test

Notas de la versión de Oracle OpenSSO Update 2

Creación de tokens de seguridad

El servicio de token de seguridad de Oracle OpenSSO (servicio STS de OpenSSO) establece una relación de confianza entre un cliente y un proveedor de servicios web y, a continuación, consolida esta confianza entre ellos. The web service can trust tokens issued by just one entity?OpenSSO STS? en lugar de tener que comunicarse con varios clientes. De esta forma, el servicio STS de OpenSSO reduce significativamente la carga adicional indirecta de la administración de puntos de confianza.

En las siguientes secciones se proporcionan instrucciones para determinar sus necesidades de token de seguridad y para configurar el servicio de token de seguridad a fin de generar y validar los tokens de seguridad que satisfagan estas necesidades.

Registro de un proveedor de servicios web en el servicio STS de OpenSSO

Al agregar un nuevo perfil de agente de seguridad del proveedor de servicios web, este proveedor se registra automáticamente en el servicio STS de OpenSSO. Consulte las siguientes secciones para obtener más información:

Una vez registrado un proveedor de servicios web en el servicio STS de OpenSSO, puede configurar este servicio a fin de generar tokens de seguridad del cliente web adecuados para el proveedor de servicios web.

Solicitud de un token de seguridad del cliente de servicios web desde el servicio STS de OpenSSO

Antes de configurar el servicio de token de seguridad para generar tokens de seguridad del cliente web, debe determinar qué tipo de token de seguridad necesita el proveedor de servicios web. El servicio STS de OpenSSO admite tokens de seguridad de Liberty Alliance Project y del perfil de seguridad básico de interoperabilidad de servicios web.

Flujo de proceso de creación de tokens de seguridad

Una vez habilitada la seguridad mediante los tokens de Liberty Alliance Project, el cliente HTTP o el navegador, se envía una solicitud de acceso mediante el cliente de servicios web al proveedor de servicios web. Un agente de seguridad de servicios web redirecciona la solicitud al servicio de autenticación STS de OpenSSO. Una vez instalado el mecanismo de seguridad de Liberty Alliance Project, un agente de seguridad HTTP emite el redireccionamiento. Si se utiliza la seguridad WS-IBS, un agente de seguridad SOAP emitirá el redireccionamiento.

El servicio de autenticación STS de OpenSSO determina el mecanismo de seguridad registrado por el proveedor de servicios web y recupera los tokens de seguridad adecuados. Tras realizar con éxito la autenticación, el cliente de servicios web proporciona el cuerpo del mensaje SOAP, mientras que el agente de seguridad SOAP del cliente de servicios web introduce un encabezado de seguridad y un token. A continuación, se firma el mensaje antes de enviar la solicitud a WSP.

El agente de seguridad SOAP del proveedor de servicios web verifica la firma y el token de seguridad de la solicitud SOAP antes de reenviarla al propio proveedor de servicios web. A continuación, el proveedor de servicios web la procesa y devuelve una respuesta, firmada por el agente de seguridad SOAP, al cliente de servicios web. El agente de seguridad SOAP del cliente de servicios web verifica la firma antes de reenviar la respuesta al propio cliente de servicios web.

En la siguiente tabla se proporcionan una lista y descripciones breves de los tokens admitidos para las transacciones de Liberty Alliance Project.

Tabla 3–1 Tokens del solicitante - Liberty Alliance Project

Token

Cumple estos requisitos

X.509 

  • El servicio web seguro utiliza una infraestructura de claves públicas (PKI) en la que el cliente de servicios web proporciona una clave pública a fin de identificar al solicitante y realizar la autenticación en el proveedor de servicios web.

  • El servicio web seguro utiliza una infraestructura de claves públicas (PKI) en la que el cliente de servicios web proporciona una clave pública a fin de identificar al solicitante y realizar la autenticación en el proveedor de servicios web.

Token de portador 

  • El servicio web seguro utiliza el método de confirmación de tokens de portador de SAML (Lenguaje de marcado de aserciones de seguridad).

  • WSC proporciona una aserción SAML con información de clave pública a fin de autenticar al solicitante en el proveedor de servicios web.

  • Una segunda firma enlaza la aserción al mensaje SOAP.

  • El enlace de la segunda firma utiliza las reglas definidas por Liberty Alliance Project.

Token de SAML 

  • El servicio web seguro utiliza el método de confirmación de titular de clave de SAML.

  • WSC agrega una aserción SAML y una firma digital a un encabezado SOAP.

  • También se proporciona una clave pública o un certificado del remitente con la firma.

  • El envío se procesa mediante las reglas definidas por Liberty Alliance Project.

En las siguientes tablas se proporcionan una lista y descripciones breves de los tokens admitidos para las transacciones de WS-IBS.

Tabla 3–2 Tokens del solicitante - WS-IBS

Token

Cumple estos requisitos

Nombre de usuario 

  • El servicio web seguro necesita un nombre de usuario, una contraseña y, de forma opcional, una solicitud firmada.

  • El consumidor del servicio web proporciona un token de nombre de usuario a fin de identificar al solicitante.

