Oracle OpenSSO Update 2-Versionsinformationen

Kapitel 1 Info zu OpenSSO 8.0 Update 2

In diesem Kapitel werden die folgenden Themen behandelt.

Neues in OpenSSO 8.0 Update 2

OpenSSO 8.0 Update 2 bietet Verbesserungen im Sicherheitstoken-Dienst und dem OpenSSO Fedlet.

Verbesserungen im Sicherheitstoken-Dienst

Der Sicherheitstoken-Dienst enthält jetzt die folgenden neuen Funktionen:

Unterstützt TokenType zum Generieren eine spezifischen Sicherheitstokens eines Webdienstanbieters.
Unterstützt eine asymmetrische und eine Transportverknüpfung für X509 und Benutzername-Sicherheitstokens als Anforderer.
Setzt SSL/Transport-Verknüpfung mit einem Benutzername-Sicherheitstoken um, wenn OpenSSO STS mit einem Benutzernamen über SSL konfiguriert ist.
Gibt SAML-Schlüsselinhaber-Sicherheitstoken für asymmetrischen KeyType mit useKey als öffentlichen Schlüssel des Webdienst-Clients und dem Sicherheitstoken X509 des Webdienst-Clients aus.
WSDL wird dynamisch auf Basis der Sicherheitstoken-Konfiguration aktualisiert.
Unterstützt Verschlüsselung durch den öffentlichen Schlüssel des Webdienstanbieters.
Verschlüsselt das statische Benutzernamekennwort, bevor es im Konfigurationsspeicher gespeichert wird.
Unterstützt UserName-Token anstelle eines Sicherheitstokens über eine WS-Trust-Anforderung.
Unterstützt Ausgabe von SAML-Übermittlungstokens.
Das neue Webdienst-Sicherheitsauthentifizierungsmodul WSSAuth unterstützt die Verarbeitung der Kennwortvalidierung.
Das neue OAMAuth-Authentifizierungsmodul ermöglicht mithilfe des Oracle Access Manager mit OpenSSO das einmalige Anmelden.

Weitere Informationen finden Sie in Kapitel 3Verwenden des Sicherheitstoken-Diensts.

Fedlet-Verbesserungen

Das Fedlet umfasst jetzt die folgenden neuen Funktionen:

Unterstützt Verschlüsselung im .NET-Fedlet.
Unterstützt Anmeldung im .NET-Fedlet.
.NET-Fedlet unterstützt jetzt die einmalige Abmeldung.
.NET-Fedlet bietet vom Dienstanbieter initiierte einmalige Anmeldung und Artefakt-Unterstützung.
Unterstützt mehrere Identity-Anbieter und Erkennung von Identity-Anbietern im .NET-Fedlet.
Bietet Versionsinformationen in Eigenschafts- und Konfigurationsdateien für das Fedlet.
Neue Kennwort-SPI-Implementierung.
Unterstützt Attributsabfrage.
Unterstützt einmalige Abmeldung.

Weitere Informationen finden Sie in Kapitel 4Arbeiten mit dem Oracle OpenSSO Fedlet.

Hardware- und Software-Anforderungen für OpenSSO 8.0 Update 2

Siehe Hardware and Software Requirements For OpenSSO Enterprise 8.0 Update 1 in Sun OpenSSO Enterprise 8.0 Update 1 Release Notes

Unterstützung für neue Webcontainer

OpenSSO 8.0 Update 2 unterstützt die Webcontainer, die in den Support for New Web Containers in Sun OpenSSO Enterprise 8.0 Update 1 Release Notes beschrieben werden und die folgenden neuen Webcontainer:

Oracle WebLogic Server 10g Version 3 (10.3)

Probleme und Problemumgehungen in OpenSSO 8.0 Update 2

CR 6959610: Muster von OpenSSO 8.0 Update 2 sollten in einer Produktionsumgebung entfernt werden.

Die Muster von OpenSSO 8.0 Update 2 können potenzielle Sicherheitsprobleme verursachen.

Problemumgehung Wenn Sie OpenSSO 8.0 Update 2 in einer Produktionsumgebung bereitstellen, entfernen Sie die Muster, um potenzielle Sicherheitsprobleme zu vermeiden.

CR 6964648: Für WebLogic Server 10.3.3 werden neue Java-Sicherheitsgenehmigungen benötigt.

Wenn Sie OpenSSO 8.0 Update 2 auf Oracle WebLogic Server 10.3.3 bei aktivierem Sicherheitsmanager bereitstellen, ist eine zusätzliche Java-Sicherheitsgenehmigung erforderlich.

Problemumgehung Fügen Sie die folgende Genehmigung in die WebLogic Server 10.3.3-Datei weblogic.policy ein:

permission java.lang.RuntimePermission "getClassLoader";

CR 6939443: Zertifikatauthentifizierung mit LDAP-Prüfung oder OCSP-Prüfung schlägt auf WebLogic Server 10.3.x fehl.

