本章包含以下主題:
OpenSSO 8.0 Update 2 中提供了安全性代表字元服務和 OpenSSO Fedlet 的增強功能。
現在,安全性代表字元服務提供以下新功能:
支援 TokenType 以產生特定 Web 服務提供者安全性代表字元。
對於以 X509 和使用者名稱安全性代表字元作為請求者,同時支援非對稱和傳輸連結。
使用使用者名稱透過 SSL 配置 OpenSSO STS 時,透過使用者名稱安全性代表字元實現 SSL/傳輸連結。
為使用 useKey 作為 Web 服務用戶端公開金鑰的非對稱 KeyType 頒發 SAML 金鑰所有者安全性代表字元,及頒發 Web 服務用戶端 X509 安全性代表字元。
WSDL 根據安全性代表字元配置動態更新。
支援透過 Web 服務提供者公開金鑰進行加密。
在將靜態使用者名稱密碼儲存到配置存放區之前對其進行加密。
支援透過 WS-Trust 請求將使用者名稱代表字元作為代理安全性代表字元。
支援頒發 SAML 載送程式代表字元。
新的 Web 服務安全性認證模組 WSSAuth 支援摘要密碼驗證。
新的 OAMAuth 認證模組透過將 Oracle Access Manager 與 OpenSSO 配合使用,支援單次登入。
如需詳細資訊,請參閱第 3 章使用安全性代表字元服務。
現在,Fedlet 提供以下新功能:
在 .NET Fedlet 中支援加密
在 .NET Fedlet 中支援簽名
現在,.NET Fedlet 支援單次登出
.NET Fedlet 支援服務提供者啟動的單次登入和小工具
在 .NET Fedlet 中支援多個識別提供者和識別提供者探索
在 Fedlet 的特性和配置檔案中提供版本資訊
新密碼服務提供者介面實作
支援屬性查詢
支援單次登出
如需詳細資訊,請參閱第 4 章使用 Oracle OpenSSO Fedlet。
OpenSSO 8.0 Update 2 支援在「Sun OpenSSO Enterprise 8.0 Update 1 Release Notes」中的「Support for New Web Containers」中介紹的 Web 容器,以及下列新 Web 容器:
Oracle WebLogic Server 10g Release 3 (10.3)
CR 6939443:在 WebLogic Server 10.3.x 上透過 LDAP 檢查或 OCSP 檢查進行憑證認證失敗
CR 6948937:在 WebLogic Server 10.3.3 管理主控台中啟用 OpenSSO 8.0 Update 2 導致發生異常
OpenSSO 8.0 Update 2 範例可能會導致潛在的安全性問題。
解決方法:如果在生產環境中部署 OpenSSO 8.0 Update 2,請移除範例,以免發生任何潛在的安全性問題。
如果您在啟用了安全性管理員的情況下在 Oracle WebLogic Server 10.3.3 上部署 OpenSSO 8.0 Update 2,將需要其他 Java 安全性權限。
解決方法:將以下權限增加到 WebLogic Server 10.3.3 weblogic.policy 檔案中:
permission java.lang.RuntimePermission "getClassLoader";
由於 10.3.0 和 10.3.1 等舊版 Oracle WebLogic Server 中存在的問題,導致在啟用 LDAP 檢查或 OSCP 檢查的情況下進行憑證認證時會失敗。
解決方法:該問題在 WebLogic Server 10.3.3 中已得到解決。若要將憑證認證與 LDAP 檢查或 OCSP 檢查配合使用,請將 OpenSSO Update 2 與 WebLogic Server 10.3.3 配合使用。
如果將 GlassFish Enterprise Server v2.1.1 或 v2.1.2 部署為 OpenSSO 8.0 Update 2 Web 容器,配置程式將無法連線到啟用了 LDAPS 的目錄伺服器實例。
解決方法:若要使用啟用了 LDAPS 的目錄伺服器並使用 GlassFish 作為 Web 容器,請部署 GlassFish Enterprise Server v2.1。
如果在 WebLogic Server 10.3.3 管理主控台中部署 OpenSSO 8.0 Update 2 (opensso.war),並按一下 [啟動] 以允許 OpenSSO 8.0 Update 2 開始接收請求,在啟動 WebLogic Server 網域的主控台中會拋出異常。
備註:啟動 OpenSSO 8.0 Update 2 後,它會保持啟動狀態,並且在停止 OpenSSO 8.0 Update 2 並重新啟動之前不會再次拋出異常。
解決方法:將 OpenSSO 8 Update 2 opensso-client-jdk15.war 檔案中的 saaj-impl.jar 檔案複製到 WebLogic Server 10.3.3 配置的 endorsed 目錄中,具體作業如下:
停止 Oracle WebLogic Server 10.3.3 網域。
視需要解壓縮 OpenSSO 8.0 Update 2 opensso.zip 檔案。
建立一個暫存目錄並將 zip-root/opensso/samples/opensso-client.zip 檔案解壓縮到該目錄中,此處的 zip-root 是您解壓縮 opensso.zip 檔案的位置。例如:
cd zip-root/opensso/samples mkdir ziptmp cd ziptmp unzip ../opensso-client.zip
建立一個暫存目錄並從 opensso-client-jdk15.war 中擷取 saaj-impl.jar 檔案。例如:
