Oracle OpenSSO Security Token Service (OpenSSO STS) stellt eine Vertrauensstellung zwischen einem Webdienst-Client und einem Webdienstanbieter her und vermittelt anschließend das Vertrauen zwischen ihnen. Kann der Webdienst Tokens vertrauen, die von lediglich einer Entität ausgegeben wurden? OpenSSO STS? Statt mit mehreren Clients kommunizieren zu müssen. Auf diese Weise reduziert OpenSSO STS den Aufwand zur Vertrauenspunktverwaltung.
In den folgenden Abschnitten werden Anweisungen zum Ermitteln Ihrer Sicherheitstoken-Anforderungen und zum entsprechenden Konfigurieren des Sicherheitstoken-Dienstes zum Generieren und Validieren von Sicherheitstoken dargestellt.
Wenn Sie ein neues Webdienstanbieter-Sicherheitsagentenprofil hinzufügen, wird der Webdienstanbieter automatisch in OpenSSO STS registriert. In den folgenden Abschnitten werden mehr Details dargestellt:
Wenn Sie einen Webdienstanbieter in OpenSSO STS registriert haben, können Sie OpenSSO STS dazu konfigurieren, Webclient-Sicherheitstokens zu generieren, die der Webdienstanbieter akzeptieren kann.
Bevor Sie den Sicherheitstoken-Dienst zum Generieren von Webclient-Sicherheitstoken konfigurieren, müssen Sie ermitteln, welche Art von Sicherheitstoken der Webdienstanbieter benötigt. OpenSSO STS unterstützt Liberty Alliance Project-Sicherheitstoken und Web Services-Interoperability Basic Security Profile-Sicherheitstoken.
Wenn Sicherheit mithilfe von Liberty Alliance Project-Tokens aktiviert ist, sendet der HTTP-Client oder der Browser über den Webdienst-Client eine Zugriffsanforderung an den Webdienstanbieter. Ein Webdienste-Sicherheitsagent leitet die Anforderung an den OpenSSO STS-Authentifizierungsdienst weiter. Wenn der Liberty Alliance Project-Sicherheitsmechanismus aktiv ist, gibt ein HTTP-Sicherheitsagent die Weiterleitung aus. Wenn WS-IBS-Sicherheit verwendet wird, gibt ein SOAP-Sicherheitsagent die Weiterleitung aus.
Der OpenSSO STS-Authentifizierungsdienst ermittelt den Sicherheitsmechanismus, der beim Webdienstanbieter registriert ist, und ruft die entsprechenden Sicherheitstoken ab. Nach der erfolgreichen Authentifizierung stellt der Webdienst-Client einen SOAP-Nachrichtentext bereit, während der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients die Sicherheitskopfzeilen und ein Token einfügt. Die Nachricht wird anschließend entfernt, bevor die Anforderung an den WSP gesendet wird.
Der SOAP-Sicherheitsagent auf Seite des Webdienstanbieters überprüft die Signatur und den Sicherheitstoken in der SOAP-Anforderung, bevor er die Anforderung an den Webdienstanbieter selbst weiterleitet. Der Webdienstanbieter verarbeitet sie anschließend und gibt eine vom SOAP-Sicherheitsagenten signierte Antwort an den Webdienst-Client zurück. Der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients überprüft anschließend die Signatur, bevor er die Antwort an den Webdienst-Client weiterleitet.
In der folgenden Tabelle werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für Liberty Alliance Project-Transaktionen unterstützt werden.
Tabelle 3–1 Requestor Tokens - Liberty Alliance Project
In den folgenden Tabellen werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für WS-IBS-Transaktionen unterstützt werden.
Tabelle 3–2 Anforderer-Tokens - WS-IBS
Verwenden Sie die Matrix zum Generieren von Sicherheitstoken als Hilfe beim Konfigurieren von OpenSSO STS zum Generieren von Webdienst-Client-Sicherheitstokens, die der Webdienstanbieter benötigt. Machen Sie zuerst in der letzten Spalte mit dem Titel OpenSSO STS Output Token (OpenSSO STS Ausgabetoken) eine Beschreibung ausfindig, die den Anforderungen des Webdienstanbieter-Tokens entspricht. Verwenden Sie anschließend die Parameterwerte in der gleichen Zeile, wenn Sie den Sicherheitstoken-Dienst konfigurieren. Die "Legende der Matrix zum Generieren von Tokens" enthält Informationen zu den Tabellenkopfzeilen und den verfügbaren Optionen. Im Abschnitt 5.2.3 "So konfigurieren Sie den Sicherheitstoken-Dienst" finden Sie detaillierte Konfigurationsanweisungen. Allgemeine Informationen zur Webdienstsicherheit und die entsprechende Terminologie finden Sie unter:
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
In der Matrix zum Generieren von Sicherheitstoken werden häufig verwendete Sicherheitstokendienst-Parametereinstellungen und die Typen der Sicherheitstoken zusammengefasst, die OpenSSO STS auf Basis dieser Einstellungen generiert.
Tabelle 3–3 Matrix zum Generieren von Sicherheitstokens
Zeile |
Sicherheitsbindung auf Nachrichtenebene |
Webdienst-Clienttoken |
KeyType |
OnBehalfOf Token |
Use Key |
OpenSSO STS-Ausgabetoken |
1 |
Asymmetrisch |
X509 |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
2 |
Asymmetrisch |
Benutzername |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
3 |
Asymmetrisch |
X509 |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
4 |
Asymmetrisch |
Benutzername |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
5 |
Asymmetrisch |
X509 |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
6 |
Asymmetrisch |
Benutzername |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
7 |
Asymmetrisch |
X509 |
Symmetrisch |
Nein |
Nein |
SAML Schlüsselinhaber, Symmetrisch |
8 |
Asymmetrisch |
Benutzername |
Symmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
9 |
Asymmetrisch |
X509 |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
10 |
Asymmetrisch |
X509 |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
11 |
Asymmetrisch |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
12 |
Asymmetrisch |
X509 |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
13 |
Asymmetrisch |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
14 |
Transport |
Benutzername |
Inhaber |
Ja |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
15 |
Transport |
Benutzername |
Inhaber |
Nein |
Nein |
SAML-Inhaber, kein Beweisschlüssel |
16 |
Transport |
Benutzername |
Symmetrisch |
Ja |
Nein |
SAML-Schlüsselinhaber, Symmetrisch |
17 |
Transport |
Benutzername |
Symmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
18 |
Transport |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Ja |
Nein |
SAML-Absendernachweise, kein Beweisschlüssel |
19 |
Transport |
Benutzername |
Oracle-herstellereigen für SAML-Absendernachweise |
Nein |
Nein |
FEHLER |
20 |
Asymmetrisch |
Benutzername |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
FEHLER |
21 |
Transport |
Benutzername |
Asymmetrisch |
Nein |
Öffentlicher Schlüssel des Webdienstclients |
FEHLER |
22 |
Asymmetrisch |
X509 |
Asymmetrisch |
Ja |
Nein |
FEHLER |
23 |
Asymmetrisch |
Benutzername |
Asymmetrisch |
Ja |
Nein |
FEHLER |
24 |
Transport |
Benutzername |
Asymmetrisch |
Ja |
Nein |
FEHLER |
25 |
Asymmetrisch |
X509 |
Asymmetrisch |
Nein |
Nein |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
26 |
Asymmetrisch |
X509 |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, asymmetrischer Beweisschlüssel |
27 |
Asymmetrisch |
Benutzername |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |
28 |
Transport |
Benutzername |
Nein |
Nein |
Nein |
SAML-Schlüsselinhaber, symmetrischer Beweisschlüssel |