[8.5.5.5 o posterior]

Vídeo: OpenID Connect en Liberty

La siguiente transcripción es para el vídeo "OpenID Connect en Liberty", que demuestra cómo se configura OpenID Connect en Liberty. Esta transcripción es el storyboard del vídeo. El audio describe la narración y los títulos. La Acción en pantalla describe el contenido que aparece en el vídeo.

Vídeo OpenID Connect en Liberty

Tabla 1. Página de título. Muestra el título y, a continuación, un escenario OpenID Connect básico, junto con los proveedores de soporte de OpenID y las ventajas de utilizar OpenID Connect.
Escena Audio Acción en pantalla
1 Este vídeo mostrará cómo configurar un escenario simple de inicio de sesión único de web de OpenID Connect utilizando el perfil Liberty de WebSphere Application Server. Se muestra el título configuración rápida de OpenID Connect.
2 Aquí puede ver un flujo básico de “OpenID Connect”. La primera vez que un usuario intenta acceder a una aplicación web protegida por OpenID Connect, o por Relying Party, el usuario se redirige a un proveedor de OpenID Connect. El proveedor de OpenID Connect autentica al usuario y obtiene la autorización del usuario y, a continuación, responde con un código de autorización. El contenedor de aplicaciones extrae luego el código de la respuesta, envía de nuevo el código al proveedor de OpenID para su verificación y recibe señales de acceso y de ID. Como resultado, se autentica el usuario para que acceda a la aplicación web protegida. Utilizando la señal de acceso, la aplicación puede solicitar información de usuario como, por ejemplo, una dirección de correo electrónico del proveedor de OpenID Connect o puede acceder a cualquier servicio que admita OpenID Connect. En este vídeo, me referiré a la aplicación como "Relying Party" o RP y al "proveedor de OpenID" como PO.

Vamos a echar un vistazo a los distintos proveedores de OpenID admitidos.

Aparece un escenario básico de OpenID Connect, que incluye una Relying Party (RP), un proveedor de OpenID (PO) y un usuario final.
3 Puede configurar el perfil de Liberty de IBM® WebSphere como un proveedor de OpenID o una Relying Party. Puede utilizar IBM Security Access Manager, también conocido como ISAM, también como un PO. De forma alternativa, puede utilizar un número de proveedores de OpenID de terceros admitidos. Se muestran algunos de los proveedores de OpenID admitidos.
  • IBM WebSphere
  • IBM Security Access Manager
  • Amazon
  • Microsoft
  • Okta
  • Google
4 OpenID Connect ofrece una serie de ventajas como capa de identidad funcionando encima de OAUTH 2.0. Con OpenID Connect, los usuarios disponen de una identidad Internet única que pueden utilizar para realizar autenticaciones entre varios servidores, servicios y aplicaciones, y reduce el trabajo de mantenimiento en las aplicaciones porque ya no necesitan su propio registro de usuario.

Para los desarrolladores, simplifica la tarea de autenticación de usuarios sin tener la responsabilidad del almacenamiento y gestión de contraseñas. OpenID Connect también puede ampliar los servicios de seguridad a aplicaciones móviles y basadas en la nube que se has escrito en un lenguaje cualquiera como, por ejemplo, JavaScript, Ruby, node.js o Java™, y puede funcionar como gestor de seguridad único para suministrar cientos de servidores de perfil Liberty en un entorno de nube. Puesto que OpenID Connect combina las ventajas de identidad, autenticación y OAuth, OpenID Connect representa una mejora significativa sobre OAuth solo.

