Configuration d'une partie utilisatrice OpenID dans Liberty

Vous pouvez configurer un serveur Liberty pour qu'il opère en tant que partie utilisatrice OpenID et puisse utiliser la connexion unique Web.

Avant de commencer

Vous devez disposer d'au moins un fournisseur OpenID (OP) sécurisé avec des utilisateurs d'authentification. Plusieurs fournisseurs OpenID tiers sont disponibles.

Pourquoi et quand exécuter cette tâche

Vous pouvez avoir des utilisateurs authentifiées auprès d'un fournisseur OpenID en activant la fonction openid-2.0 dans Liberty en plus d'autres informations de configuration facultatives.

Procédure

  1. Ajoutez la fonction Liberty openid-2.0 dans le fichier server.xml. Ajoutez la déclaration d'élément suivante dans l'élément featureManager de votre fichier server.xml :
    <feature>openid-2.0</feature>
  2. Mettez à jour le fichier server.xml avec les options de configuration de la partie utilisatrice OpenID qui sont spécifiées par un élément <openId>.

    Pour obtenir une description des options de configuration de l'élément <openId>, voir OpenID.

    Vous pouvez prédéfinir une URL de fournisseur OpenID dans votre fichier server.xml en utilisant l'attribut providerIdentifier de l'élément <openId>, ou bien vous pouvez packager votre application avec l'élément FormLogin qui donne aux utilisateurs la possibilité de soumettre une URL de fournisseur OpenID à utiliser pour l'authentification.

    Si l'attribut providerIdentifier est ajouté dans le fichier server.xml, le serveur Liberty redirigera automatiquement les utilisateurs vers le fournisseur OpenID spécifié par cet attribut. Si l'attribut providerIdentifier n'est pas défini dans le fichier server.xml, le serveur Liberty enverra d'abord un formulaire de connexion afin d'inviter l'utilisateur à choisir ou confirmer un fournisseur OpenID avant de le rediriger vers le fournisseur OpenID.

    Voici un exemple de configuration OpenID qui définit un fournisseur OpenID :

    <openId id="myOpenId" providerIdentifier="https://openid.acme.com/op" userInfoRef="email">
      <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" />
    </openId>

    L'ajout de la fonction openid-2.0 applique automatiquement une configuration minimum. Par conséquent, aucun élément <openId> ne doit obligatoirement être spécifié de manière explicite dans le fichier server.xml. Sans l'indication d'un élément <openId>, la configuration suivante est implicite :

    <openId id="myOpenId" userInfoRef="email">
      <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" />
    </openId>

    Par défaut, l'adresse électronique de l'utilisateur qui est retournée par le fournisseur OpenID est utilisée pour la vérification d'identité et la création du sujet.

  3. Configurez le magasin de clés de confiance du serveur afin d'inclure les certificats de signataire des fournisseurs OpenID qui sont pris en charge. Pour obtenir des informations sur les magasins de clés, voir Activation de la communication SSL dans Liberty.
    1. Procédez à l'extraction du certificat de signataire du fournisseur OpenID. La plupart des navigateurs Web fournissent un support pour l'extraction ou l'exportation des certificats des sites Web via leur interface.
    2. Importez le certificat du fournisseur OpenID dans le magasin de clés de confiance du serveur. Pour obtenir une méthode d'importation de certificats dans un magasin de clés de confiance, consultez les capacités d'indicateur -import de l'utilitaire keytool qui figure dans votre répertoire d'installation Java™.
    3. Utilisez l'attribut sslRef de l'élément <openId> afin de pointer sur votre configuration SSL. Si aucun attribut sslRef n'est spécifié, la configuration SSL par défaut décrite dans la page du magasin de clés mentionné précédemment est utilisée. Votre configuration SSL doit inclure les références appropriées au magasin de clés de confiance qui contient les certificats de fournisseur OpenID importés.
  4. Facultatif : configurez le filtre d'authentification.

    Si l'attribut providerIdentifier est configuré dans l'élément openId du fichier server.xml, vous pouvez configurer authFilterRef afin de limiter les demandes qui doivent être interceptées par le fournisseur OpenID défini par l'attribut providerIdentifier.

    Pour plus d'informations sur la configuration du filtre d'authentification, voir Filtres d'authentification.


Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_config_rp_openid.html