Le service de jeton de sécurité (STS) de OpenSSO d'Oracle établit une relation de confiance entre un client de services Web et un fournisseur de services Web, puis agit en tant que courtier entre eux. Le service Web peut compter sur les jetons émis par une seule entité OpenSSO STS au lieu d'avoir à communiquer avec plusieurs clients. Ainsi, OpenSSO STS réduit considérablement les frais de gestion du point de confiance.
Les sections suivantes fournissent des instructions sur la détermination de vos besoins en jetons de sécurité, et sur la configuration du service de jeton de sécurité pour générer et valider des jetons afin de répondre à ces besoins.
Lorsque vous ajoutez un nouveau profil d'agent de sécurité de fournisseur de services Web, ce dernier est automatiquement enregistré sur OpenSSO STS. Consultez les sections suivantes pour en savoir plus :
Une fois que vous avez enregistré un fournisseur de services Web sur OpenSSO STS, vous pouvez configurer ce service de façon à ce qu'il génère des jetons de sécurité de client Web acceptables par le fournisseur de services Web.
Avant de pouvoir configurer le service de jeton de sécurité, pour générer des jetons de sécurité de client Web, vous devez déterminer le type de jeton dont le fournisseur de services Web a besoin. OpenSSO STS prend en charge les jetons de sécurité du projet Liberty Alliance et les jetons du profil de sécurité de base d'interopérabilité avec les services Web.
Lorsque la sécurité est activée à l'aide de jetons du projet Liberty Alliance, le client HTTP, ou le navigateur, envoie une requête d'accès via le client de services Web au fournisseur de services Web. Un agent de sécurité des services Web redirige la requête vers le service d'authentification OpenSSO STS. Une fois le mécanisme de sécurité du projet Liberty Alliance en place, un agent de sécurité HTTP émet la redirection. Lorsque la sécurité WS-IBS est utilisée, un agent de sécurité SOAP émet la redirection.
Le service d'authentification STS de OpenSSO détermine le mécanisme de sécurité enregistré par le fournisseur de services Web, et récupère les jetons de sécurité appropriés. Suite à une authentification réussie, le client des services Web fournit un corps de message SOAP alors que l'agent de sécurité SOAP du côté du client des services Web insère l'en-tête de sécurité et un jeton. Le message est alors signé avant l'envoi de la requête au fournisseur de services Web.
L'agent de sécurité SOAP du côté du fournisseur de services Web vérifie la sécurité et le jeton de sécurité de la requête SOAP avant de transférer la requête au fournisseur de services Web lui-même. Le fournisseur de services Web la traite ensuite et renvoie une réponse, signée par l'agent de sécurité SOAP, au client des services Web. L'agent de sécurité SOAP du côté du client des services Web vérifie alors la signature avant de transférer la réponse au client des services Web.
Le tableau suivant comporte une liste et de brèves descriptions des jetons pris en charge pour les transactions du projet Liberty Alliance.
Tableau 3–1 Jetons du demandeur : Projet Liberty Alliance
Le tableau suivant comporte une liste et de brèves descriptions des jetons pris en charge pour les transactions WS-IBS.
Tableau 3–2 Jetons du demandeur - WS-IBS
Utilisez la matrice de génération de jetons de sécurité pour vous aider à configurer OpenSSO STS afin de générer un jeton de sécurité de client de services Web requis par le fournisseur de services Web. Tout d'abord, dans la dernière colonne intitulée Jeton de sortie OpenSSO STS, recherchez une description qui répond aux besoins en jetons du fournisseur de services Web. Puis utilisez les valeurs des paramètres de la même ligne lorsque vous configurez le service de jeton de sécurité. La « légende de la matrice de génération de jetons » fournit des informations sur les en-têtes de tableau et les options disponibles. Consultez la section 5.2.3, « Pour configurer le service de jeton de sécurité » pour obtenir des instructions détaillées sur la configuration. Pour obtenir des informations générales sur la sécurité des services Web et la terminologie associée, consultez :
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
La matrice de génération de jetons de sécurité résume les paramètres fréquemment utilisés du service de jeton de sécurité et les types de jetons de sécurité que OpenSSO STS génère en fonction de ces paramètres.