Aparecen algunas de las ventajas de la utilización de OpenID Connect.
  • OpenID Connect facilita que el usuario utilice una única identidad de Internet (cuenta de usuario) para realizar la autenticación entre varios servidores, servicios y aplicaciones.
  • Las aplicaciones ya no necesitan mantener su propio registro de usuario.
  • OpenID Connect amplía los servicios de seguridad a las aplicaciones de nube y móviles, a las que se puede acceder gracias a lenguajes como JavaScript, Ruby, node.js, Java
  • El suministro de cientos de servidores de Liberty en una nube ofrece la posibilidad de disponer de un gestor de seguridad único
  • OpenID Connect es una mejora significativa sobre OAUTH 2.0
Tabla 2. Demostración sobre la configuración del proveedor de OpenID
Escena Audio Acción en pantalla
5 El perfil de Liberty de WebSphere Application Server se puede configurar como proveedor de OpenID, la Relying Party, o ambos. Si desea utilizar el perfil Liberty como PO y RP, debe configurarlos en diferentes instancias de servidores de perfil Liberty. Vamos a configurar servidores de perfil Liberty como PO y RP y vamos a echar un vistazo a un escenario simple de inicio de sesión único web entre el PO y la RP de Liberty. Aparece el título Configuración del perfil Liberty como proveedor y Relying Party de OpenID Connect.
6 En primer lugar, vamos a configurar un proveedor de OpenID.

Para ello, vamos a instalar WebSphere Liberty 8554 o posterior, necesario para utilizar las características OpenID Connect. Instale la característica Servidor de OpenID

Cree un servidor de Liberty y añada una configuración PO al archivo server.xml que está disponible como ejemplo descargable desde IBM developerWorks.

Aparece la visión general sobre la configuración de PO.
  1. Instale la versión 8.5.5.4 o posterior de WebSphere Liberty > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. Instale la característica Servidor de OpenID (No es necesaria la descarga) > bin/featureManager install openidConnectServer-1.0 --when-file-exists=ignore
  3. Cree un servidor de Liberty > server create oidcServer
  • Edite server.xml con más configuraciones (Ejemplo descargable)
  • Características necesarias
  • Almacén de claves SSL
  • Registro de usuario
  • Servidor de OpenID
7 Primero, desempaquete el archivo JAR de Liberty. Así se crea el directorio wlp. Vaya al directorio bin en wlp y ejecute el mandato featureManager install para instalar la característica Servidor de OpenID Connect.

En el mismo directorio, ejecute el mandato server create para crear un servidor de PO de Liberty. Vamos a llamarlo oidcServer.

oidcServer se crea ahora con la configuración mínima en el archivo server.xml. Puede encontrar la configuración en el directorio wlp/usr/server/oidcServer.

Aquí puede ver el contenido del archivo server.xml que acaba de crear. La configuración es muy simple, solo información de una característica y puerto. Vamos a sustituirla por un archivo server.xml que tiene la configuración del servidor de PO. (Se divide la pantalla y en la parte de la derecha aparece la configuración de PO.)

(Actualizaciones en el archivo server.xml) En esta configuración del servidor de PO:
  • Se añaden las características necesarias.
  • Se añade un nombre de host.
  • Se incluye la configuración del almacén de claves para la característica SSL.
  • El PO conserva las cuentas de usuario, de forma que se configura el registro de usuarios.

El resto es configuración de PO que utiliza tecnología OAuth. Se incluye información sobre la Relying Party para la que se realiza la autorización.

Puede descargar el archivo server.xml que acabamos de añadir desde IBM DeveloperWorks. Vamos a iniciar el servidor de PO. Ahora que tenemos configurado el proveedor de OpenID, podemos configurar la Relying Party del perfil de Liberty.

Demostración con un indicador de mandatos que se está utilizando para actualizar el archivo server.xml.
Tabla 3. Demostración sobre la configuración de la Relying Party
Escena Audio Acción en pantalla
8 Para configurar la Relying Party, igual que la configuración de PO, debemos tener la versión 8.5.5.4 o posterior del perfil Liberty e instalaremos la característica Cliente de OpenID.

Vamos a crear un servidor de perfiles Liberty independiente y a editar el archivo server.xml.

A continuación, vamos a instalar la aplicación y las claves de intercambio con el proveedor de OpenID para la comunicación SSL.

