Référentiel Liberty[8.5.5.4 ou ultérieure]

Configuration d'un fournisseur OpenID Connect dans le profil Liberty

Vous pouvez configurer un serveur de profil Liberty afin qu'il opère en tant que fournisseur OpenID Connect et qu'il puisse utiliser la connexion unique Web.

Pourquoi et quand exécuter cette tâche

Vous pouvez configurer un serveur de profil Liberty qui agira en tant que fournisseur OpenID Connect en activant la fonction openidConnectServer-1.0 du profil Liberty, en plus d'autres informations de configuration.

Procédure

  1. Ajoutez la fonction Liberty openidConnectServer-1.0 et toute autre fonction nécessaire dans le fichier server.xml. La fonction ssl-1.0 est également requise pour la fonction openidConnectServer-1.0.
    <feature>openidConnectServer-1.0</feature>
    <feature>ssl-1.0</feature>
  2. Définissez un fournisseur de services OAuth. OpenID Connect repose sur le protocole OAuth 2.0 et vous devez configurer un fournisseur de services OAuth valide. La configuration d'un fournisseur de services OAuth inclut les éléments oauth-roles, oauthProvider et registre d'utilisateurs. Un utilisateur qui est autorisé à utiliser OpenID Connect doit également être mappé au rôle authenticated oauth-role. Pour plus d'informations, voir Définition d'un fournisseur de services OAuth.

    Les métadonnées OAuth sont mises à jour pour OpenID Connect, et les principaux ajouts figurent dans les métadonnées client. Si vous utilisez le mode databaseStore pour l"enregistrement client, voir Configuration d'un fournisseur OpenID Connect pour l'acceptation des demandes d'enregistrement client pour plus d'informations. Il est recommandé de suivre ce document pour gérer les clients. Si vous utilisez le mode localStore pour l'enregistrement client, vous pouvez enregistrer les attributs scope, preAuthorizedScope, grantTypes, responseTypes, introspectTokens et functionalUserId, ainsi que d'autres attributs.

  3. Ajoutez un élément openidConnectProvider dont l'attribut oauthProviderRef fait référence à l'attribut oauthProvider configuré. Chaque attribut oauthProvider peut uniquement être référencé par un attribut openidConnectProvider, et deux éléments openidConnectProvider ou plus ne peuvent pas faire référence au même attribut oauthProvider. Les attributs name et secret de l'élément client doivent correspondre à l'ID client et au secret client dy client OpenID Connect correspondant. Cet exemple est valable pour le client OpenID Connect du serveur de profil Liberty par défaut.
    Remarque : Dans cet exemple, le fournisseur OpenID suppose que le port SSL du client OpenID est défini sur 443.
    <openidConnectProvider id="OidcConfigSample" oauthProviderRef="OAuthConfigSample" /> 
    
    <oauthProvider id="OAuthConfigSample"> 
    <localStore> 
    <client name="client01" secret="{xor}LDo8LTor" 
    displayname="client01" 
    scope="openid profile email" 
    redirect="https://server.example.com:443/oidcclient/redirect/client01"/> 
    </localStore> 
    </oauthProvider>
    Remarque : Un client valide doit enregistrer son nom, sa redirection, sa portée et son secret pour le type d'octroi authorization_code.
  4. Configurez le magasin de clés de confiance du serveur afin d'inclure le certificat de signataire des parties utilisatrices, ou des clients, qui sont pris en charge. Pour plus d'informations sur les magasins de clés, voir Activation de la communication SSL pour le profil Liberty.
  5. Modifiez la configuration SSL du serveur afin d'utiliser le magasin de clés de confiance configuré.
    <sslDefault sslRef="DefaultSSLSettings" /> 	
    <ssl id="DefaultSSLSettings" keyStoreRef="myKeyStore" trustStoreRef="myTrustStore" /> 	
    <keyStore id="myKeyStore" password="{xor}Lz4sLCgwLTs=" type="jks" location="${server.config.dir}/resources/security/BasicKeyStore.jks" /> 
    <keyStore id="myTrustStore" password="{xor}Lz4sLCgwLTs=" type="jks" location="${server.config.dir}/resources/security/BasicTrustStore.jks" />

    OpenID Connect est configuré pour utiliser la configuration SSL par défaut qui est spécifiée par le serveur. Par conséquent, la configuration SSL par défaut pour le serveur doit utiliser le magasin de clés de confiance qui est configuré pour OpenID Connect.

    Le formulaire de consentement utilisateur dans OpenID Connect est connectable, ce qui permet aux fournisseurs de créer et de gérer leur propre formulaire de consentement. Ce formulaire étant extrait sur SSL, vous devez configurer le magasin de clés de confiance afin d'inclure le certificat de signataire du serveur sur lequel est hébergé le formulaire de consentement. Si le formulaire de consentement par défaut est utilisé et que le magasin de clés de confiance utilisé pour OpenID Connect est configuré pour être différent du magasin de clés utilisé par le serveur de profil Liberty, vous devez importer le certificat de signataire du serveur de profil Liberty dans le magasin de clés de confiance OpenID Connect.

    Pour découvrir d'autres options de configuration du fournisseur OpenID Connect, voir Eléments de configuration dans le fichier server.xml.

    Remarque : Pour pouvoir utiliser OpenID Connect, l'attribut scope doit inclure openid dans la liste de portées.

Résultats

Vous avez maintenant établi la configuration minimale qui est nécessaire pour la configuration d'un serveur de profil Liberty en tant que fournisseur OpenID Connect capable de communiquer avec d'autres serveurs de profil Liberty configurés en tant que clients OpenID Connect.

Icône indiquant le type de rubrique Rubrique Tâche

Dispositions pour les centres de documentation | Commentaires


Icône d'horodatage Dernière mise à jour: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_config_oidc_op
Nom du fichier : twlp_config_oidc_op.html