cd zip-root/opensso/samples/ziptmp/war mkdir wartmp cd wartmp jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar
在 WEBLOGIC_JAVA_HOME/jre/lib 目錄下建立一個名為 endorsed 的新目錄 (如果 endorsed 不存在),此處的 WEBLOGIC_JAVA_HOME 是 WebLogic Server 配置為要使用的 JDK。
將 saaj-impl.jar 檔案複製到 WEBLOGIC_JAVA_HOME/jre/lib/endorsed 目錄中。
啟動 WebLogic Server 網域。
執行 updateschema.sh 或 updateschema.bat 程序檔後,您必須重新啟動 OpenSSO 8.0 Update 2 Web 容器。
updateschema.bat 程序檔會執行若干個 ssoadm 指令。因此,在 Windows 系統上執行 updateschema.bat 之前,請為 amadmin 使用者建立一個包含純文字使用者密碼的密碼檔案。updateschema.bat 程序檔會提示您提供密碼檔案的路徑。該程序檔會在終止之前移除該密碼檔案。
除本文件之外,在以下集合中還提供了其他 OpenSSO 8.0 文件:
http://docs.sun.com/coll/1767.1
OpenSSO 8.0 Update 2 具有以下文件相關的問題:
OpenSSO 8.0 Update 2 管理主控台線上說明中介紹了探索代理程式,儘管這些代理程式不受支援。
解決方法:無。忽略線上說明中有關探索代理程式的資訊。
OpenSSO 8.0 Update 1 管理主控台線上說明中未介紹 Oracle Access Manager (OAM) 和 Web 服務安全性 (WSS) 認證模組。
解決方法:如需有關這兩個認證模組的資訊,請參閱第 3 章使用安全性代表字元服務
Fedlet Java API 公開參照作為 Oracle OpenSSO 8.0 Update 2 Java API 參照的一部分提供,Oracle OpenSSO 8.0 Update 2 Java API 參照在以下文件集合中提供:http://docs.sun.com/coll/1767.1。
備註:OpenSSO 8.0 Update 2 不支援 getPolicyDecisionForFedlet 方法,儘管此方法存在於 Java API 參照中。
Fedlet README 檔案未介紹單次登出功能。
解決方法:對於 Oracle OpenSSO 8.0 Update 2,Fedlet 單次登出功能在第 4 章使用 Oracle OpenSSO Fedlet中介紹。
您還可以在以下位置找到其他有用的資訊和資源:
Oracle 進階客戶系統服務:
http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
軟體產品:http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve:http://sunsolve.sun.com/
Sun 開發人員網路 (SDN):http://developers.sun.com/
Sun 開發人員服務:http://developers.sun.com/services/
服務管理服務 (SMS) API (com.sun.identity.sm 套裝軟體) 和 SMS 模型將不會包括在將來的 OpenSSO 發行版本中。
Unix 認證模組和 Unix 認證說明程式 (amunixd) 將不會包括在將來的 OpenSSO 發行版本中。
《Sun Java System Access Manager 7.1 版本說明》中指出,Access Manager com.iplanet.am.sdk 套裝軟體 (通常稱為 Access Manager SDK [AMSDK]) 及所有相關的 API 和 XML 範本將不會包括在將來的 OpenSSO 發行版本中。
因此,在移除 AMSDK 時也會移除「舊有模式」選項 和支援。
現在不提供遷移選項,預計將來也不會提供。Oracle 識別管理員提供使用者佈建解決方案,可用以代替 AMSDK。如需有關識別管理員的詳細資訊,請參見 http://www.oracle.com/products/middleware/identity-management/identity-manager.html。
如果您有關於 OpenSSO 8.0 Update 2 或後續修補程式版本的問題,請造訪支援資源網站:http://sunsolve.sun.com/。
此網站中包含一些連結,透過這些連結可以造訪知識庫、線上支援中心和產品追蹤器,還可瞭解維護方案和支援連絡號碼。如要您要請求獲得關於某個問題的幫助,請提供以下資訊:
問題描述,包括問題發生的時間及其對您作業的影響
電腦類型、作業系統版本、Web 容器及版本、JDK 版本和 OpenSSO 版本,包括可能與問題相關的任何修補程式或其他軟體
重現問題的步驟
任何錯誤記錄或核心傾印
若要獲得自本媒體發佈以來所發行的協助工具功能,請查閱 Section 508 產品評估 (可以透過請求獲得) 來確定哪些版本最適合部署易存取解決方案。
如需 Oracle 對協助工具的支援的相關資訊,請參見 http://www.oracle.com/index.html。
本文件中提供了協力廠商 URL 以供參考,另亦提供其他相關的資訊。
Oracle 不保證本文件中提到的協力廠商網站可用。對於此類網站或資源中提供的或透過它們獲得的任何內容、廣告、產品或其他材料,Oracle 並不表示認可,也不承擔任何責任。對於因使用或依靠此類網站或資源中提供的或透過它們獲得的任何內容、產品或服務而造成的或連帶產生的任何實際或名義上的損壞或損失,Oracle 概不負責,也不承擔任何責任。