Informationen zum Oracle OpenSSO Fedlet

Das Oracle OpenSSO Fedlet ist ein Lightweight-Dienstanbieter-Implementierung, die mit Java oder der .NET-Dienstanbieteranwendung bereitgestellt werden kann, sodass die Anwendung mit einem Identity-Anbieter, z. B. Oracle OpenSSO 8.0 Update 2, mithilfe des SAMLv2-Protokolls kommunizieren kann. Abhänging von der Plattform hat das Fedlet zwei Versionen:

• Das Java Fedlet wurde zuerst in OpenSSO 8.0 veröffentlicht. Informationen finden Sie in Kapitel 5, Using the OpenSSO Enterprise Fedlet to Enable Identity Federation in Sun OpenSSO Enterprise 8.0 Deployment Planning Guide.

• Das .NET Fedlet wurde in OpenSSO 8.0 Update 1 veröffentlicht. Informationen finden Sie in Kapitel 10, Using the ASP.NET Fedlet with OpenSSO Enterprise 8.0 Update 1 in Sun OpenSSO Enterprise 8.0 Update 1 Release Notes.

In Oracle OpenSSO 8.0 Update 2 ist das Fedlet in folgender Form verfügbar:

• Nachdem Sie die OpenSSO 8.0 Update 2-ZIP-Datei dekomprimiert haben, sind das Java Fedlet und .NET Fedlet in der folgenden Datei verfügbar:

  zip-root/opensso/fedlet/fedlet-unconfigured.zip, wobei zip-root der Pfad ist, an dem Sie die Datei Oracle OpenSSO 8.0 Update 2 ZIP dekomprimiert haben.

• Wenn Sie Oracle OpenSSO 8.0 Update 2 installiert haben, können Sie das Java Fedlet mithilfe des Arbeitsablaufs Create Fedlet (Fedlet erstellen) unter Common Tasks (Allgemeine Aufgaben) in der OpenSSO 8.0-Administrationskonsole erstellen.

Anforderungen für das Oracle OpenSSO Fedlet

Für das Fedlet gelten die folgenden Anforderungen:

• Von Oracle OpenSSO 8.0 Update 2 unterstützter Webcontainer, wenn Sie beansichtigen, fedlet.war oder eine Java-Dienstanbieteranwendung bereitzustellen, die im Fedlet integriert ist. Siehe Hardware- und Software-Anforderungen für OpenSSO 8.0 Update 2

• Microsoft Internet Information Server (IIS) 7.0 und höher, wenn Sie beabsichtigen, das .NET Fedlet bereitzustellen.

• JDK 1.6.x und höher.

Oracle OpenSSO Fedlet-Konfiguration

In diesem Abschnitt wird beschrieben, wie das Fedlet zuerst mit einer Dienstanbieteranwendung konfiguriert wird:

• So konfigurieren Sie das Java-Fedlet

• So konfigurieren Sie das .NET-Fedlet.

Wenn Sie die erste Konfiguration für das Fedlet abgeschlossen haben, fahren Sie mit weiteren Konfigurationen fort, die Sie wünschen. Folgende Aspekte sind zu beachten:

• Wenn Sie die Fedlet-Datei sp.xml ändern, müssen Sie diese Datei erneut in den Idenitätsanbieter importieren.

• Wenn Sie weitere Änderungen an der Fedlet-Konfiguration auf Seite des Dienstanbieters vornehmen, teilen Sie diese Informationen dem Identity-Anbieteradministrator mit, damit die erforderlichen Konfigurationsänderungen auf der Seite des Idenitätsanbieters erfolgen können.

So konfigurieren Sie das Java-Fedlet

1. Generieren Sie auf der Seite des Identity-Anbieters die XML-Metadaten für den Identity-Anbieter und speichern Sie die Metadaten in einer Datei mit dem Namen idp.xml.

   Für Oracle OpenSSO 8.0 Update 2 verwenden Sie exportmetadata.jsp. Beispiel:

   http://opensso-idp.example.com:8080/opensso/saml2/jsp/exportmetadata.jsp

2. Auf der Seite des Dienstanbieters dekomprimieren Sie bei Bedarf die Fedlet-ZIP-Datei.

3. Erstellen Sie das Fedlet-Homeverzeichnis. Hierbei handelt es sich um das Verzeichnis, in dem das Fedlet seine Metadaten, seinen Vertrauenskreis und die Konfigurationseigenschaftendateien liest.

   Die Standardposition ist das Fedlet-Unterverzeichnis unter dem Home-Verzeichnis des Benutzers, der den Fedlet-Webcontainer ausführt (angegeben durch die JVM-Eigenschaft user.home). Wenn dieses Home-Verzeichnis beispielsweise /home/webservd ist das Fedlet-Homeverzeichnis

   /home/webservd/fedlet

   Zum Ändern des Standard-Fedlet-Home-Verzeichnisses stellen Sie den Wert der JVM-Laufzeiteigenschaft com.sun.identity.fedlet.home auf den gewünschten Speicherort ein. Beispiel:

   -Dcom.sun.identity.fedlet.home=/export/fedlet/conf

   Das Fedlet liest anschließend seine Metadaten, den Vertrauenskreis und die Konfigurationsdateien aus dem Verzeichnis /export/fedlet/conf.

