![[8.5.5.5 ou ultérieure]](../ng_v8555.gif)
Vidéo : OpenID Connect on Liberty
Cette retranscription est celle de la vidéo "OpenID Connect on Liberty", qui explique comment configurer OpenID Connect dans un profil Liberty. Cette transcription est le storyboard de la vidéo. La section Audio décrit la narration et les légendes. La section Action à l'écran décrit le contenu affiché dans la vidéo.
Scène | Audio | Action à l'écran |
---|---|---|
1 | Cette vidéo va vous expliquer comment configurer un simple scénario de connexion unique Web OpenID Connect à l'aide du profil Liberty de WebSphere Application Server. | Affichage du titre OpenID Connect Quick Setup. |
2 | Vous pouvez voir ici un flux
OpenID Connect de base. Lorsqu'un utilisateur essaie pour la première
fois d'accéder à une application Web protégée par OpenID Connect,
ou à une partie utilisatrice, il est redirigé vers un fournisseur
OpenID Connect. Le fournisseur OpenID Connect
authentifie l'utilisateur, obtient l'autorisation de l'utilisateurn
puis répond avec un code d'autorisation. Le conteneur d'application
extraie ensuite le code de la
réponse, renvoie ce code au fournisseur OpenID
pour vérification, puis reçoit un ID et des jetons d'accès. Ainsi,
l'utilisateur est authentifié pour accéder à l'application Web
protégée. Grâce au jeton d'accès, l'application peut demander des
informations utilisateur, telles qu'une adresse e-mail, au
fournisseur OpenID Connect, ou elle peut accéder à tout service qui
prend en charge OpenID Connect. Dans cette vidéo,
je ferai référence à l'application en tant que "partie
utilisatrice" (ou RP) et au "fournisseur OpenID". Voyons d'abord les différents fournisseurs OpenID pris en charge. |
Affichage d'un scénario OpenID Connect de base, incluant une partie utilisatrice, un fournisseur OpenID et un utilisateur final. |
3 | Vous pouvez configurer le profil Liberty d'IBM® WebSphere en tant que fournisseur OpenID ou en tant que partie utilisatrice. De même, vous pouvez aussi utiliser IBM Security Access Manager, également appelé ISAM, en tant que fournisseur OpenID. Vous pouvez aussi utiliser un certain nombre de fournisseurs OpenID tiers pris en charge. | Affichage de fournisseurs OpenID pris en
charge.
|
4 | OpenID Connect présente un certain nombre
d'avantages en tant que couche d'identity au-dessus de OAUTH
2.0. Avec OpenID Connect, les utilisateurs disposent d'une
identité Internet unique qu'ils peuvent utiliser pour
s'authentifier auprès de plusieurs
serveurs, services et applications, ce qui réduit le
travail de de maintenance dans les applications puisque
celles-ci n'ont plus besoin d'avoir leur propre registre
d'utilisateurs. Pour les développeurs, cela simplifie la tâche d'authentification des utilisateurs car ils n'ont plus la responsabilité de stocker et de gérer les mots de passe. OpenID Connect peut aussi étendre les services de sécurité à des applications basées sur le cloud et à des applications mobiles écrites dans des langages, tels que JavaScript, Ruby, node.js ou Java™, et il peut opérer en tant que gestionnaire de sécurité unique pour l'application des accès de centaines de serveurs de profil Liberty dans un environnement de cloud. Dans la mesure où OpenID Connect associe les avantages des fonctions d'identité, d'authentification et d'OAuth, il constitue une amélioration significative sur OAuth. |
Affichage des avantages présentés par
l'utilisation d'OpenID Connect.
|
Scène | Audio | Action à l'écran |
---|---|---|
5 | Le profil Liberty de WebSphere Application Server peut être configuré en tant que fournisseur OpenID et/ou partie utilisatrice. Si vous voulez utiliser le profil Liberty en tant que fournisseur OpenID et en tant que partie utilisatrice, vous devez les configurer dans différentes instances de serveur de profil Liberty. Nous allons configurer des serveurs de profil Liberty en tant que fournisseur OpenID et en tant que partie utilisatrice, puis nous examinerons un scénario simple de connexion unique Web entre le fournisseur OpenID et la partie utilisatrice. | Affichage du titre Setting up the Liberty profile as OpenID Connect provider and relying party. |
6 | Tout d'abord, nous allons configurer un
fournisseur OpenID. Pour ce faire, nous allons installer WebSphere Liberty 8554 ou une version suivante, qui est nécessaire pour l'utilisation de fonctions OpenID Connect. Installer la fonction OpenID Server Créer un serveur Liberty et ajouter une configuration OPenID dans le fichier server.xml, qui est disponible en tant qu'exemple téléchargeable depuis IBM developerWorks. |
Affichage de la présentation de la
configuration d'OPenID.
