Bevor Sie den Sicherheitstoken-Dienst zum Generieren von Webclient-Sicherheitstoken konfigurieren, müssen Sie ermitteln, welche Art von Sicherheitstoken der Webdienstanbieter benötigt. OpenSSO STS unterstützt Liberty Alliance Project-Sicherheitstoken und Web Services-Interoperability Basic Security Profile-Sicherheitstoken.
Wenn Sicherheit mithilfe von Liberty Alliance Project-Tokens aktiviert ist, sendet der HTTP-Client oder der Browser über den Webdienst-Client eine Zugriffsanforderung an den Webdienstanbieter. Ein Webdienste-Sicherheitsagent leitet die Anforderung an den OpenSSO STS-Authentifizierungsdienst weiter. Wenn der Liberty Alliance Project-Sicherheitsmechanismus aktiv ist, gibt ein HTTP-Sicherheitsagent die Weiterleitung aus. Wenn WS-IBS-Sicherheit verwendet wird, gibt ein SOAP-Sicherheitsagent die Weiterleitung aus.
Der OpenSSO STS-Authentifizierungsdienst ermittelt den Sicherheitsmechanismus, der beim Webdienstanbieter registriert ist, und ruft die entsprechenden Sicherheitstoken ab. Nach der erfolgreichen Authentifizierung stellt der Webdienst-Client einen SOAP-Nachrichtentext bereit, während der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients die Sicherheitskopfzeilen und ein Token einfügt. Die Nachricht wird anschließend entfernt, bevor die Anforderung an den WSP gesendet wird.
Der SOAP-Sicherheitsagent auf Seite des Webdienstanbieters überprüft die Signatur und den Sicherheitstoken in der SOAP-Anforderung, bevor er die Anforderung an den Webdienstanbieter selbst weiterleitet. Der Webdienstanbieter verarbeitet sie anschließend und gibt eine vom SOAP-Sicherheitsagenten signierte Antwort an den Webdienst-Client zurück. Der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients überprüft anschließend die Signatur, bevor er die Antwort an den Webdienst-Client weiterleitet.
In der folgenden Tabelle werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für Liberty Alliance Project-Transaktionen unterstützt werden.
Tabelle 3–1 Requestor Tokens - Liberty Alliance Project
In den folgenden Tabellen werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für WS-IBS-Transaktionen unterstützt werden.
Tabelle 3–2 Anforderer-Tokens - WS-IBS
Verwenden Sie die Matrix zum Generieren von Sicherheitstoken als Hilfe beim Konfigurieren von OpenSSO STS zum Generieren von Webdienst-Client-Sicherheitstokens, die der Webdienstanbieter benötigt. Machen Sie zuerst in der letzten Spalte mit dem Titel OpenSSO STS Output Token (OpenSSO STS Ausgabetoken) eine Beschreibung ausfindig, die den Anforderungen des Webdienstanbieter-Tokens entspricht. Verwenden Sie anschließend die Parameterwerte in der gleichen Zeile, wenn Sie den Sicherheitstoken-Dienst konfigurieren. Die "Legende der Matrix zum Generieren von Tokens" enthält Informationen zu den Tabellenkopfzeilen und den verfügbaren Optionen. Im Abschnitt 5.2.3 "So konfigurieren Sie den Sicherheitstoken-Dienst" finden Sie detaillierte Konfigurationsanweisungen. Allgemeine Informationen zur Webdienstsicherheit und die entsprechende Terminologie finden Sie unter:
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
In der Matrix zum Generieren von Sicherheitstoken werden häufig verwendete Sicherheitstokendienst-Parametereinstellungen und die Typen der Sicherheitstoken zusammengefasst, die OpenSSO STS auf Basis dieser Einstellungen generiert.
Tabelle 3–3 Matrix zum Generieren von Sicherheitstokens
Zeile |
Sicherheitsbindung auf Nachrichtenebene |
Webdienst-Clienttoken |
KeyType |
OnBehalfOf Token |
Use Key |
OpenSSO STS-Ausgabetoken |
1 |
Asymmetrisch |
X509 |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
2 |
Asymmetrisch |
Benutzername |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
3 |
Asymmetrisch |
X509 |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
4 |
Asymmetrisch |
Benutzername |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
5 |
Asymmetrisch |
X509 |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
6 |
Asymmetrisch |
Benutzername |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
7 |
Asymmetrisch |
X509 |
Symmetrisch |
Nein |
Nein |
SAML Schlüsselinhaber, Symmetrisch |
8 |
Asymmetrisch |
Benutzername |
Symmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
9 |
Asymmetrisch |
X509 |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
10 |
Asymmetrisch |
X509 |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
11 |
Asymmetrisch |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
12 |
Asymmetrisch |
X509 |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
13 |
Asymmetrisch |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
14 |
Transport |
Benutzername |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
15 |
Transport |
Benutzername |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
16 |
Transport |
Benutzername |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, Symmetrisch |
17 |
Transport |
Benutzername |
Symmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
18 |
Transport |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
19 |
Transport |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
20 |
Asymmetrisch |
Benutzername |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
FEHLER |
21 |
Transport |
Benutzername |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
FEHLER |
22 |
Asymmetrisch |
X509 |
Asymmetrisch |
Ja |
Nein |
FEHLER |
23 |
Asymmetrisch |
Benutzername |
Asymmetrisch |
Ja |
Nein |
FEHLER |
24 |
Transport |
Benutzername |
Asymmetrisch |
Ja |
Nein |
FEHLER |
25 |
Asymmetrisch |
X509 |
Asymmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
26 |
Asymmetrisch |
X509 |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
27 |
Asymmetrisch |
Benutzername |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
28 |
Transport |
Benutzername |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |