isam 驅(qū)動(dòng)程序 下載

注意：截至2017年5月9日，“執(zhí)行測(cè)試流程”部分（在“步驟2.將反向代理配置為OpenID Connect的聯(lián)系點(diǎn)”部分中）下的代碼已更新。

IBM Security Access Manager（ISAM）在9.0版中添加了OpenID Connect（OIDC）作為聯(lián)合協(xié)議。 OIDC包含配置OpenID Provider（OP）的功能，該功能可以發(fā)布用戶身份（id_tokens）以及用于身份驗(yàn)證的訪問(wèn)令牌，其方式與OAuth 2.0版相同。 反向代理可以使用OAuth訪問(wèn)令牌作為策略執(zhí)行點(diǎn)（PEP），可以通過(guò)使用此處定義的WS-Trust接口來(lái)實(shí)現(xiàn)。 傳統(tǒng)上，此接口與用于移動(dòng)API保護(hù)定義的ISAM一起使用，但是它與作為OpenID Connect流的一部分發(fā)行的訪問(wèn)令牌不兼容。 本文介紹了如何將反向代理配置為與OpenID Connect頒發(fā)的訪問(wèn)令牌兼容的策略執(zhí)行點(diǎn)。

需要執(zhí)行以下步驟：

配置OP聯(lián)盟。

將反向代理配置為聯(lián)系點(diǎn)。

配置STS鏈以做出授權(quán)決定。

將反向代理配置為策略執(zhí)行點(diǎn)（PEP）。

“在本文中，我將演示如何將反向代理配置為與OpenID Connect提供程序發(fā)出的訪問(wèn)令牌兼容的策略執(zhí)行點(diǎn)。 ”

ISAM上的OpenID Connect提供程序是一個(gè)聯(lián)盟，每組依賴方憑據(jù)都是合作伙伴。 在下面描述的過(guò)程中，配置了一個(gè)OP聯(lián)合并創(chuàng)建了兩個(gè)伙伴。 一個(gè)代表依賴方實(shí)體，另一個(gè)代表反向代理/安全令牌服務(wù)在充當(dāng)PEP時(shí)使用。

注意：本文中的 “反向代理”始終指的是ISAM反向代理。

步驟1.配置OP聯(lián)合

可以在聯(lián)盟用戶界面（UI）之外或通過(guò)REST API調(diào)用來(lái)配置和管理聯(lián)盟。 聯(lián)合身份驗(yàn)證用戶界面位于“ 安全：聯(lián)合身份 > 聯(lián)合身份”下 。 如果您使用的是REST服務(wù)，請(qǐng)參閱Web服務(wù)文檔（轉(zhuǎn)到Secure：聯(lián)合 > 聯(lián)合 > 創(chuàng)建新的聯(lián)合 ），以獲取有關(guān)如何調(diào)用聯(lián)合REST API和要提供的屬性的說(shuō)明。

通過(guò)用戶界面配置聯(lián)盟

選擇聯(lián)合菜單選項(xiàng)。

添加一個(gè)新的聯(lián)盟。

輸入發(fā)行者值，作為您想要出現(xiàn)在id_token的'iss'聲明中的值。 選擇HS256簽名 。

從可用的贈(zèng)款中至少選擇一個(gè)授權(quán)碼 。

選擇映射規(guī)則。

查看摘要以確保所有值均正確。

通過(guò)REST配置聯(lián)盟

使用以下代碼創(chuàng)建聯(lián)盟：

POST_DATA=' {"name": "acmeProvider","protocol": "OIDC","role": "op","configuration": {"providerId": "acmeProvider","issuerIdentifier": "https://acmeProvider.com","signatureAlgorithm": "HS256","authorizationCodeLength": 30,"refreshTokenLength": 50,"accessTokenLength": 40,"authorizationCodeLifetime": 30,"accessTokenLifetime": 7200,"authorizationGrantLifetime": 604800,"idTokenLifetime": 7200,"grantTypesSupported": ["authorization_code","implicit","refresh_token"],"identityMapping": {"activeDelegateId": "default-map","properties": {"identityMappingRuleReference": "5"}}} }'curl -k -vvv --user $USER:$PASSWORD -H 'Content-Type: application/json' \ -H 'Accept: application/json' https://$HOST/iam/access/v8/federations/ -d "$POST_DATA"

