Vidéo : OpenID Connect on Liberty

Cette retranscription est celle de la vidéo "OpenID Connect on Liberty", qui explique comment configurer OpenID Connect dans un profil Liberty. Cette retranscription est le storyboard de la vidéo. La section Audio décrit la narration et les légendes. La section Action à l'écran décrit le contenu affiché dans la vidéo.

Vidéo OpenID Connect on Liberty

Tableau 1. Page de titre. Affichage du titre, d'un scénario OpenID Connect de base, des fournisseurs OpenID pris en charge et des avantages de l'utilisation d'OpenID Connect.
Scène Audio Action à l'écran
1 Cette vidéo va vous expliquer comment configurer un simple scénario de connexion unique Web OpenID Connect à l'aide de WebSphere Application Server Liberty. Affichage du titre OpenID Connect Quick Setup.
2 Vous pouvez voir ici un flux "OpenID Connect" de base. Lorsqu'un utilisateur essaie pour la première fois d'accéder à une application Web protégée par OpenID Connect, ou à une partie utilisatrice, il est redirigé vers un fournisseur OpenID Connect. Le fournisseur OpenID Connect authentifie l'utilisateur, obtient l'autorisation de l'utilisateurn puis répond avec un code d'autorisation. Le conteneur d'application extraie ensuite le code de la réponse, renvoie ce code au fournisseur OpenID pour vérification, puis reçoit un ID et des jetons d'accès. Ainsi, l'utilisateur est authentifié pour accéder à l'application Web protégée. Grâce au jeton d'accès, l'application peut demander des informations utilisateur, telles qu'une adresse e-mail, au fournisseur OpenID Connect, ou elle peut accéder à tout service qui prend en charge OpenID Connect. Dans cette vidéo, je ferai référence à l'application en tant que "partie utilisatrice" (ou RP) et au "fournisseur OpenID".

Voyons d'abord les différents fournisseurs OpenID pris en charge.

Affichage d'un scénario OpenID Connect de base, incluant une partie utilisatrice, un fournisseur OpenID et un utilisateur final.
3 Vous pouvez configurer IBM® WebSphere Liberty en tant que fournisseur OpenID ou en tant que partie utilisatrice. De même, vous pouvez aussi utiliser IBM Security Access Manager, également appelé ISAM, en tant que fournisseur OpenID. Vous pouvez aussi utiliser un certain nombre de fournisseurs OpenID tiers pris en charge. Affichage de fournisseurs OpenID pris en charge.
  • IBM WebSphere
  • IBM Security Access Manager
  • Amazon
  • Microsoft
  • Okta
  • Google
4 OpenID Connect présente un certain nombre d'avantages en tant que couche d'identity au-dessus de OAUTH 2.0. Avec OpenID Connect, les utilisateurs disposent d'une identité Internet unique qu'ils peuvent utiliser pour s'authentifier auprès de plusieurs serveurs, services et applications, ce qui réduit le travail de maintenance dans les applications puisque celles-ci n'ont plus besoin d'avoir leur propre registre d'utilisateurs.

Pour les développeurs, cela simplifie la tâche d'authentification des utilisateurs car ils n'ont plus la responsabilité de stocker et de gérer les mots de passe. OpenID Connect peut aussi étendre les services de sécurité à des applications basées sur le cloud et à des applications mobiles écrites dans des langages, tels que JavaScript, Ruby, node.js ou Java™, et il peut opérer en tant que gestionnaire de sécurité unique pour l'application des accès de centaines de serveurs Liberty dans un environnement de cloud. Dans la mesure où OpenID Connect associe les avantages des fonctions d'identité, d'authentification et d'OAuth, il constitue une amélioration significative sur OAuth.

Affichage des avantages présentés par l'utilisation d'OpenID Connect.
  • OpenID Connect simplifie pour un utilisateur l'utilisation d'une seule identité Internet (compte utilisateur), qui lui permet de s'authentifier auprès de plusieurs serveurs, services et applications.
  • Les applications n'ont plus besoin de gérer leur propre registre d'utilisateurs.
  • OpenID Connect étend les services de sécurité aux applications cloud et mobile, qui sont accessibles dans différentts langages, tels que JavaScript, Ruby, node.js et Java
  • Avec l'application des accès de centaines de serveur de profil Liberty dans un cloud, un seul gestionnaire de sécurité suffit
  • OpenID Connect constitue une amélioration majeure par rapport à OAUTH 2.0
Tableau 2. Démonstration de la configuration du fournisseur OpenID
Scène Audio Action à l'écran
5 WebSphere Application Server Liberty peut être configuré en tant que fournisseur OpenID et/ou partie utilisatrice. Si vous voulez utiliser Liberty en tant que fournisseur OpenID et en tant que partie utilisatrice, vous devez les configurer dans différentes instances de serveur Liberty. Nous allons configurer des serveurs Liberty en tant que fournisseur OpenID et en tant que partie utilisatrice, puis nous examinerons un scénario simple de connexion unique Web entre le fournisseur OpenID et la partie utilisatrice. Affichage du titre Setting up Liberty as OpenID Connect provider and relying party.
6 Tout d'abord, nous allons configurer un fournisseur OpenID.

Pour ce faire, nous allons installer WebSphere Liberty 8554 ou une version suivante, qui est nécessaire pour l'utilisation de fonctions OpenID Connect. Installer la fonction OpenID Server

Créer un serveur Liberty et ajouter une configuration OPenID dans le fichier server.xml, qui est disponible en tant qu'exemple téléchargeable depuis IBM developerWorks.

Affichage de la présentation de la configuration d'OPenID.
  1. Installer WebSphere Liberty version 8.5.5.4 ou suivante > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. Installer la fonction OpenID Server (aucun téléchargement nécessaire) > bin/featureManager install openidConnectServer-1.0 --when-file-exists=ignore
  3. Créer un serveur Liberty > server create oidcServer
  • Editer le fichier server.xml pour l'ajout de configurations supplémentaires (Sample downloadable)
  • Fonctions obligatoires
  • Magasin de clés SSL
  • Registre d'utilisateurs
  • Serveur OpenID
7 Commencez par décomprimer le fichier JAR Liberty. Le répertoire wlp est créé. Accédez au répertoire bin sous wlp et exécutez la commande featureManager install pour installer la fonction OpenID Connect Server.

Dans ce même répertoire, exécutez la commande server create pour créer un serveur OpenID Liberty. Nous le nommerons oidcServer.

oidcServer est maintenant créé avec la configuration minimum dans le fichier server.xml. La configuration minimum se trouve dans le répertoire wlp/usr/server/oidcServer.

Vous pouvez voir ici le contenu du fichier server.xml que nous venons de créer. La configuration est très simple, avec une seule fonction et des informations de port. Nous allons la remplacer par un fichier server.xml comportant une configuration de serveur OPenID. (Partage d'écran et affichage de la configuration OPenID à droite).

(Passage en revue des mises à jour dans le fichier server.xml) Dans cette configuration de serveur OpenID,
  • Les fonctions obligatoires sont ajoutées.
  • Un nom d'hôte est ajouté.
  • La configuration de magasin de clés est incluse pour la fonction SSL.
  • Le fournisseur OpenID gère les comptes utilisateur, un registre d'utilisateurs est donc crée.

Le reste est la configuration OpenID qui utilise la technologie OAuth. Il s'agit des informations relatives à la partie utilisatrice pour laquelle est effectuée l'autorisation.

Vous pouvez recevoir par téléchargement le fichier server.xml que nous venons d'ajouter depuis IBM DeveloperWorks. Démarrons à présent le serveur OpenID. Maintenant que nous avons configuré le fournisseur OpenID, nous pouvons configurer la partie utilisatrice de Liberty.

Démonstration avec une invite de commande qui est utilisée pour la mise à jour du fichier server.xml.
Tableau 3. Démonstration de la configuration de la partie utilisatrice
Scène Audio Action à l'écran
8 Pour configurer la partie utilisatrice, tout comme la configuration du fournisseur OPenID, nous devons disposer de la version 8.5.5.4 ou suivante de Liberty et nous allons installer la fonction OpenID Client.

Nous allons créer un serveur Liberty distinct et éditer le fichier server.xml.

Ensuite, nous installerons l'application et nous échangerons les clés avec le fournisseur OpenID pour la communication SSL.

