Vidéo : Google OpenID Connect for applications on WebSphere Liberty

Cette retranscription est celle de la vidéo "Google OpenID Connect for applications on WebSphere Liberty", qui démontre comment configurer une connexion unique Web OpenID Connect sur WebSphere Application Server Liberty avec un fournisseur Google OpenID Connect. Cette retranscription est le storyboard de la vidéo. La section Audio décrit la narration et les légendes. La section Action à l'écran décrit le contenu affiché dans la vidéo.

Vidéo Google OpenID Connect for applications on WebSphere Liberty

Tableau 1. Page de titre. Affichage du titre, puis d'un scénario Google OpenID Connect de base.
Scène Audio Action à l'écran
1 Cette vidéo va vous expliquer comment configurer une connexion unique Web OpenID Connect sur WebSphere Application Server Liberty avec un fournisseur Google OpenID Connect. Affichage du titre OpenID Connect Quick Setup with Google (Configuration rapide d'OpenID Connect avec Google).
2 Vous pouvez voir ici un flux "OpenID Connect" d'un utilisateur final vers une application sur le serveur Liberty et le fournisseur Google OpenID. Lorsqu'un utilisateur essaie pour la première fois d'accéder à une application protégée par Google OpenID Connect sur un serveur Liberty, il est redirigé vers le fournisseur Google OpenID. L'utilisateur s'authentifie grâce à son compte Google et il peut accéder à l'application Web protégée sur le serveur Liberty. Dans cette vidéo, nous appelons le serveur Liberty, la "partie utilisatrice (Relying party ou RP)" et le "fournisseur Google OpenID Connect (OpenID Connect provider ou OP)", le fournisseur OpenID (OP). Affichage d'un scénario Google OpenID Connect de base, incluant une partie utilisatrice, un fournisseur Google OpenID et un utilisateur final.
Tableau 2. Démonstration de l'enregistrement Liberty dans Google
Scène Audio Action à l'écran
3 Pour configurer la partie utilisatrice (RP) Liberty avec Google, nous allons d'abord enregistrer le serveur Liberty en tant que client OpenID Connect dans le fournisseur OpenID (OP) Google.

Pour cela, nous allons :

  • Nous connecter à Google Developers Console et créer un projet
  • Dans le projet, nous allons créer un "Client ID" pour le serveur Liberty
  • Nous allons noter le Client ID et le Client Secret pour la configuration Liberty

Procédons maintenant à ces étapes.

Affichage du titre Register Liberty in Google (Enregistrement de Liberty dans Google).
  1. Dans Google Developers Console, créez un projet https://console.developers.google.com.
  2. Dans le projet, créez un Client ID dans le menu Credential.
  3. Notez les informations suivantes pour la configuration de Liberty
    • Client ID
    • Client Secret

Pour plus d'informations, consultez la page https://developers.google.com/accounts/docs/OpenIDConnect.

4 Dans Google Developers Console, créez un nouveau projet. Dans Google Developers Console, démonstration de la création d'un nouveau projet.
  • Project name- WebSphereLibertyOpenIDConnect
  • Project ID- astute-tome-859
5 Dans le projet que vous venez de créer, sélectionnez APIs & auth, puis Credentials et Create new Client ID. Vous allez tout d'abord configurer un écran d'accord. Affichage de l'écran Google Developers Console dans lequel Create new Client ID est sélectionné.
6 L'écran d'accord (Consent) s'affiche pour que les utilisateurs s'authentifient auprès du fournisseur Google OpenID. Configurez l'écran d'accord comme il convient et poursuivez la création de votre Client ID. Comme type d'application, sélectionnez Web application. Entrez ensuite une URI de réacheminement pour le serveur Liberty (qui pointe sur https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP à l'écran). Cette URi est issue de la configuration de votre serveur Liberty, que nous présenterons plus loin. Si vous ne connaissez pas l'URI de réacheminement de votre serveur, vous pouvez laisser la valeur par défaut et la mettre à jour ultérieurement. Affichage de l'écran Google Developers Console dans lequel Web Application est sélectionné.
  • Authorized JavaScript Origins est défini sur https://www.example.com
  • Authorized Redirect URIs est défini sur https://www.example.com/oauth2callback
7 Une fois le Client ID créé, vous pouvez voir des valeurs dans les zones Client ID et Client Secret. Notez ces valeurs car elles vous seront nécessaires à l'étape suivante, lors de la configuration du serveur Liberty. Affichage de l'écran Google Developers Console dans lequel on peut voir les valeurs des zones Client ID et Client Secret.
Tableau 3. Démonstration de la configuration de WebSphere Liberty
Scène Audio Action à l'écran
8 Pour configurer Liberty afin qu'il puisse être utilisé avec un fournisseur Google OpenIDn vous allez devoir :
  • Installer la version 8.5.5.5 ou une version suivante de Liberty
  • Installer la fonction OpenID Client
  • Créer un serveur Liberty
  • Editer le fichier de configuration server.xml afin d'y ajouter des informations Google
  • Installer l'application qui doit utiliser le compte Google pour l'authentification
  • Et enfin, importer le certificat Google dans le magasin de clés pour la communication SSL
Affichage des étapes de la configuration de Liberty de WebSphere.
  1. Installation de WebSphere Liberty 8.5.5.5 ou de la dernière version beta > java -jar wlp-developers-runtime-8.5.5.5.jar
  2. Installation de la fonction OpenID Client (aucun téléchargement nécessaire) > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Création d'un serveur Liberty > server create GoogleRP
  4. Edition du fichier server.xml pour l'ajout de configurations supplémentaires (Sample downloadable)
    • Fonctions obligatoires
    • Magasin de clés SSL
    • OpenID Client
    • Application
  5. Installation de l'application qui utilisera le compte Google pour l'authentification > Copy application ear/war file under app directory.
  6. Importation du certificat Google dans le magasin de clés pour la communication SSL.
9 Commençons par installer la version 8.5.5.5 de Liberty.

