Liberty-Repository[8.5.5.4 oder höher]

OpenID-Relying-Party im Liberty-Profil konfigurieren

Sie können einen Liberty Profile-Server so konfigurieren, dass er als OpenID-Relying-Party fungiert, um vom Web-SSO zu profitieren.

Vorbereitende Schritte

Sie benötigen mindestens einen OpenID-Provider (OP), der für die Authentifizierung von Benutzern anerkannt wird. Es sind mehrere OpenID-Provider anderer Anbieter verfügbar.

Informationen zu diesem Vorgang

Sie können Benutzer von einem OpenID-Provider authentifizieren lassen, indem Sie das Feature openid-2.0 des Liberty-Profils aktivieren und ggf. weitere optionale Konfigurationsdaten angeben.

Vorgehensweise

  1. Fügen Sie das Liberty-Feature openid-2.0 der Datei server.xml hinzu. Fügen Sie die folgende Elementdeklaration im Element featureManager Ihrer Datei server.xml hinzu:
    <feature>openid-2.0</feature>
  2. Liberty-RepositoryAktualisieren Sie die Datei server.xml mit den von einem Element <openId> angegebenen OpenID-Relying-Party-Konfigurationsoptionen.

    Sie können in Ihrer Datei server.xml vorab eine OpenID-Provider-URL definieren, indem Sie das Attribut providerIdentifier des Elements <openId> verwenden. Sie können aber auch Ihr Anwendungspaket mit FormLogin erstellen, sodass Benutzer die Möglichkeit haben, eine für die Authentifizierung zu verwendende OpenID-Provider-URL zu übergeben.

    Wenn das Attribut providerIdentifier zur Datei server.xml hinzugefügt wird, leitet der Liberty Profile-Server Benutzer automatisch zu dem vom Attribut angegebenen OpenID-Provider um. Ist das Attribut providerIdentifier nicht in der Datei server.xml definiert, sendet der Liberty-Profil-Server zunächst ein Anmeldeformular, in dem der Benutzer einen OpenID-Provider auswählen oder bestätigen muss. Erst dann wird der Benutzer zu dem OpenID-Provider umgeleitet.

    Nachfolgend sehen Sie eine OpenID-Beispielkonfiguration, in der ein OpenID-Provider definiert ist:

    <openId id="myOpenId" providerIdentifier="https://openid.acme.com/op" userInfoRef="email">
      <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" />
    </openId>

    Durch das Hinzufügen des Features openid-2.0 wird automatisch eine bestimmte Mindestkonfiguration durchgesetzt. In der Datei server.xml muss demzufolge nicht explizit ein Element <openId> angegeben werden. Ohne Angabe eines Elements <openId> ist die folgende Konfiguration impliziert:

    <openId id="myOpenId" userInfoRef="email">
      <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" />
    </openId>

    Die vom OpenID-Provider zurückgegebene E-Mail-Adresse des Benutzers wird standardmäßig für die Identitätszusicherung und die Subjekterstellung verwendet.

  3. Konfigurieren Sie den Truststore des Servers so, dass die Unterzeichnerzertifikate der unterstützten OpenID-Provider aufgenommen werden. Informationen zu Keystores finden Sie unter SSL-Kommunikation für das Liberty-Profil aktivieren.
    1. Extrahieren Sie das Unterzeichnerzertifikat des OpenID-Providers. Die meisten bekannten Web-Browser bieten Unterstützung für das Extrahieren oder Exportieren von Zertifikaten von Websites über die Browserschnittstelle.
    2. Importieren Sie das OpenID-Provider-Zertifikat in den Truststore des Servers. Eine Methode für den Import von Zertifikaten in einen Truststore ist die Verwendung des Dienstprogramms keytool in Ihrem Java™-Installationsverzeichnis mit dem Flag -import.
    3. Verwenden Sie das Attribut sslRef des Elements <openId>, um auf Ihre SSL-Konfiguration zu zeigen. Wenn kein Attribut sslRef angegeben ist, wird die im oben genannten Keystore beschriebene Standard-SSL-Konfiguration verwendet. Ihre SSL-Konfiguration sollte die entsprechenden Verweise auf den Truststore mit den importierten OpenID-Provider-Zertifikaten enthalten.
  4. Konfigurieren Sie bei Bedarf den Authentifizierungsfilter.

    Wenn in der Datei server.xml das Attribut providerIdentifier im Element openId konfiguriert ist, können Sie authFilterRef so konfigurieren, dass die Anforderungen, die von dem im Attribut providerIdentifier definierten OpenID-Provider abgefangen werden sollen, begrenzt sind.

    Informationen zum Konfigurieren des Authentifizierungsfilters finden Sie unter Liberty-Repository[8.5.5.5 oder höher]Authentifizierungsfilter.


Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_config_rp_openid
Dateiname: twlp_config_rp_openid.html