視訊:WebSphere Liberty 中之應用程式的 Google OpenID Connect

以下是「WebSphere® Liberty 中之應用程式的 Google OpenID Connect」視訊的文字稿,示範如何利用 Google OpenID Connect 提供者,在 WebSphere Application Server Liberty 上設定 OpenID Connect Web 單一登入。此文字稿是視訊的分鏡腳本。「音訊」說明旁白和標題。「螢幕動作」說明視訊中顯示的內容。

視訊 WebSphere Liberty 中之應用程式的 Google OpenID Connect

表 1. 標題頁面. 顯示標題,然後顯示 Google OpenID Connect 基本實務。
場景 音訊 螢幕動作
1 此視訊顯示如何利用 Google OpenID Connect 提供者,在 WebSphere Application Server Liberty 上設定 OpenID Connect Web 單一登入。 顯示「利用 Google 快速設定 OpenID Connect」標題。
2 在這裡您可以看到 "OpenID Connect" 流程,它從一般使用者流向 Liberty 伺服器上的應用程式和 Google OpenID 提供者。當使用者第一次嘗試存取 Liberty 伺服器中受 Google OpenID Connect 保護的應用程式時,會將使用者重新導向至「Google OpenID 提供者」。利用 Google 帳戶,會鑑別使用者能否存取 Liberty 伺服器上的受保護 Web 應用程式。在本視訊中,我們將 Liberty 伺服器稱為「依賴方」或 RP,將「Google OpenID Connect 提供者」稱為 OP。 顯示 Google OpenID Connect 基本實務,內含依賴方 (RP)、Google OpenID Connect 提供者 (OP),以及一位一般使用者。
表 2. 示範如何在 Google 中登錄 Liberty
場景 音訊 螢幕動作
3 如果要使用 Google OP 來設定 Liberty RP,首先,我們在 Google OP 中,將 Liberty 伺服器登錄成 OpenID Connect 用戶端。

為此,我們將

  • 登入 Google 開發人員主控台,並建立專案
  • 然後在專案中,為 Liberty 伺服器建立一個「用戶端 ID」
  • 記下「用戶端 ID」和「用戶端密碼」,以便在設定 Liberty 時使用

現在,讓我們嘗試這些步驟。

顯示在 Google 中登錄 Liberty 標題。
  1. 在 Google 開發人員主控台中,建立 https://console.developers.google.com 專案。
  2. 在專案中,從認證功能表建立一個「用戶端 ID」。
  3. 記下下列資訊,以便用來設定 Liberty
    • 用戶端 ID
    • 用戶端密碼

如需相關資訊,請參閱 https://developers.google.com/accounts/docs/OpenIDConnect 網頁。

4 在「Google 開發人員主控台」中,建立新的專案。 在「Google 開發人員主控台」中,我們示範如何建立新專案。
  • 專案名稱 - WebSphereLibertyOpenIDConnect
  • 專案 ID - astute-tome-859
5 在您剛才建立的專案中,先後移至 API 和鑑別認證,以及建立新的用戶端 ID。首先,您需要配置一個同意畫面。 顯示「Google 開發人員主控台」畫面,其中選取了建立新的用戶端 ID
6 當使用者接受 Google OpenID 提供者鑑別時,會看到同意畫面。請視需要配置您的同意畫面,並繼續建立您的「用戶端 ID」。在應用程式類型方面,請選取 Web 應用程式。然後輸入 Liberty 伺服器的重新導向 URI。(指向畫面上的 https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP) 這個重新導向 URI 出自您 Liberty 伺服器的配置,我們之後會提及它。如果您不知道伺服器的重新導向 URI,可以保留預設值,之後再更新。 顯示「Google 開發人員主控台」畫面,其中選取了 Web 應用程式
  • 「授權的 JavaScript 來源端」設為 https://www.example.com
  • 「授權的重新導向 URI」設為 https://www.example.com/oauth2callback
7 在建立「用戶端 ID」之後,就可看到「用戶端 ID」和「用戶端密碼」。請記下這些值,因為在下一步配置 Liberty 伺服器時需用到它們。 顯示「Google 開發人員主控台」畫面,其中可看到「用戶端 ID」值和「用戶端密碼」值。
表 3. 示範如何配置 WebSphere Liberty
場景 音訊 螢幕動作
8 如果要將 Liberty 設定成使用 Google OP,您需要:
  • 安裝 Liberty 8.5.5.5 版或更新版本
  • 安裝「OpenID 用戶端」特性
  • 建立 Liberty 伺服器
  • 以 Google 資訊編輯 server.xml
  • 安裝將使用 Google 帳戶進行鑑別的應用程式
  • 最後,將 Google 憑證匯入至金鑰儲存庫,以進行 SSL 通訊
顯示 WebSphere Liberty 設定概觀。
  1. 安裝 WebSphere Liberty 8.5.5.5 或最新測試版 > java -jar wlp-developers-runtime-8.5.5.5.jar
  2. 安裝「OpenID 用戶端」特性(不需下載)> bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. 建立 Liberty 伺服器 > server create GoogleRP
  4. 使用其他資訊來編輯 server.xml(可下載的範例)
    • 必要特性
    • SSL 金鑰儲存庫
    • OpenID 用戶端
    • 應用程式
  5. 安裝將使用 Google 帳戶進行鑑別的應用程式 > 將應用程式 ear/war 檔複製到 app 目錄之下
  6. 將 Google 憑證匯入至金鑰儲存庫,以進行 SSL 通訊。
9 首先,我們將安裝 Liberty 8.5.5.5 版。

