Oracle OpenSSO Update 2 版本說明

安全性代表字元產生處理流程

如果使用 Liberty Alliance Project 代表字元啟用安全性,HTTP 用戶端 (即瀏覽器) 會透過 Web 服務用戶端向 Web 服務提供者傳送存取請求。Web 服務安全性代理程式會將該請求重新導向至 OpenSSO STS 認證服務。如果 Liberty Alliance Project 安全性機制已可用,HTTP 安全性代理程式會執行重新導向。如果使用 WS-IBS 安全性,則 SOAP 安全性代理程式會執行重新導向。

OpenSSO STS 認證服務會確定 Web 服務提供者所註冊的安全性機制,然後擷取相應的安全性代表字元。成功認證之後,Web 服務用戶端會提供一個 SOAP 訊息內文,而 Web 服務用戶端一端的 SOAP 安全性代理程式會插入安全性標頭和代表字元。然後,在將請求傳送給 WSP 之前,將對該訊息進行簽名。

Web 服務提供者一端的 SOAP 安全性代理程式會先驗證 SOAP 請求中的簽名和安全性代表字元,然後將該請求轉寄給 Web 服務提供者自身。然後,Web 服務提供者將處理該請求,並將經 SOAP 安全性代理程式簽名的回應傳回給 Web 服務用戶端。然後,Web 服務用戶端一端的 SOAP 安全性代理程式會先驗證該簽名,之後再將該回應轉寄給 Web 服務用戶端。

下表中列出了 Liberty Alliance Project 交易支援的代表字元及其簡短描述。

表 3–1 請求者代表字元 - Liberty Alliance Project

代表字元

符合以下要求

X.509 

  • 安全 Web 服務使用公開金鑰基礎架構 (PKI),在該基礎架構中,Web 服務用戶端提供公開金鑰作為識別請求程式以及向 Web 服務提供者進行認證的方式。

  • 安全 Web 服務使用公開金鑰基礎架構 (PKI),在該基礎架構中,Web 服務用戶端提供公開金鑰作為識別請求程式以及向 Web 服務提供者進行認證的方式。

載送程式代表字元 

  • 安全 Web 服務使用安全性指定標記語言 (SAML) SAML 載送程式代表字元確認方法。

  • WSC 為 SAML 指定提供公開金鑰資訊,以此作為向 Web 服務提供者認證請求程式的方式。

  • 第二個簽名將該指定連結至 SOAP 訊息。

  • 第二個簽名連結使用 Liberty Alliance Project 定義的規則。

SAML 代表字元 

  • 安全 Web 服務使用 SAML 金鑰所有者確認方法。

  • Web 服務用戶將一個 SAML 指定和一個數位簽名增加到 SOAP 標頭中。

  • 該簽名還會隨附一個寄件者憑證或公開金鑰。

  • 將使用 Liberty Alliance Project 定義的規則來處理傳送。

下表中列出了 WS-IBS 交易支援的代表字元及其簡短描述。

表 3–2 請求者代表字元 - WS-IBS

代表字元

符合以下要求

使用者名稱 

  • 安全 Web 服務需要使用者名稱、密碼及已簽名的請求 (可選)。

  • Web 服務用戶提供使用者名稱代表字元作為識別請求程式的方式。

  • Web 服務用戶提供密碼、共用密碼或等效密碼來向 Web 服務提供者認證身份。

X.509 

安全 Web 服務使用 PKI (公開金鑰基礎架構),在該基礎架構中,Web 服務用戶提供公開金鑰作為識別請求程式以及完成向 Web 服務提供者進行認證的方式。 

SAML 金鑰所有者 

  • 安全 Web 服務使用 SAML 金鑰所有者確認方法。

  • Web 服務用戶為 SAML 指定提供公開金鑰資訊,以此作為向 Web 服務提供者認證請求程式的方式。

  • 第二個簽名將該指定連結至 SOAP 有效負載。

SAML 寄件者擔保 

  • 安全 Web 服務使用 SAML 寄件者擔保確認方法。

  • Web 服務用戶將一個 SAML 指定和一個數位簽名增加到 SOAP 標頭中。該簽名還會隨附一個寄件者憑證或公開金鑰。