Ensuite, nous devons installer la fonction OpenID Client, puis nous créons un serveur nommé GoogleRP.

Le fichier de configuration server.xml figure sous le répertoire wlp\usr\servers\GoogleRP\.

Démonstration avec l'invite de commande qui est utilisée pour la mise à jour du fichier server.xml.
10 Voici le fichier server.xml par défaut. Nous allons maintenant le comparer à un fichier server.xml comportant une configuration Google. Affichage d'un fichier server.xml par défaut.
11 Vous pouvez voir que les fonctions nécessaires sont ajoutées. Dans la configuration OpenID Connect Client, on peut voir qu'ont été ajoutés le Client ID et le Client Secret que nous avons obtenus de Google. Pour obtenir les autres valeurs, accédez au noeud final de Google OpendID. (https://accounts/google.com/.well-known/openid-configuration est représenté dans la vidéo). Nous ajoutons ensuite une configuration SSL et une configuration de noeud final avec le nom d'hôte, le port HTTP et le port HTTPS.

Le fichier de configuration comporte également la configuration des applications qui reposent sur Google pour l'exécution de l'authentification.

Il s'agit là de la seule configuration dont nous avons besoin pour Liberty.

La partie utilisatrice (RP) Liberty utilise ce masque (https://<hostname>:<sslport>/oidcclient/redirect/<openidConnecClient id>) pour générer sa propre URL de réacheminement. Par exemple, le serveur que nous avons configuré a l'URI suivante : https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP. Il s'agit de l'URI que vous avons entrée plus tôt sur la console Google.

Affichage d'un fichier server.xml contenant le Client ID et le Client Secret qui ont été obtenus de Google. Affichage également d'une configuration SSL et d'une configuration de noeud final avec le nom d'hôte, le port HTTP et le port HTTPS. Le fichier server.xml comporte également la configuration des applications qui reposent sur Google pour l'exécution de l'authentification.
12 A présent, nous allons installer notre application dans le répertoire apps.

Nous devons démarrer puis arrêter le serveur Liberty afin d'avoir le magasin de clés dans les ressources serveur et nous assurer que le magasin de clés du serveur Liberty a un certificat Google pour la communication SSL.

Remarque : Dans cette vidéo, nous ne présenterons pas les étapes de certification et nous n'indiquerons aucune instruction dans la page de référence

Nous devons maintenant redémarrer le serveur Liberty.

Affichage du titre How to import Google certificate here (Comment importer un certificat Google ici).
Tableau 4. Démonstration du test de la configuration
Scène Audio Action à l'écran
13 Testons maintenant notre configuration pour voir si elle fonctionne.
  • Dans un navigateur, nous accédons à l'URL de l'application.
  • Lorsque nous y sommes invité, nous entrons nos données de compte Google.
  • L'application nous redirige vers Google pour effectuer l'authentification.
  • Une fois l'utilisateur authentifié, la partie utilisatrice affiche une page de l'application.
  • Procédons maintenant à ces étapes.
Démonstration du test de la configuration.
  1. Démarrez le serveur Liberty de WebSphere > server start oidcRP
  2. Dans un navigateur, pointez sur la page de connexion de l'application sur le serveur Liberty > http://rp-example.rtp.raleigh.ibm.com:7777/testpage
  3. Lorsque vous y êtes invité, entrez les ID utilisateur et mot de passe du compte Google > xxx.yyy@gmail.com / mypassword
  4. L'application repose sur Google pour effectuer l'authentification
  5. L'utilisateur est authentifié
14 Dans le navigateur, nous entrons l'URL de l'application qui s'exécute sur le serveur Liberty. Notez que nous sommes invités par le fournisseur OpenID Google car la partie utilisatrice Liberty délègue l'authentification au fournisseur OpenID. Nous entrons les données d'identification du compte Google. Après acceptation de l'écran d'accord (Consent), nous sommes connectés à l'application sur la partie utilisatrice à l'aide du compte du fournisseur OpenID. Démonstration d'un navigateur dans lequel la connexion à l'application a abouti sur la partie utilisatrice à l'aide du compte du fournisseur OpenID.
Tableau 5. Conclusion. Affichage de l'emplacement d'informations supplémentaires sur l'utilisation d'OpenID Connect avec Google.
Scène Audio Action à l'écran
15 Pour plus d'informations, consultez ces ressources en ligne. Affichage des informations sur la documentation :
Page de téléchargement Liberty WebSphere
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
Installation de la fonction OpenID Connect
Serveur : https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Client : https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
Page principale d'IBM® Knowledge Center - OpenID Connect
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
Présentation de tous les attributs OpenID Connect
http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/twlp_config_oidc_rp.html?cp=SSEQTP_8.5.5%2F1-3-11-0-4-2-9-2
Article IBM DeveloperWorks OpenID Connect
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html
Vidéo WebSphere Liberty OpenID Connect setup sur YouTube
http://youtu.be/fuajCS5bG4c
Google setup "OpenID Connect (OAuth 2.0 for Login)"
https://developers.google.com/accounts/docs/OpenIDConnect

Pour plus d'informations sur OpenID Connect, voir Utilisation d'OpenID Connect.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=video_transcript_oidc_google
Nom du fichier : video_transcript_oidc_google.html