Web doit redémarrer après avoir exécuté le script updateschema.
CR 6961419 : l'exécution du script updateschema.bat nécessite un fichier de mots de passe.
Les exemples de la mise à jour 2 de OpenSSO 8.0 pourraient entraîner des problèmes de sécurité.
Solution. Si vous déployez la mise à jour 2 de OpenSSO 8.0 dans un environnement de production, supprimez les exemples pour prévenir tout problème de sécurité éventuel.
Si vous déployez la mise à jour 2 de OpenSSO 8.0 sur le serveur Oracle WebLogic 10.3.3 avec le gestionnaire de sécurité activé, une autorisation de sécurité Java supplémentaire sera nécessaire.
Solution. Ajoutez l'autorisation suivante au serveur WebLogic 10.3.3 , fichier weblogic.policy :
autorisation java.lang.RuntimePermission "getClassLoader";
En raison d'un problème dans les versions précédentes du serveur Oracle WebLogic telles que 10.3.0 et 10.3.1, l'authentification des certificats avec vérification LDAP ou OSCP activée échoue.
Solution. Ce problème a été corrigé dans le serveur WebLogic 10.3.3. Pour utiliser l'authentification des certificats avec vérification LDAP ou OSCP, utilisez la mise à jour 2 de OpenSSO avec le serveur WebLogic 10.3.3.
Si le serveur GlassFish Enterprise v2.1.1 ou v2.1.2 est déployé comme conteneur Web de la mise à jour 2 de OpenSSO 8.0, le configurateur ne peut pas se connecter à une instance de serveur d'annuaire LDAPS.
Solution. Pour utiliser un serveur d'annuaire LDAPS avec GlassFish comme conteneur Web, déployez le serveur GlassFish Enterprise v2.1.
Si vous déployez la mise à jour 2 de OpenSSO 8.0 (opensso.war) dans la console d'administration du serveur WebLogic 10.3.3 et cliquez sur Démarrer pour permettre à la mise à jour 2 de OpenSSO 8.0 de commencer à recevoir des requêtes, des exceptions seront lancées dans la console où le domaine du serveur WebLogic a été démarré.
Note : après avoir démarré la mise à jour 2 de OpenSSO 8.0, il reste lancé et aucune exception n'est lancée à nouveau avant l'arrêt puis le redémarrage de la mise à jour 2 de OpenSSO 8.0.
Solution. Copiez le fichier saaj-impl.jar depuis le fichier opensso-client-jdk15.war de la mise à jour 2 de OpenSSO 8.0 dans le répertoire endorsed de configuration du serveur WebLogic 10.3.3 comme suit :
Arrêtez le domaine du serveur Oracle WebLogic 10.3.3.
Si nécessaire, décompressez le fichier opensso.zip de la mise à jour 2 de OpenSSO 8.0.
Créez un répertoire temporaire et décompressez le fichier zip-root/opensso/samples/opensso-client.zip dans ce répertoire, où zip-root correspond à l'emplacement où vous avez décompressé le fichier opensso.zip. Par exemple :
cd zip-root/opensso/samples mkdir ziptmp cd ziptmp unzip ../opensso-client.zip
Créez un répertoire temporaire et extrayez le fichier saaj-impl.jar depuis opensso-client-jdk15.war. Par exemple :
cd zip-root/opensso/samples/ziptmp/war mkdir wartmp cd wartmp jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar
Créez un nouveau répertoire nommé endorsed sous le répertoire WEBLOGIC_JAVA_HOME/jre/lib (si endorsed n'existe pas déjà), où WEBLOGIC_JAVA_HOME est le JDK que le serveur WebLogic doit utiliser selon sa configuration.
Copiez le fichier saaj-impl.jar dans le répertoire WEBLOGIC_JAVA_HOME/jre/lib/endorsed.
Démarrez le domaine du serveur WebLogic.
Après avoir exécuté le script updateschema.sh ou updateschema.bat , vous devez redémarrer le conteneur Web de la mise à jour 2 de OpenSSO 8.0.
Le script updateschema.bat exécute plusieurs commandes ssoadm. Par conséquent, avant d'exécuter updateschema.bat sous Windows, créez un fichier de mots de passe qui contient l'utilisateur du mot de passe en texte clair pour l'utilisateur amadmin. Le script updateschema.bat vous invite à indiquer le chemin d'accès au fichier de mots de passe. Avant la fin du script, le fichier de mots de passe est supprimé.
En plus de ce document, une autre documentation sur OpenSSO 8.0 est disponible dans la collection suivante :
http://docs.sun.com/coll/1767.1
La mise à jour 2 de OpenSSO 8.0 comprend les problèmes détectés dans la documentation suivants :
CR 6958580 : l'aide en ligne de la console indique les agents de détection non pris en charge.
