In diesem Kapitel werden die folgenden Themen behandelt.
OpenSSO 8.0 Update 2 bietet Verbesserungen im Sicherheitstoken-Dienst und dem OpenSSO Fedlet.
Der Sicherheitstoken-Dienst enthält jetzt die folgenden neuen Funktionen:
Unterstützt TokenType zum Generieren eine spezifischen Sicherheitstokens eines Webdienstanbieters.
Unterstützt eine asymmetrische und eine Transportverknüpfung für X509 und Benutzername-Sicherheitstokens als Anforderer.
Setzt SSL/Transport-Verknüpfung mit einem Benutzername-Sicherheitstoken um, wenn OpenSSO STS mit einem Benutzernamen über SSL konfiguriert ist.
Gibt SAML-Schlüsselinhaber-Sicherheitstoken für asymmetrischen KeyType mit useKey als öffentlichen Schlüssel des Webdienst-Clients und dem Sicherheitstoken X509 des Webdienst-Clients aus.
WSDL wird dynamisch auf Basis der Sicherheitstoken-Konfiguration aktualisiert.
Unterstützt Verschlüsselung durch den öffentlichen Schlüssel des Webdienstanbieters.
Verschlüsselt das statische Benutzernamekennwort, bevor es im Konfigurationsspeicher gespeichert wird.
Unterstützt UserName-Token anstelle eines Sicherheitstokens über eine WS-Trust-Anforderung.
Unterstützt Ausgabe von SAML-Übermittlungstokens.
Das neue Webdienst-Sicherheitsauthentifizierungsmodul WSSAuth unterstützt die Verarbeitung der Kennwortvalidierung.
Das neue OAMAuth-Authentifizierungsmodul ermöglicht mithilfe des Oracle Access Manager mit OpenSSO das einmalige Anmelden.
Weitere Informationen finden Sie in Kapitel 3Verwenden des Sicherheitstoken-Diensts.
Das Fedlet umfasst jetzt die folgenden neuen Funktionen:
Unterstützt Verschlüsselung im .NET-Fedlet.
Unterstützt Anmeldung im .NET-Fedlet.
.NET-Fedlet unterstützt jetzt die einmalige Abmeldung.
.NET-Fedlet bietet vom Dienstanbieter initiierte einmalige Anmeldung und Artefakt-Unterstützung.
Unterstützt mehrere Identity-Anbieter und Erkennung von Identity-Anbietern im .NET-Fedlet.
Bietet Versionsinformationen in Eigenschafts- und Konfigurationsdateien für das Fedlet.
Neue Kennwort-SPI-Implementierung.
Unterstützt Attributsabfrage.
Unterstützt einmalige Abmeldung.
Weitere Informationen finden Sie in Kapitel 4Arbeiten mit dem Oracle OpenSSO Fedlet.
OpenSSO 8.0 Update 2 unterstützt die Webcontainer, die in den Support for New Web Containers in Sun OpenSSO Enterprise 8.0 Update 1 Release Notes beschrieben werden und die folgenden neuen Webcontainer:
Oracle WebLogic Server 10g Version 3 (10.3)
CR 6959610: Muster von OpenSSO 8.0 Update 2 sollten in einer Produktionsumgebung entfernt werden.
CR 6964648: Für WebLogic Server 10.3.3 werden neue Java-Sicherheitsgenehmigungen benötigt.
CR 6959373: Webcontainer muss nach dem Ausführen des Skripts updateschema neu gestartet werden.
CR 6961419: Das Ausführen des Skripts updateschema.bat erfordert eine Kennwortdatei.
Die Muster von OpenSSO 8.0 Update 2 können potenzielle Sicherheitsprobleme verursachen.
Problemumgehung Wenn Sie OpenSSO 8.0 Update 2 in einer Produktionsumgebung bereitstellen, entfernen Sie die Muster, um potenzielle Sicherheitsprobleme zu vermeiden.
Wenn Sie OpenSSO 8.0 Update 2 auf Oracle WebLogic Server 10.3.3 bei aktivierem Sicherheitsmanager bereitstellen, ist eine zusätzliche Java-Sicherheitsgenehmigung erforderlich.
Problemumgehung Fügen Sie die folgende Genehmigung in die WebLogic Server 10.3.3-Datei weblogic.policy ein:
permission java.lang.RuntimePermission "getClassLoader";
Aufgrund eines Problems in früheren Version von Oracle WebLogic Server, z. B. 10.3.0 und 10.3.1, schlägt die Zertifikatauthentifizierung mit LDAP-Prüfung oder OSCP-Prüfung fehl.