然後我們將安裝「OpenID 用戶端」特性,並建立一部名稱是 GoogleRP 的伺服器。

您可以在 wlp\usr\servers\GoogleRP\ 目錄之下找到 server.xml 配置檔。

示範如何使用命令提示字元來更新 server.xml 檔。
10 這裡是預設 server.xml 檔。現在,我們將與含有 Google 配置的 server.xml 檔相互比較。 顯示預設 server.xml 檔。
11 您可以看到已新增必要的特性。在「OpenID Connect 用戶端」配置中,已新增了我們從 Google 取得的「用戶端 ID」和「用戶端密碼」。您可以前往 Google OP 的探索端點,取得其他值。(視訊中顯示 https://accounts/google.com/.well-known/openid-configuration)。然後我們新增 SSL 配置和端點配置,內含主機名稱、HTTP 埠和 HTTPS 埠。

配置檔也會包含需要靠 Google 執行鑑別之應用程式的配置。

Liberty 所需的配置就只有這些。

Liberty RP 會使用 https://<hostname>:<sslport>/oidcclient/redirect/<openidConnecClient id> 型樣,來產生其自己的重新導向 URL。舉例來說,我們所配置的伺服器具有下列 URI:https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP。這是我們先前在 Google 主控台中輸入的 URI。

顯示 server.xml 檔,內含已從 Google 取得的「用戶端 ID」和「用戶端密碼」。此外,還有內含主機名稱、HTTPS 埠和 HTTPS 埠的 SSL 配置與端點配置。server.xml 檔也含有需要靠 Google 執行鑑別之應用程式的配置。
12 接下來,我們將應用程式安裝在 app 目錄中。

我們將啟動和停止 Liberty 伺服器,以取得伺服器資源中的金鑰儲存庫,並確定 Liberty 伺服器的金鑰儲存庫具有 SSL 通訊用的 Google 憑證。

註: 在本視訊中,我們將不會顯示憑證步驟以及在參考頁面中提供指示。

我們將再次啟動 Liberty 伺服器。

顯示「如何在這裡匯入 Google 憑證」標題。
表 4. 示範如何測試設定
場景 音訊 螢幕動作
13 現在,我們將測試配置,看看是否能運作。
  • 在瀏覽器中,移至應用程式 URL。
  • 當出現提示時,輸入我們的 Google 帳戶資訊。
  • 我們會看到應用程式重新導向至 Google,以執行鑑別。
  • 在鑑別使用者之後,RP 會在使用者面前顯示應用程式頁面。
  • 現在就讓我們測試看看。
示範如何測試設定。
  1. 啟動 WebSphere Liberty 伺服器 > server start oidcRP
  2. 在瀏覽器中,指向「Liberty 伺服器」上的應用程式登入頁面 > http://rp-example.rtp.raleigh.ibm.com:7777/testpage
  3. 當出現提示時,輸入 Google 使用者 ID 與密碼 > xxx.yyy@gmail.com / mypassword
  4. 應用程式需要靠 Google 執行鑑別
  5. 使用者順利通過鑑別
14 在瀏覽器中,我們將輸入正在 Liberty 伺服器上執行之應用程式的 URL。請注意,Google OP 伺服器會提示我們輸入,這是因為 Liberty 依賴方正在將鑑別委派給 OP。我們將輸入 Google 帳戶的認證。在接受同意畫面之後,我們使用 OP 帳戶順利登入 RP 上的應用程式。 示範瀏覽器登入,其中顯示使用 OP 帳戶順利登入 RP 上的應用程式。
表 5. 結論. 顯示可以在哪裡找到使用 Google 之 OpenID Connect 的其他相關資訊。
場景 音訊 螢幕動作
15 如需相關資訊,請造訪這些線上資源。 顯示說明文件資訊:
WebSphere Liberty 下載頁面
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
OpenID Connect 特性安裝
伺服器:https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
用戶端:https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
「IBM® Knowledge Center - OpenID Connect」主頁面
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
所有有關 OpenID Connect 屬性的討論在此
http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/twlp_config_oidc_rp.html?cp=SSEQTP_8.5.5%2F1-3-11-0-4-2-9-2
IBM DeveloperWorks OpenID Connect 文章
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html
YouTube 上的 WebSphere Liberty OpenID Connect 設定視訊
http://youtu.be/fuajCS5bG4c
Google 設定「OpenID Connect(OAuth 2.0 登入用)」
https://developers.google.com/accounts/docs/OpenIDConnect

如需 OpenID Connect 的相關資訊,請參閱使用 OpenID Connect


指示主題類型的圖示 概念主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=video_transcript_oidc_google
檔名:video_transcript_oidc_google.html