test

Oracle OpenSSO Update 2-Versionsinformationen

Anfordern eines Webdienst-Clientsicherheits-Tokens von OpenSSO STS

Bevor Sie den Sicherheitstoken-Dienst zum Generieren von Webclient-Sicherheitstoken konfigurieren, müssen Sie ermitteln, welche Art von Sicherheitstoken der Webdienstanbieter benötigt. OpenSSO STS unterstützt Liberty Alliance Project-Sicherheitstoken und Web Services-Interoperability Basic Security Profile-Sicherheitstoken.

Prozessablauf beim Generieren von Sicherheitstokens

Wenn Sicherheit mithilfe von Liberty Alliance Project-Tokens aktiviert ist, sendet der HTTP-Client oder der Browser über den Webdienst-Client eine Zugriffsanforderung an den Webdienstanbieter. Ein Webdienste-Sicherheitsagent leitet die Anforderung an den OpenSSO STS-Authentifizierungsdienst weiter. Wenn der Liberty Alliance Project-Sicherheitsmechanismus aktiv ist, gibt ein HTTP-Sicherheitsagent die Weiterleitung aus. Wenn WS-IBS-Sicherheit verwendet wird, gibt ein SOAP-Sicherheitsagent die Weiterleitung aus.

Der OpenSSO STS-Authentifizierungsdienst ermittelt den Sicherheitsmechanismus, der beim Webdienstanbieter registriert ist, und ruft die entsprechenden Sicherheitstoken ab. Nach der erfolgreichen Authentifizierung stellt der Webdienst-Client einen SOAP-Nachrichtentext bereit, während der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients die Sicherheitskopfzeilen und ein Token einfügt. Die Nachricht wird anschließend entfernt, bevor die Anforderung an den WSP gesendet wird.

Der SOAP-Sicherheitsagent auf Seite des Webdienstanbieters überprüft die Signatur und den Sicherheitstoken in der SOAP-Anforderung, bevor er die Anforderung an den Webdienstanbieter selbst weiterleitet. Der Webdienstanbieter verarbeitet sie anschließend und gibt eine vom SOAP-Sicherheitsagenten signierte Antwort an den Webdienst-Client zurück. Der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients überprüft anschließend die Signatur, bevor er die Antwort an den Webdienst-Client weiterleitet.

In der folgenden Tabelle werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für Liberty Alliance Project-Transaktionen unterstützt werden.

Tabelle 3–1 Requestor Tokens - Liberty Alliance Project

Token

Erfüllt diese Anforderungen

X.509 

  • Der gesicherte Webdienst verwendet eine Public Key Infrastructure (Infrastruktur mit öffentlichen Schlüsseln), in der der Webdienst-Client einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers zur Verfügung stellt, und mit der der Webdienstanbieter authentifiziert wird.

  • Der gesicherte Webdienst verwendet eine Public Key Infrastructure (Infrastruktur mit öffentlichen Schlüsseln), in der der Webdienst-Client einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers zur Verfügung stellt, und mit der der Webdienstanbieter authentifiziert wird.

BearerToken 

  • Der gesicherte Webdienst verwendet die SAML-Bearer-Token-Bestätigungsmethode von Security Assertion Markup Language (SAML).

  • Der Webdienst-Client stellt eine SAML-Behauptung mit Informationen zum öffentlichen Schlüssel zur Verfügung, um den Anforderer gegenüber dem Webdienstanbieter zu authentifizieren.

  • Eine zweite Signatur bindet die Behauptung an die SOAP-Nachricht.

  • Die zweite Signaturbindung verwendet Regeln, die vom Liberty Alliance Project verwendet wurden.

SAML-Token 

  • Der gesicherte Webdienst verwendet die SAML-Schlüsselinhaber-Bestätigungsmethode.

  • Der Webdienst-Client fügt eine SAML-Behauptung und eine digitale Signatur in eine SOAP-Kopfzeile ein.

  • Ein Absenderzertifikat oder öffentlicher Schlüssel wird ebenfalls mit der Signatur zur Verfügung gestellt.

  • Der Versand wird mithilfe von Regeln verarbeitet, die vom Liberty Alliance Project definiert wurden.

In den folgenden Tabellen werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für WS-IBS-Transaktionen unterstützt werden.

Tabelle 3–2 Anforderer-Tokens - WS-IBS

Token

Erfüllt diese Anforderungen

Benutzername 

  • Der gesicherte Webdienst erfordert einen Benutzernamen, ein Passwort und optional eine Signierung für die Anforderung.

  • Der Webdienst-Verbraucher stellt ein Benutzernametoken als Mittel zum Identifizieren des Anforderers zur Verfügung.

  • Der Webdienstverbraucher stellt ein Passwort, gemeinsames Geheimnis oder ein Passwortäquivalent zum Authentifizieren der Identität gegenüber dem Webdienstanbieter zur Verfügung.

X.509 

Der gesicherte Webdienst verwendet eine PKI (Public Key Infrastructure, in der der Webdienst-Verbraucher einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers und Abschließen des Authentifizierung gegenüber dem Webdienstanbieter. 

SAML-Schlüsselinhaber 

  • Der gesicherte Webdienst verwendet die SAML-Schlüsselinhaber-Bestätigungsmethode.

  • Der Webdienst-Client stellt eine SAML-Behauptung mit Informationen zum öffentlichen Schlüssel zur Verfügung, um den Anforderer gegenüber dem Webdienstanbieter zu authentifizieren.

  • Eine zweite Signatur bindet die Behauptung an die SOAP-Payload.

SAML-SenderVouches 

  • Der gesicherte Webdienst verwendet die SAML-Sender-Vouches-Bestätigungsmethode.

