Notes de version de la mise à jour 2 de OpenSSO d'Oracle

Prise en charge des requêtes d'attributs du Fedlet Java (CR 6930476)

Le Fedlet Java prend en charge la requête d'attribut SAMLv2 pour demander au fournisseur d'identités tel que la mise à jour 2 de OpenSSO 8.0 d'Oracle des valeurs d'attributs d'identités spécifiques. Vous pouvez configurer le Fedlet de façon à ce qu'il signe la requête et la chiffre. La signature est obligatoire pour émettre une requête de Fedlet, mais le chiffrement est facultatif.

ProcedurePour configurer le Fedlet Java pour une requête d'attribut

  1. Activez la signature XML pour signer la requête d'attribut, tel que décrit dans Prise en charge de la signature et du chiffrement par le Fedlet Java.

  2. Ajoutez le certificat généré à l'étape précédente à l'élément RoleDescriptor dans le fichier sp.xml du Fedlet. Dans l'exemple suivant, il existe deux balises KeyDescriptor dans lesquelles vous collez le certificat. L'une sert à la signature, et l'autre au chiffrement. Si vous n'activez pas le chiffrement, la balise KeyDescriptor use="encryption" n'est pas nécessaire.

    <RoleDescriptor xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xmlns:query="urn:oasis:names:tc:SAML:metadata:ext:query"
          xsi:type="query:AttributeQueryDescriptorType"
          protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <KeyDescriptor use="signing">
          <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <ds:X509Data>
              <ds:X509Certificate>
                --certificate--
              </ds:X509Certificate>
            </ds:X509Data>
          </ds:KeyInfo>
      </KeyDescriptor>
      <KeyDescriptor use="encryption">
          <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <ds:X509Data>
              <ds:X509Certificate>
                --certificate--
              </ds:X509Certificate>
            </ds:X509Data>
          </ds:KeyInfo>
        <EncryptionMethod
    Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc">
    <xenc:KeySize
    xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">128</xenc:KeySize>
        </EncryptionMethod>
      </KeyDescriptor>
    </RoleDescriptor>
  3. Dans le fichier sp-extended.xml du Fedlet Java, indiquez la valeur de l'attribut signingCertAlias et, s'il est configuré, de l'attribut encryptionCertAlias.

    Si vous prévoyez de configurer le fournisseur d'identités de façon à ce qu'il chiffre l'assertion, chiffrez également l'élément NameID. Ainsi, la valeur de l'attribut wantNameIDEncrypted doit être paramétrée à true. Ajoutez le code XML à l'élément AttributeQueryConfig. Par exemple :

    <Attribute name="signingCertAlias">
          <Value>test</Value>
    </Attribute>
    <Attribute name="encryptionCertAlias">
          <Value>test</Value>
    </Attribute>
    <Attribute name="wantNameIDEncrypted">
          <Value>true</Value>
    </Attribute>

    Dans cet exemple, test est l'alias de l'exemple de clé.

  4. Importez le fichier de métadonnées du Fedlet Java (sp.xml) dans le fournisseur d'identités.

    Procédez également aux étapes de configuration supplémentaires dans le fournisseur d'identités pour prendre en charge la requête d'attribut pour le Fedlet.