视频:用于 WebSphere Liberty 上的应用程序的 Google OpenID Connect

以下抄本用于“用于 WebSphere® Liberty 上的应用程序的 Google OpenID Connect”视频,它演示如何在 WebSphere Application Server Liberty 上使用 Google OpenID Connect 提供者设置 OpenID Connect Web 单点登录。此抄本是视频故事板。音频进行解说和旁白。屏幕操作描述视频中显示的内容。

视频用于 WebSphere Liberty 上的应用程序的 Google OpenID Connect

表 1. 标题页面. 显示标题,然后显示基本 Google OpenID Connect 方案。
场景 音频 屏幕上的操作
1 此视频将显示如何在 WebSphere Application Server Liberty 上使用 Google OpenID Connect 提供者设置 OpenID Connect Web 单点登录。 显示标题使用 Google 快速设置 OpenID Connect
2 可在此处见到从最终用户到 Liberty 服务器及 Google OpenID 提供程序上的应用程序的“OpenID Connect”流程。用户首次尝试访问 Liberty 服务器上受 Google OpenID Connect 保护的应用程序时,该用户会被重定向至 Google OpenID 提供程序。通过使用 Google 帐户,系统会认证用户以允许其访问 Liberty 服务器上的受保护 Web 应用程序。在此视频中,我们将 Liberty 服务器称为“依赖方”或 RP,并将“Google OpenID Connect 提供者”称为 OP。 显示基本 Google OpenID Connect 方案,此方案包括依赖方 (RP)、Google OpenID Connect 提供者 (OP) 和最终用户。
表 2. 有关在 Google 中注册 Liberty 的演示
场景 音频 屏幕上的操作
3 要使用 Google OP 设置 Liberty RP,首先应在 Google OP 中将 Liberty 服务器注册为 OpenID Connect 客户机。

为此,我们将执行以下操作:

  • 登录 Google 开发者控制台并创建项目。
  • 然后,我们将在该项目中为 Liberty 服务器创建“客户机标识”
  • 写下客户机标识和客户端密钥以便设置 Liberty 时使用

立即尝试这些步骤。

显示以下标题:在 Google 中注册 Liberty
  1. 在 Google 开发者控制台上,创建项目 https://console.developers.google.com
  2. 在该项目中,通过凭证菜单创建客户机标识。
  3. 写下以下信息以用于 Liberty 设置
    • 客户机标识
    • 客户端密钥

有关更多信息,请参阅 https://developers.google.com/accounts/docs/OpenIDConnect 页面。

4 在 Google 开发者控制台中,创建新的项目。 在 Google 开发者控制台中,显示有关创建新的项目的演示。
  • 项目名称 - WebSphereLibertyOpenIDConnect
  • 项目标识 - astute-tome-859
5 在您刚创建的项目中,转至 API 和授权,然后转至凭证,最后转至创建新的客户机标识。首先,您必须配置同意屏幕。 显示 Google 开发者控制台屏幕,其中创建新的客户机标识被选中。
6 用户向 Google OpenID 提供程序认证时,将对用户显示同意屏幕。根据需要配置同意屏幕,然后继续创建客户机标识。对于应用程序类型,选择 Web 应用程序。然后,对 Liberty 服务器输入重定向 URI。(在屏幕上指向 https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP)此重定向 URI 来自 Liberty 服务器的配置,我们稍后讨论。如果不知道您的服务器的重定向 URI,那么可保留缺省值并在以后更新。 显示 Google 开发者控制台屏幕,其中 Web 应用程序被选中。
  • 已授权 JavaScript 源设置为 https://www.example.com
  • 已授权重定向 URI 设置为 https://www.example.com/oauth2callback
7 创建客户机标识后,可以看到客户机标识和客户端密钥。记下这些值,因为下一步(配置 Liberty 服务器)需要这些值。 显示 Google 开发者控制台屏幕,可在其中看到客户机标识和客户端密钥值。
表 3. 有关配置 WebSphere Liberty 的演示
场景 音频 屏幕上的操作
8 要设置 Liberty 以使用 Google OP,您需要:
  • 安装 Liberty V8.5.5.5 或更高版本
  • 安装 OpenID 客户机功能部件
  • 创建 Liberty 服务器
  • 使用 Google 信息编辑 server.xml 配置文件
  • 安装将使用 Google 帐户以进行认证的应用程序
  • 最后,将 Google 证书导入至密钥库以进行 SSL 通信
显示 WebSphere Liberty 设置概述。
  1. 安装 WebSphere Liberty 8.5.5.5 或最新 beta > java -jar wlp-developers-runtime-8.5.5.5.jar
  2. 安装 OpenID 客户机功能部件(不需要下载)> bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. 创建 Liberty 服务器 > server create GoogleRP
  4. 使用更多配置编辑 server.xml(样本可下载)
    • 必需功能部件
    • SSL 密钥库
    • OpenID 客户机
    • 应用程序
  5. 安装将使用 Google 帐户以进行认证的应用程序 > 在 app 目录下复制应用程序 ear/war 文件。
  6. 将 Google 证书导入至密钥库以进行 SSL 通信。
9 首先,我们将安装 Liberty V8.5.5.5。

