使用安全令牌生成矩阵可以帮助您配置 OpenSSO STS 以生成 Web 服务提供者所需的 Web 服务客户端安全令牌。首先,在名为“OpenSSO STS 输出令牌”的最后一列中,找到满足 Web 服务提供者令牌要求的描述。然后,使用同一行中的参数值来配置安全令牌服务。“令牌生成矩阵图例”提供有关表标题和可用选项的信息。有关详细的配置说明,请参见第 5.2.3 部分“配置安全令牌服务”。有关 Web 服务安全性和相关术语的一般信息,请参见:
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
安全令牌生成矩阵汇总了常用的安全令牌服务参数设置和 OpenSSO STS 基于这些设置生成的安全令牌的类型。
表 3–3 安全令牌生成矩阵
行 |
消息级别安全绑定 |
Web 服务客户端令牌 |
KeyType |
代表令牌 |
使用密钥 |
OpenSSO STS 输出令牌 |
1 |
非对称 |
X509 |
持有者 |
是 |
否 |
SAML 持有者,无证明密钥 |
2 |
非对称 |
用户名 |
持有者 |
是 |
否 |
SAML 持有者,无证明密钥 |
3 |
非对称 |
X509 |
持有者 |
否 |
否 |
SAML 持有者,无证明密钥 |
4 |
非对称 |
用户名 |
持有者 |
否 |
否 |
SAML 持有者,无证明密钥 |
5 |
非对称 |
X509 |
对称 |
是 |
否 |
SAML 密钥持有者,对称证明密钥 |
6 |
非对称 |
用户名 |
对称 |
是 |
否 |
SAML 密钥持有者,对称证明密钥 |
7 |
非对称 |
X509 |
对称 |
否 |
否 |
SAML 密钥持有者,对称 |
8 |
非对称 |
用户名 |
对称 |
否 |
否 |
SAML 密钥持有者,对称证明密钥 |
9 |
非对称 |
X509 |
非对称 |
否 |
Web 服务客户端公钥 |
SAML 密钥持有者,非对称证明密钥 |
150 |
非对称 |
X509 |
Oracle 专属 SAML 发件人担保 |
是 |
否 |
SAML 发件人担保,无证明密钥 |
11 |
非对称 |
用户名 |
Oracle 专属 SAML 发件人担保 |
是 |
否 |
SAML 发件人担保,无证明密钥 |
12 |
非对称 |
X509 |
Oracle 专属 SAML 发件人担保 |
否 |
否 |
错误 |
13 |
非对称 |
用户名 |
Oracle 专属 SAML 发件人担保 |
否 |
否 |
错误 |
14 |
传输 |
用户名 |
持有者 |
是 |
否 |
SAML 持有者,无证明密钥 |
15 |
传输 |
用户名 |
持有者 |
否 |
否 |
SAML 持有者,无证明密钥 |
16 |
传输 |
用户名 |
对称 |
是 |
否 |
SAML 密钥持有者,对称 |
17 |
传输 |
用户名 |
对称 |
否 |
否 |
SAML 密钥持有者,对称证明密钥 |
18 |
传输 |
用户名 |
Oracle 专属 SAML 发件人担保 |
是 |
否 |
SAML 发件人担保,无证明密钥 |
19 |
传输 |
用户名 |
Oracle 专属 SAML 发件人担保 |
否 |
否 |
错误 |
20 |
非对称 |
用户名 |
非对称 |
否 |
Web 服务客户端公钥 |
错误 |
21 |
传输 |
用户名 |
非对称 |
否 |
Web 服务客户端公钥 |
错误 |
22 |
非对称 |
X509 |
非对称 |
是 |
否 |
错误 |
23 |
非对称 |
用户名 |
非对称 |
是 |
否 |
错误 |
24 |
传输 |
用户名 |
非对称 |
是 |
否 |
错误 |
25 |
非对称 |
X509 |
非对称 |
否 |
否 |
SAML 密钥持有者,非对称证明密钥 |
26 |
非对称 |
X509 |
否 |
否 |
否 |
SAML 密钥持有者,非对称证明密钥 |
27 |
非对称 |
用户名 |
否 |
否 |
否 |
SAML 密钥持有者,对称证明密钥 |
28 |
传输 |
用户名 |
否 |
否 |
否 |
SAML 密钥持有者,对称证明密钥 |