Configuración de una Relying Party de OpenID en Liberty
Puede configurar un servidor de Liberty para que funcione como una Relying Party de OpenID, para aprovechar el inicio de sesión único web.
Antes de empezar
Debe tener al menos un proveedor de OpenID (OP) que sea de confianza con usuarios de autenticación. Hay disponibles varios proveedores de OpenID de terceros.
Acerca de esta tarea
Puede autenticar los usuarios con un proveedor de OpenID habilitando la característica openid-2.0 Liberty, además de otra información de configuración opcional.
Procedimiento
- Añada la característica openid-2.0
de Liberty al archivo server.xml. Añada la siguiente declaración del elemento dentro del elemento
featureManager en el archivo server.xml:
<feature>openid-2.0</feature>
- Actualice el archivo server.xml con las opciones de
configuración de OpenID Relying Party especificadas por un
elemento <openId>.
Para ver una descripción de opciones de configuración para el elemento <openId>, consulte OpenID.
Puede predefinir un URL de proveedor de OpenID en el archivo server.xml utilizando el atributo providerIdentifier del elemento <openId>, o bien puede empaquetar la aplicación con FormLogin, lo que proporciona a los usuarios la opción de enviar un URL de proveedor de OpenID para utilizarlo para la autenticación.
Si se añade el atributo providerIdentifier al archivo server.xml, el servidor de Liberty redireccionará automáticamente a los usuarios al proveedor de OpenID especificado por el atributo. Si el atributo providerIdentifier no se ha definido en el archivo server.xml, el servidor de Liberty primero enviará un formulario de inicio de sesión para solicitar al usuario que seleccione o confirme un proveedor de OpenID antes de redireccionar al usuario al proveedor de OpenID.
A continuación, se muestra una configuración de OpenID de ejemplo que define un proveedor de OpenID:
<openId id="myOpenId" providerIdentifier="https://openid.acme.com/op" userInfoRef="email"> <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" /> </openId>
La adición de la característica openid-2.0 impone automáticamente una configuración mínima determinada. En consecuencia, no hay ningún elemento <openId> que deba especificarse explícitamente en el archivo server.xml. Sin un elemento <openId> especificado, la siguiente configuración es implícita:
<openId id="myOpenId" userInfoRef="email"> <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" /> </openId>
De forma predeterminada, se utiliza la dirección de correo electrónico del usuario que se devuelve desde el proveedor de OpenID para la aserción de identidad y la creación del sujeto.
- Configure el almacén de confianza del servidor para que incluya los certificados de
firmante de los proveedores de OpenID soportados. Si desea más
información sobre almacenes de claves, consulte
Habilitación
de la comunicación SSL en Liberty.
- Extraiga el certificado de firmante del proveedor de OpenID. La mayoría de navegadores web conocidos dan soporte a la extracción o exportación de certificados de sitios web a través de la interfaz del navegador.
- Importe el certificado del proveedor de OpenID al almacén de confianza del servidor. Para ver un método de importación de certificados a un almacén de confianza, consulte las prestaciones del distintivo -import del programa de utilidad keytool que se encuentra en el directorio de instalación de Java™.
- Utilice el atributo sslRef del elemento <openId> para que apunte a la configuración SSL. Si no se especifica ningún atributo sslRef, se utilizará la configuración SSL predeterminada que se describe en la página del almacén de claves mencionado anteriormente. La configuración de SSL debe incluir las referencias apropiadas en el almacén de confianza que contiene los certificados importados del proveedor OpenID.
- Opcional: configure el filtro de autenticación.
Si el atributo providerIdentifier se configura dentro del elemento openId en el archivo server.xml, puede configurar authFilterRef para limitar las solicitudes que debe interceptar el proveedor de OpenID definido por el atributo providerIdentifier.
Si desea más información sobre cómo configurar el filtro de autenticación, consulte Filtros de autenticación.

Nombre de archivo: twlp_config_rp_openid.html