如何使用weblogic配置单点登陆中.docVIP

使用WebLogic Server9.2中的SAML配置单点登录BEA WebLogic Server 9.2为安全性断言标记语言（Security Assertion Markup Language，SAML）提供了开包即用支持，可根据安全需要通过少量编码甚至不编码便可创建单点登录（SSO）解决方案。借助WebLogic Server 9.2，可在运行于可靠域内的多个在线应用程序之间添加单点登录。SAML标准定义了可靠服务器之间安全信息交换的框架。安全框架的首要功能在于提供了保障应用程序安全的配置工具和API。 　　本指南介绍了在运行于两个不同WebLogic域的两个简单的Java EE Web应用程序之间配置单点登录功能的步骤。单点登录的SAML配置仅需要使用WebLogic Server 9.2 Administration Console，而无需编写程序。本指南还简要介绍了在单点登录过程中WebLogic容器、安全提供程序以及安全框架之间的基本交互。 简介 　　SAML标准定义了可靠服务器之间安全信息交换的框架。要了解更多背景信息，请参阅Beth Linker编写的SAML简介（中文版，Dev2Dev，2006）。本指南讲述了如何在两个Web应用程序之间设置SAML授权，并提供了这些应用程序的源代码。 　　本指南描述了涉及两个Web应用程序的简单示例；appA部署在源（本地）站点，而appB部署在目标（远程）站点。您将学习到如何使用WebLogic Server 9.2 Administration Console来配置这些应用程序并参与使用SAML实现SSO的过程。 　　源站点提供身份验证服务，并且当目标站点请求时，可使用SAML Inter-site Transfer Service (ITS)安全地传递身份验证详细信息。源站点的服务器包含ITS servlet，这个可寻址的组件提供了SAML处理功能，例如凭证生成及将用户重定向到目标站点的能力。 　　图1显示了SSO过程中源站点和目标站点之间的基本交互。 　　图 1. 使用SAML的单点登录过程中源站点和目标站点之间的交互 　　完整的处理流程如下： 通过提供用户凭据，用户的浏览器就可以访问应用程序appA（源站点），该程序位于名为domainA的WebLogic Server域。 应用程序appA将用户凭据传递到身份验证服务提供者。 如果身份验证成功，则建立已通过身份验证的会话；同时显示appA欢迎页面。 用户单击该欢迎页面上的链接，就可以访问应用程序appB（目标站点）的安全Web页面。应用程序appB位于另一个名为domainB的WebLogic Server域。这将触发对Inter-Site Transfer Service (ITS) servlet的调用。 ITS servlet通过调用SAML Credential Mapper请求调用断言。SAML Credential Mapper返回该断言。同时也返回目标站点应用程序Web页面（一个安全的appB Web页面）的URL；如果源站点配置为使用POST配置文件，则SAML Credential Mapper还返回相应POST表单的路径。 SAML ITS servlet产生包含生成断言的SAML响应；并对其进行签名、Base-64编码、嵌入HTML表单，然后将该表单返回到用户的浏览器。 用户的浏览器将该窗体以POST格式发送到目标站点的Assertion Consumer Service (ACS)。 验证该断言。 若断言成功，用户将被重定向到目标，即appB应用程序的安全Web页面。 用户登录到目标站点appB应用程序，无需在appB处重新验证身份。 　　以上所述的单点登录过程不需要开发人员进行编码（当然，为应用程序appA和appB编码除外），另外通过使用Administration Console即可轻松配置单点登录。 使用WebLogic Administrative Console进行SAML配置 　　在开始SAML配置之前，前几个步骤将创建并设置示例应用程序appA和appB的服务器环境。 步骤一：创建SAML源站点域和目标站点域及应用程序服务器 　　本指南中的示例应用程序位于本地主机上的两个不同的域；因此，第一个步骤是创建运行于特定端口的域和服务器，如表1所示。 ? 主机 应用服务器 应用程序名称 端口 SSL端口 SAML源站点域：domainA localhost AdminServer appA 7001 7002 SAML目标站点域 D：domainB localhost AdminServer appB 7003 7004 　　表 1. 示例应用