test

Oracle OpenSSO Update 2-Versionsinformationen

Prozessablauf beim Generieren von Sicherheitstokens

Wenn Sicherheit mithilfe von Liberty Alliance Project-Tokens aktiviert ist, sendet der HTTP-Client oder der Browser über den Webdienst-Client eine Zugriffsanforderung an den Webdienstanbieter. Ein Webdienste-Sicherheitsagent leitet die Anforderung an den OpenSSO STS-Authentifizierungsdienst weiter. Wenn der Liberty Alliance Project-Sicherheitsmechanismus aktiv ist, gibt ein HTTP-Sicherheitsagent die Weiterleitung aus. Wenn WS-IBS-Sicherheit verwendet wird, gibt ein SOAP-Sicherheitsagent die Weiterleitung aus.

Der OpenSSO STS-Authentifizierungsdienst ermittelt den Sicherheitsmechanismus, der beim Webdienstanbieter registriert ist, und ruft die entsprechenden Sicherheitstoken ab. Nach der erfolgreichen Authentifizierung stellt der Webdienst-Client einen SOAP-Nachrichtentext bereit, während der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients die Sicherheitskopfzeilen und ein Token einfügt. Die Nachricht wird anschließend entfernt, bevor die Anforderung an den WSP gesendet wird.

Der SOAP-Sicherheitsagent auf Seite des Webdienstanbieters überprüft die Signatur und den Sicherheitstoken in der SOAP-Anforderung, bevor er die Anforderung an den Webdienstanbieter selbst weiterleitet. Der Webdienstanbieter verarbeitet sie anschließend und gibt eine vom SOAP-Sicherheitsagenten signierte Antwort an den Webdienst-Client zurück. Der SOAP-Sicherheitsagent auf Seite des Webdienst-Clients überprüft anschließend die Signatur, bevor er die Antwort an den Webdienst-Client weiterleitet.

In der folgenden Tabelle werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für Liberty Alliance Project-Transaktionen unterstützt werden.

Tabelle 3–1 Requestor Tokens - Liberty Alliance Project

Token

Erfüllt diese Anforderungen

X.509 

  • Der gesicherte Webdienst verwendet eine Public Key Infrastructure (Infrastruktur mit öffentlichen Schlüsseln), in der der Webdienst-Client einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers zur Verfügung stellt, und mit der der Webdienstanbieter authentifiziert wird.

  • Der gesicherte Webdienst verwendet eine Public Key Infrastructure (Infrastruktur mit öffentlichen Schlüsseln), in der der Webdienst-Client einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers zur Verfügung stellt, und mit der der Webdienstanbieter authentifiziert wird.

BearerToken 

  • Der gesicherte Webdienst verwendet die SAML-Bearer-Token-Bestätigungsmethode von Security Assertion Markup Language (SAML).

  • Der Webdienst-Client stellt eine SAML-Behauptung mit Informationen zum öffentlichen Schlüssel zur Verfügung, um den Anforderer gegenüber dem Webdienstanbieter zu authentifizieren.

  • Eine zweite Signatur bindet die Behauptung an die SOAP-Nachricht.

  • Die zweite Signaturbindung verwendet Regeln, die vom Liberty Alliance Project verwendet wurden.

SAML-Token 

  • Der gesicherte Webdienst verwendet die SAML-Schlüsselinhaber-Bestätigungsmethode.

  • Der Webdienst-Client fügt eine SAML-Behauptung und eine digitale Signatur in eine SOAP-Kopfzeile ein.

  • Ein Absenderzertifikat oder öffentlicher Schlüssel wird ebenfalls mit der Signatur zur Verfügung gestellt.

  • Der Versand wird mithilfe von Regeln verarbeitet, die vom Liberty Alliance Project definiert wurden.

In den folgenden Tabellen werden eine Liste und kurze Beschreibungen von Tokens dargestellt, die für WS-IBS-Transaktionen unterstützt werden.

Tabelle 3–2 Anforderer-Tokens - WS-IBS

Token

Erfüllt diese Anforderungen

Benutzername 

  • Der gesicherte Webdienst erfordert einen Benutzernamen, ein Passwort und optional eine Signierung für die Anforderung.

  • Der Webdienst-Verbraucher stellt ein Benutzernametoken als Mittel zum Identifizieren des Anforderers zur Verfügung.

  • Der Webdienstverbraucher stellt ein Passwort, gemeinsames Geheimnis oder ein Passwortäquivalent zum Authentifizieren der Identität gegenüber dem Webdienstanbieter zur Verfügung.

X.509 

Der gesicherte Webdienst verwendet eine PKI (Public Key Infrastructure, in der der Webdienst-Verbraucher einen öffentlichen Schlüssel als Mittel zum Ermitteln des Anforderers und Abschließen des Authentifizierung gegenüber dem Webdienstanbieter. 

SAML-Schlüsselinhaber 

  • Der gesicherte Webdienst verwendet die SAML-Schlüsselinhaber-Bestätigungsmethode.

  • Der Webdienst-Client stellt eine SAML-Behauptung mit Informationen zum öffentlichen Schlüssel zur Verfügung, um den Anforderer gegenüber dem Webdienstanbieter zu authentifizieren.

  • Eine zweite Signatur bindet die Behauptung an die SOAP-Payload.

SAML-SenderVouches 

  • Der gesicherte Webdienst verwendet die SAML-Sender-Vouches-Bestätigungsmethode.

  • Der Webclient-Verbraucher fügt eine SAML-Behauptung und eine digitale Signatur in eine SOAP-Kopfzeile ein. Ein Absenderzertifikat oder öffentlicher Schlüssel wird ebenfalls mit der Signatur zur Verfügung gestellt.