Als vertrauenswürdiger Autoritätsdienst gibt der OpenSSO-Sicherheitstoken-Dienst Sicherheits-Token aus und validiert sie. Als Webdienste-Sicherheitsanbieter kommuniziert der Sicherheitstoken-Dienst gesichert zwischen dem Webdienst-Client und dem OpenSSO STS-Dienst selbst. Seit Open SSO 8.0 Update 2 sind zahlreiche Verbesserungen am Sicherheitstoken-Dienst erfolgt.
In diesem Kapitel werden die folgenden Themen behandelt.
Das Webdienst-Sicherheitsauthentifizierungsmodul ermöglicht es OpenSSO, einen Benutzernamen mit einem gesammelten Passwort zu validieren, das als Authentifizierungs-Token erhalten wurde und in einer Dienstanforderung vom Webdienst-Client an einen Webdienstanbieter enthalten war.
Klicken Sie in der Registerkarte Access Manager auf die Unterregisterkarte Authentication (Authentifizierung).
Im Abschnitt Module Instances (Modulinstanzen) klicken Sie auf New (Neu).
Geben Sie im Feld Name einen Namen für diese Instanz des WSSAuth-Authentifizierungsmoduls ein.
Wählen Sie als Typ WSSAuth aus.
Konfigurieren Sie die Instanz des WSSAuth-Authentifizierungsmoduls.
Klicken Sie in der Registerkarte Access Manager auf die Unterregisterkarte Authentication (Authentifizierung).
Klicken Sie im Abschnitt Module Instances (Modulinstanzen) auf den Namen der WSSAuth-Authentifizierungsinstanz, die Sie konfigurieren möchten.
Geben Sie Werte für die Attribute WSSAuth Authentication Module Instance Realm (WSSAuth-Authentifizierungsmodul-Instanzbereich) ein.
In der folgenden Tabelle werden eine Liste und Beschreibungen der Attribute dargestellt, die Sie konfigurieren können.
Wird noch entwickelt
Wird noch entwickelt
Wird noch entwickelt
Wird noch entwickelt
Das Oracle-Authentifizierungsmodul ermöglicht es OpenSSO, einen Administrator in OpenSSO zu authentifizieren und einmalig anzumelden, der sich zuvor bei Oracle Access Manager authentifiziert hat. Der Administrator muss keine Berechtigungsnachweise in OpenSSO angeben.
Klicken Sie in der Registerkarte Access Manager auf die Unterregisterkarte Authentication (Authentifizierung).
Klicken Sie im Abschnitt Modules Instances auf New.
Geben Sie im Feld Name einen Namen für diese Oracle-Authentifizierungsmodulinstanz ein.
Wählen Sie als Typ OAMAuth aus.
Klicken Sie auf „OK“.
Konfigurieren Sie die Instanz des OAMAuth-Authentifizierungsmoduls.
Klicken Sie in der Registerkarte Access Manager auf die Unterregisterkarte Authentication (Authentifizierung).
Klicken Sie im Abschnitt Module Instances (Modulinstanzen) auf den Namen der OAMAuth-Authentifizierungsinstanz, die Sie konfigurieren möchten.
Geben Sie Werte für die Attribute Oracle Authentication Module Instance Realm (Oracle-Authentifizierungsmodul-Instanzbereich) ein.
In der folgenden Tabelle werden eine Liste und Beschreibungen der Attribute dargestellt, die Sie konfigurieren können.
Wird noch entwickelt
Die Liste Current Values (Aktuelle Werte) zeigt To Be Developed (Wird noch entwickelt) an.
Zum Hinzufügen eines Kopfzeilenwerts in der Liste geben Sie im Feld New Value (Neuer Wert) To Be Developed ein und klicken auf Add (Hinzufügen).
Um einen Eintrag aus der Liste Current Values zu entfernen, wählen Sie den Eintrag aus und klicken auf Remove (Entfernen).
Wird noch entwickelt
Oracle OpenSSO Security Token Service (OpenSSO STS) stellt eine Vertrauensstellung zwischen einem Webdienst-Client und einem Webdienstanbieter her und vermittelt anschließend das Vertrauen zwischen ihnen. Kann der Webdienst Tokens vertrauen, die von lediglich einer Entität ausgegeben wurden? OpenSSO STS? Statt mit mehreren Clients kommunizieren zu müssen. Auf diese Weise reduziert OpenSSO STS den Aufwand zur Vertrauenspunktverwaltung.
In den folgenden Abschnitten werden Anweisungen zum Ermitteln Ihrer Sicherheitstoken-Anforderungen und zum entsprechenden Konfigurieren des Sicherheitstoken-Dienstes zum Generieren und Validieren von Sicherheitstoken dargestellt.
Wenn Sie ein neues Webdienstanbieter-Sicherheitsagentenprofil hinzufügen, wird der Webdienstanbieter automatisch in OpenSSO STS registriert. In den folgenden Abschnitten werden mehr Details dargestellt:
Wenn Sie einen Webdienstanbieter in OpenSSO STS registriert haben, können Sie OpenSSO STS dazu konfigurieren, Webclient-Sicherheitstokens zu generieren, die der Webdienstanbieter akzeptieren kann.
Bevor Sie den Sicherheitstoken-Dienst zum Generieren von Webclient-Sicherheitstoken konfigurieren, müssen Sie ermitteln, welche Art von Sicherheitstoken der Webdienstanbieter benötigt. OpenSSO STS unterstützt Liberty Alliance Project-Sicherheitstoken und Web Services-Interoperability Basic Security Profile-Sicherheitstoken.
