Vídeo: OpenID Connect en Liberty
La siguiente transcripción es para el vídeo "OpenID Connect en Liberty", que demuestra cómo se configura OpenID Connect en Liberty. Esta transcripción es el storyboard del vídeo. El audio describe la narración y los títulos. La Acción en pantalla describe el contenido que aparece en el vídeo.
Escena | Audio | Acción en pantalla |
---|---|---|
1 | Este vídeo mostrará cómo configurar un escenario simple de inicio de sesión único de web de OpenID Connect utilizando WebSphere Application Server Liberty. | Se muestra el título configuración rápida de OpenID Connect. |
2 | Aquí puede ver un flujo básico de "OpenID Connect". La primera vez que un usuario intenta acceder a una aplicación web protegida por
OpenID Connect, o por Relying Party, el usuario se redirige a un proveedor de OpenID Connect. El proveedor de OpenID Connect autentica al usuario y obtiene la autorización del usuario y, a continuación, responde con un código de autorización. El contenedor de aplicaciones extrae luego el código de la respuesta, envía de nuevo el código al proveedor de OpenID para su verificación y recibe señales de acceso y de ID. Como resultado, se autentica el usuario para que acceda a la aplicación web protegida. Utilizando la señal de acceso, la aplicación puede solicitar información de usuario como, por ejemplo, una dirección de correo electrónico del proveedor de OpenID Connect o puede acceder a cualquier servicio que admita OpenID Connect. En este vídeo, me referiré a la aplicación como
"Relying Party" o RP y al "proveedor de OpenID" como PO. Vamos a echar un vistazo a los distintos proveedores de OpenID admitidos. |
Aparece un escenario básico de OpenID Connect, que incluye una Relying Party (RP), un proveedor de OpenID (PO) y un usuario final. |
3 | Puede configurar IBM® WebSphere Liberty como un proveedor de OpenID o una Relying Party. Puede utilizar IBM Security Access Manager, también conocido como ISAM, también como un PO. De forma alternativa, puede utilizar un número de proveedores de OpenID de terceros admitidos. | Se muestran algunos de los proveedores de OpenID admitidos.
|
4 | OpenID Connect ofrece una serie de ventajas como capa de identidad funcionando encima de OAUTH 2.0. Con OpenID Connect, los usuarios disponen de una identidad Internet única que pueden utilizar para realizar autenticaciones entre varios servidores, servicios y aplicaciones, y reduce el trabajo de mantenimiento en las aplicaciones porque ya no necesitan su propio registro de usuario. Para los desarrolladores, simplifica la tarea de autenticación de usuarios sin tener la responsabilidad del almacenamiento y gestión de contraseñas. OpenID Connect también puede ampliar los servicios de seguridad a aplicaciones móviles y basadas en la nube que se has escrito en un lenguaje cualquiera como, por ejemplo, JavaScript, Ruby, node.js o Java™, y puede funcionar como gestor de seguridad único para suministrar cientos de servidores de Liberty en un entorno de nube. Puesto que OpenID Connect combina las ventajas de identidad, autenticación y OAuth, OpenID Connect representa una mejora significativa sobre OAuth solo. |
Aparecen algunas de las ventajas de la utilización de OpenID Connect.
|
Escena | Audio | Acción en pantalla |
---|---|---|
5 | WebSphere Application Server Liberty se puede configurar como proveedor de OpenID, la Relying Party, o ambos. Si desea utilizar Liberty como PO y RP, debe configurarlos en diferentes instancias de servidores de Liberty. Vamos a configurar servidores de Liberty como PO y RP y vamos a echar un vistazo a un escenario simple de inicio de sesión único web entre el PO y la RP de Liberty. | Aparece el título Configuración de Liberty como proveedor y Relying Party de OpenID Connect. |
6 | En primer lugar, vamos a configurar un proveedor de OpenID. Para ello, vamos a instalar WebSphere Liberty 8554 o posterior, necesario para utilizar las características OpenID Connect. Instale la característica Servidor de OpenID Cree un servidor de Liberty y añada una configuración PO al archivo server.xml que está disponible como ejemplo descargable desde IBM developerWorks. |
Aparece la visión general sobre la configuración de PO.
