Video: OpenID Connect on Liberty
Das folgende Transkript bezieht sich auf das Video "OpenID Connect on Liberty", in dem die Konfiguration von OpenID Connect unter Liberty veranschaulicht wird. Dieses Transkript ist das Storyboard des Videos. "Audio" beschreibt den Filmkommentar und die Überschriften, die "Bildschirmaktion" beschreibt den im Video gezeigten Inhalt.
Szene | Audio | Bildschirmaktion |
---|---|---|
1 | In diesem Video wird gezeigt, wie ein einfaches OpenID Connect-Web-Single-sign-on mit WebSphere Application Server Liberty eingerichtet wird. | Der Titel OpenID Connect Quick Setup wird gezeigt. |
2 | Hier können Sie einen grundlegenden
"OpenID Connect"-Fluss sehen.
Wenn ein Benutzer zum ersten Mal versucht,
auf eine mit
OpenID Connect geschützte Webanwendung oder eine Relying Party zuzugreifen, wird der Benutzer
an einen OpenID Connect-Provider umgeleitet. Der OpenID Connect-Provider authentifiziert den Benutzer und
ruft die Benutzerberechtigung ab. Anschließend antwortet er mit einem Berechtigungscode.
Daraufhin entpackt der
Anwendungscontainer den Code aus der Antwort, sendet ihn zur Verifizierung
an den
OpenID-Provider und erhält die ID und Zugriffstoken.
Als Ergebnis dieses Vorgangs wird der Benutzer für den Zugriff auf die geschützte Webanwendung authentifiziert. Mit dem Zugriffstoken
kann die Anwendung Benutzerinformationen wie eine E-Mail-Adresse vom
OpenID Connect-Provider abfragen oder kann auf einen beliebigen
Service zugreifen, der
OpenID Connect unterstützt. In diesem Video wird die Anwendung als
"Relying Party" oder
RP bezeichnet und der "OpenID-Provider" als OP. Lassen Sie uns einen Blick auf die unterstützten OpenID-Provider werfen. |
Ein grundlegendes OpenID Connect-Szenario wird gezeigt, das eine Relying Party (RP), einen OpenID-Provider (OP) und einen Endbenutzer umfasst. |
3 | Sie können IBM® WebSphere Liberty als OpenID-Provider oder als Relying Party konfigurieren. Sie können auch IBM Security Access Manager (ISAM) als OP verwenden. Alternativ dazu können Sie eine Reihe von Drittanbietern als OpenID-Provider verwenden. | Einige der unterstützten OpenID-Provider werden gezeigt.
|
4 | OpenID Connect bietet eine Reihe von Vorteilen
als Identitätsschicht oberhalb von
OAUTH 2.0. Mit OpenID Connect können die Benutzer eine einzelne Internetidentität haben, mit der sich sich bei mehreren Servern,
Services und Anwendungen authentifizieren können. Außerdem wird die Menge an Verwaltungsaufgaben in Anwendungen verringert,
weil diese keine eigene Benutzerregistry mehr benötigen.
Für Entwickler wird die Aufgabe der Benutzerauthentifizierung vereinfacht, ohne dass sie die Verantwortung für das Speichern und Verwalten von Kennwörtern übernehmen müssen. OpenID Connect kann außerdem Sicherheitsservices auf cloudbasierte und mobile Anwendungen, die in einer beliebigen Sprache wie JavaScript, Ruby, node.js oder Java™ geschrieben sind, ausweiten und kann als einzelner Sicherheitsmanager fungieren und hunderte von Liberty-Server in einer Cloud-Umgebung bereitstellen. Weil OpenID Connect die Vorteile von Identität, Authentifizierung und OAuth kombiniert, ist es eine wichtige Verbesserung gegenüber der Verwendung von OAuth alleine. |
Einige Vorteile der Verwendung von
OpenID Connect werden gezeigt.
|
Szene | Audio | Bildschirmaktion |
---|---|---|
5 | WebSphere Application Server Liberty kann als OpenID-Provider und/oder als Relying Party konfiguriert werden. Wenn Sie Liberty sowohl als OP als auch als RP verwenden möchten, müssen Sie diese auf verschiedenen Liberty-Serverinstanzen konfigurieren. Wir werden die Liberty-Server als OP und RP konfigurieren und uns ein einfaches Web-Single Sign-on-Szenario zwischen Liberty-OP und -RP anschauen. | Der Titel Setting up Liberty as OpenID Connect provider and relying party wird angezeigt. |
6 | Als Erstes richten wir einen
OpenID-Provider ein. Dazu führen wir folgende Schritte aus: Installation von WebSphere Liberty 8554 oder höher. Dieses Produkt ist erforderlich, damit die OpenID Connect-Features verwendet werden können. Installation des Features OpenID Server. Erstellen eines Liberty-Servers und Hinzufügen einer OP-Konfiguration zur Datei server.xml, die als Beispieldatei von IBM developerWorks heruntergeladen werden kann. |
Eine Übersicht über die Einrichtung des OP wird gezeigt.
