test

Oracle OpenSSO Update 2-Versionsinformationen

ProcedureSo konfigurieren Sie das Java-Fedlet zum Signieren und für die Verschlüsselung:

  1. Erstellen Sie eine Schlüsselspeicherdatei mit dem Namen keystore.jks mithilfe des Dienstprogramms keytool.

  2. Fügen Sie den privaten Schlüssel (und gegebenenfalls das öffentliche Zertifikat), der zum Signieren verwendet wird, und den privaten Schlüssel (und gegebenenfalls das öffentliche Zertifikat), der zum Verschlüsseln verwendet wird, in die Datei keystore.jks ein.

  3. Erstellen Sie eine .storepass-Datei.

  4. Fügen Sie das Passwort in die .storepass-Datei ein. Zum Verschlüsseln des Kennworts verwenden Sie fedletEncode.jsp.

  5. Erstellen Sie eine .keypass-Datei.

  6. Fügen Sie das Passwort in die Datei .keypass ein Zum Verschlüsseln des Kennworts verwenden Sie fedletEncode.jsp.

  7. Wenn Sie Klartextpasswörter verwenden, füllen Sie die folgende Zeile in der Datei FederationConfig.properties aus

    com.sun.identity.saml.xmlsig.passwordDecoder=
    com.sun.identity.fedlet.FedletEncodeDecode

  8. Legen Sie den vollständigen Pfad für die folgenden Attribute in der Datei FederationConfig.properties fest, wobei path der vollständige Pfad zur jeweiligen Datei ist:

    com.sun.identity.saml.xmlsig.keystore=path/keystore.jks
com.sun.identity.saml.xmlsig.storepass=path/.storepass
com.sun.identity.saml.xmlsig.keypass=path/.keypass

  9. Verwenden Sie keytool, um das Signierzertifikat zu exportieren Beispiel:

    keytool -export -keystore keystore.jks -rfc -alias test

    Das Tool fordert Sie auf, das Passwort einzugeben, das zum Zugreifen auf keystore.jks verwendet wird und generiert anschließend das Zertifikat.

  10. Wenn Sie ein Verschlüsselungszertifikat benötigen, verwenden Sie keytool, um es zu exportieren, wie im vorherigen Schritt dargestellt (Oder verwenden Sie das gleiche Zertifikat zum Signieren und für die Verschlüsselung.)

  11. Erstellen Sie einen KeyDescriptor-XML-Block und fügen Sie das Verschlüsselungszertifikat ein. Notieren Sie sich z B. den Tag use="signing" des Elements KeyDescriptor.

    <KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>
MIICQDCCAakCBEeNB0swDQYJKoZIhvcNAQEEBQAwZzELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNh
bGlmb3JuaWExFDASBgNVBAcTC1NhbnRhIENsYXJhMQwwCgYDVQQKEwNTdW4xEDAOBgNVBAsTB09w
ZW5TU08xDTALBgNVBAMTBHRlc3QwHhcNMDgwMTE1MTkxOTM5WhcNMTgwMTEyMTkxOTM5WjBnMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEUMBIGA1UEBxMLU2FudGEgQ2xhcmExDDAK
BgNVBAoTA1N1bjEQMA4GA1UECxMHT3BlblNTTzENMAsGA1UEAxMEdGVzdDCBnzANBgkqhkiG9w0B
AQEFAAOBjQAwgYkCgYEArSQc/U75GB2AtKhbGS5piiLkmJzqEsp64rDxbMJ+xDrye0EN/q1U5Of\+
RkDsaN/igkAvV1cuXEgTL6RlafFPcUX7QxDhZBhsYF9pbwtMzi4A4su9hnxIhURebGEmxKW9qJNY
Js0Vo5+IgjxuEWnjnnVgHTs1+mq5QYTA7E6ZyL8CAwEAATANBgkqhkiG9w0BAQQFAAOBgQB3Pw/U
QzPKTPTYi9upbFXlrAKMwtFf2OW4yvGWWvlcwcNSZJmTJ8ARvVYOMEVNbsT4OFcfu2/PeYoAdiDA
cGy/F2Zuj8XJJpuQRSE6PtQqBuDEHjjmOQJ0rV/r8mO1ZCtHRhpZ5zYRjhRC9eCbjx9VrFax0JDC
/FfwWigmrW0Y0Q==
          </ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
</KeyDescriptor>

  12. Erstellen Sie einen weiteren KeyDescriptor-XML-Block und fügen Sie das Verschlüsselungszertifikat ein. Notieren Sie sich z. B. den Tag use="encryption" des Elements KeyDescriptor:

    <KeyDescriptor use="encryption">
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <X509Data>
          <X509Certificate>
MIICQDCCAakCBEeNB0swDQYJKoZIhvcNAQEEBQAwZzELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNh
bGlmb3JuaWExFDASBgNVBAcTC1NhbnRhIENsYXJhMQwwCgYDVQQKEwNTdW4xEDAOBgNVBAsTB09w
ZW5TU08xDTALBgNVBAMTBHRlc3QwHhcNMDgwMTE1MTkxOTM5WhcNMTgwMTEyMTkxOTM5WjBnMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEUMBIGA1UEBxMLU2FudGEgQ2xhcmExDDAK
BgNVBAoTA1N1bjEQMA4GA1UECxMHT3BlblNTTzENMAsGA1UEAxMEdGVzdDCBnzANBgkqhkiG9w0B
AQEFAAOBjQAwgYkCgYEArSQc/U75GB2AtKhbGS5piiLkmJzqEsp64rDxbMJ+xDrye0EN/q1U5Of\+
RkDsaN/igkAvV1cuXEgTL6RlafFPcUX7QxDhZBhsYF9pbwtMzi4A4su9hnxIhURebGEmxKW9qJNY
Js0Vo5+IgjxuEWnjnnVgHTs1+mq5QYTA7E6ZyL8CAwEAATANBgkqhkiG9w0BAQQFAAOBgQB3Pw/U
QzPKTPTYi9upbFXlrAKMwtFf2OW4yvGWWvlcwcNSZJmTJ8ARvVYOMEVNbsT4OFcfu2/PeYoAdiDA
cGy/F2Zuj8XJJpuQRSE6PtQqBuDEHjjmOQJ0rV/r8mO1ZCtHRhpZ5zYRjhRC9eCbjx9VrFax0JDC
/FfwWigmrW0Y0Q==
          </X509Certificate>
        </X509Data>
      </KeyInfo>
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc">
  <KeySize xmlns="http://www.w3.org/2001/04/xmlenc#">128</KeySize>
</EncryptionMethod>
</KeyDescriptor>

  13. Fügen Sie in der Java-Fedlet-Datei sp.xml unter dem Element SPSSODescriptor die XML-Blöcke mit den Signier- und Verschlüsselungszertifikaten ein. Das Beispiel für ein SPSSODescriptor-Element finden Sie unter Beispiel 4–1.

    Das Attribut AuthnRequestsSigned ist auf true festgelegt, sodass das Java-Fedlet alle Authentifizierungsanforderungen konfiguriert.

  14. Stellen Sie in der Java-Fedlet-Datei sp-extended.xml die Werte für die folgenden Elemente ein.

    • signingCertAlias enthält das Alias des XML-Signierzertifikats im Schlüsselspeicher.

    • encryptionCertAlias enthält das Alias des XML-Verschlüsselungszertifikates im Schlüsselspeicher.

  15. Zum Umsetzen der vom Java-Fedlet-Dienstanbieter verschlüsselten Daten stellen Sie die folgenden Attribute in der Datei sp-extended.xml auf true ein.

    • wantAssertionEncrypted

    • wantNameIDEncrypted

    • wantAttributeEncrypted

  16. Um die Daten, die der Java-Fedlet-Dienstanbieter verschlüsselt hat und signieren lassen möchte, stellen Sie die folgenden Attribute auf true ein.

    • wantAuthnRequestsSigned in der Datei idp.xml teilt dem Fedlet mit, was verschlüssel werden muss.

    • AuthnRequestsSigned und WantAssertionsSigned in der Datei sp.xml teilen dem Identity-Anbieter mit, was das Fedlet signieren will.

    • wantArtifactResponseSigned in der Datei sp-extended.xml teilt dem Fedlet mit, was signiert werden soll.

    • wantPOSTResponseSigned in der Datei sp-extended.xml .

    • wantLogoutRequestSigned in der Datei sp-extended.xml .

    • wantLogoutResponseSigned in der Datei sp-extended.xml .

    Wenn der Identity-Anbieter für bestimmte Nachrichten eine Signierung benötigt, stellen Sie in der Datei idp-extended.xml true ein. Beispielsweise wantLogoutRequestSignedund wantLogoutResponseSigned.

    Hinweis –

    Wenn Sie in der Datei sp-extended.xml Attribute festlegen, teilen Sie diese Informationen dem Identity-Anbieteradministrator mit, sodass er die erforderlichen Änderungen im Identity-Anbieter vornehmen kann.

