Video: OpenID Connect on Liberty

Das folgende Transkript bezieht sich auf das Video "OpenID Connect on Liberty", in dem die Konfiguration von OpenID Connect unter Liberty veranschaulicht wird. Dieses Transkript ist das Storyboard des Videos. "Audio" beschreibt den Filmkommentar und die Überschriften, die "Bildschirmaktion" beschreibt den im Video gezeigten Inhalt.

Video OpenID Connect on Liberty

Tabelle 1. Titelseite. Der Titel, gefolgt von einem grundlegenden OpenID-Connect-Szenario mit den unterstützten OpenID-Providern und den Vorteilen der Verwendung von OpenID wird gezeigt.
Szene Audio Bildschirmaktion
1 In diesem Video wird gezeigt, wie ein einfaches OpenID Connect-Web-Single-sign-on mit WebSphere Application Server Liberty eingerichtet wird. Der Titel OpenID Connect Quick Setup wird gezeigt.
2 Hier können Sie einen grundlegenden "OpenID Connect"-Fluss sehen. Wenn ein Benutzer zum ersten Mal versucht, auf eine mit OpenID Connect geschützte Webanwendung oder eine Relying Party zuzugreifen, wird der Benutzer an einen OpenID Connect-Provider umgeleitet. Der OpenID Connect-Provider authentifiziert den Benutzer und ruft die Benutzerberechtigung ab. Anschließend antwortet er mit einem Berechtigungscode. Daraufhin entpackt der Anwendungscontainer den Code aus der Antwort, sendet ihn zur Verifizierung an den OpenID-Provider und erhält die ID und Zugriffstoken. Als Ergebnis dieses Vorgangs wird der Benutzer für den Zugriff auf die geschützte Webanwendung authentifiziert. Mit dem Zugriffstoken kann die Anwendung Benutzerinformationen wie eine E-Mail-Adresse vom OpenID Connect-Provider abfragen oder kann auf einen beliebigen Service zugreifen, der OpenID Connect unterstützt. In diesem Video wird die Anwendung als "Relying Party" oder RP bezeichnet und der "OpenID-Provider" als OP.

Lassen Sie uns einen Blick auf die unterstützten OpenID-Provider werfen.

Ein grundlegendes OpenID Connect-Szenario wird gezeigt, das eine Relying Party (RP), einen OpenID-Provider (OP) und einen Endbenutzer umfasst.
3 Sie können IBM® WebSphere Liberty als OpenID-Provider oder als Relying Party konfigurieren. Sie können auch IBM Security Access Manager (ISAM) als OP verwenden. Alternativ dazu können Sie eine Reihe von Drittanbietern als OpenID-Provider verwenden. Einige der unterstützten OpenID-Provider werden gezeigt.
  • IBM WebSphere
  • IBM Security Access Manager
  • Amazon
  • Microsoft
  • Okta
  • Google
4 OpenID Connect bietet eine Reihe von Vorteilen als Identitätsschicht oberhalb von OAUTH 2.0. Mit OpenID Connect können die Benutzer eine einzelne Internetidentität haben, mit der sich sich bei mehreren Servern, Services und Anwendungen authentifizieren können. Außerdem wird die Menge an Verwaltungsaufgaben in Anwendungen verringert, weil diese keine eigene Benutzerregistry mehr benötigen.

Für Entwickler wird die Aufgabe der Benutzerauthentifizierung vereinfacht, ohne dass sie die Verantwortung für das Speichern und Verwalten von Kennwörtern übernehmen müssen. OpenID Connect kann außerdem Sicherheitsservices auf cloudbasierte und mobile Anwendungen, die in einer beliebigen Sprache wie JavaScript, Ruby, node.js oder Java™ geschrieben sind, ausweiten und kann als einzelner Sicherheitsmanager fungieren und hunderte von Liberty-Server in einer Cloud-Umgebung bereitstellen. Weil OpenID Connect die Vorteile von Identität, Authentifizierung und OAuth kombiniert, ist es eine wichtige Verbesserung gegenüber der Verwendung von OAuth alleine.