CR 6953582 : la référence à l'API Java du Fedlet doit être publique.
L'aide en ligne de la console d'administration de la mise à jour 2 de OpenSSO 8.0 indique des agents de détection, même si ces agents ne sont pas pris en charge.
Solution. Aucune. Ignorez les informations sur les agents de détection dans l'aide en ligne.
L'aide en ligne de la console d'administration de la mise à jour 1 de OpenSSO 8.0 n'indique pas les modules d'authentification Oracle Access Manager (OAM) et Web Services Security (WSS).
Solution. Pour en savoir plus sur ces modules d'authentification, consultez le Chapitre 3 Utilisation du service de jeton de sécurité
La référence à l'API Java du Fedlet est disponible dans le cadre de la référence à l'API Java de la mise à jour 2 de Oracle OpenSSO 8.0, disponible dans la collection de documentation suivante : http://docs.sun.com/coll/1767.1.
Note : la mise à jour 2 de OpenSSO 8.0 ne prend pas en charge la méthode getPolicyDecisionForFedlet, même si cette méthode se trouve dans la référence à l'API Java.
Les fichiers LISEZMOI du Fedlet n'indiquent pas la fonction de déconnexion unique.
Solution. Pour la mise à jour 2 de Oracle OpenSSO 8.0, la fonction de déconnexion unique du Fedlet est expliquée au Chapitre 4Utilisation du Fedlet de OpenSSO d'Oracle.
Vous trouverez également des informations et ressources utiles aux emplacements suivants :
Services client avancés d'Oracle pour les systèmes :
http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
Produits logiciels : http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve : http://sunsolve.sun.com/
Programme Sun Developer Network (SDN) : http://developers.sun.com/
Sun Developer Services :http://developers.sun.com/services/
Les API SMS (Service Management Service) (pack com.sun.identity.sm ) et le modèle SMS ne seront pas inclus dans une future version de OpenSSO.
Le module d'authentification Unix et l'assistant d'authentification Unix (amunixd) ne seront pas inclus dans une future version de OpenSSO.
Les notes de version de Sun Java System Access Manager 7.1 indiquaient que le pack com.iplanet.am.sdk d'Access Manager, plus connu sous le nom Access Manager SDK (AMSDK), et tous les modèles XML et API associés, ne seront pas inclus dans une future version de OpenSSO.
Par conséquent, lorsque AMSDK est supprimé, l'option du mode hérité et le support seront également supprimés.
Aucune option de migration n'est disponible pour l'instant et n'est prévue à l'avenir. Oracle Identity Manager offre des solutions de provisioning utilisateur que vous pouvez utilisez à la place de l'AMSDK. Pour en savoir plus sur Identity Manager, consultez http://www.oracle.com/products/middleware/identity-management/identity-manager.html.
Si vous avez des questions ou des préoccupations au sujet de la mise à jour 2 de OpenSSO 8.0 ou d'une version de patch ultérieure, contactez les Ressources du support sur http://sunsolve.sun.com/.
Ce site contient des liens renvoyant à la base de connaissance, au centre de support en ligne et à la page de suivi des produits (Product Tracker), ainsi qu’à des programmes de maintenance et des numéros de téléphone de support. Si vous demandez de l'aide au sujet d'un problème, veuillez indiquer les informations suivantes :
la description du problème, notamment la situation dans laquelle il se produit et son impact sur le fonctionnement ;
le type de machine, la version du système d'exploitation, le conteneur Web et sa version, la version de JDK et la version de OpenSSO, notamment tout patch ou autre logiciel qui pourrait concerner le problème ;
Etapes à suivre pour atténuer le problème
tous les journaux d’erreur ou vidages de la mémoire.
Pour obtenir les fonctions d’accessibilité mises à disposition depuis la publication de ce média, consultez les évaluations produit de la section 508 sur demande afin d’identifier les versions les plus adaptées au déploiement de solutions accessibles.
Pour en savoir plus sur l'engagement d'Oracle à l'égard de l'accessibilité, consultez http://www.oracle.com/index.html.
Des adresses URL de sites tiers, qui renvoient à des informations complémentaires connexes, sont référencées dans ce document.
Oracle décline toute responsabilité quant à la disponibilité des sites tiers mentionnés dans ce document. Oracle ne garantit pas le contenu, la publicité, les produits ni autres matériaux disponibles sur ces sites ou dans ces ressources, ou accessibles par leur intermédiaire, et ne saurait en être tenu pour responsable. Oracle ne pourra en aucun cas être tenu pour responsable, directement ou indirectement, de tous dommages ou pertes, réels ou invoqués, causés par ou liés à l’utilisation des contenus, biens ou services disponibles dans ou par l’intermédiaire de ces sites ou ressources.