Aufgrund eines Problems in früheren Version von Oracle WebLogic Server, z. B. 10.3.0 und 10.3.1, schlägt die Zertifikatauthentifizierung mit LDAP-Prüfung oder OSCP-Prüfung fehl.

Problemumgehung Dieses Problem wurde in WebLogic Server 10.3.3 behoben. Für die Verwendung der Zertifikatauthentifizierung mit LDAP-Prüfung oder OSCP-Prüfung verwenden Sie OpenSSO Update 2 mit WebLogic Server 10.3.3.

CR 6967026: Konfigurator kann über GlassFish 2.1.x keine Verbindung zur LDAPS-aktivierten Directory-Server-Instanz herstellen.

Wenn GlassFish Enterprise Server v2.1.1 oder v2.1.2 als OpenSSO 8.0 Update 2-Webcontainer bereitgestellt wird, kann der Konfigurator keine Verbindung zu einer LDAPS-aktivierten Directory-Server-Instanz herstellen.

Problemumgehung Für die Verwendung eines LDAPS-aktivierten Directory-Servers mit GlassFish als Webcontainer stellen Sie GlassFish Enterprise Server v2.1 bereit.

CR 6948937: Das Aktivieren von OpenSSO 8.0 Update 2 in WebLogic Server 10.3.3-Administrationskonsolen verursacht Ausnahmen.

Wenn Sie OpenSSO 8.0 Update 2 (opensso.war) in der WebLogic Server 10.3.3-Administrationskonsole bereitstellen und auf Start klicken, um zuzulassen, dass OpenSSO 8.0 Update 2 Anforderungen erhalten kann, werden in der Konsole, in der die WebLogic Server-Domäne gestartet wurde, Ausnahmen ausgelöst.

Hinweis: Wenn Sie OpenSSO 8.0 Update 2 gestartet haben, bleibt es weiterhin gestartet und werden keine neuen Ausnahmen ausgelöst, bis OpenSSO 8.0 Update 2 angehalten und anschließend neu gestartet wird.

Problemumgehung Kopieren Sie die Datei saaj-impl.jar aus der OpenSSO 8 Update 2-Datei opensso-client-jdk15.war in das WebLogic Server 10.3.3-Konfigurationsverzeichnis endorsed. Gehen Sie dazu folgendermaßen vor:

Halten Sie die Oracle WebLogic Server 10.3.3-Domäne an.
Dekomprimieren Sie bei Bedarf die OpenSSO 8.0 Update 2-Datei opensso.zip.
Erstellen Sie ein temporäres Verzeichnis und dekomprimieren Sie die Datei zip-root/opensso/samples/opensso-client.zip in diesem Verzeichnis, wobei zip-root den Pfad angibt, in dem Sie die Datei opensso.zip dekomprimiert haben. Beispiel:
```
cd zip-root/opensso/samples
mkdir ziptmp
cd ziptmp
unzip ../opensso-client.zip
```

Erstellen Sie ein temporäres Verzeichnis und extrahieren Sie die Datei saaj-impl.jar aus opensso-client-jdk15.war. Beispiel:

cd zip-root/opensso/samples/ziptmp/war
mkdir wartmp
cd wartmp
jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar

Erstellen Sie ein neues Verzeichnis mit dem Namen endorsed im Verzeichnis WEBLOGIC_JAVA_HOME/jre/lib (wenn endorsed nicht bereits vorhanden ist), wobei WEBLOGIC_JAVA_HOME das JDK ist, zu dessen Verwendung WebLogic Server konfiguriert ist.
Kopieren Sie die Datei saaj-impl.jar in das Verzeichnis WEBLOGIC_JAVA_HOME/jre/lib/endorsed.
Starten Sie die WebLogic Server-Domäne.

CR 6959373: Webcontainer muss nach dem Ausführen des Skripts `updateschema` neu gestartet werden.

Wenn Sie den Skript updateschema.sh oder updateschema.bat ausgeführt haben, müssen Sie den OpenSSO 8.0 Update 2-Webcontainer neu starten.

CR 6961419: Das Ausführen des Skripts `updateschema.bat` erfordert eine Kennwortdatei.

Der Skript updateschema.bat führt mehrere ssoadm-Befehle aus. Daher müssen Sie vor dem Ausführen von updateschema.bat auf Windows-Systemen eine Kennwortdatei erstellen, die den Kennwortbenutzer in Klartext für den Benutzer amadmin enthält. Der Skript updateschema.bat fordert Sie auf, den Pfad zur Kennwortdatei einzugeben. Bevor der Skript beendet wird, entfernt er die Kennwortdatei.

OpenSSO 8.0 Update 2-Dokumentation

Als Ergänzung zu diesem Dokument ist weitere OpenSSO 8.0-Dokumentation in der folgenden Sammlung verfügbar:

http://docs.sun.com/coll/1767.1

Probleme mit der Dokumentation

OpenSSO 8.0 Update 2 enthält die folgenden Probleme mit der Dokumentation:

CR 6958580: Online-Hilfedokumente der Konsole unterstützten keine Discovery Agents.