4. Kopiere die folgenden Dateien aus dem Java-Fedlet-Verzeichnis java/conf in das Fedlet-Home-Verzeichnis:

   • sp.xml-template

   • sp-extended.xml-template

   • idp-extended.xml-template

   • fedlet.cot-template

5. Im Fedlet-Home-Verzeichnis benennst du die kopierten Dateien um und legst für jeden Namen -template ab.

6. In den Dateien, die du im Fedlet-Home-Verzeichnis kopiert und umbenannt hast, ersetzt du die Tags, wie in der nächsten Tabelle dargestellt:

   Tag	Ersetzen mit
   FEDLET_COT	Name des Vertrauenskreises (Circle of Trust, COT), dessen Mitglieder der Remote-Identity-Anbieter und die Java-Fedlet-Dienstanbieteranwendung sind.
   FEDLET_ENTITY_ID	ID (Name) der Java-Fedlet-Dienstanbieteranwendung. Beispiel: fedletsp
   FEDLET_PROTOCOL	Protokoll des Webcontainers für die Java-Fedlet-Dienstanbieteranwendung (z. B. fedlet.war). Z. B.: https
   FEDLET_HOST	Hostname des Webcontainers für die Java-Fedlet-Dienstanbieteranwendung (z. B. fedlet.war). Z. B.: fedlet-host.example.com
   FEDLET_PORT	Anschlussnummer des Webcontainers für die Java-Fedlet-Dienstanbieteranwendung (z. B. fedlet.war). Z. B. 80
   FEDLET_DEPLOY_URI	URL der Java-Fedlet-Dienstanbieteranwendung Z. B.: http://fedletsp.example.com/myFedletApp
   IDP_ENTITY_ID	ID (Name) des Remote-Identity-Anbieters Z. B.: openssoidp
   Hinweis: Wenn der Fedlet-Dienstanbieter oder die Identity-Anbieterentität-ID ein Prozentzeichen (%) oder Komma (,) enthalten, müssen Sie das Zeichen verlassen, bevor Sie es in der Datei fedlet.cot ersetzen. Ändern Sie z. B. ?%“ in ?%25“ und ?,“ in ?%2C“.

7. Kopieren Sie die Datei FedletConfiguration.properties aus dem Java-Fedlet-Verzeichnis java/conf in das Fedlet-Home-Verzeichnis.

8. Kopieren Sie die Idenitätsanbieter-Standardmetadaten-XML-Datei (aus Schritt 1) in das Fedlet-Home-Verzeichnis. Diese Datei muss mit idp.xml bezeichnet werden.

9. Importieren Sie die Java-Fedlet-XML-Metadatendatei sp.xml) in den Identity-Anbieter.

   Für Oracle OpenSSO 8.0 Update 2 verwenden Sie den Arbeitsablauf Register Remote Service Provider unter Common Tasks in der OpenSSO 8.0-Administrationskonsole, um die Java-Fedlet-Dienstanbietermetadaten zu importieren und den Java-Fedlet-Dienstanbieter in einen Vertrauenskreis aufzunehmen.

Nächste Schritte

Abhängig von Ihren Anforderungen fahren Sie mit der weiteren Konfiguration für das Java-Fedlet fort.

So konfigurieren Sie das .NET-Fedlet.

1. Generieren Sie auf der Seite des Identity-Anbieters die XML-Metadaten für den Identity-Anbieter und speichern Sie die Metadaten in einer Datei mit dem Namen idp.xml.

   Für Oracle OpenSSO 8.0 Update 2 verwenden Sie exportmetadata.jsp. Beispiel:

   http://opensso-idp.example.com:8080/opensso/saml2/jsp/exportmetadata.jsp

2. Auf der Seite des Dienstanbieters dekomprimieren Sie bei Bedarf die Fedlet-ZIP-Datei.

3. Kopieren Sie die folgenden Dateien aus dem .NET-Fedlet-Ordner asp.net/conf in den App_Data-Ordner Ihrer Anwendung.

   • sp.xml-template

   • sp-extended.xml-template

   • idp-extended.xml-template

   • fedlet.cot-template

4. Im Ordner App_Data benennen Sie die Dateien um, die Sie kopiert haben, und legen -template für jeden Namen ab.

5. In den Dateien, die Sie im Ordner App_Data kopiert und umbenannt haben, ersetzen Sie die Tags, wie in der nächsten Tabelle dargestellt.

   Tag	Ersetzen mit
   FEDLET_COT	Name des Vertrauenskreises (Circle of Trust, COT), dessen Mitglieder der Remote-Identity-Anbieter und die Java-Fedlet-Dienstanbieteranwendung sind.
   FEDLET_ENTITY_ID	ID (Name) der Java-Fedlet-Dienstanbieteranwendung. Beispiel: fedletsp
   FEDLET_DEPLOY_URI	URL der Java-Fedlet-Dienstanbieteranwendung. Z. B.: http://fedletsp.example.com/myFedletApp
   IDP_ENTITY_ID	ID (Name) des Remote-Identity-Anbieters Z. B.: openssoidp

6. Kopieren Sie die Identity-Anbieter-Standardmetadaten-XML-Datei (aus Schritt 1) in den Ordner App_Data Ihrer Anwendung. Diese Datei muss mit idp.xml bezeichnet werden.

7. Kopieren Sie die Datei Fedlet.dll und Fedlet.dll.config aus dem .NET-Fedlet-Ordner asp.net/bin in den Ordner bin der Anwendung.

8. Importieren Sie die .NET-Fedlet-XML-Metadatendatei (sp.xml) in den Identity-Anbieter.

   Für Oracle OpenSSO 8.0 Update 2 verwenden Sie den Arbeitsablauf Register Remote Service Provider unter Common Tasks in der OpenSSO 8.0-Administrationskonsole, um die .NET-Fedlet-Dienstanbietermetadaten zu importieren und den .NET-Fedlet-Dienstanbieter in einen Vertrauenskreis aufzunehmen.

Nächste Schritte

Abhängig von Ihren Anforderungen fahren Sie mit der weiteren Konfiguration für das .NET-Fedlet fort.