Problemumgehung Dieses Problem wurde in WebLogic Server 10.3.3 behoben. Für die Verwendung der Zertifikatauthentifizierung mit LDAP-Prüfung oder OSCP-Prüfung verwenden Sie OpenSSO Update 2 mit WebLogic Server 10.3.3.
Wenn GlassFish Enterprise Server v2.1.1 oder v2.1.2 als OpenSSO 8.0 Update 2-Webcontainer bereitgestellt wird, kann der Konfigurator keine Verbindung zu einer LDAPS-aktivierten Directory-Server-Instanz herstellen.
Problemumgehung Für die Verwendung eines LDAPS-aktivierten Directory-Servers mit GlassFish als Webcontainer stellen Sie GlassFish Enterprise Server v2.1 bereit.
Wenn Sie OpenSSO 8.0 Update 2 (opensso.war) in der WebLogic Server 10.3.3-Administrationskonsole bereitstellen und auf Start klicken, um zuzulassen, dass OpenSSO 8.0 Update 2 Anforderungen erhalten kann, werden in der Konsole, in der die WebLogic Server-Domäne gestartet wurde, Ausnahmen ausgelöst.
Hinweis: Wenn Sie OpenSSO 8.0 Update 2 gestartet haben, bleibt es weiterhin gestartet und werden keine neuen Ausnahmen ausgelöst, bis OpenSSO 8.0 Update 2 angehalten und anschließend neu gestartet wird.
Problemumgehung Kopieren Sie die Datei saaj-impl.jar aus der OpenSSO 8 Update 2-Datei opensso-client-jdk15.war in das WebLogic Server 10.3.3-Konfigurationsverzeichnis endorsed. Gehen Sie dazu folgendermaßen vor:
Halten Sie die Oracle WebLogic Server 10.3.3-Domäne an.
Dekomprimieren Sie bei Bedarf die OpenSSO 8.0 Update 2-Datei opensso.zip.
Erstellen Sie ein temporäres Verzeichnis und dekomprimieren Sie die Datei zip-root/opensso/samples/opensso-client.zip in diesem Verzeichnis, wobei zip-root den Pfad angibt, in dem Sie die Datei opensso.zip dekomprimiert haben. Beispiel:
cd zip-root/opensso/samples mkdir ziptmp cd ziptmp unzip ../opensso-client.zip
Erstellen Sie ein temporäres Verzeichnis und extrahieren Sie die Datei saaj-impl.jar aus opensso-client-jdk15.war. Beispiel:
cd zip-root/opensso/samples/ziptmp/war mkdir wartmp cd wartmp jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar
Erstellen Sie ein neues Verzeichnis mit dem Namen endorsed im Verzeichnis WEBLOGIC_JAVA_HOME/jre/lib (wenn endorsed nicht bereits vorhanden ist), wobei WEBLOGIC_JAVA_HOME das JDK ist, zu dessen Verwendung WebLogic Server konfiguriert ist.
Kopieren Sie die Datei saaj-impl.jar in das Verzeichnis WEBLOGIC_JAVA_HOME/jre/lib/endorsed.
Starten Sie die WebLogic Server-Domäne.
Wenn Sie den Skript updateschema.sh oder updateschema.bat ausgeführt haben, müssen Sie den OpenSSO 8.0 Update 2-Webcontainer neu starten.
Der Skript updateschema.bat führt mehrere ssoadm-Befehle aus. Daher müssen Sie vor dem Ausführen von updateschema.bat auf Windows-Systemen eine Kennwortdatei erstellen, die den Kennwortbenutzer in Klartext für den Benutzer amadmin enthält. Der Skript updateschema.bat fordert Sie auf, den Pfad zur Kennwortdatei einzugeben. Bevor der Skript beendet wird, entfernt er die Kennwortdatei.
Als Ergänzung zu diesem Dokument ist weitere OpenSSO 8.0-Dokumentation in der folgenden Sammlung verfügbar:
http://docs.sun.com/coll/1767.1
OpenSSO 8.0 Update 2 enthält die folgenden Probleme mit der Dokumentation:
CR 6958580: Online-Hilfedokumente der Konsole unterstützten keine Discovery Agents.
CR 6953579: OpenSSO Fedlet README-Datei muss die Funktion für die einmalige Abmeldung dokumentieren.
Die Online-Hilfe der Administrationskonsole von OpenSSO 8.0 Update 2 dokumentiert Discovery Agents, auch wenn diese Agenten nicht unterstützt werden.
Problemumgehung Keine. Ignorieren Sie die Informationen über Discovery Agents in der Online-Hilfe.
Die Online-Hilfe der OpenSSO 8.0 Update-Admininistrationskonsole dokumentiert die Oracle Access Manager- (OAM) und Web Services Security-(WSS)-Authentifizierungsmodule nicht.