Wenn Sicherheit mithilfe von Liberty Alliance Project-Tokens aktiviert ist, sendet der HTTP-Client oder der Browser über den Webdienst-Client eine Zugriffsanforderung an den Webdienstanbieter. Ein Webdienste-Sicherheitsagent leitet die Anforderung an den OpenSSO STS-Authentifizierungsdienst weiter. Wenn der Liberty Alliance Project-Sicherheitsmechanismus aktiv ist, gibt ein HTTP-Sicherheitsagent die Weiterleitung aus. Wenn WS-IBS-Sicherheit verwendet wird, gibt ein SOAP-Sicherheitsagent die Weiterleitung aus.
Der OpenSSO STS-Authentifizierungsdienst ermittelt den Sicherheitsmechanismus, der beim Webdienstanbieter registriert ist, und ruft die entsprechenden Sicherheitstoken ab. Nach der erfolgreichen Authentifizierung stellt der Webdienst-Client einen SOAP-Nachrichtentext bereit, während der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients die Sicherheitskopfzeilen und ein Token einfügt. Die Nachricht wird anschließend entfernt, bevor die Anforderung an den WSP gesendet wird.
Der SOAP-Sicherheitsagent auf Seite des Webdienstanbieters überprüft die Signatur und den Sicherheitstoken in der SOAP-Anforderung, bevor er die Anforderung an den Webdienstanbieter selbst weiterleitet. Der Webdienstanbieter verarbeitet sie anschließend und gibt eine vom SOAP-Sicherheitsagenten signierte Antwort an den Webdienst-Client zurück. Der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients überprüft anschließend die Signatur, bevor er die Antwort an den Webdienst-Client weiterleitet.
In der folgenden Tabelle werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für Liberty Alliance Project-Transaktionen unterstützt werden.
Tabelle 3–1 Requestor Tokens - Liberty Alliance Project
In den folgenden Tabellen werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für WS-IBS-Transaktionen unterstützt werden.
Tabelle 3–2 Anforderer-Tokens - WS-IBS
Verwenden Sie die Matrix zum Generieren von Sicherheitstoken als Hilfe beim Konfigurieren von OpenSSO STS zum Generieren von Webdienst-Client-Sicherheitstokens, die der Webdienstanbieter benötigt. Machen Sie zuerst in der letzten Spalte mit dem Titel OpenSSO STS Output Token (OpenSSO STS Ausgabetoken) eine Beschreibung ausfindig, die den Anforderungen des Webdienstanbieter-Tokens entspricht. Verwenden Sie anschließend die Parameterwerte in der gleichen Zeile, wenn Sie den Sicherheitstoken-Dienst konfigurieren. Die "Legende der Matrix zum Generieren von Tokens" enthält Informationen zu den Tabellenkopfzeilen und den verfügbaren Optionen. Im Abschnitt 5.2.3 "So konfigurieren Sie den Sicherheitstoken-Dienst" finden Sie detaillierte Konfigurationsanweisungen. Allgemeine Informationen zur Webdienstsicherheit und die entsprechende Terminologie finden Sie unter:
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
In der Matrix zum Generieren von Sicherheitstoken werden häufig verwendete Sicherheitstokendienst-Parametereinstellungen und die Typen der Sicherheitstoken zusammengefasst, die OpenSSO STS auf Basis dieser Einstellungen generiert.
Tabelle 3–3 Matrix zum Generieren von Sicherheitstokens
Zeile |
Sicherheitsbindung auf Nachrichtenebene |
Webdienst-Clienttoken |
KeyType |
OnBehalfOf Token |
Use Key |
OpenSSO STS-Ausgabetoken |
1 |
Asymmetrisch |
X509 |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
2 |
Asymmetrisch |
Benutzername |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
3 |
Asymmetrisch |
X509 |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
4 |
Asymmetrisch |
Benutzername |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
5 |
Asymmetrisch |
X509 |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
6 |
Asymmetrisch |
Benutzername |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
7 |
Asymmetrisch |
X509 |
Symmetrisch |
Nein |
Nein |
SAML Schlüsselinhaber, Symmetrisch |
8 |
Asymmetrisch |
Benutzername |
Symmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
9 |
Asymmetrisch |
X509 |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
10 |
Asymmetrisch |
X509 |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
11 |
Asymmetrisch |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
12 |
Asymmetrisch |
X509 |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
13 |
Asymmetrisch |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
14 |
Transport |
Benutzername |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
15 |
Transport |
Benutzername |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
16 |
Transport |
Benutzername |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, Symmetrisch |
17 |
Transport |
Benutzername |
Symmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
18 |
Transport |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
19 |
Transport |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
20 |
Asymmetrisch |
Benutzername |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
FEHLER |
21 |
Transport |
Benutzername |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
FEHLER |
22 |
Asymmetrisch |
X509 |
Asymmetrisch |
Ja |
Nein |
FEHLER |
23 |
Asymmetrisch |
Benutzername |
Asymmetrisch |
Ja |
Nein |
FEHLER |
24 |
Transport |
Benutzername |
Asymmetrisch |
Ja |
Nein |
FEHLER |
25 |
Asymmetrisch |
X509 |
Asymmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
26 |
Asymmetrisch |
X509 |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
27 |
Asymmetrisch |
Benutzername |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
28 |
Transport |
Benutzername |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
Wird noch entwickelt
Wird noch entwickelt
Wird noch entwickelt