|
7 | Primero, desempaquete el archivo JAR de Liberty. Así se crea el directorio
wlp. Vaya al directorio bin en wlp y ejecute el mandato featureManager
install para instalar la característica Servidor de OpenID Connect. En el mismo directorio, ejecute el mandato server create para crear un servidor de PO de Liberty. Vamos a llamarlo oidcServer. oidcServer se crea ahora con la configuración mínima en el archivo server.xml. Puede encontrar la configuración en el directorio wlp/usr/server/oidcServer. Aquí puede ver el contenido del archivo server.xml que acaba de crear. La configuración es muy simple, solo información de una característica y puerto. Vamos a sustituirla por un archivo server.xml que tiene la configuración del servidor de PO. (Se divide la pantalla y en la parte de la derecha aparece la configuración de PO.) (Actualizaciones en el archivo server.xml) En esta configuración del servidor de PO:
El resto es configuración de PO que utiliza tecnología OAuth. Se incluye información sobre la Relying Party para la que se realiza la autorización. Puede descargar el archivo server.xml que acabamos de añadir desde IBM DeveloperWorks. Vamos a iniciar el servidor de PO. Ahora que tenemos configurado el proveedor de OpenID, podemos configurar la Relying Party de Liberty. |
Demostración con un indicador de mandatos que se está utilizando para actualizar el archivo server.xml. |
Escena | Audio | Acción en pantalla |
---|---|---|
8 | Para configurar la Relying Party, al igual que
la configuración del OP, necesitamos tener la versión 8.5.5.4 o
posterior de Liberty e instalaremos la característica de OpenID
Client. Vamos a crear un servidor de Liberty independiente y a editar el archivo server.xml. A continuación, vamos a instalar la aplicación y las claves de intercambio con el proveedor de OpenID para la comunicación SSL. |
Aparece la visión general sobre la configuración de RP.
|
9 | Ya se ha configurado la versión 8.5.5.4 de Liberty en esta máquina. Vamos a instalar la característica Cliente OpenID y a crear un servidor con el nombre oidcRP. Éste es el archivo server.xml predeterminado. Ahora vamos a compararlo con un archivo server.xml con una configuración RP.
Estas secciones (características, nombre de host de punto final, almacenes de claves) son las mismas actualizaciones que hemos visto anteriormente con el PO. Esta vez contamos con una configuración de Cliente de OpenID en lugar de la configuración del servidor PO. Se especifican los URL de PO a los que enviar las solicitudes de autenticación. La configuración RP también incluye la configuración de aplicaciones y estas aplicaciones se basan en el PO para llevar a cabo la autenticación. Tenga en cuenta que no hay configuración de registro de usuarios en el RP. Esa es toda la configuración necesaria para la RP. Vamos a copiar una aplicación de prueba en el directorio app de la RP. Antes de iniciar el servidor de RP, asegúrese de que la RP y el PO hayan intercambiado las claves del almacén de claves para la comunicación SSL. En esta demostración, vamos a utilizar el mismo almacén de claves y la misma contraseña. Ahora vamos a iniciar el servidor RP para ver si los hemos configurado correctamente. |
Demostración con un indicador de mandatos que se está utilizando para actualizar el archivo server.xml. |
Escena | Audio | Acción en pantalla |
---|---|---|
10 | Los servidores de PO y RP ya se han iniciado. En un navegador, vamos a ir al URL de la aplicación. Cuando se solicite, vamos a indicar la información de la cuenta desde el PO. Vamos a ver la RP que se basa en el PO para llevar a cabo la autenticación. Tras de autenticar al usuario, la RP mostrará una página de aplicación al usuario. Vamos a probar qué pasa. | Demostración sobre la configuración de PO/RP
|
11 | En el navegador, vamos a escribir el URL de la aplicación que está en el servidor de RP. Va a solicitar un nombre de usuario y una contraseña.
Fíjese que se no solicita el servidor de PO porque la RP está delegando la autenticación al PO. Vamos a escribir user1 y security, que son las credenciales para la cuenta de PO. Ahora ya hemos iniciado sesión correctamente en la aplicación del RP utilizando la cuenta de PO. |
Demostración con un inicio de navegador que muestra un inicio de sesión satisfactorio en la aplicación de la RP que utiliza la cuenta de PO. |
Escena | Audio | Acción en pantalla |
---|---|---|
12 | Para obtener más información, visite estos recursos en línea. | Se muestra información sobre la documentación:
|
Para obtener más información sobre OpenID Connect, consulte Utilización de OpenID Connect.