這將返回包含此聯(lián)盟的UUID的位置標(biāo)頭。 要列出所有聯(lián)盟，請(qǐng)發(fā)出以下命令。

curl -k -vvv --user $USER:$PASSWORD -H 'Accept: application/json' \ https://$HOST/iam/access/v8/federations/$FED_UUID/partners

要僅顯示一個(gè)聯(lián)合身份驗(yàn)證，請(qǐng)將聯(lián)合身份驗(yàn)證的UUID包含為路徑參數(shù)：

curl -k -vvv --user $USER:$PASSWORD -H 'Accept: application/json' \ https://$HOST/iam/access/v8/federations/$FED_UUID/partners/$PARTNER_UUID

注意：必須先部署未決的更改，然后才能使用此聯(lián)盟。 部署它們將觸發(fā)運(yùn)行時(shí)重新啟動(dòng)。

配置OP合作伙伴

OP上每個(gè)已配置的合作伙伴代表一組用于獲得授權(quán)的客戶端憑據(jù)。 這些客戶端憑據(jù)由以下組成：

• 客戶編號(hào)
• 客戶端機(jī)密（可選）
• 重定向URI
• 允許的范圍（至少必須包含openid ）

可以為OP合作伙伴配置更多選項(xiàng)。 請(qǐng)參閱IBM知識(shí)中心，以獲取更多信息。

在接下來(lái)的子步驟中配置伙伴。

配置測(cè)試伙伴

選擇聯(lián)盟以添加合作伙伴，然后單擊“ 合作伙伴”按鈕。

單擊添加，然后輸入合作伙伴的友好名稱。 啟用合作伙伴。

手動(dòng)設(shè)置客戶端憑據(jù)，或選中“ 生成”以創(chuàng)建它們。

輸入顯示名稱。

輸入重定向URI。

輸入可以請(qǐng)求的有效范圍，并指出是否已預(yù)先授權(quán)對(duì)給定范圍的同意。

查看摘要以確保所有值正確。

使用以下代碼創(chuàng)建合作伙伴： POST_DATA='{"role": "op","templateName": "","configuration": {"responseTypes": ["code"],"clientId":"rpClient","clientSecret":"rpClientSecret","clientName": "Reverse proxy Client","tokenEndpointAuthMethod": "clientSecretBasic","scope": ["openid",],"allowRefreshGrant": true,"redirectUris": ["https://unused.com/"],"allowIntrospect": true},"name": "reverseProxyClient","enabled": true} 'curl -k -vvv --user $USER:$PASSWORD -H 'Content-Type: application/json' \ -H 'Accept: application/json' https://$HOST/iam/access/v8/federations/$UUID/partners -d "$POST_DATA"

注意：必須先部署未決的更改，然后才能使用此合作伙伴。 這將觸發(fā)運(yùn)行時(shí)重新啟動(dòng)。 要自動(dòng)生成一個(gè)clientID或clientSecret ，請(qǐng)將其從請(qǐng)求中排除。 要指定一個(gè)空白的clientSecret ，請(qǐng)包括屬性clientSecret ，其值為“”（空字符串）。 反向代理伙伴不能使用客戶機(jī)密“”，如果伙伴正在執(zhí)行授權(quán)代碼流（如以下示例所示），則不能使用“”。

創(chuàng)建反向代理合作伙伴

要?jiǎng)?chuàng)建反向代理合作伙伴憑據(jù)，請(qǐng)使用以下代碼段。 如果使用用戶界面，請(qǐng)確保選中“ 允許自省”選項(xiàng)。

