Video: Google OpenID Connect for applications on WebSphere Liberty
Das folgende Transkript bezieht sich auf das Video "Google OpenID Connect for applications on WebSphere Liberty", in dem gezeigt wird, wie OpenID Connect-Web-Single Sign-on mit einem Google-OpenID Connect-Provider in WebSphere Application Server Liberty eingerichtet wird. Dieses Transkript ist das Storyboard des Videos. "Audio" beschreibt den Filmkommentar und die Überschriften, die "Bildschirmaktion" beschreibt den im Video gezeigten Inhalt.
Google
OpenID Connect for applications on WebSphere Liberty
Szene | Audio | Bildschirmaktion |
---|---|---|
1 | In diesem Video wird gezeigt, wie OpenID Connect-Web-Single-sign-on mit einem Google-OpenID-Connect-Provider in WebSphere Application Server Liberty eingerichtet wird. | Der Titel OpenID Connect Quick Setup with Google wird gezeigt. |
2 | Hier können Sie einen "OpenID Connect"-Fluss von einem Endbenutzer zu einer Anwendung auf dem Liberty-Server und dem Google-OpenID-Provider sehen. Wenn ein Benutzer zum ersten Mal versucht, auf eine mit Google-OpenID Connect geschützte Anwendung auf einem Liberty-Server zuzugreifen, wird der Benutzer an den Google-OpenID-Provider umgeleitet. Der Benutzer wird über das Google-Konto für den Zugriff auf die geschützte Webanwendung auf dem Liberty-Server authentifiziert. In diesem Video wird der Liberty-Server als "Relying Party" oder RP bezeichnet und der "Google-OpenID-Connect-Provider" als OP. | Es wird ein grundlegendes Google-OpenID-Connect-Szenario gezeigt, das eine Relying Party (RP) einen Google-OpenID-Connect-Provider (OP) und einen Endbenutzer umfasst. |
Szene | Audio | Bildschirmaktion |
---|---|---|
3 | Zum Einrichten des Liberty-RP mit dem Google-OP wird zunächst
der Liberty-Server als OpenID Connect Client im
Google-OP registriert. Dazu gehen wir wie folgt vor:
Lassen Sie uns diese Schritte jetzt ausführen. |
Der Titel Register Liberty in
Google wird angezeigt.
Weitere Informationen finden Sie auf der Seite https://developers.google.com/accounts/docs/OpenIDConnect. |
4 | Erstellen Sie in der Google Developers Console ein neues Projekt. | In der Google Developers Console wird eine Demo zum Erstellen eines neuen Projekts gezeigt.
|
5 | Wechseln Sie in dem Projekt, das Sie gerade erstellt haben zu APIs & auth und wählen Sie Credentials und dann Create new Client ID aus. Zunächst müssen Sie eine Einverständnisanzeige (Consent Screen) konfigurieren. | Die Google Developers Console-Anzeige erscheint, in der Create new Client ID ausgewählt ist. |
6 | Die Einverständnisanzeige (Consent Screen) wird einem Benutzer angezeigt, wenn er sich beim Google-OpenID-Provider authentifiziert. Konfigurieren Sie sie nach Bedarf und fahren Sie mit dem Erstellen Ihrer Client-ID fort. Wählen Sie als Anwendungstyp Web application aus. Geben Sie anschließend einen Umleitungs-URI für den Liberty-Server an (in dieser Anzeige https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP). Dieser Umleitungs-URI stammt aus der Konfiguration für Ihren Liberty-Server. Nähere Informationen dazu folgen später. Wenn Sie den Umleitungs-URI für Ihren Server nicht kennen, können Sie den Standardwert übernehmen und zu einem späteren Zeitpunkt aktualisieren. | Die Google Developers Console-Anzeige erscheint, in der
Web Application ausgewählt ist.
|
7 | Nachdem die Client-ID erstellt wurde, können Sie die Client-ID und den geheimen Clientschlüssel (Client Secret) sehen. Notieren Sie diese Werte, da sie im nächsten Schritt für die Konfiguration des Liberty-Servers benötigt werden. | Die Google Developers Console-Anzeige erscheint, in der Werte für "Client ID" und "Client Secret" zu sehen sind. |
Szene | Audio | Bildschirmaktion |
---|---|---|
8 | Um Liberty für die Zusammenarbeit mit einem
Google OP einzurichten, müssen Sie folgenden Schritte ausführen:
|
Die Übersicht über die Konfiguration von
WebSphere Liberty-Server wird angezeigt.
|
9 | Als Erstes wird Liberty Version 8.5.5.5 installiert.