  17. Starten Sie den Java-Fedlet-Webcontainer erneut.

  18. Importieren Sie die Java-Fedlet-Datei sp.xml in den Identity-Anbieter.

Beispiel 4–1 Java-Fedlet-Musterelement SPSSODescriptor.

<EntityDescriptor entityID="fedlet"
xmlns="urn:oasis:names:tc:SAML:2.0:metadata">

<SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="false"
protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<b><KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>
MIICQDCCAakCBEeNB0swDQYJKoZIhvcNAQEEBQAwZzELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNh
bGlmb3JuaWExFDASBgNVBAcTC1NhbnRhIENsYXJhMQwwCgYDVQQKEwNTdW4xEDAOBgNVBAsTB09w
ZW5TU08xDTALBgNVBAMTBHRlc3QwHhcNMDgwMTE1MTkxOTM5WhcNMTgwMTEyMTkxOTM5WjBnMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEUMBIGA1UEBxMLU2FudGEgQ2xhcmExDDAK
BgNVBAoTA1N1bjEQMA4GA1UECxMHT3BlblNTTzENMAsGA1UEAxMEdGVzdDCBnzANBgkqhkiG9w0B
AQEFAAOBjQAwgYkCgYEArSQc/U75GB2AtKhbGS5piiLkmJzqEsp64rDxbMJ+xDrye0EN/q1U5Of\+
RkDsaN/igkAvV1cuXEgTL6RlafFPcUX7QxDhZBhsYF9pbwtMzi4A4su9hnxIhURebGEmxKW9qJNY
Js0Vo5+IgjxuEWnjnnVgHTs1+mq5QYTA7E6ZyL8CAwEAATANBgkqhkiG9w0BAQQFAAOBgQB3Pw/U
QzPKTPTYi9upbFXlrAKMwtFf2OW4yvGWWvlcwcNSZJmTJ8ARvVYOMEVNbsT4OFcfu2/PeYoAdiDA
cGy/F2Zuj8XJJpuQRSE6PtQqBuDEHjjmOQJ0rV/r8mO1ZCtHRhpZ5zYRjhRC9eCbjx9VrFax0JDC
/FfwWigmrW0Y0Q==
          </ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>

</KeyDescriptor></b>
<b><KeyDescriptor use="encryption">
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <X509Data>
          <X509Certificate>
MIICQDCCAakCBEeNB0swDQYJKoZIhvcNAQEEBQAwZzELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNh
bGlmb3JuaWExFDASBgNVBAcTC1NhbnRhIENsYXJhMQwwCgYDVQQKEwNTdW4xEDAOBgNVBAsTB09w
ZW5TU08xDTALBgNVBAMTBHRlc3QwHhcNMDgwMTE1MTkxOTM5WhcNMTgwMTEyMTkxOTM5WjBnMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEUMBIGA1UEBxMLU2FudGEgQ2xhcmExDDAK
BgNVBAoTA1N1bjEQMA4GA1UECxMHT3BlblNTTzENMAsGA1UEAxMEdGVzdDCBnzANBgkqhkiG9w0B
AQEFAAOBjQAwgYkCgYEArSQc/U75GB2AtKhbGS5piiLkmJzqEsp64rDxbMJ+xDrye0EN/q1U5Of\+
RkDsaN/igkAvV1cuXEgTL6RlafFPcUX7QxDhZBhsYF9pbwtMzi4A4su9hnxIhURebGEmxKW9qJNY
Js0Vo5+IgjxuEWnjnnVgHTs1+mq5QYTA7E6ZyL8CAwEAATANBgkqhkiG9w0BAQQFAAOBgQB3Pw/U
QzPKTPTYi9upbFXlrAKMwtFf2OW4yvGWWvlcwcNSZJmTJ8ARvVYOMEVNbsT4OFcfu2/PeYoAdiDA
cGy/F2Zuj8XJJpuQRSE6PtQqBuDEHjjmOQJ0rV/r8mO1ZCtHRhpZ5zYRjhRC9eCbjx9VrFax0JDC
/FfwWigmrW0Y0Q==
          </X509Certificate>
        </X509Data>
      </KeyInfo>

<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc">
<KeySize xmlns="http://www.w3.org/2001/04/xmlenc#">128</KeySize>
</EncryptionMethod>
</KeyDescriptor></b>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat
><AssertionConsumerService index="1"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="http://server.sun.com:7070/fedlet/fedletapplication"/>
</SPSSODescriptor>
</EntityDescriptor>