  • El consumidor del servicio web proporciona una contraseña, un secreto compartido u otro elemento equivalente a una contraseña para autenticar la identidad en el proveedor de servicios web.

X.509 

El servicio web seguro utiliza una infraestructura de claves públicas (PKI) en la que el consumidor del servicio web proporciona una clave pública a fin de identificar al solicitante y realizar la autenticación en el proveedor de servicios web. 

Titular de clave de SAML 

  • El servicio web seguro utiliza el método de confirmación de titular de clave de SAML.

  • El consumidor del servicio web proporciona una aserción SAML con información de clave pública a fin de autenticar al solicitante en el proveedor de servicios web.

  • Una segunda firma enlaza la aserción a los datos útiles SOAP.

Vales del remitente de SAML 

  • El servicio web seguro utiliza el método de confirmación de titular de vales del remitente de SAML.

  • El consumidor del servicio web agrega una aserción SAML y una firma digital a un encabezado SOAP. También se proporciona una clave pública o un certificado del remitente con la firma.

Uso de la matriz de creación de tokens de seguridad

Use la matriz de creación de tokens de seguridad para ayudarle a configurar el servicio STS de OpenSSO a fin de generar el token de seguridad del cliente de servicios web necesario para el proveedor de servicios web. En primer lugar, en la columna titulada Token de salida del servicio STS de OpenSSO, se proporciona una descripción para cumplir los requisitos de tokens del proveedor de servicios web. A continuación, utilice los valores de parámetros de la misma fila al configurar el servicio de token de seguridad. La "Leyenda de la matriz de creación de tokens" proporciona información sobre los encabezados de la tabla y las opciones disponibles. Consulte la sección 5.2.3, "Para configurar el servicio de token de seguridad" para obtener instrucciones de configuración detalladas. Para obtener información general sobre la seguridad de servicios web y la terminología relacionada, consulte:

En la matriz de creación de tokens de seguridad, se proporciona un resumen de la configuración de los parámetros del servicio de token de seguridad utilizados frecuentemente y los tipos de tokens de seguridad que genera el servicio STS de OpenSSO en función de estos valores.

Tabla 3–3 Matriz de creación de tokens de seguridad

Fila

Enlace de seguridad de nivel de mensaje

Token del cliente de servicios web

Tipo de clave

Token "En nombre de"

Uso de la clave

Token de salida del servicio STS de OpenSSO

Asimétrico  

X509  

Portador  

Sí  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

Nombre de usuario  

Portador  

Sí  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

X509  

Portador  

No  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

Nombre de usuario  

Portador  

No  

No  

Portador de SAML, sin clave de prueba 

Asimétrico  

X509  

Simétrica  

Sí  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

Nombre de usuario  

Simétrica  

Sí  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

X509  

Simétrica  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

Nombre de usuario  

Simétrica  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

Asimétrico  

X509  

Asimétrico  

No  

Clave pública del cliente de servicios web  

Titular de clave de SAML, clave de prueba asimétrica 

10 

Asimétrico  

X509  

Clave patentada de Oracle para vales del remitente de SAML  

Sí  

No  

Vales del remitente, sin clave de prueba 

11 

Asimétrico  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

Sí  

No  

Vales del remitente, sin clave de prueba 

12 

Asimétrico  

X509  

Clave patentada de Oracle para vales del remitente de SAML  

No  

No  

ERROR 

13 

Asimétrico  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

No  

No  

ERROR 

14 

Transporte  

Nombre de usuario  

Portador  

Sí  

No  

Portador de SAML, sin clave de prueba 

15 

Transporte  

Nombre de usuario  

Portador  

No  

No  

Portador de SAML, sin clave de prueba 

16 

Transporte  

Nombre de usuario  

Simétrica  

Sí  

No  

Titular de clave de SAML, clave de prueba simétrica 

17 

Transporte  

Nombre de usuario  

Simétrica  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

18 

Transporte  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

Sí  

No  

Vales del remitente, sin clave de prueba 

19 

Transporte  

Nombre de usuario  

Clave patentada de Oracle para vales del remitente de SAML  

No  

No  

ERROR 

20 

Asimétrico  

Nombre de usuario  

Asimétrico  

No  

Clave pública del cliente de servicios web  

ERROR 

21 

Transporte  

Nombre de usuario  

Asimétrico  

No  

Clave pública del cliente de servicios web  

ERROR 

22 

Asimétrico  

X509  

Asimétrico  

Sí  

No  

ERROR 

23 

Asimétrico  

Nombre de usuario  

Asimétrico  

Sí  

No  

ERROR 

24 

Transporte  

Nombre de usuario  

Asimétrico  

Sí  

No  

ERROR 

25 

Asimétrico  

X509  

Asimétrico  

No  

No  

Titular de clave de SAML, clave de prueba asimétrica 

26 

Asimétrico  

X509  

No  

No  

No  

Titular de clave de SAML, clave de prueba asimétrica 

27 

Asimétrico  

Nombre de usuario  

No  

No  

No  

Titular de clave de SAML, clave de prueba simétrica 

28 

Transporte  

Nombre de usuario  

No  

No  

No  

Titular de clave de SAML, clave de prueba simétrica