Processus de génération de jetons de sécurité (Notes de version de la mise à jour 2 de OpenSSO d'Oracle)

Notes de version de la mise à jour 2 de OpenSSO d'Oracle

Processus de génération de jetons de sécurité

Lorsque la sécurité est activée à l'aide de jetons du projet Liberty Alliance, le client HTTP, ou le navigateur, envoie une requête d'accès via le client de services Web au fournisseur de services Web. Un agent de sécurité des services Web redirige la requête vers le service d'authentification OpenSSO STS. Une fois le mécanisme de sécurité du projet Liberty Alliance en place, un agent de sécurité HTTP émet la redirection. Lorsque la sécurité WS-IBS est utilisée, un agent de sécurité SOAP émet la redirection.

Le service d'authentification STS de OpenSSO détermine le mécanisme de sécurité enregistré par le fournisseur de services Web, et récupère les jetons de sécurité appropriés. Suite à une authentification réussie, le client des services Web fournit un corps de message SOAP alors que l'agent de sécurité SOAP du côté du client des services Web insère l'en-tête de sécurité et un jeton. Le message est alors signé avant l'envoi de la requête au fournisseur de services Web.

L'agent de sécurité SOAP du côté du fournisseur de services Web vérifie la sécurité et le jeton de sécurité de la requête SOAP avant de transférer la requête au fournisseur de services Web lui-même. Le fournisseur de services Web la traite ensuite et renvoie une réponse, signée par l'agent de sécurité SOAP, au client des services Web. L'agent de sécurité SOAP du côté du client des services Web vérifie alors la signature avant de transférer la réponse au client des services Web.

Le tableau suivant comporte une liste et de brèves descriptions des jetons pris en charge pour les transactions du projet Liberty Alliance.

Tableau 3–1 Jetons du demandeur : Projet Liberty Alliance


Jeton	Répond à ces besoins
X.509	Le service Web sécurisé utilise une infrastructure de clé publique (PKI) dans laquelle le client des services Web fournit une clé publique comme moyen d'identifier le demandeur, et de l'authentifier avec le fournisseur de services Web. Le service Web sécurisé utilise une infrastructure de clé publique (PKI) dans laquelle le client des services Web fournit une clé publique comme moyen d'identifier le demandeur, et de l'authentifier avec le fournisseur de services Web.
Jeton Bearer	Le service Web sécurisé utilise la méthode de confirmation du jeton Bearer SAML (Security Assertion Markup Language). Le client des services Web fournit une assertion SAML avec les informations sur la clé publique comme moyen d'authentifier le demandeur pour le fournisseur de services Web. Une seconde signature associé l'assertion au message SOAP. La liaison de la seconde signature utilise des règles définies par le projet Liberty Alliance.
Jeton SAML	Le service Web sécurité utilise la méthode de confirmation du détenteur de clé. Le client des services Web ajoute une assertion SAML et une signature numérique à un en-tête SOAP. Un certificat d'expéditeur ou une clé publique est également fourni avec la signature. L'envoi est traité à l'aide de règles définies par le projet Liberty Alliance.

Le tableau suivant comporte une liste et de brèves descriptions des jetons pris en charge pour les transactions WS-IBS.

Tableau 3–2 Jetons du demandeur - WS-IBS


Jeton	Répond à ces besoins
Nom d’utilisateur	Le service Web sécurisé nécessite un nom d'utilisateur, un mot de passe et, en option, une signature de la requête. Le client du service Web fournit un jeton de nom d'utilisateur comme moyen d'identifier le demandeur. Le client du service Web fournit un mot de passe, un secret partagé ou un équivalent de mot de passe pour authentifier l'identité pour le fournisseur de services Web.
X.509	Le service Web sécurisé utilise une infrastructure de clé publique (PKI) dans laquelle le client des services Web fournit une clé publique comme moyen d'identifier le demandeur et d'accomplir l'authentification avec le fournisseur de services Web.
Détenteur de clé SAML	Le service Web sécurité utilise la méthode de confirmation du détenteur de clé. Le client des services Web fournit une assertion SAML avec les informations sur la clé publique comme moyen d'authentifier le demandeur pour le fournisseur de services Web. Une seconde signature associé l'assertion à la charge utile SOAP.
Bons d'expéditeur SAML	Le service Web sécurité utilise la méthode de confirmation des bons d'expéditeur SAML. Le client des services Web ajoute une assertion SAML et une signature numérique à un en-tête SOAP. Un certificat d'expéditeur ou une clé publique est également fourni avec la signature.