Aparece la visión general sobre la configuración de RP.
  1. Instale la versión 8.5.5.4 WebSphere Liberty > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. Instale la característica Cliente de OpenID (no es necesaria la descarga) > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Cree un servidor de Liberty > server create oidcRP
    • Edite server.xml con más configuraciones (Ejemplo descargable)
    • Características necesarias
    • Almacén de claves SSL
    • Cliente de OpenID
    • Aplicación
  1. Instale la aplicación (que utiliza OpenID Connect) >> Copie el archivo ear/war de la aplicación en el directorio app
    • Intercambie las claves con PO para la comunicación SSL
9 Ya se ha configurado la versión 8.5.5.4 del perfil Liberty en esta máquina. Vamos a instalar la característica Cliente OpenID y a crear un servidor con el nombre oidcRP. Éste es el archivo server.xml predeterminado. Ahora vamos a compararlo con un archivo server.xml con una configuración RP. Estas secciones (características, nombre de host de punto final, almacenes de claves) son las mismas actualizaciones que hemos visto anteriormente con el PO.

Esta vez contamos con una configuración de Cliente de OpenID en lugar de la configuración del servidor PO. Se especifican los URL de PO a los que enviar las solicitudes de autenticación.

La configuración RP también incluye la configuración de aplicaciones y estas aplicaciones se basan en el PO para llevar a cabo la autenticación.

Tenga en cuenta que no hay configuración de registro de usuarios en el RP. Esa es toda la configuración necesaria para la RP. Vamos a copiar una aplicación de prueba en el directorio app de la RP. Antes de iniciar el servidor de RP, asegúrese de que la RP y el PO hayan intercambiado las claves del almacén de claves para la comunicación SSL. En esta demostración, vamos a utilizar el mismo almacén de claves y la misma contraseña.

Ahora vamos a iniciar el servidor RP para ver si los hemos configurado correctamente.

Demostración con un indicador de mandatos que se está utilizando para actualizar el archivo server.xml.
Tabla 4. Demostración sobre la configuración de PO/RP
Escena Audio Acción en pantalla
10 Los servidores de PO y RP ya se han iniciado. En un navegador, vamos a ir al URL de la aplicación. Cuando se solicite, vamos a indicar la información de la cuenta desde el PO. Vamos a ver la RP que se basa en el PO para llevar a cabo la autenticación. Tras de autenticar al usuario, la RP mostrará una página de aplicación al usuario. Vamos a probar qué pasa. Demostración sobre la configuración de PO/RP
  1. Inicie ambos servidores de PO y de RP, > server start oidcServer > server start oidcRP
  2. En un navegador, apunte a la página de inicio de sesión de la aplicación en RP > https://oidc-rp.rtp.raleigh.ibm.com:9443/testpage
  3. Cuando se solicite, escriba el ID de usuario y la contraseña que se conserva en el PO > user1 / security
  4. RP se basa en el PO para su autenticación
  5. Tras una autenticación correcta, el RP ofrece a la página de la aplicación información de usuario.
11 En el navegador, vamos a escribir el URL de la aplicación que está en el servidor de RP. Va a solicitar un nombre de usuario y una contraseña. Fíjese que se no solicita el servidor de PO porque la RP está delegando la autenticación al PO.

Vamos a escribir user1 y security, que son las credenciales para la cuenta de PO. Ahora ya hemos iniciado sesión correctamente en la aplicación del RP utilizando la cuenta de PO.

Demostración con un inicio de navegador que muestra un inicio de sesión satisfactorio en la aplicación de la RP que utiliza la cuenta de PO.
Tabla 5. Conclusión. Se muestra dónde encontrar más información sobre OpenID Connect.
Escena Audio Acción en pantalla
12 Para obtener más información, visite estos recursos en línea. Se muestra información sobre la documentación:
Página de descarga de WebSphere Liberty
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
Instalación de la característica OpenID Connect
Servidor: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Cliente: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
Página principal de IBM Knowledge Center - OpenID Connect
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
IBM DeveloperWorks (incluye ejemplo de PO/RP)
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html

Para obtener más información sobre OpenID Connect, consulte [8.5.5.5 o posterior]Utilización de OpenID Connect.


Icono que indica el tipo de tema Tema de concepto

Términos y condiciones para centros de información | Comentarios


Icono de indicación de fecha y hora Última actualización: 15 de junio de 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=video_transcript_oidc_liberty
Nombre de archivo:video_transcript_oidc_liberty.html