视频:Liberty 上的 OpenID Connect
以下抄本用于“Liberty 上的 OpenID Connect”视频,此视频演示如何在 Liberty 上配置 OpenID Connect。此抄本是视频故事板。音频进行解说和旁白。屏幕操作描述视频中显示的内容。
场景 | 音频 | 屏幕上的操作 |
---|---|---|
1 | 此视频将显示如何使用 WebSphere® Application Server Liberty 设置简单 OpenID Connect Web 单点登录方案。 | 显示标题 OpenID Connect 快速设置。 |
2 | 可在此处见到基本“OpenID Connect” 流程。用户首次尝试访问受 OpenID Connect
保护的 Web 应用程序或依赖方时,该用户会被重定向至 OpenID Connect 提供程序。OpenID Connect 提供程序认证用户并获取用户授权,然后以授权代码作为响应。然后,应用程序容器从响应中抽取该代码,将该代码发送回 OpenID 提供程序以进行验证,然后接收标识和访问令牌。因此,系统会认证该用户以允许其访问受保护的 Web 应用程序。通过使用访问令牌,该应用程序可向
OpenID Connect 提供程序请求用户信息(例如,电子邮件地址),也可访问支持 OpenID Connect 的任何服务。在此视频中,我们将该应用程序称为“依赖方”或 RP,并将“OpenID 提供程序”称为 OP。 我们将讨论一些受支持的 OpenID 提供程序。 |
显示基本 OpenID Connect 方案,此方案包括依赖方 (RP)、OpenID 提供程序 (OP) 和最终用户。 |
3 | 可将 IBM® WebSphere Liberty 配置为 OpenID 提供程序或依赖方。也可将 IBM Security Access Manager(又称为 ISAM)用作 OP。或者,可以使用一些受支持的第三方 OpenID 提供程序。 | 显示一些受支持的 OpenID 提供程序。
|
4 | OpenID Connect 作为 OAUTH 2.0 之上的标识层提供一些优势。通过 OpenID Connect,用户具有单一互联网身份,他们可使用此身份在若干服务器、服务和应用程序中进行认证,这可以减少应用程序中的维护工作量,因为它们不再需要自己的用户注册表。 对于开发者,这样做简化了认证用户的任务(不必负责存储和管理密码)。OpenID Connect 还可将安全服务扩展至使用任何语言(例如,JavaScript、Ruby、node.js 或 Java™)编写的基于云的应用程序和移动应用程序,它可作为单一安全管理器工作,从而在云环境中供应数以百计的 Liberty 服务器。因为 OpenID Connect 组合了身份、认证和 OAuth 的优势,所以 OpenID Connect 是重大改进(与单独使用 OAuth 相比)。 |
显示一些使用 OpenID Connect 的优势。
|
场景 | 音频 | 屏幕上的操作 |
---|---|---|
5 | WebSphere Application Server Liberty 可配置为 OpenID 提供程序和/或依赖方。如果要同时将 Liberty 用作 OP 和 RP,那么必须将它们配置到不同 Liberty 服务器实例上。我们将 Liberty 服务器设置为 OP 和 RP,并查看 Liberty OP 与 RP 之间的简单 Web 单点登录方案。 | 显示标题将 Liberty 设置为 OpenID Connect 提供程序和依赖方。 |
6 | 首先,我们将设置 OpenID 提供程序。 为此,我们将安装 WebSphere Liberty 8554 或更高版本,这是使用 OpenID Connect 功能部件时所必需的。安装 OpenID 服务器功能部件 创建 Liberty 服务器并将 OP 配置添加至 server.xml 文件,可从 IBM developerWorks® 以可下载样本的形式获取该文件。 |
显示 OP 设置概述。
|
7 | 首先,解压缩 Liberty JAR 文件。这会创建 wlp
目录。转至 wlp 下的 bin 目录,然后运行 featureManager
install 命令以安装 OpenID Connect 服务器功能部件。 在同一目录中,运行 server create 命令以创建 Liberty OP 服务器。我们会将此项命名为 oidcServer。 现在已创建 oidcServer,它在 server.xml 文件中具有最低配置。可在 wlp/usr/server/oidcServer 目录中找到该配置。 可在此处见到我们刚创建的 server.xml 文件的内容。此配置非常简单,只有一个功能部件和端口信息。我们会将它替换为具有 OP 服务器配置的 server.xml 文件。(屏幕将拆分,右边显示 OP 配置)。 (在 server.xml 文件中完成更新)在此 OP 服务器配置中,
余下是使用 OAuth 技术的 OP 配置。它包含有关为其执行授权的依赖方的信息。 可从 IBM DeveloperWorks 下载我们刚添加的 server.xml 文件。我们将启动 OP 服务器。既然我们已设置 OpenID 提供程序,那么我们可设置 Liberty 依赖方。 |
带有命令提示符的演示,此命令提示符正用于更新 server.xml 文件。 |
场景 | 音频 | 屏幕上的操作 |
---|---|---|
8 | 要设置依赖方(就像 OP 配置一样),我们需要具有 Liberty V8.5.5.4 或更高版本,并且我们将安装 OpenID 客户机功能部件。 我们将创建另一 Liberty 服务器并编辑 server.xml 文件。 然后,我们将安装该应用程序并与 OpenID 提供程序交换密钥以进行 SSL 通信。 |
显示 RP 设置概述。
|
9 | 已在此机器上配置 Liberty V8.5.5.4。我们将安装 OpenID
客户机功能部件,并创建名为 oidcRP 的服务器。以下是缺省 server.xml 文件。现在,我们将它与具有 RP 配置的 server.xml 文件进行比较。这些部分(功能部件、端点主机名和密钥库)的更新与我们在 OP 中见到的更新相同。 此时,我们具有 OpenID 客户机配置而不是 OP 服务器配置。它指定要将认证请求发送至的 OP URL。 RP 配置还包含应用程序配置,这些应用程序依赖 OP 执行认证。 请注意,RP 上没有用户注册表配置。RP 只需要这些配置。我们会将测试应用程序复制到 RP 的 app 目录。启动 RP 服务器之前,确保 RP 和 OP 已交换密钥库中的密钥以进行 SSL 通信。在此演示中,我们将使用相同密钥库和相同密码。 现在我们将启动 RP 服务器以了解设置是否正确。 |
带有命令提示符的演示,此命令提示符正用于更新 server.xml 文件。 |
场景 | 音频 | 屏幕上的操作 |
---|---|---|
10 | OP 和 RP 服务器已启动。在浏览器中,我们将访问应用程序 URL。出现提示时,我们将输入来自 OP 的帐户信息。我们会发现 RP 依赖 OP 执行认证。认证用户之后,RP 将对用户显示应用程序页面。立即尝试这些步骤。 | 有关测试 OP/RP 设置的演示。
|
11 | 在浏览器中,我们将输入 RP 服务器上的应用程序 URL。系统会提示您输入用户名和密码。请注意,OP 服务器将发出提示,因为 RP 正将认证委派给 OP。 我们将输入 user1 和 security,它们是 OP 帐户的凭证。现在我们已使用 OP 帐户成功登录 RP 上的应用程序。 |
带有浏览器登录的演示,显示使用 OP 帐户成功登录 RP 上的应用程序。 |
场景 | 音频 | 屏幕上的操作 |
---|---|---|
12 | 有关更多信息,请访问以下在线资源。 | 显示有关文档的信息:
|
有关 OpenID Connect 的更多信息,请参阅使用 OpenID Connect。