Die Online-Hilfe der Administrationskonsole von OpenSSO 8.0 Update 2 dokumentiert Discovery Agents, auch wenn diese Agenten nicht unterstützt werden.

Problemumgehung Keine. Ignorieren Sie die Informationen über Discovery Agents in der Online-Hilfe.

CR 6967006 Online-Hilfe der Konsole dokumentiert keine OAMAuth- und WSSAuth-Authentifizierungsmodule.

Die Online-Hilfe der OpenSSO 8.0 Update-Admininistrationskonsole dokumentiert die Oracle Access Manager- (OAM) und Web Services Security-(WSS)-Authentifizierungsmodule nicht.

Problemumgehung Informationen in diesen Authentifizierungsmodulen finden Sie in Kapitel 3Verwenden des Sicherheitstoken-Diensts

CR 6953582: Fedlet Java API-Referenz muss öffentlich sein.

Die öffentliche Referenz für Fedlet Java API ist als Bestandteil der Oracle OpenSSO 8.0 Update 2 Java API Reference erhältlich, die in der folgenden Dokumentationssammlung verfügbar ist: http://docs.sun.com/coll/1767.1.

Hinweis: OpenSSO 8.0 Update 2 unterstützt nicht die Methode getPolicyDecisionForFedlet, auch wenn sich diese Methode in der Java API-Reference befindet.

CR 6953579: OpenSSO Fedlet README-Datei muss die Funktion für die einmalige Abmeldung dokumentieren.

Die Fedlet README-Dateien dokumentieren die Funktion für die einmalige Abmeldung nicht.

Problemumgehung Für Oracle OpenSSO 8.0 Update 2 ist die Fedlet-Funktion für die einmalige Abmeldung in Kapitel 4Arbeiten mit dem Oracle OpenSSO Fedlet dokumentiert.

Zusätzliche Informationen und Ressourcen

Weitere nützliche Informationen und Ressourcen finden Sie an folgenden Stellen:

Oracle Advanced Customer Services für Systeme:

http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
Softwareprodukte: http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve: http://sunsolve.sun.com/
Sun Developer Network (SDN): http://developers.sun.com/
Sun Developer Services:http://developers.sun.com/services/

Abschreibungsbenachrichtigungen und -ankündigungen

Die Service Management Service-(SMS)-APIs (com.sun.identity.sm -Paket) und das SMS-Modell sind in künftigen OpenSSO-Versionen nicht enthalten.
Das UNIX-Authentifizierungsmodul und der UNIX-Authentifizierungs-Helper (amunixd) sind in künftigen OpenSSO-Versionen nicht enthalten.
Laut den Sun Java System Access Manager 7.1-Versionshinweisen sind das Access Manager-Paket com.iplanet.am.sdk, das allgemein als Access Manager SDK (AMSDK) bezeichnet wird, und alle verwandten APIs und XML-Vorlagen, nicht in künftigen OpenSSO-Versionen enthalten.

Wenn AMSDK entfernt wird, werden die Option Legacy Mode und Support ebenfalls entfernt.

Zurzeit stehen Migrationsoptionen zur Verfügung, die in Zukunft wahrscheinlich nicht mehr angeboten werden. Oracle Identity Manager bietet Bereitstellungslösungen, die Sie anstelle von AMSDK verwenden können. Weitere Informationen zu Identity Manager finden Sie unter http://www.oracle.com/products/middleware/identity-management/identity-manager.html.

Problemmeldungen und Feedback

Wenn Sie Fragen zu oder Probleme mit OpenSSO 8.0 Update 2 oder einer folgenden Patch-Version haben, wenden Sie sich an Support Resources unter http://sunsolve.sun.com/.

Auf dieser Website finden Sie Verknüpfungen zur Knowledge Base, zum Online Support Center, zum ProductTracker und auch zu Wartungsprogrammen und Kontaktinformationen für den Kundendienst. Wenn Sie Hilfe zu einem Problem angeben, übermitteln Sie bitte die folgenden Informationen:

Beschreibung des Problems, einschließlich der Situation, in der das Problem aufgetreten ist und die damit verbundenen Auswirkungen auf den Betriebsablauf.
Rechnertyp, Version des Betriebssystems, Webcontainer und Version, JDK-Version und OpenSSO-Version, einschließlich der Patches und anderer Software, die sich auf das Problem auswirken kann.
Schritte zum Reproduzieren des Problems
Sämtliche Fehlerprotokolle oder Kernspeicherauszüge.

Zugriffsfunktionen für Personen mit Behinderungen

Um Zugriffsfunktionen zu erhalten, die seit der Herausgabe dieser Medien veröffentlicht wurden, lesen Sie die Section 508-bezogenen Product Assessments (Produktbewertungen), die von Sun auf Anfrage zur Verfügung gestellt werden.

Weitere Informationen zum Engagement von Oracle zur Steigerung der Zugänglichkeit finden Sie unter http://www.oracle.com/index.html.