Tableau 3–3 Matrice de génération de jetons de sécurité
Ligne |
Liaison de sécurité au niveau des messages |
Jeton de client de services Web |
Type de clé |
Pour le jeton |
Clé d'utilisation |
Jeton de sortie de OpenSSO STS |
1 |
Asymétrique |
X509 |
Bearer |
Oui |
Aucun |
Bearer SAML, pas de clé de vérification |
2 |
Asymétrique |
Nom d'utilisateur |
Bearer |
Oui |
Aucun |
Bearer SAML, pas de clé de vérification |
3 |
Asymétrique |
X509 |
Bearer |
Aucun |
Aucun |
Bearer SAML, pas de clé de vérification |
4 |
Asymétrique |
Nom d'utilisateur |
Bearer |
Aucun |
Aucun |
Bearer SAML, pas de clé de vérification |
5 |
Asymétrique |
X509 |
Symétrique |
Oui |
Aucun |
Détenteur de clé SAML, clé de vérification symétrique |
6 |
Asymétrique |
Nom d'utilisateur |
Symétrique |
Oui |
Aucun |
Détenteur de clé SAML, clé de vérification symétrique |
7 |
Asymétrique |
X509 |
Symétrique |
Aucun |
Aucun |
Détenteur de clé SAML, symétrique |
8 |
Asymétrique |
Nom d'utilisateur |
Symétrique |
Aucun |
Aucun |
Détenteur de clé SAML, clé de vérification symétrique |
9 |
Asymétrique |
X509 |
Asymétrique |
Aucun |
Clé publique du client de services Web |
Détenteur de clé SAML, clé de vérification asymétrique |
10 |
Asymétrique |
X509 |
Propriétaire Oracle pour les bons d'expéditeur SAML |
Oui |
Aucun |
Bons d'expéditeur SAML, pas de clé de vérification |
11 |
Asymétrique |
Nom d'utilisateur |
Propriétaire Oracle pour les bons d'expéditeur SAML |
Oui |
Aucun |
Bons d'expéditeur SAML, pas de clé de vérification |
12 |
Asymétrique |
X509 |
Propriétaire Oracle pour les bons d'expéditeur SAML |
Aucun |
Aucun |
ERREUR |
13 |
Asymétrique |
Nom d'utilisateur |
Propriétaire Oracle pour les bons d'expéditeur SAML |
Aucun |
Aucun |
ERREUR |
14 |
Transport |
Nom d'utilisateur |
Bearer |
Oui |
Aucun |
Bearer SAML, pas de clé de vérification |
15 |
Transport |
Nom d'utilisateur |
Bearer |
Aucun |
Aucun |
Bearer SAML, pas de clé de vérification |
16 |
Transport |
Nom d'utilisateur |
Symétrique |
Oui |
Aucun |
Détenteur de clé SAML, symétrique |
17 |
Transport |
Nom d'utilisateur |
Symétrique |
Aucun |
Aucun |
Détenteur de clé SAML, clé de vérification symétrique |
18 |
Transport |
Nom d'utilisateur |
Propriétaire Oracle pour les bons d'expéditeur SAML |
Oui |
Aucun |
Bons d'expéditeur SAML, pas de clé de vérification |
19 |
Transport |
Nom d'utilisateur |
Propriétaire Oracle pour les bons d'expéditeur SAML |
Aucun |
Aucun |
ERREUR |
20 |
Asymétrique |
Nom d'utilisateur |
Asymétrique |
Aucun |
Clé publique du client de services Web |
ERREUR |
21 |
Transport |
Nom d'utilisateur |
Asymétrique |
Aucun |
Clé publique du client de services Web |
ERREUR |
22 |
Asymétrique |
X509 |
Asymétrique |
Oui |
Aucun |
ERREUR |
23 |
Asymétrique |
Nom d'utilisateur |
Asymétrique |
Oui |
Aucun |
ERREUR |
24 |
Transport |
Nom d'utilisateur |
Asymétrique |
Oui |
Aucun |
ERREUR |
25 |
Asymétrique |
X509 |
Asymétrique |
Aucun |
Aucun |
Détenteur de clé SAML, clé de vérification asymétrique |
26 |
Asymétrique |
X509 |
Aucun |
Aucun |
Aucun |
Détenteur de clé SAML, clé de vérification asymétrique |
27 |
Asymétrique |
Nom d'utilisateur |
Aucun |
Aucun |
Aucun |
Détenteur de clé SAML, clé de vérification symétrique |
28 |
Transport |
Nom d'utilisateur |
Aucun |
Aucun |
Aucun |
Détenteur de clé SAML, clé de vérification symétrique |