Einige Vorteile der Verwendung von OpenID Connect werden gezeigt.
  • Mit OpenID Connect ist es einfacher, einem Benutzer eine einzelne Internetidentität (ein Benutzerkonto) zuzuordnen, mit der er sich bei mehreren Servern, Services und Anwendungen authentifizieren kann.
  • Es ist nicht mehr erforderlich, dass die Anwendungen eine eigene Benutzerregistry verwalten.
  • OpenID Connect weitet die Sicherheitsservices auf Cloud- und mobile Anwendungen aus, die über Sprachen wie JavaScript, Ruby, node.js, Java zugänglich sind.
  • Die Bereitstellung von hunderten von Liberty-Servern in einer Cloud bietet die Möglichkeit, nur einen einzelnen Sicherheitsmanager einzusetzen.
  • OpenID Connect ist eine wichtige Verbesserung gegenüber OAUTH 2.0
Tabelle 2. Demo für die Konfiguration des OpenID-Providers
Szene Audio Bildschirmaktion
5 WebSphere Application Server Liberty kann als OpenID-Provider und/oder als Relying Party konfiguriert werden. Wenn Sie Liberty sowohl als OP als auch als RP verwenden möchten, müssen Sie diese auf verschiedenen Liberty-Serverinstanzen konfigurieren. Wir werden die Liberty-Server als OP und RP konfigurieren und uns ein einfaches Web-Single Sign-on-Szenario zwischen Liberty-OP und -RP anschauen. Der Titel Setting up Liberty as OpenID Connect provider and relying party wird angezeigt.
6 Als Erstes richten wir einen OpenID-Provider ein.

Dazu führen wir folgende Schritte aus: Installation von WebSphere Liberty 8554 oder höher. Dieses Produkt ist erforderlich, damit die OpenID Connect-Features verwendet werden können. Installation des Features OpenID Server.

Erstellen eines Liberty-Servers und Hinzufügen einer OP-Konfiguration zur Datei server.xml, die als Beispieldatei von IBM developerWorks heruntergeladen werden kann.

Eine Übersicht über die Einrichtung des OP wird gezeigt.
  1. Installation von WebSphere Liberty 8.5.5.4 oder höher > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. Installation des Features OpenID Server (kein Download erforderlich) > bin/featureManager install openidConnectServer-1.0 --when-file-exists=ignore
  3. Erstellen eines Liberty-Servers > server create oidcServer
  • Aktualisieren der Datei server.xml mit weiteren Konfigurationsinformationen (für den Download verfügbares Beispiel)
  • Erforderliche Features
  • SSL-Keystore
  • Benutzerregistry
  • OpenID Server
7 Entpacken Sie zunächst die Liberty-JAR-Datei. Dadurch wird das Verzeichnis wlp erstellt. Wechseln Sie zum Verzeichnis bin unter wlp und führen Sie den Befehl featureManager install aus, um das Feature OpenID Connect Server zu installieren.

Führen Sie in demselben Verzeichnis den Befehl server create aus, um einen Liberty-OP-Server zu erstellen. Wir legen den Namen oidcServer für den Server fest.

oidcServer wird jetzt mit der Mindestkonfiguration in der Datei server.xml erstellt. Sie finden die Konfiguration im Verzeichnis wlp/usr/server/oidcServer.

Hier können Sie den Inhalt der gerade erstellten Datei server.xml sehen. Die Konfiguration ist sehr einfach und umfasst lediglich ein Feature und Portinformationen. Wir ersetzen sie durch eine server.xml-Datei, die die OP-Serverkonfiguration enthält. (Die Anzeige wird geteilt und auf der rechten Seite erscheint die OP-Konfiguration.)

(Die einzelnen Updates in der Datei server.xml werden hervorgehoben). In dieser OP-Serverkonfiguration
  • sind die erforderlichen Features enthalten,
  • ist ein Hostname enthalten,
  • ist die Keystorekonfiguration für das SSL-Feature enthalten.
  • Der OP verwaltet die Benutzerkonten, daher ist eine Benutzerregistry konfiguriert.

Der Rest ist die OP-Konfiguration, die OAuth-Technologie verwendet. Darin enthalten sind Informationen zur Relying Party, für die die Berechtigung durchgeführt wird.

Sie können die Datei server.xml, die wir gerade hinzugefügt haben, von IBM DeveloperWorks herunterladen. Wir starten den OP-Server. Nachdem wir den OpenID-Provider eingerichtet haben, können wir jetzt die Liberty-Relying-Party einrichten.

Demo mit einer Eingabeaufforderung, die zum Aktualisieren der Datei server.xml verwendet wird.
Tabelle 3. Demo für die Konfiguration der Relying Party
Szene Audio Bildschirmaktion
8 Zum Einrichten der Relying Party benötigen wir wie für die OP-Konfiguration Liberty Version 8.5.5.4 oder höher. Außerdem werden wir das Feature OpenID Client installieren.

Wir erstellen einen separaten Liberty-Server und bearbeiten die Datei server.xml.

Anschließend installieren wir die Anwendung und tauschen mit dem OpenID-Provider Schlüssel für die SSL-Kommunikation aus.