  • Der Webclient-Verbraucher fügt eine SAML-Behauptung und eine digitale Signatur in eine SOAP-Kopfzeile ein. Ein Absenderzertifikat oder öffentlicher Schlüssel wird ebenfalls mit der Signatur zur Verfügung gestellt.

Verwenden der Matrix zum Generieren von Sicherheitstokens

Verwenden Sie die Matrix zum Generieren von Sicherheitstoken als Hilfe beim Konfigurieren von OpenSSO STS zum Generieren von Webdienst-Client-Sicherheitstokens, die der Webdienstanbieter benötigt. Machen Sie zuerst in der letzten Spalte mit dem Titel OpenSSO STS Output Token (OpenSSO STS Ausgabetoken) eine Beschreibung ausfindig, die den Anforderungen des Webdienstanbieter-Tokens entspricht. Verwenden Sie anschließend die Parameterwerte in der gleichen Zeile, wenn Sie den Sicherheitstoken-Dienst konfigurieren. Die "Legende der Matrix zum Generieren von Tokens" enthält Informationen zu den Tabellenkopfzeilen und den verfügbaren Optionen. Im Abschnitt 5.2.3 "So konfigurieren Sie den Sicherheitstoken-Dienst" finden Sie detaillierte Konfigurationsanweisungen. Allgemeine Informationen zur Webdienstsicherheit und die entsprechende Terminologie finden Sie unter:

In der Matrix zum Generieren von Sicherheitstoken werden häufig verwendete Sicherheitstokendienst-Parametereinstellungen und die Typen der Sicherheitstoken zusammengefasst, die OpenSSO STS auf Basis dieser Einstellungen generiert.

Tabelle 3–3 Matrix zum Generieren von Sicherheitstokens

Zeile

Sicherheitsbindung auf Nachrichtenebene

Webdienst-Clienttoken

KeyType

OnBehalfOf Token

Use Key

OpenSSO STS-Ausgabetoken

Asymmetrisch  

X509  

Inhaber  

Ja  

Nein  

SAML-Inhaber, kein Beweisschlüssel 

Asymmetrisch  

Benutzername  

Inhaber  

Ja  

Nein  

SAML-Inhaber, kein Beweisschlüssel 

Asymmetrisch  

X509  

Inhaber  

Nein  

Nein  

SAML-Inhaber, kein Beweisschlüssel 

Asymmetrisch  

Benutzername  

Inhaber  

Nein  

Nein  

SAML-Inhaber, kein Beweisschlüssel 

Asymmetrisch  

X509  

Symmetrisch  

Ja  

Nein  

SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel 

Asymmetrisch  

Benutzername  

Symmetrisch  

Ja  

Nein  

SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel 

Asymmetrisch  

X509  

Symmetrisch  

Nein  

Nein  

SAML Schlüsselinhaber, Symmetrisch 

Asymmetrisch  

Benutzername  

Symmetrisch  

Nein  

Nein  

SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel 

Asymmetrisch  

X509  

Asymmetrisch  

Nein  

Öffentlicher Schlüssel des Webdienstclients  

SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel 

10 

Asymmetrisch  

X509  

Oracle-herstellereigen für SAML-Absendernachweise  

Ja  

Nein  

SAML-Absendernachweise, kein Beweisschlüssel 

11 

Asymmetrisch  

Benutzername  

Oracle-herstellereigen für SAML-Absendernachweise  

Ja  

Nein  

SAML-Absendernachweise, kein Beweisschlüssel 

12 

Asymmetrisch  

X509  

Oracle-herstellereigen für SAML-Absendernachweise  

Nein  

Nein  

FEHLER 

13 

Asymmetrisch  

Benutzername  

Oracle-herstellereigen für SAML-Absendernachweise  

Nein  

Nein  

FEHLER 

14 

Transport  

Benutzername  

Inhaber  

Ja  

Nein  

SAML-Inhaber, kein Beweisschlüssel 

15 

Transport  

Benutzername  

Inhaber  

Nein  

Nein  

SAML-Inhaber, kein Beweisschlüssel 

16 

Transport  

Benutzername  

Symmetrisch  

Ja  

Nein  

SAML-Schlüsselinhaber, Symmetrisch 

17 

Transport  

Benutzername  

Symmetrisch  

Nein  

Nein  

SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel 

18 

Transport  

Benutzername  

Oracle-herstellereigen für SAML-Absendernachweise  

Ja  

Nein  

SAML-Absendernachweise, kein Beweisschlüssel 

19 

Transport  

Benutzername  

Oracle-herstellereigen für SAML-Absendernachweise  

Nein  

Nein  

FEHLER 

20 

Asymmetrisch  

Benutzername  

Asymmetrisch  

Nein  

Öffentlicher Schlüssel des Webdienstclients  

FEHLER 

21 

Transport  

Benutzername  

Asymmetrisch  

Nein  

Öffentlicher Schlüssel des Webdienstclients  

FEHLER 

22 

Asymmetrisch  

X509  

Asymmetrisch  

Ja  

Nein  

FEHLER 

23 

Asymmetrisch  

Benutzername  

Asymmetrisch  

Ja  

Nein  

FEHLER 

24 

Transport  

Benutzername  

Asymmetrisch  

Ja  

Nein  

FEHLER 

25 

Asymmetrisch  

X509  

Asymmetrisch  

Nein  

Nein  

SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel 

26 

Asymmetrisch  

X509  

Nein  

Nein  

Nein  

SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel 

27 

Asymmetrisch  

Benutzername  

Nein  

Nein  

Nein  

SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel 

28 

Transport  

Benutzername  

Nein  

Nein  

Nein  

SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel