Compatibilidad del Fedlet de Java con la consulta de atributos (CR 6930476) (Notas de la versión de Oracle OpenSSO Update 2)

Notas de la versión de Oracle OpenSSO Update 2

Previous: Compatibilidad del Fedlet de Java con las firmas y el cifrado
Next: Cifrado y descifrado de solicitudes y respuestas por parte del Fedlet de .NET (CR 6939005)

Compatibilidad del Fedlet de Java con la consulta de atributos (CR 6930476)

El Fedlet de Java admite la consulta de atributos SAMLv2, lo que permite realizar una consulta en un proveedor de identidades como, por ejemplo, Oracle OpenSSO 8.0 Update 2 para buscar valores de atributos de identidad específicos. Puede configurar el Fedlet para que firme y cifre la consulta. La firma es necesaria para emitir la consulta del Fedlet, aunque el cifrado es opcional.

Para configurar el Fedlet de Java para una consulta de atributos

Habilite la firma XML para firmar la consulta de atributos, como se describe en Compatibilidad del Fedlet de Java con las firmas y el cifrado.

Agregue el certificado generado en el paso anterior al elemento RoleDescriptor del archivo sp.xml del Fedlet. En el siguiente ejemplo, hay dos etiquetas KeyDescriptor en las que se debe pegar el certificado. Una es para la firma y la otra para el cifrado. Si no va a habilitar el cifrado, la etiqueta KeyDescriptor use="encryption" no es necesaria.

<RoleDescriptor xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xmlns:query="urn:oasis:names:tc:SAML:metadata:ext:query"
      xsi:type="query:AttributeQueryDescriptorType"
      protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>
            --certificate--
          </ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
  </KeyDescriptor>
  <KeyDescriptor use="encryption">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>
            --certificate--
          </ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    <EncryptionMethod
Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc">
<xenc:KeySize
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">128</xenc:KeySize>
    </EncryptionMethod>
  </KeyDescriptor>
</RoleDescriptor>

En el archivo sp-extended.xml del Fedlet de Java, especifique un valor para el atributo signingCertAlias y para el atributo encryptionCertAlias si se ha configurado.

Si tiene intención de configurar el proveedor de identidades para cifrar la aserción, cifre también el elemento NameID. De este modo, el valor del atributo wantNameIDEncrypted debe establecerse en true (verdadero). Agregue el código XMl al elemento AttributeQueryConfig. Por ejemplo:
```
<Attribute name="signingCertAlias">
      <Value>test</Value>
</Attribute>
<Attribute name="encryptionCertAlias">
      <Value>test</Value>
</Attribute>
<Attribute name="wantNameIDEncrypted">
      <Value>true</Value>
</Attribute>
```
En este ejemplo, test es el alias de la clave de ejemplo.

Importe el archivo de metadatos del Fedlet de Java (sp.xml) en el proveedor de identidades.

Además, realice los siguientes pasos de configuración en el proveedor de identidades para admitir la consulta de atributos del Fedlet.