Problemumgehung Informationen in diesen Authentifizierungsmodulen finden Sie in Kapitel 3Verwenden des Sicherheitstoken-Diensts
Die öffentliche Referenz für Fedlet Java API ist als Bestandteil der Oracle OpenSSO 8.0 Update 2 Java API Reference erhältlich, die in der folgenden Dokumentationssammlung verfügbar ist: http://docs.sun.com/coll/1767.1.
Hinweis: OpenSSO 8.0 Update 2 unterstützt nicht die Methode getPolicyDecisionForFedlet, auch wenn sich diese Methode in der Java API-Reference befindet.
Die Fedlet README-Dateien dokumentieren die Funktion für die einmalige Abmeldung nicht.
Problemumgehung Für Oracle OpenSSO 8.0 Update 2 ist die Fedlet-Funktion für die einmalige Abmeldung in Kapitel 4Arbeiten mit dem Oracle OpenSSO Fedlet dokumentiert.
Weitere nützliche Informationen und Ressourcen finden Sie an folgenden Stellen:
Oracle Advanced Customer Services für Systeme:
http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
Softwareprodukte: http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve: http://sunsolve.sun.com/
Sun Developer Network (SDN): http://developers.sun.com/
Sun Developer Services:http://developers.sun.com/services/
Die Service Management Service-(SMS)-APIs (com.sun.identity.sm -Paket) und das SMS-Modell sind in künftigen OpenSSO-Versionen nicht enthalten.
Das UNIX-Authentifizierungsmodul und der UNIX-Authentifizierungs-Helper (amunixd) sind in künftigen OpenSSO-Versionen nicht enthalten.
Laut den Sun Java System Access Manager 7.1-Versionshinweisen sind das Access Manager-Paket com.iplanet.am.sdk, das allgemein als Access Manager SDK (AMSDK) bezeichnet wird, und alle verwandten APIs und XML-Vorlagen, nicht in künftigen OpenSSO-Versionen enthalten.
Wenn AMSDK entfernt wird, werden die Option Legacy Mode und Support ebenfalls entfernt.
Zurzeit stehen Migrationsoptionen zur Verfügung, die in Zukunft wahrscheinlich nicht mehr angeboten werden. Oracle Identity Manager bietet Bereitstellungslösungen, die Sie anstelle von AMSDK verwenden können. Weitere Informationen zu Identity Manager finden Sie unter http://www.oracle.com/products/middleware/identity-management/identity-manager.html.
Wenn Sie Fragen zu oder Probleme mit OpenSSO 8.0 Update 2 oder einer folgenden Patch-Version haben, wenden Sie sich an Support Resources unter http://sunsolve.sun.com/.
Auf dieser Website finden Sie Verknüpfungen zur Knowledge Base, zum Online Support Center, zum ProductTracker und auch zu Wartungsprogrammen und Kontaktinformationen für den Kundendienst. Wenn Sie Hilfe zu einem Problem angeben, übermitteln Sie bitte die folgenden Informationen:
Beschreibung des Problems, einschließlich der Situation, in der das Problem aufgetreten ist und die damit verbundenen Auswirkungen auf den Betriebsablauf.
Rechnertyp, Version des Betriebssystems, Webcontainer und Version, JDK-Version und OpenSSO-Version, einschließlich der Patches und anderer Software, die sich auf das Problem auswirken kann.
Schritte zum Reproduzieren des Problems
Sämtliche Fehlerprotokolle oder Kernspeicherauszüge.
Um Zugriffsfunktionen zu erhalten, die seit der Herausgabe dieser Medien veröffentlicht wurden, lesen Sie die Section 508-bezogenen Product Assessments (Produktbewertungen), die von Sun auf Anfrage zur Verfügung gestellt werden.
Weitere Informationen zum Engagement von Oracle zur Steigerung der Zugänglichkeit finden Sie unter http://www.oracle.com/index.html.
In dieser Dokumentation wird auf URLs von Drittanbietern verwiesen, über die zusätzliche relevante Informationen zur Verfügung gestellt werden.
Oracle haftet nicht für die Verfügbarkeit der Websites Dritter, die in diesem Dokument erwähnt werden. Oracle unterstützt keine Inhalte, Werbung, Produkte oder sonstige Materialien, die auf oder über solche Websites oder Ressourcen verfügbar sind, und übernimmt keine Verantwortung oder Haftung dafür. Oracle übernimmt keine Verantwortung oder Haftung für tatsächliche oder angebliche Schäden oder Verluste, die durch den Gebrauch von oder in Verbindung mit derartigen Inhalten, Gütern oder Diensten entstanden sind, die auf diesen oder durch diese Websites oder Ressourcen verfügbar sind.