Liberty での OpenID リライング・パーティーの構成

Web シングル・サインオンを利用する OpenID リライング・パーティーとして機能するように、Liberty サーバーを構成することができます。

始める前に

認証ユーザーで信頼される OpenID プロバイダー (OP) が少なくとも 1 つ必要です。 サード・パーティーの OpenID プロバイダーが、いくつか利用できます。

このタスクについて

他のオプション構成情報に加えて Liberty の openid-2.0 フィーチャーを有効にすることで、ユーザーを OpenID プロバイダーで認証することができます。

手順

  1. openid-2.0 Liberty フィーチャーを server.xml ファイルに追加します。 server.xml ファイルの featureManager エレメントに次のエレメント宣言を追加します。
    <feature>openid-2.0</feature>
  2. <openId> エレメントで指定された OpenID リライング・パーティー構成オプションで server.xml ファイルを更新します。

    <openId> エレメントの構成オプションについては、OpenID を参照してください。

    <openId> エレメントの providerIdentifier 属性を使用して server.xml ファイルで OpenID プロバイダー URL を事前定義するか、 認証に使用する OpenID プロバイダー URL をユーザーが送信できるようにする FormLogin でアプリケーションをパッケージ化することができます。

    server.xml ファイルに providerIdentifier 属性が追加された場合、Liberty サーバーは、その属性で指定された OpenID プロバイダーにユーザーを自動的にリダイレクトします。server.xml ファイルに providerIdentifier 属性が定義されていない場合、Liberty サーバーは、ユーザーを OpenID プロバイダーにリダイレクトする前に、まず、ログイン・フォームを送信して、OpenID プロバイダーの選択または確認を求めます。

    以下は、OpenID プロバイダーを定義するサンプルの OpenID 構成です。

    <openId id="myOpenId" providerIdentifier="https://openid.acme.com/op" userInfoRef="email">
      <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" />
    </openId>

    openid-2.0 フィーチャーを追加すると、自動的に特定の最小構成が適用されます。 したがって、server.xml ファイルで明示的に指定が必要な <openId> エレメントはありません。 <openId> エレメントが指定されない場合、以下が暗黙構成です。

    <openId id="myOpenId" userInfoRef="email">
      <userInfo id="email" alias="email" uriType="http://axschema.org/contact/email" count="1" required="true" />
    </openId>

    デフォルトでは、OpenID プロバイダーから戻されたユーザー E メール・アドレスが、ID アサーションとサブジェクト作成に使用されます。

  3. サポートされる OpenID プロバイダーの署名者証明書を含むように、サーバーのトラストストアを構成します。 鍵ストアについては、Liberty の SSL 通信の使用可能化を参照してください。
    1. OpenID プロバイダーから署名者証明書を抽出します。 主要なほとんどの Web ブラウザーで、ブラウザー・インターフェースによる Web サイトからの証明書の抽出またはエクスポートがサポートされます。
    2. OpenID プロバイダー証明書をサーバーのトラストストアにインポートします。 証明書をトラストストアにインポートする 1 つの方法として、 Java™ インストール・ディレクトリーにある keytool ユーティリティーの -import フラグの機能を参照してください。
    3. <openId> エレメントの sslRef 属性を使用して、SSL 構成を指します。 sslRef 属性が指定されないと、前に述べた鍵ストア・ページで記述したデフォルトの SSL 構成が使用されます。 SSL 構成は、インポートした OpenID プロバイダー証明書を含むトラストストアの適切な参照を含む必要があります。
  4. オプション: 認証フィルターを構成します。

    server.xml ファイルの openId エレメントの中で providerIdentifier 属性が構成された場合は、 authFilterRef を構成して、 providerIdentifier 属性で定義された OpenID プロバイダーがインターセプトする要求を制限することができます。

    認証フィルターの構成について詳しくは、 認証フィルターを参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_config_rp_openid
ファイル名: twlp_config_rp_openid.html