Oracle OpenSSO Fedlet 是轻量级服务提供者 (Service Provider, SP) 实现,可随 Java 或 .NET 服务提供者应用程序一起部署,使该应用程序可以使用 SAMLv2 协议与 Oracle OpenSSO 8.0 Update 2 等身份认证提供者 (Identity Provider, IDP) 进行通信。Fedlet 具有两个版本,具体取决于您的平台:
Java Fedlet 最初发布于 OpenSSO 8.0 中。有关信息,请参见《Sun OpenSSO Enterprise 8.0 Deployment Planning Guide》中的第 5 章 “Using the OpenSSO Enterprise Fedlet to Enable Identity Federation”。
.NET Fedlet 发布于 OpenSSO 8.0 Update 1 中。有关信息,请参见《Sun OpenSSO Enterprise 8.0 Update 1 Release Notes》中的第 10 章 “Using the ASP.NET Fedlet with OpenSSO Enterprise 8.0 Update 1”。
在 Oracle OpenSSO 8.0 Update 2 中,Fedlet 可按如下方式获取:
解压缩 OpenSSO 8.0 Update 2 ZIP 文件后,可在以下文件中找到 Java Fedlet 和 .NET Fedlet:
zip-root/opensso/fedlet/fedlet-unconfigured.zip,其中 zip-root 是解压缩 Oracle OpenSSO 8.0 Update 2 ZIP 文件的位置。
安装 Oracle OpenSSO 8.0 Update 2 后,您可以使用“常见任务”下的“创建 Fedlet”工作流在 OpenSSO 8.0 管理控制台中创建 Java Fedlet。
Fedlet 具有以下要求:
Oracle OpenSSO 8.0 Update 2 支持的 Web 容器(如果您计划部署 fedlet.war)或与 Fedlet 集成的 Java 服务提供者应用程序。请参见OpenSSO 8.0 Update 2 的硬件和软件要求。
Microsoft Internet Information Server (IIS) 7.0 及更高版本(如果您计划部署 .NET Fedlet)
JDK 1.6.x 及更高版本
本部分说明如何使用服务提供者应用程序对 Fedlet 进行初始配置:
完成对 Fedlet 的初始配置后,请继续进行您要执行的任何其他配置。需要注意以下事项:
如果修改 Fedlet sp.xml 文件,必须将此文件重新导入到身份认证提供者中。
如果在服务提供者端进行了其他 Fedlet 配置更改,请将此信息告知身份认证提供者管理员,以便可在身份认证提供者端进行所需的配置更改。
在身份认证提供者端,生成身份认证提供者的 XML(可扩展标记语言)元数据,并将该元数据保存在一个名为 idp.xml 的文件中。
对于 Oracle OpenSSO 8.0 Update 2,请使用 exportmetadata.jsp。例如:
http://opensso-idp.example.com:8080/opensso/saml2/jsp/exportmetadata.jsp
在服务提供者端,解压缩 Fedlet ZIP 文件(如有必要)。
创建 Fedlet 主目录,这是 Fedlet 读取其元数据、信任环和配置属性文件的目录。
默认位置是运行 Fedlet Web 容器的用户的主目录(由 user.home JVM 属性表示)下的 Fedlet 子目录。例如,如果此主目录为 /home/webservd,则 Fedlet 主目录为:
/home/webservd/fedlet
要更改默认的 Fedlet 主目录,请将 JVM 运行时 com.sun.identity.fedlet.home 属性的值设置为所需的位置。例如:
-Dcom.sun.identity.fedlet.home=/export/fedlet/conf
Fedlet 之后将从 /export/fedlet/conf 目录读取其元数据、信任环和配置文件。
将以下文件从 Java Fedlet java/conf 目录复制到 Fedlet 主目录:
sp.xml-template
sp-extended.xml-template
idp-extended.xml-template
fedlet.cot-template
在 Fedlet 主目录中,重命名所复制的文件并将 -template 从每个名称中删除。
在复制到 Fedlet 主目录并进行重命名的文件中,替换下表中显示的标记:
标记 |
替换为 |
---|---|
FEDLET_COT |