Die Übersicht über die Konfiguration der RP wird gezeigt.
  1. Installation von WebSphere Liberty 8.5.5.4 > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. Installation des Features OpenID Client (kein Download erforderlich) > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Erstellen eines Liberty-Servers > server create oidcRP
    • Aktualisieren der Datei server.xml mit weiteren Konfigurationsinformationen (für den Download verfügbares Beispiel)
    • Erforderliche Features
    • SSL-Keystore
    • OpenID Client
    • Anwendung
  1. Installation der Anwendung (die OpenID Connect verwendet) >> Kopieren der Anwendungs-EAR-/WAR-Datei unter das Verzeichnis "app".
    • Austausch von Schlüsseln mit OP für die SSL-Kommunikation.
9 Liberty Version 8.5.5.4 ist auf diesem System bereits konfiguriert. Wir installieren das Feature OpenID Client und erstellen einen Server mit dem Namen oidcRP. Hier ist die Standarddatei server.xml. Wir vergleichen sie mit einer server.xml-Datei, die eine RP-Konfiguration enthält. Diese Abschnitte (Features, Hostname des Endpunkts, Keystore) sind dieselben Aktualisierungen wie die, die wir zuvor für den OP angeschaut haben.

Dieses Mal haben wir anstelle einer OpenID Client-Konfiguration eine OP-Serverkonfiguration. Sie legt die OP-URLs fest, an die Authentifizierungsanforderungen gesendet werden.

Die RP-Konfiguration umfasst außerdem die Anwendungskonfiguration und diese Anwendungen vertrauen darauf, dass der OP die Authentifizierung durchführt.

Beachten Sie, dass in der RP keine Benutzerregistry konfiguriert ist. Dies ist die gesamte Konfiguration, die für die RP erforderlich ist. Wir kopieren eine Testanwendung in das Verzeichnis app der RP. Bevor Sie den RP-Server starten, vergewissern Sie sich, dass die RP und der OP die Schlüssel im Keystore für die SSL-Kommunikation ausgetauscht haben. In dieser Demo verwenden wir denselben Keystore und dasselbe Kennwort.

Jetzt starten wir den RP-Server, um zu sehen, ob die Konfiguration ordnungsgemäß durchgeführt wurde.

Demo mit einer Eingabeaufforderung, die zum Aktualisieren der Datei server.xml verwendet wird.
Tabelle 4. Demo zum Testen der OP/RP-Konfiguration
Szene Audio Bildschirmaktion
10 OP- und RP-Server sind bereits gestartet. In einem Browser rufen wir die Anwendungs-URL auf. Bei entsprechender Aufforderung geben wir die Kontoinformationen aus dem OP ein. Wir sehen, dass die RP darauf vertraut, dass der OP die Authentifizierung ausführt. Nachdem der Benutzer authentifiziert wurde, zeigt die RP dem Benutzer eine Anwendungsseite an. Lassen Sie uns diese Schritte jetzt ausführen. Demo zum Testen der OP/RP-Konfiguration.
  1. Starten von OP- und RP-Server: > server start oidcServer > server start oidcRP
  2. In einem Browser wird die Anwendungsanmeldeseite auf der RP aufgerufen > https://oidc-rp.rtp.raleigh.ibm.com:9443/testpage
  3. Bei entsprechender Aufforderung werden die Benutzer-ID und das Kennwort eingegeben, die vom OP verwaltet werden > user1 / security
  4. RP vertraut darauf, dass der OP die Authentifizierung durchführt.
  5. Nach erfolgreicher Authentifizierung stellt die RP die Anwendungsseite mit Benutzerdaten bereit.
11 Im Browser geben wir die URL der Anwendung ein, die sich auf dem RP-Server befindet. Sie werden dazu aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Beachten Sie, dass die Aufforderung vom OP-Server stammt, weil die Relying Party (RP) die Authentifizierung an den OP delegiert.

Wir geben user1 und security ein. Dies sind die Berechtigungsnachweise für das OP-Konto. Jetzt haben wir uns erfolgreich mit dem OP-Konto an der Anwendung auf der RP angemeldet.

Demo mit Browseranmeldung, die eine erfolgreiche Anmeldung mit dem OP-Konto bei der Anwendung auf der RP veranschaulicht.
Tabelle 5. Zusammenfassung. Es wird gezeigt, wo weitere Informationen zu OpenID Connect zu finden sind.
Szene Audio Bildschirmaktion
12 Weitere Information finden Sie auf den Websites zu den folgenden Onlineressourcen. Es werden Informationen zur Dokumentation angezeigt:
Downloadseite für WebSphere Liberty:
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
Installation des OpenID Connect-Features:
Server: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Client: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
IBM Knowledge Center - Hauptseite zu OpenID Connect:
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
IBM DeveloperWorks (einschließlich OP/RP-Beispiel)
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html

Weitere Informationen zu OpenID Connect finden Sie unter OpenID Connect verwenden.


Symbol das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=video_transcript_oidc_liberty
Dateiname: video_transcript_oidc_liberty.html