使用 WebLogic Server9.2 中的 SAML 配置单点登录
页面: 1, 2, 3, 4, 5

步骤四:生成并注册SSL证书

为保障SAML源站点和目标站点之间的通信安全,应该将源站点和目标站点之间的通信进行加密。此外,应该使用证书来验证对方在SAML交互过程中的身份。在这个步骤中,我们将创建并注册在源站点和目标站点之间通信所使用的证书。

使用keytool实用工具(JDK的一部分)生成密匙。默认情况下,已为 domainAdomainB配置了名为 DemoIdentity.jks的密钥库。

以下将介绍如何生成私有密匙和证书,以进行测试:

  • 打开DOS命令窗口,将目录更改为WEBLOGIC_HOME/server/lib。
  • 运行keytool命令来生成密匙,见下图。
keytool -genkey -keypass testkeypass -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase -keyalg rsa -alias testalias
SSL Key generation

图2. 生成SSL测试证书的截屏

如图2所示,使用-export选项运行keytool命令来生成名为testalias.der的密匙文件:

keytool -export -keypass testkeypass -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase -alias testalias -file testalias.der

SAML配置

首先进行SAML源站点配置。

步骤五:配置SAML源站点 domainA

在这个步骤中,我们将创建并配置一个SAML Credential Mapper V2实例。作为SAML安全断言的生成程序,SAML Credential Mapper可以使 domainA成为使用SAML实现单点登录的源站点。

SAML安全断言是一种信息包,包含SAML授权(指的是断言方)提供的一个或多个声明。声明有如下几种类型:身份验证声明、特性声明以及授权决策声明等。

先配置一个SAML Credential Mapper V2实例(注:BEA WebLogic Server 9.2不支持SAML Credential Mapper V1):

  • 登录到 domainA上的WebLogic Server Administration Console

    (http://localhost:7001/console)。

  • 在管理控制台中,在Domain Structure窗口中选择Security Realms。
  • 选择一个安全域;默认使用的域为 myrealm
  • 选择Providers选项卡,然后选择Credential Mappings选项卡。
  • 如果SAMLCredentialMapper不存在,那么创建一个新的SAMLCredentialMapper,如图3所示。

Create New SAML Credential Mapper

图3. 创建新的SAML凭据映射提供程序

  • 选择 SAMLCredentialMapper,然后选择Provider Specific。
  • 选择Change Center窗口中的Lock and Edit;这允许您编辑SAMLCredentialMapper设置。
  • 编辑发行方URI http://www.bea.com/demoSAML。这个独特的URI将告知目标站点( domainB/appB)SAML信息的来源;并将其与密匙进行匹配。通常,该URL用来保证唯一性。
  • 输入Signing Key Alias(testalias)和Signing Key Pass Phrase(testkeypass)。这些值在生成密钥库时使用过。
  • 为Live and Cred Cache Min Viable TTL设置默认时间及其他值,如图4所示。

SAML CM Provider Settings

图 4. SAML 凭据映射提供程序设置

  • 单击Save。
  • 单击Change Center窗口中的Activate Changes。

此处的SAML凭据映射提供程序配置为使 domainA以源站点身份进行运作(SAML安全断言的源);还配置为使用在步骤四中生成的密匙库。

步骤六:配置信任方属性

这一步将创建并配置信任方。将WebLogic Server配置为SAML的安全断言源时,您需要注册可能要求接受SAML断言的信任方。对于SAML信任方,您可以指定以下几项:所使用的SAML配置文件、信任方的详细信息及信任方的断言中所期望的特性。

信任方决定其是否信任断言方所提供的断言。SAML定义了一些机制,能够使信任方信任向其提供的断言。

  • 单击Management选项卡中的Relying Parties。
  • 单击Relying Parties表中的New。
  • 在Profile下拉菜单中,选择Browser/POST。在Description字段中,输入名称demoSAML来识别信任方,如图5所示。

Relying Party Configuration

图 5. 信任方的配置

  • 设置信任方的各种值,如表3所示。
参数
启用 选中该复选框(真值)
目标URL  http://localhost:7003/appB/admin/services.jsp
断言使用者URL https://localhost:7004/samlacs/acs
断言使用者参数 APID=ap_00001
要求签名 选中该复选框(真值)
包括Keyinfo 选中该复选框(真值)

表 3. 信任方(rp_00001)的各种值

尽管信任方可选择信任向其提供的关于用户ssouser的断言,但 domainB中的目标站点应用程序appB的本地访问策略才能决定该主题(ssouser)是否可以访问本地资源。

页面: 1, 2, 3, 4, 5

下一页 »