Java-Fedlet-Support für Attributabfrage (CR 6930476) (Oracle OpenSSO Update 2-Versionsinformationen)

Oracle OpenSSO Update 2-Versionsinformationen

Java-Fedlet-Support für Attributabfrage (CR 6930476)

Das Java-Fedlet unterstützt die SAMLv2-Attributabfrage zum Abfragen eines Identity-Anbieters, z. B. Oracle OpenSSO 8.0 Update 2, auf spezifische Identitätsattributwerte. Sie können das Fedlet zum Signieren der Abfrage und Verschlüsseln der Abfrage konfigurieren. Das Signieren ist zum Ausgeben einer Fedlet-Abfrage erforderlich, die Verschlüsselung ist jedoch optional.

So konfigurieren Sie das Java-Fedlet zur Attributsabfrage:

Aktivieren Sie die XML-Signierung zum Signieren der Attributsabfrage, wie beschrieben in Java-Fedlet-Support zum Signieren und Verschlüsseln.

Fügen Sie das im vorherigen Schritt generierte Zertifikat in das Element RoleDescriptor in der Fedlet-Datei sp.xml. Im folgenden Beispiel werden zwei KeyDescriptor-Tags dargestellt, in die Sie das Zertifikat einfügen. Eines wird zum Signieren verwendet, das andere zum Verschlüsseln. Wenn Sie die Verschlüsselung nicht aktivieren, ist der KeyDescriptor use="encryption" tag nicht erforderlich.

<RoleDescriptor xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xmlns:query="urn:oasis:names:tc:SAML:metadata:ext:query"
      xsi:type="query:AttributeQueryDescriptorType"
      protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>
            --certificate--
          </ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
  </KeyDescriptor>
  <KeyDescriptor use="encryption">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>
            --certificate--
          </ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    <EncryptionMethod
Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc">
<xenc:KeySize
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">128</xenc:KeySize>
    </EncryptionMethod>
  </KeyDescriptor>
</RoleDescriptor>

In der Java-Fedlet-Datei sp-extended.xml geben Sie den Wert für das Attribut signingCertAlias an und (wenn entsprechend konfiguriert) für das Attribut encryptionCertAlias an.

Wenn Sie beabsichtigen, den Identity-Anbieter zum Verschlüsseln der Behauptung zu verwenden, verschlüsseln Sie auch das Element NameID. Daher muss der Wert des Attributs wantNameIDEncrypted auf true eingestellt sein. Fügen Sie den XML-Code in das Element AttributeQueryConfig ein. Beispiel:
```
<Attribute name="signingCertAlias">
      <Value>test</Value>
</Attribute>
<Attribute name="encryptionCertAlias">
      <Value>test</Value>
</Attribute>
<Attribute name="wantNameIDEncrypted">
      <Value>true</Value>
</Attribute>
```
In diesem Beispiel ist test das Alias für den Musterschlüssel.

Importieren Sie die Java-Fedlet-Metadatendatei (sp.xml) in den Identity-Anbieter.

Führen Sie auch die zusätzlichen Konfigurationsschritte im Identity-Anbieter aus, um die Attributabfrage für das Fedlet zu unterstützen.