本章包含以下主题:
OpenSSO 8.0 Update 2 提供了安全令牌服务和 OpenSSO Fedlet 的增强功能。
安全令牌服务现在提供以下新功能:
支持 TokenType 以生成特定的 Web 服务提供者安全令牌。
对于以 X509 安全令牌和用户名安全令牌作为请求者,同时支持非对称和传输绑定。
使用用户名通过 SSL 配置 OpenSSO STS 时,通过用户名安全令牌实施 SSL/传输绑定。
为使用 useKey 作为 Web 服务客户端公钥的非对称 KeyType 分发 SAML 密钥持有者安全令牌,及分发 Web 服务客户端 X509 安全令牌。
WSDL 根据安全令牌配置动态进行更新。
支持通过 Web 服务提供者公钥进行加密。
在将静态用户名密码存储在配置存储库前对其进行加密。
通过 WS-Trust 请求支持将用户名令牌作为代表安全令牌。
支持分发 SAML 持有者令牌。
新的 Web 服务安全验证模块 WSSAuth 支持摘要密码验证。
新的 OAMAuth 验证模块通过将 Oracle Access Manager 与 OpenSSO 配合使用,支持单点登录。
有关详细信息,请参见第 3 章。
Fedlet 现在提供了以下新功能:
在 .NET Fedlet 中支持加密
在 .NET Fedlet 中支持签名
.NET Fedlet 现在支持单点注销
.NET Fedlet 支持服务提供者启动的单点登录和工件
在 .NET Fedlet 中支持多个身份认证提供者和身份认证提供者搜索
在 Fedlet 的属性和配置文件内提供版本信息
新密码服务提供商接口实现
支持属性查询
支持单点注销
有关详细信息,请参见第 4 章。
OpenSSO 8.0 Update 2 支持在《Sun OpenSSO Enterprise 8.0 Update 1 Release Notes》中的“Support for New Web Containers”中介绍的 Web 容器以及下列新 Web 容器:
Oracle WebLogic Server 10g 发行版本 3 (10.3)
CR 6939443:在 WebLogic Server 10.3.x 上通过 LDAP 检查或 OCSP 检查进行证书验证失败
CR 6948937:在 WebLogic Server 10.3.3 管理控制台中激活 OpenSSO 8.0 Update 2 导致发生异常
OpenSSO 8.0 Update 2 样例可能会导致潜在的安全问题。
解决方法:如果在生产环境中部署 OpenSSO 8.0 Update 2,请删除样例以避免出现任何潜在的安全问题。
如果在启用安全管理器的情况下在 Oracle WebLogic Server 10.3.3 上部署 OpenSSO 8.0 Update 2,则需要其他 Java 安全权限。
解决方法:将以下权限添加到 WebLogic Server 10.3.3 weblogic.policy 文件中:
permission java.lang.RuntimePermission "getClassLoader";
由于早期版本的 Oracle WebLogic Server(如版本 10.3.0 和 10.3.1)中存在的问题,在启用 LDAP 检查或 OSCP 检查的情况下进行证书验证会失败。
解决方法:此问题已在 WebLogic Server 10.3.3 中修复。要将证书验证与 LDAP 检查或 OSCP 检查配合使用,请将 OpenSSO Update 2 和 WebLogic Server 10.3.3 一起使用。
如果将 GlassFish Enterprise Server v2.1.1 或 v2.1.2 作为 OpenSSO 8.0 Update 2 Web 容器进行部署,则配置程序无法连接到启用了 LDAPS 的目录服务器实例。
解决方法:要使用启用了 LDAPS 的目录服务器并使用 GlassFish 作为 Web 容器,请部署 GlassFish Enterprise Server v2.1。
如果在 WebLogic Server 10.3.3 管理控制台中部署 OpenSSO 8.0 Update 2 (opensso.war) 并单击“启动”以允许 OpenSSO 8.0 Update 2 开始接收请求,在启动了 WebLogic Server 域的控制台中会抛出异常。
注意:启动 OpenSSO 8.0 Update 2 后,它会保持启动状态,并且在停止 OpenSSO 8.0 Update 2 并将其重新启动之前不会再次抛出异常。
解决方法:将 OpenSSO 8 Update 2 opensso-client-jdk15.war 文件中的 saaj-impl.jar 文件复制到 WebLogic Server 10.3.3 配置的 endorsed 目录中,如下所示:
停止 Oracle WebLogic Server 10.3.3 域。
如有必要,解压缩 OpenSSO 8.0 Update 2 opensso.zip 文件。
创建一个临时目录并将 zip-root/opensso/samples/opensso-client.zip 文件解压缩到该目录中,其中 zip-root 是解压缩 opensso.zip 文件的位置。例如:
cd zip-root/opensso/samples mkdir ziptmp cd ziptmp unzip ../opensso-client.zip
创建一个临时目录并从 opensso-client-jdk15.war 中解压缩 saaj-impl.jar 文件。例如:
cd zip-root/opensso/samples/ziptmp/war mkdir wartmp cd wartmp jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar
在 WEBLOGIC_JAVA_HOME/jre/lib 目录下创建一个名为 endorsed 的新目录(如果 endorsed 不存在),其中 WEBLOGIC_JAVA_HOME 是 WebLogic Server 配置为要使用的 JDK。
将 saaj-impl.jar 文件复制到 WEBLOGIC_JAVA_HOME/jre/lib/endorsed 目录中。
启动 WebLogic Server 域。
运行 updateschema.sh 或 updateschema.bat 脚本后,您必须重新启动 OpenSSO 8.0 Update 2 Web 容器。
updateschema.bat 脚本执行若干个 ssoadm 命令。因此,在 Windows 系统上运行 updateschema.bat 前,请为 amadmin 用户创建包含明文用户密码的密码文件。updateschema.bat 脚本会提示您输入密码文件的路径。在该脚本终止前,它将删除此密码文件。
除此文档外,在以下集合中还提供了其他 OpenSSO 8.0 文档:
http://docs.sun.com/coll/1767.1
OpenSSO 8.0 Update 2 包含以下文档问题:
OpenSSO 8.0 Update 2 管理控制台联机帮助记录搜索代理,即使这些代理不受支持。
解决方法:无。忽略联机帮助中有关搜索代理的信息。
OpenSSO 8.0 Update 1 管理控制台联机帮助不记录 Oracle Access Manager (OAM) 和 Web 服务安全 (WSS) 验证模块。
解决方法:有关这些验证模块的信息,请参见第 3 章
Fedlet Java API(应用编程接口)公共参考作为 Oracle OpenSSO 8.0 Update 2 Java API(应用编程接口)参考的一部分提供,Oracle OpenSSO 8.0 Update 2 Java API(应用编程接口)参考在以下文档集合中提供:http://docs.sun.com/coll/1767.1。
注意:OpenSSO 8.0 Update 2 不支持 getPolicyDecisionForFedlet 方法,即使该方法存在于 Java API(应用编程接口)参考中。
Fedlet README 文件不记录单点注销功能。
解决方法:对于 Oracle OpenSSO 8.0 Update 2,Fedlet 单点注销功能记录在第 4 章中。
您也可以在以下位置查找其他有用的信息和资源:
Oracle 高级客户系统服务:
http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
软件产品:http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve:http://sunsolve.sun.com/
Sun 开发者网络 (SDN):http://developers.sun.com/
Sun 开发者服务:http://developers.sun.com/services/
在将来的 OpenSSO 发行版本中,将不再包含服务管理服务 (Service Management Service, SMS) API(应用编程接口)(com.sun.identity.sm 软件包)和 SMS 模型。
在将来的 OpenSSO 发行版本中,将不再包含 Unix 验证模块和 Unix 验证帮助应用程序 (amunixd)。
《Sun Java System Access Manager 7.1 发行说明》中指明,Access Manager com.iplanet.am.sdk 软件包(一般称为 Access Manager SDK [AMSDK])和所有相关的 API(应用编程接口)和 XML(可扩展标记语言)模板都不再包含在将来的 OpenSSO 发行版本中。
因此,删除 AMSDK 后,也将删除“传统模式”选项和支持。
现在不提供迁移选项,预计将来也不提供。Oracle Identity Manager 提供用户置备解决方案,可用于取代 AMSDK。有关 Identity Manager 的详细信息,请参见 http://www.oracle.com/products/middleware/identity-management/identity-manager.html。
如果您有关于 OpenSSO 8.0 Update 2 或后续修补程序发行版本的疑问或问题,请访问支持资源网站 http://sunsolve.sun.com/。
此站点上有一些链接,通过这些链接可以访问知识库、联机支持中心、Product Tracker,还可了解维护方案以及用于联系支持部门的电话号码。如果您要请求获得关于某一问题的帮助,请提供以下信息:
问题描述,包括问题发生的时间及其对操作的影响
计算机类型、操作系统版本、Web 容器和版本、JDK 版本和 OpenSSO 版本,包括可能影响问题的任何修补程序或其他软件
重现问题的步骤
所有错误日志或核心转储
要获得自此介质发布后所发布的辅助功能,请查看 Section 508 产品评估(可以通过请求获得)来确定哪些版本最适合部署易用解决方案。
有关 Oracle 对辅助功能的支持的信息,请参见 http://www.oracle.com/index.html。
本文档引用了第三方 URL 以提供其他相关信息。
Oracle 对本文档中提到的第三方 Web 站点的可用性不承担任何责任。对于此类站点或资源中的(或通过它们获得的)任何内容、广告、产品或其他资料,Oracle 并不表示认可,也不承担任何责任。对于因使用或依靠此类站点或资源中的(或通过它们获得的)任何内容、产品或服务而造成的或连带产生的实际或名义损坏或损失,Oracle 概不负责,也不承担任何责任。