Video: Google OpenID Connect for applications on WebSphere Liberty

Das folgende Transkript bezieht sich auf das Video "Google OpenID Connect for applications on WebSphere Liberty", in dem gezeigt wird, wie OpenID Connect-Web-Single Sign-on mit einem Google-OpenID Connect-Provider in WebSphere Application Server Liberty eingerichtet wird. Dieses Transkript ist das Storyboard des Videos. "Audio" beschreibt den Filmkommentar und die Überschriften, die "Bildschirmaktion" beschreibt den im Video gezeigten Inhalt.

Video Google OpenID Connect for applications on WebSphere Liberty

Tabelle 1. Titelseite. Der Titel, gefolgt von einem grundlegenden Google-OpenID-Connect-Szenario wird gezeigt.
Szene Audio Bildschirmaktion
1 In diesem Video wird gezeigt, wie OpenID Connect-Web-Single-sign-on mit einem Google-OpenID-Connect-Provider in WebSphere Application Server Liberty eingerichtet wird. Der Titel OpenID Connect Quick Setup with Google wird gezeigt.
2 Hier können Sie einen "OpenID Connect"-Fluss von einem Endbenutzer zu einer Anwendung auf dem Liberty-Server und dem Google-OpenID-Provider sehen. Wenn ein Benutzer zum ersten Mal versucht, auf eine mit Google-OpenID Connect geschützte Anwendung auf einem Liberty-Server zuzugreifen, wird der Benutzer an den Google-OpenID-Provider umgeleitet. Der Benutzer wird über das Google-Konto für den Zugriff auf die geschützte Webanwendung auf dem Liberty-Server authentifiziert. In diesem Video wird der Liberty-Server als "Relying Party" oder RP bezeichnet und der "Google-OpenID-Connect-Provider" als OP. Es wird ein grundlegendes Google-OpenID-Connect-Szenario gezeigt, das eine Relying Party (RP) einen Google-OpenID-Connect-Provider (OP) und einen Endbenutzer umfasst.
Tabelle 2. Demo für die Registrierung von Liberty in Google
Szene Audio Bildschirmaktion
3 Zum Einrichten des Liberty-RP mit dem Google-OP wird zunächst der Liberty-Server als OpenID Connect Client im Google-OP registriert.

Dazu gehen wir wie folgt vor:

  • Wer melden uns an der Google Developers Console an und erstellen ein Projekt.
  • Anschließend erstellen wir im Projekt eine "Client-ID" für den Liberty-Server.
  • Wir notieren die Client-ID und den geheimen Clientschlüssel (Client Secret), damit wir die Angaben später, beim Einrichten von Liberty, zur Hand haben.

Lassen Sie uns diese Schritte jetzt ausführen.

Der Titel Register Liberty in Google wird angezeigt.
  1. In der Google Developer Console https://console.developers.google.com wird ein Projekt erstellt.
  2. In diesem Projekt wird über das Menü Credential eine Client-ID erstellt.
  3. Folgende Informationen zum Einrichten von Liberty müssen notiert werden:
    • Client-ID
    • Client Secret (geheimer Clientschlüssel)

Weitere Informationen finden Sie auf der Seite https://developers.google.com/accounts/docs/OpenIDConnect.