Affichage de la présentation de la configuration de la partie utilisatrice.
  1. Installer WebSphere Liberty 8.5.5.4 > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. Installation de la fonction OpenID Client (aucun téléchargement nécessaire) > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Créer un serveur Liberty > server create oidcRP
    • Editer le fichier server.xml pour l'ajout de configurations supplémentaires (Sample downloadable)
    • Fonctions obligatoires
    • Magasin de clés SSL
    • OpenID Client
    • Application
  1. Installer l'application (qui utilise OpenID Connect) >> Copy application ear/war file under app directory
    • Échanger les clés avec Le fournisseur OpenID pour la communication SSL
9 La version 8.5.5.4 de Liberty est déjà configurée sur cette machine. Nous allons installer la fonction OpenID Client, puis nous créerons un serveur nommé oidcRP. Voici le fichier server.xml par défaut. Nous allons maintenant le comparer à un fichier server.xml avec une configuration de partie utilisatrice. Ces sections (features, endpoint host name, keystores) sont des mises à jour identiques à celles que nous avons vues précédemment avec le fournisseur OpenID.

Cette fois, nous avons une configuration OpenID Client à la place de la configuration de serveur OpenID. Elle indique les URL OpenID auxquelles envoyer les demandes.

La configuration de la partie utilisatrice inclut la configuration d'application et ces applications reposent sur le fournisseur OpenID pour effectuer l'authentification.

Notez qu'il n'y a pas de configuration de registre d'utilisateurs dans la partie utilisatrice. Il s'agit là de la seule configuration nécessaire pour la partie utilisatrice. Copions maintenant une application de test dans le répertoire app de la partie utilisatrice. Avant de démarrer le serveur de la partie utilisatrice, assurez-vous que la partie utilisatrice et le fournisseur OpenID ont échangé les clés dans le magasin de clés pour la communication SSL. Dans cette démonstration, nous utiliserons le même fichier de clés et le même mot de passe.

Démarrons maintenant le serveur de la partie utilisatrice afin de vérifier qu'il est correctement configuré.

Démonstration avec une invite de commande qui est utilisée pour la mise à jour du fichier server.xml.
Tableau 4. Démonstration du test de la configuration du fournisseur OpenID/de la partie utilisatrice
Scène Audio Action à l'écran
10 Les serveurs du fournisseur OpenID et de la partie utilisatrice sont déjà démarrés. Dans un navigateur, nous accéderons à l'URL de l'application. Lorsque nous y serons invités, nous entrerons les informations de compte du fournisseur OpenID. Nous verrons la partie utilisatrice qui utilise le fournisseur OpenID pour effectuer l'authentification. Une fois l'utilisateur authentifié, la partie utilisatrice affichera une page de l'application pour l'utilisateur. Procédons maintenant à ces étapes. Démonstration du test de la configuration du fournisseur OpenID/de la partie utilisatrice.
  1. Démarrez les serveurs du fournisseur OpenID et de la partie utilisatrice, > server start oidcServer > server start oidcRP
  2. Dans un navigateur, pointez sur la page de connexion de l'application dans la partie utilisatrice > https://oidc-rp.rtp.raleigh.ibm.com:9443/testpage
  3. Lorsque vous y êtes invité, entrez les ID utilisateur et mot de passe gérés par le fournisseur OpenID > user1 / security
  4. La partie utilisatrice utilise le fournisseur OpenID pour l'authentification
  5. Une fois m'authentification effectuée, la partie utilisatrice affiche la page de l'application avec les informations utilisateur.
11 Dans le navigateur, nous entrons l'URL de l'application qui se trouve sur le serveur de la partie utilisatrice. Une invite s'affiche pour demander un nom d'utilisateur et un mot de passe. Notez que nous sommes invités par le serveur du fournisseur OpenID car la partie utilisatrice délègue l'authentification au fournisseur OpenID.

Nous entrons user1 et security, qui sont les données d'identification du compte du fournisseur OpenID. Nous sommes à présent connectés à l'application sur la partie utilisatrice à l'aide du compte du fournisseur OpenID.

Démonstration d'un navigateur dans lequel la connexion à l'application a abouti sur la partie utilisatrice à l'aide du compte du fournisseur OpenID.
Tableau 5. Conclusion. Affichage de l'emplacement d'informations supplémentaires sur OpenID Connect.
Scène Audio Action à l'écran
12 Pour plus d'informations, consultez ces ressources en ligne. Affichage des informations sur la documentation :
Page de téléchargement Liberty WebSphere
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
Installation de la fonction OpenID Connect
Serveur : https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Client : https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
Page principale d'IBM Knowledge Center - OpenID Connect
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
IBM DeveloperWorks (avec exemple de fournisseur OpenID/partie utilisatrice)
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html

Pour plus d'informations sur OpenID Connect, voir Utilisation d'OpenID Connect.


Icône indiquant le type de rubrique Rubrique de concept

Nom du fichier : video_transcript_oidc_liberty.html