|
7 | Entpacken Sie zunächst die Liberty-JAR-Datei. Dadurch wird das Verzeichnis
wlp erstellt. Wechseln Sie zum Verzeichnis
bin unter
wlp und führen Sie den Befehl
featureManager
install aus, um das Feature OpenID Connect Server zu installieren. Führen Sie in demselben Verzeichnis den Befehl server create aus, um einen Liberty-OP-Server zu erstellen. Wir legen den Namen oidcServer für den Server fest. oidcServer wird jetzt mit der Mindestkonfiguration in der Datei server.xml erstellt. Sie finden die Konfiguration im Verzeichnis wlp/usr/server/oidcServer. Hier können Sie den Inhalt der gerade erstellten Datei server.xml sehen. Die Konfiguration ist sehr einfach und umfasst lediglich ein Feature und Portinformationen. Wir ersetzen sie durch eine server.xml-Datei, die die OP-Serverkonfiguration enthält. (Die Anzeige wird geteilt und auf der rechten Seite erscheint die OP-Konfiguration.) (Die einzelnen Updates in der Datei server.xml werden hervorgehoben).
In dieser OP-Serverkonfiguration
Der Rest ist die OP-Konfiguration, die OAuth-Technologie verwendet. Darin enthalten sind Informationen zur Relying Party, für die die Berechtigung durchgeführt wird. Sie können die Datei server.xml, die wir gerade hinzugefügt haben, von IBM DeveloperWorks herunterladen. Wir starten den OP-Server. Nachdem wir den OpenID-Provider eingerichtet haben, können wir jetzt die Liberty-Relying-Party einrichten. |
Demo mit einer Eingabeaufforderung, die zum Aktualisieren der Datei server.xml verwendet wird. |
Szene | Audio | Bildschirmaktion |
---|---|---|
8 | Zum Einrichten der Relying Party benötigen wir wie für die
OP-Konfiguration Liberty Version 8.5.5.4 oder höher. Außerdem werden wir das Feature OpenID Client installieren.
Wir erstellen einen separaten Liberty-Server und bearbeiten die Datei server.xml. Anschließend installieren wir die Anwendung und tauschen mit dem OpenID-Provider Schlüssel für die SSL-Kommunikation aus. |
Die Übersicht über die Konfiguration der
RP wird gezeigt.
|
9 | Liberty Version 8.5.5.4 ist auf diesem System bereits konfiguriert.
Wir installieren das Feature
OpenID Client und erstellen einen Server
mit dem Namen oidcRP. Hier ist die Standarddatei server.xml.
Wir vergleichen sie mit einer
server.xml-Datei, die eine RP-Konfiguration enthält.
Diese Abschnitte (Features, Hostname des Endpunkts, Keystore) sind dieselben Aktualisierungen wie die, die wir
zuvor für den OP angeschaut haben.
Dieses Mal haben wir anstelle einer OpenID Client-Konfiguration eine OP-Serverkonfiguration. Sie legt die OP-URLs fest, an die Authentifizierungsanforderungen gesendet werden. Die RP-Konfiguration umfasst außerdem die Anwendungskonfiguration und diese Anwendungen vertrauen darauf, dass der OP die Authentifizierung durchführt. Beachten Sie, dass in der RP keine Benutzerregistry konfiguriert ist. Dies ist die gesamte Konfiguration, die für die RP erforderlich ist. Wir kopieren eine Testanwendung in das Verzeichnis app der RP. Bevor Sie den RP-Server starten, vergewissern Sie sich, dass die RP und der OP die Schlüssel im Keystore für die SSL-Kommunikation ausgetauscht haben. In dieser Demo verwenden wir denselben Keystore und dasselbe Kennwort. Jetzt starten wir den RP-Server, um zu sehen, ob die Konfiguration ordnungsgemäß durchgeführt wurde. |
Demo mit einer Eingabeaufforderung, die zum Aktualisieren der Datei server.xml verwendet wird. |
Szene | Audio | Bildschirmaktion |
---|---|---|
10 | OP- und RP-Server sind bereits gestartet. In einem Browser rufen wir die Anwendungs-URL auf. Bei entsprechender Aufforderung geben wir die Kontoinformationen aus dem OP ein. Wir sehen, dass die RP darauf vertraut, dass der OP die Authentifizierung ausführt. Nachdem der Benutzer authentifiziert wurde, zeigt die RP dem Benutzer eine Anwendungsseite an. Lassen Sie uns diese Schritte jetzt ausführen. | Demo zum Testen der OP/RP-Konfiguration.
|
11 | Im Browser geben wir die URL der Anwendung ein, die
sich auf dem RP-Server befindet. Sie werden dazu aufgefordert, einen Benutzernamen und ein Kennwort einzugeben.
Beachten Sie, dass
die Aufforderung vom OP-Server stammt, weil die Relying Party (RP) die Authentifizierung
an den OP delegiert. Wir geben user1 und security ein. Dies sind die Berechtigungsnachweise für das OP-Konto. Jetzt haben wir uns erfolgreich mit dem OP-Konto an der Anwendung auf der RP angemeldet. |
Demo mit Browseranmeldung, die eine erfolgreiche Anmeldung mit dem OP-Konto bei der Anwendung auf der RP veranschaulicht. |
Szene | Audio | Bildschirmaktion |
---|---|---|
12 | Weitere Information finden Sie auf den Websites zu den folgenden Onlineressourcen. | Es werden Informationen zur Dokumentation angezeigt:
|
Weitere Informationen zu OpenID Connect finden Sie unter OpenID Connect verwenden.