4 Erstellen Sie in der Google Developers Console ein neues Projekt. In der Google Developers Console wird eine Demo zum Erstellen eines neuen Projekts gezeigt.
  • Projektname - WebSphereLibertyOpenIDConnect
  • Projekt-ID - astute-tome-859
5 Wechseln Sie in dem Projekt, das Sie gerade erstellt haben zu APIs & auth und wählen Sie Credentials und dann Create new Client ID aus. Zunächst müssen Sie eine Einverständnisanzeige (Consent Screen) konfigurieren. Die Google Developers Console-Anzeige erscheint, in der Create new Client ID ausgewählt ist.
6 Die Einverständnisanzeige (Consent Screen) wird einem Benutzer angezeigt, wenn er sich beim Google-OpenID-Provider authentifiziert. Konfigurieren Sie sie nach Bedarf und fahren Sie mit dem Erstellen Ihrer Client-ID fort. Wählen Sie als Anwendungstyp Web application aus. Geben Sie anschließend einen Umleitungs-URI für den Liberty-Server an (in dieser Anzeige https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP). Dieser Umleitungs-URI stammt aus der Konfiguration für Ihren Liberty-Server. Nähere Informationen dazu folgen später. Wenn Sie den Umleitungs-URI für Ihren Server nicht kennen, können Sie den Standardwert übernehmen und zu einem späteren Zeitpunkt aktualisieren. Die Google Developers Console-Anzeige erscheint, in der Web Application ausgewählt ist.
  • "Authorized JavaScript Origins" ist auf https://www.example.com eingestellt.
  • "Authorized Redirect URIs" ist auf https://www.example.com/oauth2callback eingestellt.
7 Nachdem die Client-ID erstellt wurde, können Sie die Client-ID und den geheimen Clientschlüssel (Client Secret) sehen. Notieren Sie diese Werte, da sie im nächsten Schritt für die Konfiguration des Liberty-Servers benötigt werden. Die Google Developers Console-Anzeige erscheint, in der Werte für "Client ID" und "Client Secret" zu sehen sind.
Tabelle 3. Demo für die Konfiguration von WebSphere Liberty
Szene Audio Bildschirmaktion
8 Um Liberty für die Zusammenarbeit mit einem Google OP einzurichten, müssen Sie folgenden Schritte ausführen:
  • Liberty Version 8.5.5.5 oder höher installieren
  • Feature OpenID Client installieren
  • Liberty-Server erstellen
  • Die Konfigurationsdatei server.xml mit Informationen von Google aktualisieren
  • Die Anwendung installieren, die das Google-Konto zur Authentifizierung verwenden wird
  • Und schließlich das Google-Zertifikat für die SSL-Kommunikation in den Keystore importieren
Die Übersicht über die Konfiguration von WebSphere Liberty-Server wird angezeigt.
  1. Installation der Betaversion von WebSphere Liberty 8.5.5.5 oder höher > java -jar wlp-developers-runtime-8.5.5.5.jar
  2. Installation des Features OpenID Client (kein Download erforderlich) > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Erstellen eines Liberty-Servers > server create GoogleRP
  4. Aktualisieren der Datei server.xml mit weiteren Konfigurationsinformationen (für den Download verfügbares Beispiel)
    • Erforderliche Features
    • SSL-Keystore
    • OpenID Client
    • Anwendung
  5. Installation der Anwendung, die das Google-Konto zur Authentifizierung verwenden wird > Kopieren der Anwendungs-EAR-/-WAR-Datei unter das Verzeichnis "app".
  6. Importieren des Google-Zertifikats in den Keystore zwecks SSL-Kommunikation.
9 Als Erstes wird Liberty Version 8.5.5.5 installiert.

Anschließend wird das Feature OpenID Client installiert und ein Server mit dem Namen GoogleRP erstellt.

Sie finden die Konfigurationsdatei server.xml unter dem Verzeichnis wlp\usr\servers\GoogleRP\.

Demo mit Eingabeaufforderung zur Aktualisierung der Datei server.xml.
10 Hier ist die Standarddatei server.xml. Wir vergleichen sie mit einer server.xml-Datei, die eine Google-Konfiguration enthält. Eine server.xml-Standarddatei wird gezeigt.
11 Sie können sehen, dass die erforderlichen Features hinzugefügt wurden. In der OpenID Connect Client-Konfiguration sind die Client-ID und der geheime Clientschlüssel (Client Secret) von Google enthalten. Sie können die anderen Werte vom Discovery Endpoint des Google-OP abrufen (im Video wird https://accounts/google.com/.well-known/openid-configuration angezeigt). Anschließend fügen wir die SSL-Konfiguration und Endpunktkonfiguration mit dem Hostnamen, HTTP-Port und HTTPS-Port hinzu.

Die Konfigurationsdatei enthält auch die Konfiguration für Anwendungen, die Google für die Authentifizierung nutzen.

Dies ist die gesamte Konfiguration, die für Liberty erforderlich ist.

Die Liberty-RP verwendet das Muster https://<Hostname>:<SSL-Port>/oidcclient/redirect/<OpenID Connect Client-ID>, um eine eigene Umleitungs-URL zu generieren. Beispielsweise hat der Server, den wir konfiguriert haben, den folgenden URI: https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP. Dies ist der URI, den wir vorher in der Google Console eingegeben haben.

