您必須先確定 Web 服務提供者需要哪種類型的安全性代表字元,然後才能配置安全性代表字元服務以產生 Web 用戶端安全性代表字元。OpenSSO STS 支援 Liberty Alliance Project 安全性代表字元和 Web 服務互通性基本安全性設定檔安全性代表字元。
如果使用 Liberty Alliance Project 代表字元啟用安全性,HTTP 用戶端 (即瀏覽器) 會透過 Web 服務用戶端向 Web 服務提供者傳送存取請求。Web 服務安全性代理程式會將該請求重新導向至 OpenSSO STS 認證服務。如果 Liberty Alliance Project 安全性機制已可用,HTTP 安全性代理程式會執行重新導向。如果使用 WS-IBS 安全性,則 SOAP 安全性代理程式會執行重新導向。
OpenSSO STS 認證服務會確定 Web 服務提供者所註冊的安全性機制,然後擷取相應的安全性代表字元。成功認證之後,Web 服務用戶端會提供一個 SOAP 訊息內文,而 Web 服務用戶端一端的 SOAP 安全性代理程式會插入安全性標頭和代表字元。然後,在將請求傳送給 WSP 之前,將對該訊息進行簽名。
Web 服務提供者一端的 SOAP 安全性代理程式會先驗證 SOAP 請求中的簽名和安全性代表字元,然後將該請求轉寄給 Web 服務提供者自身。然後,Web 服務提供者將處理該請求,並將經 SOAP 安全性代理程式簽名的回應傳回給 Web 服務用戶端。然後,Web 服務用戶端一端的 SOAP 安全性代理程式會先驗證該簽名,之後再將該回應轉寄給 Web 服務用戶端。
下表中列出了 Liberty Alliance Project 交易支援的代表字元及其簡短描述。
表 3–1 請求者代表字元 - Liberty Alliance Project
下表中列出了 WS-IBS 交易支援的代表字元及其簡短描述。
表 3–2 請求者代表字元 - WS-IBS
使用安全性代表字元產生矩陣協助您配置 OpenSSO STS 以產生 Web 服務提供者所需的 Web 服務用戶端安全性代表字元。首先,在標題為「OpenSSO STS 輸出代表字元」的最後一欄中,找到符合 Web 服務提供者代表字元需求的描述。然後,使用同一列中的參數值配置安全性代表字元服務。「代表字元產生矩陣圖例」提供有關表格標題和可用選項的資訊。請參閱第 5.2.3 節「配置安全性代表字元服務的步驟」,以獲得詳細的配置說明。如需有關 Web 服務安全性及相關術語的一般資訊,請參閱:
http://www.oracle.com/technology/tech/standards/pdf/security.pdf
http://download.oracle.com/docs/cd/E15523_01/web.1111/b32511/intro_security.htm#CDDHHGEE
安全性代表字元產生矩陣彙總了常用的安全性代表字元服務參數設定及 OpenSSO STS 根據這些設定產生的安全性代表字元類型。
表 3–3 安全性代表字元產生矩陣
列 |
訊息層級安全性連結 |
Web 服務用戶端代表字元 |
KeyType |
代理代表字元 |
使用金鑰 |
OpenSSO STS 輸出代表字元 |
1 |
非對稱 |
X509 |
載送程式 |
是 |
否 |
SAML 載送程式,無證明金鑰 |
2 |
非對稱 |
使用者名稱 |
載送程式 |
是 |
否 |
SAML 載送程式,無證明金鑰 |
3 |
非對稱 |
X509 |
載送程式 |
否 |
否 |
SAML 載送程式,無證明金鑰 |
4 |
非對稱 |
使用者名稱 |
載送程式 |
否 |
否 |
SAML 載送程式,無證明金鑰 |
5 |
非對稱 |
X509 |
對稱 |
是 |
否 |
SAML 金鑰所有者,對稱證明金鑰 |
6 |
非對稱 |
使用者名稱 |
對稱 |
是 |
否 |
SAML 金鑰所有者,對稱證明金鑰 |
7 |
非對稱 |
X509 |
對稱 |
否 |
否 |
SAML 金鑰所有者,對稱 |
8 |
非對稱 |
使用者名稱 |
對稱 |
否 |
否 |
SAML 金鑰所有者,對稱證明金鑰 |
9 |
非對稱 |
X509 |
非對稱 |
否 |
Web 服務用戶端公開金鑰 |
SAML 金鑰所有者,非對稱證明金鑰 |
10 |
非對稱 |
X509 |
Oracle 專屬 SAML 寄件者擔保 |
是 |
否 |
SAML 寄件者擔保,無證明金鑰 |
11 |
非對稱 |
使用者名稱 |
Oracle 專屬 SAML 寄件者擔保 |
是 |
否 |
SAML 寄件者擔保,無證明金鑰 |
12 |
非對稱 |
X509 |
Oracle 專屬 SAML 寄件者擔保 |
否 |
否 |
錯誤 |
13 |
非對稱 |
使用者名稱 |
Oracle 專屬 SAML 寄件者擔保 |
否 |
否 |
錯誤 |
14 |
傳輸 |
使用者名稱 |
載送程式 |
是 |
否 |
SAML 載送程式,無證明金鑰 |
15 |
傳輸 |
使用者名稱 |
載送程式 |
否 |
否 |
SAML 載送程式,無證明金鑰 |
16 |
傳輸 |
使用者名稱 |
對稱 |
是 |
否 |
SAML 金鑰所有者,對稱 |
17 |
傳輸 |
使用者名稱 |
對稱 |
否 |
否 |
SAML 金鑰所有者,對稱證明金鑰 |
18 |
傳輸 |
使用者名稱 |
Oracle 專屬 SAML 寄件者擔保 |
是 |
否 |
SAML 寄件者擔保,無證明金鑰 |
19 |
傳輸 |
使用者名稱 |
Oracle 專屬 SAML 寄件者擔保 |
否 |
否 |
錯誤 |
20 |
非對稱 |
使用者名稱 |
非對稱 |
否 |
Web 服務用戶端公開金鑰 |
錯誤 |
21 |
傳輸 |
使用者名稱 |
非對稱 |
否 |
Web 服務用戶端公開金鑰 |
錯誤 |
22 |
非對稱 |
X509 |
非對稱 |
是 |
否 |
錯誤 |
23 |
非對稱 |
使用者名稱 |
非對稱 |
是 |
否 |
錯誤 |
24 |
傳輸 |
使用者名稱 |
非對稱 |
是 |
否 |
錯誤 |
25 |
非對稱 |
X509 |
非對稱 |
否 |
否 |
SAML 金鑰所有者,非對稱證明金鑰 |
26 |
非對稱 |
X509 |
否 |
否 |
否 |
SAML 金鑰所有者,非對稱證明金鑰 |
27 |
非對稱 |
使用者名稱 |
否 |
否 |
否 |
SAML 金鑰所有者,對稱證明金鑰 |
28 |
傳輸 |
使用者名稱 |
否 |
否 |
否 |
SAML 金鑰所有者,對稱證明金鑰 |