|
7 | Commencez par décomprimer le fichier JAR Liberty. Le
répertoire wlp est créé. Accédez au
répertoire bin sous wlp et
exécutez la commande featureManager install
pour installer la fonction OpenID Connect Server. Dans ce même répertoire, exécutez la commande server create pour créer un serveur OpenID Liberty. Nous le nommerons oidcServer. oidcServer est maintenant créé avec la configuration minimum dans le fichier server.xml. La configuration minimum se trouve dans le répertoire wlp/usr/server/oidcServer. Vous pouvez voir ici le contenu du fichier server.xml que nous venons de créer. La configuration est très simple, avec une une seule fonction et des informations de port. Nous allons la remplacer par un fichier server.xml comportant une configuration de serveur OPenID. (Partage d'écran et affichage de la configuration OPenID à droite). (Passage en revue des
mises à jour dans le fichier server.xml)
Dans cette configuration de serveur OpenID,
Le reste est la configuration OpenID qui utilise la technologie OAuth. Il s'agit des informations relatives à la partie utilisatrice pour laquelle est effectuée l'autorisation. Vous pouvez recevoir par téléchargement le fichier server.xml que nous venons d'ajouter depuis IBM DeveloperWorks. Démarrons à présent le serveur OpenID. Maintenant que nous avons configuré le fournisseur OpenID, nous pouvons configurer la partie utilisatrice du profil Liberty. |
Démonstration avec une invite de commande qui est utilisée pour la mise à jour du fichier server.xml. |
Scène | Audio | Action à l'écran |
---|---|---|
8 | Pour configurer la partie utilisatrice,
tout comme la configuration du fournisseur OPenID, nous devons
disposer de la version 8.5.5.4 ou suivante du profil
Liberty et nous allons installer la fonction OpenID Client. Nous allons créer un serveur de profil Liberty distinct et éditer le fichier server.xml. Ensuite, nous installerons l'application et nous échangerons les clés avec le fournisseur OpenID pour la communication SSL. |
Affichage de la présentation de la
configuration de la partie utilisatrice.
|
9 | La version 8.5.5.4 du profil Liberty
est déjà configurée sur cette machine. Nous allons installer
la fonction OpenID Client, puis nous créerons un serveur nommé
oidcRP. Voici le fichier
server.xml par défaut. Nous allons maintenant le comparer à un fichier
server.xml avec une configuration de partie
utilisatrice.
Ces sections (features, endpoint host name, keystores) sont des
mises à jour identiques à celles que nous avons vues précédemment
avec le fournisseur OpenID. Cette fois, nous avons une configuration OpenID Client à la place de la configuration de serveur OpenID. Elle indique les URL OpenID auxquelles envoyer les demandes. La configuration de la partie utilisatrice inclut la configuration d'application et ces applications reposent sur le fournisseur OpenID pour effectuer l'authentification. Notez qu'il n'y a pas de configuration de registre d'utilisateurs dans la partie utilisatrice. Il s'agit là de la seule configuration nécessaire pour la partie utilisatrice. Copions maintenant une application de test dans le répertoire app de la partie utilisatrice. Avant de démarrer le serveur de la partie utilisatrice, assurez-vous que la partie utilisatrice et le fournisseur OpenID ont échangé les clés dans le magasin de clés pour la communication SSL. Dans cette démonstration, nous utiliserons le même fichier de clés et le même mot de passe. Démarrons maintenant le serveur de la partie utilisatrice afin de vérifier qu'il est correctement configuré. |
Démonstration avec une invite de commande qui est utilisée pour la mise à jour du fichier server.xml. |
Scène | Audio | Action à l'écran |
---|---|---|
10 | Les serveurs du fournisseur OpenID et de la partie utilisatrice sont déjà démarrés. Dans un navigateur, nous accéderons à l'URL de l'application. Lorsque nous y serons invités, nous entrerons les informations de compte du fournisseur OpenID. Nous verrons la partie utilisatrice qui utilise le fournisseur OpenID pour effectuer l'authentification. Une fois l'utilisateur authentifié, la partie utilisatrice affichera une page de l'application pour l'utilisateur. Procédons maintenant à ces étapes. | Démonstration du test de la configuration du
fournisseur OpenID/de la partie utilisatrice.
|
11 | Dans le navigateur, nous entrons l'URL de
l'application qui se trouve sur le serveur de la partie
utilisatrice. Une invite s'affiche pour demander un nom d'utilisateur et un mot de
passe.
Notez que nous sommes invités par le serveur du fournisseur OpenID car la
partie utilisatrice délègue l'authentification au
fournisseur OpenID. Nous entrons user1 et security, qui sont les données d'identification du compte du fournisseur OpenID. Nous sommes à présent connectés à l'application sur la partie utilisatrice à l'aide du compte du fournisseur OpenID. |
Démonstration d'un navigateur dans lequel la connexion à l'application a abouti sur la partie utilisatrice à l'aide du compte du fournisseur OpenID. |
Scène | Audio | Action à l'écran |
---|---|---|
12 | Pour plus d'informations, consultez ces ressources en ligne. | Affichage des informations sur la documentation :
|
Pour plus d'informations sur OpenID Connect, voir
Utilisation
d'OpenID Connect.