Eine server.xml-Datei wird gezeigt, die die Client-ID und den geheimen Clientschlüssel (Client Secret) enthält, die von Google abgerufen wurden. Außerdem eine SSL-Konfiguration und Endpunktkonfiguration mit dem Hostnamen, HTTP-Port und HTTPS-Port. Die Datei server.xml umfasst auch die Konfiguration der Anwendungen, die Google für die Authentifizierung nutzen.
12 Als Nächstes wird die Anwendung im Verzeichnis app installiert.

Der Liberty-Server wird gestartet und gestoppt, um den Keystore in den Serverressourcen abzurufen und sicherzustellen, dass der Liberty-Server-Keystore ein Google-Zertifikat für die SSL-Kommunikation enthält.

Anmerkung: Die Zertifizierungsschritte werden in diesem Video nicht gezeigt, Anweisungen sind auf der Referenzseite enthalten.

Anschließend wird der Liberty-Server erneut gestartet.

Der Titel How to import Google certificate here wird gezeigt.
Tabelle 4. Demo zum Testen der Konfiguration
Szene Audio Bildschirmaktion
13 Jetzt wird die Konfiguration getestet, um zu sehen, wie sie funktioniert.
  • In einem Browser rufen wir die Anwendungs-URL auf.
  • Bei entsprechender Aufforderung geben wir die Google-Kontoinformationen ein.
  • Wir sehen, dass die Anwendung zwecks Authentifizierung an Google umgeleitet wird.
  • Nachdem der Benutzer authentifiziert wurde, zeigt die RP dem Benutzer eine Anwendungsseite an.
  • Lassen Sie uns diese Schritte jetzt ausführen.
Demo zum Testen der Konfiguration.
  1. Starten des WebSphere Liberty-Servers > server start oidcRP
  2. In einem Browser wird die Anwendungsanmeldeseite auf dem Liberty-Server aufgerufen > http://rp-example.rtp.raleigh.ibm.com:7777/testpage
  3. Bei entsprechender Aufforderung werden die Google-Benutzer-ID und das Google-Kennwort eingegeben > xxx.yyy@gmail.com / mypassword
  4. Die Anwendung überlässt es Google, die Authentifizierung durchzuführen.
  5. Der Benutzer wird erfolgreich authentifiziert.
14 Im Browser geben wir die URL der Anwendung ein, die auf dem Liberty-Server ausgeführt wird. Beachten Sie, dass die Aufforderung vom Google-OP-Server stammt, weil die Liberty-RP (Relying Party) die Authentifizierung an den OP delegiert. Wir geben die Berechtigungsnachweise für das Google-Konto ein. Nachdem wir die Einverständnisanzeige (Consent Screen) akzeptiert haben, sind wir erfolgreich mit dem OP-Konto bei der Anwendung auf der RP angemeldet. Demo mit Browseranmeldung, die eine erfolgreiche Anmeldung mit dem OP-Konto bei der Anwendung auf der RP veranschaulicht.
Tabelle 5. Zusammenfassung. Es wird gezeigt, wo weitere Informationen zu OpenID Connect mit Verwendung von Google zu finden sind.
Szene Audio Bildschirmaktion
15 Weitere Information finden Sie auf den Websites zu den folgenden Onlineressourcen. Es werden Informationen zur Dokumentation angezeigt:
Downloadseite für WebSphere Liberty:
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
Installation des OpenID Connect-Features:
Server: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Client: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
IBM® Knowledge Center - Hauptseite zu OpenID Connect:
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
Auf dieser Seite werden alle OpenID Connect-Attribute erläutert:
http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/twlp_config_oidc_rp.html?cp=SSEQTP_8.5.5%2F1-3-11-0-4-2-9-2
IBM DeveloperWorks OpenID Connect-Artikel:
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html
WebSphere Liberty OpenID Connect-Konfigurationvideo auf YouTube:
http://youtu.be/fuajCS5bG4c
Google-Konfiguration "OpenID Connect (OAuth 2.0 for Login)"
https://developers.google.com/accounts/docs/OpenIDConnect

Weitere Informationen zu OpenID Connect finden Sie unter OpenID Connect verwenden.


Symbol das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=video_transcript_oidc_google
Dateiname: video_transcript_oidc_google.html