test

Oracle OpenSSO Update 2 版本說明

第 3 章 使用安全性代表字元服務

作為一種可靠的授權服務,OpenSSO 安全性代表字元服務可頒發和驗證安全性代表字元。作為 Web 服務安全性提供者,安全性代表字元服務可確保 Web 服務用戶端與 OpenSSO STS 服務本身之間的通訊的安全。自 OpenSSO 8.0 Update 2 以來,在安全性代表字元服務的功能上進行了諸多增強。

本章包含以下主題:

增加 WSSAuth 認證模組

Web 服務安全性認證模組可讓 OpenSSO 透過作為認證代表字元接收並包含在從 Web 服務用戶端至 Web 服務提供者的請求中的摘要密碼驗證使用者名稱。

Procedure新增 Web 服務安全性認證模組實例的步驟:

  1. 在 [Access Manager] 標籤中,按一下 [認證] 子標籤。

  2. 在 [模組實例] 區段中,按一下 [新增]。

  3. 在 [名稱] 欄位中,鍵入此 WSSAuth 認證模組實例的名稱。

  4. 對於 [類型],請選擇 [WSSAuth]。

  5. 配置該 WSSAuth 認證模組實例。

Procedure 配置 WSSAuth 認證模組實例的步驟:

  1. 在 [Access Manager] 標籤中,按一下 [認證] 子標籤。

  2. 在 [模組實例] 區段中,按一下您要配置的 WSSAuth 認證模組實例的名稱。

  3. 設定該 WSSAuth 認證模組實例的範圍屬性的值。

    下表中列出了您可以配置的屬性及其描述。

    使用者搜尋屬性

    待編寫

    使用者範圍

    待編寫

    使用者密碼屬性

    待編寫

    認證層級

    待編寫

增加 OAMAuth 認證模組

Oracle 認證模組可讓 OpenSSO 使先前通過了 Oracle Access Manager 認證的管理員通過 OpenSSO 的認證,並為該管理員啟用 OpenSSO 的單次登入。該管理員將無需提供 OpenSSO 憑證。

Procedure新增 Oracle 認證模組實例的步驟:

  1. 在 [Access Manager] 標籤中,按一下 [認證] 子標籤。

  2. 在 [模組實例] 區段中,按一下 [新增]。

  3. 在 [名稱] 欄位中,鍵入此 Oracle 認證模組實例的名稱。

  4. 對於 [類型],請選擇 [OAMAuth]。

  5. 按一下 [確定]。

  6. 配置該 OAMAuth 認證模組實例。

Procedure配置 Oracle 認證模組實例的步驟:

  1. 在 [Access Manager] 標籤中,按一下 [認證] 子標籤。

  2. 在 [模組實例] 區段中,按一下您要配置的 OAMAuth 認證模組實例的名稱。

  3. 設定該 Oracle 認證模組實例的範圍屬性的值。

    下表中列出了您可以配置的屬性及其描述。

    遠端使用者標頭名稱

    待編寫

    允許的標頭值

    [目前的值] 清單中顯示 [待編寫]

    • 若要將某標頭值增加到該清單中,請在 [新的值] 欄位中鍵入 [待編寫],然後按一下 [增加]。

    • 若要從 [目前的值] 清單中移除項目,請選取該項目,然後按一下 [移除]。

    認證層級

    待編寫

產生安全性代表字元

Oracle OpenSSO 安全性代表字元服務 (OpenSSO STS) 會在 Web 服務用戶端與 Web 服務提供者之間建立信任關係,然後在它們之間維護該信任關係。Web 服務可以信任僅由一個實體「OpenSSO STS」頒發的代表字元,而不必與多個用戶端進行通訊。透過這種方式,OpenSSO STS 可大大降低信任點管理的系統開銷。

下面幾個小節將為您介紹如何確定安全性代表字元需求,以及如何配置安全性代表字元服務來產生安全性代表字元並驗證其是否符合這些需求。

將 Web 服務提供者註冊到 OpenSSO STS

當您新增 Web 服務提供者安全性代理程式設定檔時,系統會自動將 Web 服務提供者註冊到 OpenSSO STS。請參閱以下小節以獲得更多詳細資訊:

將 Web 服務提供者註冊到 OpenSSO STS 後,便可以配置 OpenSSO STS 以產生該 Web 服務提供者可以接受的 Web 用戶端安全性代表字元。