Anschließend wird das Feature OpenID Client installiert und ein Server mit dem Namen GoogleRP erstellt. Sie finden die Konfigurationsdatei server.xml unter dem Verzeichnis wlp\usr\servers\GoogleRP\. |
Demo mit Eingabeaufforderung zur Aktualisierung der Datei server.xml. |
10 | Hier ist die Standarddatei server.xml. Wir vergleichen sie mit einer server.xml-Datei, die eine Google-Konfiguration enthält. | Eine server.xml-Standarddatei wird gezeigt. |
11 | Sie können sehen, dass die erforderlichen Features hinzugefügt wurden.
In der OpenID Connect Client-Konfiguration sind die Client-ID und der geheime Clientschlüssel
(Client Secret) von Google enthalten. Sie können die anderen Werte vom
Discovery Endpoint des Google-OP abrufen (im Video wird https://accounts/google.com/.well-known/openid-configuration angezeigt).
Anschließend fügen wir die SSL-Konfiguration und Endpunktkonfiguration mit dem Hostnamen, HTTP-Port und
HTTPS-Port hinzu. Die Konfigurationsdatei enthält auch die Konfiguration für Anwendungen, die Google für die Authentifizierung nutzen. Dies ist die gesamte Konfiguration, die für Liberty erforderlich ist. Die Liberty-RP verwendet das Muster https://<Hostname>:<SSL-Port>/oidcclient/redirect/<OpenID Connect Client-ID>, um eine eigene Umleitungs-URL zu generieren. Beispielsweise hat der Server, den wir konfiguriert haben, den folgenden URI: https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP. Dies ist der URI, den wir vorher in der Google Console eingegeben haben. |
Eine server.xml-Datei wird gezeigt, die die Client-ID und den geheimen Clientschlüssel (Client Secret) enthält, die von Google abgerufen wurden. Außerdem eine SSL-Konfiguration und Endpunktkonfiguration mit dem Hostnamen, HTTP-Port und HTTPS-Port. Die Datei server.xml umfasst auch die Konfiguration der Anwendungen, die Google für die Authentifizierung nutzen. |
12 | Als Nächstes wird die Anwendung im Verzeichnis
app installiert. Der Liberty-Server wird gestartet und gestoppt, um den Keystore in den Serverressourcen abzurufen und sicherzustellen, dass der Liberty-Server-Keystore ein Google-Zertifikat für die SSL-Kommunikation enthält. Anmerkung: Die Zertifizierungsschritte
werden in diesem Video nicht gezeigt, Anweisungen sind auf der Referenzseite enthalten.
Anschließend wird der Liberty-Server erneut gestartet. |
Der Titel How to import Google certificate here wird gezeigt. |
Szene | Audio | Bildschirmaktion |
---|---|---|
13 | Jetzt wird die Konfiguration getestet, um zu sehen, wie sie funktioniert.
|
Demo zum Testen der Konfiguration.
|
14 | Im Browser geben wir die URL der Anwendung ein, die auf dem Liberty-Server ausgeführt wird. Beachten Sie, dass die Aufforderung vom Google-OP-Server stammt, weil die Liberty-RP (Relying Party) die Authentifizierung an den OP delegiert. Wir geben die Berechtigungsnachweise für das Google-Konto ein. Nachdem wir die Einverständnisanzeige (Consent Screen) akzeptiert haben, sind wir erfolgreich mit dem OP-Konto bei der Anwendung auf der RP angemeldet. | Demo mit Browseranmeldung, die eine erfolgreiche Anmeldung mit dem OP-Konto bei der Anwendung auf der RP veranschaulicht. |
Szene | Audio | Bildschirmaktion |
---|---|---|
15 | Weitere Information finden Sie auf den Websites zu den folgenden Onlineressourcen. | Es werden Informationen zur Dokumentation angezeigt:
|
Weitere Informationen zu OpenID Connect finden Sie unter OpenID Connect verwenden.