远程身份认证提供者和 Java Fedlet 服务提供者应用程序所属的信任环 (Circle Of Trust, COT) 的名称。 |
FEDLET_ENTITY_ID |
Java Fedlet 服务提供者应用程序的 ID(名称)。例如:fedletsp |
FEDLET_PROTOCOL |
Java Fedlet 服务提供者应用程序(如 fedlet.war)的 Web 容器的协议。例如:https |
FEDLET_HOST |
Java Fedlet 服务提供者应用程序(如 fedlet.war)的 Web 容器的主机名。例如:fedlet-host.example.com |
FEDLET_PORT |
Java Fedlet 服务提供者应用程序(如 fedlet.war)的 Web 容器的端口号。例如:80 |
FEDLET_DEPLOY_URI |
Java Fedlet 服务提供者应用程序的 URL。例如: http://fedletsp.example.com/myFedletApp |
IDP_ENTITY_ID |
远程身份认证提供者的 ID(名称)。例如:openssoidp |
注意:如果 Fedlet 服务提供者或身份认证提供者实体 ID 包含百分号 (%) 或逗号 (,),则必须先对该字符进行转义,然后才能在 fedlet.cot 文件中对其进行替换。例如,将 "%" 更改为 "%25",将 "," 更改为 "%2C"。 |
将 FedletConfiguration.properties 文件从 Java Fedlet java/conf 目录复制到 Fedlet 主目录。
将身份认证提供者标准元数据 XML(可扩展标记语言)文件(通过步骤 1 获得)复制到 Fedlet 主目录。此文件必须命名为 idp.xml。
将 Java Fedlet XML(可扩展标记语言)元数据文件 (sp.xml) 导入到身份认证提供者中。
对于 Oracle OpenSSO 8.0 Update 2,请在 OpenSSO 8.0 管理控制台中,使用“常见任务”下的“注册远程服务提供者”工作流导入 Java Fedlet 服务提供者元数据,并将 Java Fedlet 服务提供者添加到信任环中。
根据您的要求,对 Java Fedlet 继续进行任何其他配置。
在身份认证提供者端,生成身份认证提供者的 XML(可扩展标记语言)元数据,并将该元数据保存在一个名为 idp.xml 的文件中。
对于 Oracle OpenSSO 8.0 Update 2,请使用 exportmetadata.jsp。例如:
http://opensso-idp.example.com:8080/opensso/saml2/jsp/exportmetadata.jsp
在服务提供者端,解压缩 Fedlet ZIP 文件(如有必要)。
将以下文件从 .NET Fedlet asp.net/conf 文件夹复制到您的应用程序的 App_Data 文件夹:
sp.xml-template
sp-extended.xml-template
idp-extended.xml-template
fedlet.cot-template
在 App_Data 文件夹中,重命名所复制的文件并将 -template 从每个名称中删除。
在复制到 App_Data 文件夹并进行重命名的文件中,替换下表中显示的标记:
标记 |
替换为 |
---|---|
FEDLET_COT |
远程身份认证提供者和 .NET Fedlet 服务提供者应用程序所属的信任环 (Circle Of Trust, COT) 的名称。 |
FEDLET_ENTITY_ID |
.NET Fedlet 服务提供者应用程序的 ID(名称)。例如:fedletsp |
FEDLET_DEPLOY_URI |
.NET Fedlet 服务提供者应用程序的 URL。例如: http://fedletsp.example.com/myFedletApp |
IDP_ENTITY_ID |
远程身份认证提供者的 ID(名称)。例如:openssoidp |
将身份认证提供者标准元数据 XML(可扩展标记语言)文件(通过步骤 1 获得)复制到您的应用程序的 App_Data 文件夹中。此文件必须命名为 idp.xml。
将 Fedlet.dll 和 Fedlet.dll.config 文件从 .NET Fedlet asp.net/bin 文件夹复制到应用程序的 bin 文件夹中。
将 .NET Fedlet XML(可扩展标记语言)元数据文件 (sp.xml) 导入到身份认证提供者中。
对于 Oracle OpenSSO 8.0 Update 2,请在 OpenSSO 8.0 管理控制台中,使用“常见任务”下的“注册远程服务提供者”工作流导入 .NET Fedlet 服务提供者元数据,并将 .NET Fedlet 服务提供者添加到信任环中。
根据您的要求,对 .NET Fedlet 继续进行任何其他配置。