Configuration d'un fournisseur OpenID Connect pour l'utilisation de l'algorithme RSA-SHA256 pour la signature des jetons d'ID

Vous pouvez configurer le fournisseur OpenID Connect afin qu'il utilise l'algorithme RS256 pour la signature des jetons d'ID.

Pourquoi et quand exécuter cette tâche

Vous pouvez configurer un fournisseur OpenID Connect afin qu'il utilise l'algorithme de signature RSA-SHA256 pour la signature des jetons d'ID en définissant signatureAlgorithm sur RS256 et en configurant un magasin de clés avec la clé privée utilisée pour la signature.

Procédure

  1. Définissez l'attribut signatureAlgorithm du fournisseur OpenID Connect sur RS256.
  2. Vous pouvez configurer l'OP Liberty pour signer un jeton d'ID avec un certificat X509 dans un magasin de clés physique ou une paire de clés RSA auto-générées qui sont des clés publiques publiées et régénérées périodiquement dans l'emplacement JWK in jwks_uri.
    1. Facultatif : certificat X509
      Dans le fichier server.xml, créez un élément keystore qui fait référence au magasin de clés physique contenant la clé privée capable d'exécuter un algorithme de signature RSA-SHA256. Exemple :
      <keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
      Définissez l'attribut keyStoreRef sur la valeur d'ID de l'élément keystore utilisé à l'étape 1, et définissez keyAliasName pour localiser la clé privée dans le magasin de clés. Exemple :
      <openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
    2. Facultatif : JWK

      Pour générer dynamiquement une paire de clés de signature et publier une clé publique dans JWK, ajoutez jwkEnabled="true". La paire de clés est régénérée toutes les 12 heures et vous pouvez configurer jwkRotationTime pour modifier la fréquence.

Résultats

Vous avez maintenant configuré un fournisseur OpenID Connect pour la signature des jetons d'ID avec l'algorithme RSA-SHA256.

Icône indiquant le type de rubrique Rubrique Tâche



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_config_oidc_rs256
Nom du fichier : twlp_config_oidc_rs256.html