從 OpenSSO STS 請求 Web 服務用戶端安全性代表字元

您必須先確定 Web 服務提供者需要哪種類型的安全性代表字元,然後才能配置安全性代表字元服務以產生 Web 用戶端安全性代表字元。OpenSSO STS 支援 Liberty Alliance Project 安全性代表字元和 Web 服務互通性基本安全性設定檔安全性代表字元。

安全性代表字元產生處理流程

如果使用 Liberty Alliance Project 代表字元啟用安全性,HTTP 用戶端 (即瀏覽器) 會透過 Web 服務用戶端向 Web 服務提供者傳送存取請求。Web 服務安全性代理程式會將該請求重新導向至 OpenSSO STS 認證服務。如果 Liberty Alliance Project 安全性機制已可用,HTTP 安全性代理程式會執行重新導向。如果使用 WS-IBS 安全性,則 SOAP 安全性代理程式會執行重新導向。

OpenSSO STS 認證服務會確定 Web 服務提供者所註冊的安全性機制,然後擷取相應的安全性代表字元。成功認證之後,Web 服務用戶端會提供一個 SOAP 訊息內文,而 Web 服務用戶端一端的 SOAP 安全性代理程式會插入安全性標頭和代表字元。然後,在將請求傳送給 WSP 之前,將對該訊息進行簽名。

Web 服務提供者一端的 SOAP 安全性代理程式會先驗證 SOAP 請求中的簽名和安全性代表字元,然後將該請求轉寄給 Web 服務提供者自身。然後,Web 服務提供者將處理該請求,並將經 SOAP 安全性代理程式簽名的回應傳回給 Web 服務用戶端。然後,Web 服務用戶端一端的 SOAP 安全性代理程式會先驗證該簽名,之後再將該回應轉寄給 Web 服務用戶端。

下表中列出了 Liberty Alliance Project 交易支援的代表字元及其簡短描述。

表 3–1 請求者代表字元 - Liberty Alliance Project

代表字元

符合以下要求

X.509 

  • 安全 Web 服務使用公開金鑰基礎架構 (PKI),在該基礎架構中,Web 服務用戶端提供公開金鑰作為識別請求程式以及向 Web 服務提供者進行認證的方式。

  • 安全 Web 服務使用公開金鑰基礎架構 (PKI),在該基礎架構中,Web 服務用戶端提供公開金鑰作為識別請求程式以及向 Web 服務提供者進行認證的方式。

載送程式代表字元 

  • 安全 Web 服務使用安全性指定標記語言 (SAML) SAML 載送程式代表字元確認方法。

  • WSC 為 SAML 指定提供公開金鑰資訊,以此作為向 Web 服務提供者認證請求程式的方式。

  • 第二個簽名將該指定連結至 SOAP 訊息。

  • 第二個簽名連結使用 Liberty Alliance Project 定義的規則。

SAML 代表字元 

  • 安全 Web 服務使用 SAML 金鑰所有者確認方法。

  • Web 服務用戶將一個 SAML 指定和一個數位簽名增加到 SOAP 標頭中。

  • 該簽名還會隨附一個寄件者憑證或公開金鑰。

  • 將使用 Liberty Alliance Project 定義的規則來處理傳送。

下表中列出了 WS-IBS 交易支援的代表字元及其簡短描述。

表 3–2 請求者代表字元 - WS-IBS

代表字元

符合以下要求

使用者名稱 

  • 安全 Web 服務需要使用者名稱、密碼及已簽名的請求 (可選)。

  • Web 服務用戶提供使用者名稱代表字元作為識別請求程式的方式。

  • Web 服務用戶提供密碼、共用密碼或等效密碼來向 Web 服務提供者認證身份。

X.509 

安全 Web 服務使用 PKI (公開金鑰基礎架構),在該基礎架構中,Web 服務用戶提供公開金鑰作為識別請求程式以及完成向 Web 服務提供者進行認證的方式。 

SAML 金鑰所有者 

  • 安全 Web 服務使用 SAML 金鑰所有者確認方法。

  • Web 服務用戶為 SAML 指定提供公開金鑰資訊,以此作為向 Web 服務提供者認證請求程式的方式。

  • 第二個簽名將該指定連結至 SOAP 有效負載。

SAML 寄件者擔保 

  • 安全 Web 服務使用 SAML 寄件者擔保確認方法。

  • Web 服務用戶將一個 SAML 指定和一個數位簽名增加到 SOAP 標頭中。該簽名還會隨附一個寄件者憑證或公開金鑰。

使用安全性代表字元產生矩陣

使用安全性代表字元產生矩陣協助您配置 OpenSSO STS 以產生 Web 服務提供者所需的 Web 服務用戶端安全性代表字元。首先,在標題為「OpenSSO STS 輸出代表字元」的最後一欄中,找到符合 Web 服務提供者代表字元需求的描述。然後,使用同一列中的參數值配置安全性代表字元服務。「代表字元產生矩陣圖例」提供有關表格標題和可用選項的資訊。請參閱第 5.2.3 節「配置安全性代表字元服務的步驟」,以獲得詳細的配置說明。如需有關 Web 服務安全性及相關術語的一般資訊,請參閱:

安全性代表字元產生矩陣彙總了常用的安全性代表字元服務參數設定及 OpenSSO STS 根據這些設定產生的安全性代表字元類型。

表 3–3 安全性代表字元產生矩陣

訊息層級安全性連結

Web 服務用戶端代表字元

KeyType

代理代表字元

使用金鑰

OpenSSO STS 輸出代表字元

非對稱  

X509  

載送程式  

是  

否  

SAML 載送程式,無證明金鑰 

非對稱  

使用者名稱  

載送程式  

是  

否  

SAML 載送程式,無證明金鑰 

非對稱  

X509  

載送程式  

否  

否  

SAML 載送程式,無證明金鑰 

非對稱  

使用者名稱  

載送程式  

否  

否  

SAML 載送程式,無證明金鑰 

非對稱  

X509  

對稱  

是  

否  

SAML 金鑰所有者,對稱證明金鑰 

非對稱  

使用者名稱  

對稱  

是  

否  

SAML 金鑰所有者,對稱證明金鑰 

非對稱  

X509  

對稱  

否  

否  

SAML 金鑰所有者,對稱 

非對稱  

使用者名稱  

對稱  

否  

否  

SAML 金鑰所有者,對稱證明金鑰 

非對稱  

X509  

非對稱  

否  

Web 服務用戶端公開金鑰  

SAML 金鑰所有者,非對稱證明金鑰 

10 

非對稱  

X509  

Oracle 專屬 SAML 寄件者擔保  

是  

否  

SAML 寄件者擔保,無證明金鑰 

11 

非對稱  

使用者名稱  

Oracle 專屬 SAML 寄件者擔保  

是  

否  

SAML 寄件者擔保,無證明金鑰 

12 

非對稱  

X509  

Oracle 專屬 SAML 寄件者擔保  

否  

否  

錯誤 

13 

非對稱  

使用者名稱  

Oracle 專屬 SAML 寄件者擔保  

否  

否  

錯誤 

14 

傳輸  

使用者名稱  

載送程式  

是  

否  

SAML 載送程式,無證明金鑰 

15 

傳輸  

使用者名稱  

載送程式  

否  

否  

SAML 載送程式,無證明金鑰 

16 

傳輸  

使用者名稱  

對稱  

是  

否  

SAML 金鑰所有者,對稱 

17 

傳輸  

使用者名稱  

對稱  

否  

否  

SAML 金鑰所有者,對稱證明金鑰 

18 

傳輸  

使用者名稱  

Oracle 專屬 SAML 寄件者擔保  

是  

否  

SAML 寄件者擔保,無證明金鑰 

19 

傳輸  

使用者名稱  

Oracle 專屬 SAML 寄件者擔保  

否  

否  

錯誤 

20 

非對稱  

使用者名稱  

非對稱  

否  

Web 服務用戶端公開金鑰  

錯誤 

21 

傳輸  

使用者名稱  

非對稱  

否  

Web 服務用戶端公開金鑰  

錯誤 

22 

非對稱  

X509  

非對稱  

是  

否  

錯誤 

23 

非對稱  

使用者名稱  

非對稱  

是  

否  

錯誤 

24 

傳輸  

使用者名稱  

非對稱  

是  

否  

錯誤 

25 

非對稱  

X509  

非對稱  

否  

否  

SAML 金鑰所有者,非對稱證明金鑰 

26 

非對稱  

X509  

否  

否  

否  

SAML 金鑰所有者,非對稱證明金鑰 

27 

非對稱  

使用者名稱  

否  

否  

否  

SAML 金鑰所有者,對稱證明金鑰 

28 

傳輸  

使用者名稱  

否  

否  

否  

SAML 金鑰所有者,對稱證明金鑰 

安全性代表字元服務的問題和解決方法

待編寫

配置問題和解決方法

待編寫

文件勘誤表

待編寫