然后,我们将安装 OpenID 客户机功能部件,并创建名为 GoogleRP 的服务器。

您可在 wlp\usr\servers\GoogleRP\ 目录下找到 server.xml 配置文件。

带有命令提示符的演示,此命令提示符正用于更新 server.xml 文件。
10 以下是缺省 server.xml 文件。现在,我们将它与具有 Google 配置的 server.xml 文件进行比较。 显示缺省 server.xml 文件。
11 您可见到已添加必需功能部件。在 OpenID Connect 客户机配置中,已添加从 Google 获取的客户机标识和客户端密钥。您可通过转至 Google OP 的发现端点来获取其他值。(视频上将显示 https://accounts/google.com/.well-known/openid-configuration)。然后,我们添加带有主机名、HTTP 端口和 HTTPS 端口的 SSL 配置及端点配置。

配置文件还包括依赖 Google 执行认证的应用程序的配置。

这就是 Liberty 所需的全部配置。

Liberty RP 使用 https://<hostname>:<sslport>/oidcclient/redirect/<openidConnecClient id> 模式生成自己的重定向 URL。例如,我们配置的服务器具有以下 URI:https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP。这是我们之前在 Google 控制台中输入的 URI。

显示 server.xml 文件,该文件包含从 Google 获取的客户机标识和客户端密钥。而且包含带有主机名、HTTP 端口和 HTTPS 端口的 SSL 配置及端点配置。server.xml 文件还包含依赖 Google 执行认证的应用程序的配置。
12 然后,我们将在 app 目录中安装应用程序。

我们将启动和停止 Liberty 服务器以获取服务器资源中的密钥库,并确保 Liberty 服务器密钥库具有用于 SSL 通信的 Google 证书。

注: 我们不会在此视频中显示证书步骤,而是在参考页面中包含指示信息。

然后,我们将再次启动 Liberty 服务器。

显示标题如何在此处导入 Google 证书
表 4. 有关测试设置的演示
场景 音频 屏幕上的操作
13 现在,我们将测试配置以了解其是否工作。
  • 在浏览器中,我们将访问应用程序 URL。
  • 出现提示时,我们将输入 Google 帐户信息。
  • 我们将见到应用程序重定向至 Google 以执行认证。
  • 认证用户之后,RP 将对用户显示应用程序页面。
  • 立即尝试这些步骤。
有关测试设置的演示。
  1. 启动 WebSphere Liberty 服务器 > server start oidcRP
  2. 在浏览器中,访问 Liberty 服务器上的应用程序登录页面 > http://rp-example.rtp.raleigh.ibm.com:7777/testpage
  3. 出现提示时,输入 Google 用户标识和密码 > xxx.yyy@gmail.com / mypassword
  4. 应用程序依赖 Google 执行认证
  5. 用户已成功认证
14 在浏览器中,我们将输入正在 Liberty 服务器上运行的应用程序的 URL。请注意,Google OP 服务器将发出提示,因为 Liberty 依赖方正将认证委派给该 OP。我们将输入 Google 帐户的凭证。接受同意屏幕后,我们已使用 OP 帐户成功登录 RP 上的应用程序。 带有浏览器登录的演示,显示使用 OP 帐户成功登录 RP 上的应用程序。
表 5. 总结. 显示可在其中找到有关使用 Google 的 OpenID Connect 的更多信息的位置。
场景 音频 屏幕上的操作
15 有关更多信息,请访问以下在线资源。 显示有关文档的信息:
WebSphere Liberty 下载页面
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
OpenID Connect 功能部件安装
服务器:https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
客户机:https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
IBM® Knowledge Center - OpenID Connect 主页
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
此处讨论所有 OpenID Connect 属性
http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/twlp_config_oidc_rp.html?cp=SSEQTP_8.5.5%2F1-3-11-0-4-2-9-2
IBM DeveloperWorks OpenID Connect 文章
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html
YouTube 上的 WebSphere Liberty OpenID Connect 设置视频
http://youtu.be/fuajCS5bG4c
Google 设置“OpenID Connect(用于登录的 OAuth 2.0)”
https://developers.google.com/accounts/docs/OpenIDConnect

有关 OpenID Connect 的更多信息,请参阅使用 OpenID Connect


用于指示主题类型的图标 概念主题

文件名:video_transcript_oidc_google.html