POST_DATA='{"role": "op","templateName": "","configuration": {"responseTypes": ["code"],"clientId":"rpClient","clientSecret":"rpClientSecret","clientName": "Reverse proxy Client","tokenEndpointAuthMethod": "clientSecretBasic","scope": ["openid",],"allowRefreshGrant": true,"redirectUris": ["https://unused.com/"],"allowIntrospect": true},"name": "reverseProxyClient","enabled": true} 'curl -k -vvv --user $USER:$PASSWORD -H 'Content-Type: application/json' \ -H 'Accept: application/json' https://$HOST/iam/access/v8/federations/$UUID/partners -d "$POST_DATA"

請(qǐng)務(wù)必注意， allowIntrospect設(shè)置為true。 此設(shè)置允許客戶端向/introspect端點(diǎn)發(fā)出請(qǐng)求。

步驟2.將反向代理配置為OpenID Connect的聯(lián)系點(diǎn)

為了利用配置的OpenID Connect Provider聯(lián)合身份，需要將反向代理配置為適當(dāng)?shù)穆?lián)系點(diǎn)。 本文假定使用新配置的反向代理。 有關(guān)配置反向代理的更多信息，請(qǐng)參閱ISAM版本9用戶文檔中的配置實(shí)例 。

配置實(shí)例后，使用聯(lián)合身份驗(yàn)證自動(dòng)配置Web服務(wù)適當(dāng)配置反向代理。 可以使用以下代碼段完成此操作。 要查找聯(lián)盟的UUID，請(qǐng)參閱上面的“ 配置OP聯(lián)合 ”。

POST_DATA=' {"runtime": {"hostname": "localhost","port": "443","username": "easuser","password": "passw0rd"},"federation_id": "'$FED_UUID'","reuse_certs": true,"reuse_acls": true } ' curl -k -vvv --user $USER:$PASSWORD -H "Accept: application/json" -H "Content-Type:application/json" \https://$HOST/wga/reverseproxy/$REVERSE_PROXY_NAME/fed_config -d "$POST_DATA"

進(jìn)行此調(diào)用后，請(qǐng)部署所有待處理的更改并重新啟動(dòng)反向代理。 有關(guān)調(diào)用fed_config Web服務(wù)的更多信息，請(qǐng)參閱設(shè)備的Web服務(wù)文檔，位于安全：Web設(shè)置 > 管理 > 反向代理 > 聯(lián)合身份配置主題下 。

注意：必須先部署聯(lián)合身份驗(yàn)證，然后才能調(diào)用聯(lián)合身份驗(yàn)證配置Web服務(wù)。

創(chuàng)建一個(gè)測(cè)試用戶

使用以下命令創(chuàng)建一個(gè)用于測(cè)試的基本TAM用戶。 創(chuàng)建此用戶后，可以將屬性（例如電話號(hào)碼）添加到該用戶。 有關(guān)更多信息，請(qǐng)參見(jiàn)創(chuàng)建用戶 。

pdadmin -a sec_master -p $PASSWORD user create testuser cn=testuser,dc=iswga testuser testuser testPwd pdadmin -a sec_master -p $PASSWORD user modify testuser account-valid yes

執(zhí)行測(cè)試流程

此時(shí)，應(yīng)該已經(jīng)配置了OpenID Connect提供程序聯(lián)合，伙伴和反向代理。 盡管本文沒(méi)有介紹配置任何類型的客戶端，但現(xiàn)在可以獲得授權(quán)。 下面說(shuō)明如何使用Curl執(zhí)行授權(quán)代碼流。 或者，可以在瀏覽器中執(zhí)行流程的前半部分，在/token端點(diǎn)的授權(quán)代碼交換是通過(guò)Curl完成的。 為了啟動(dòng)OpenID Connect流，通過(guò)客戶端啟動(dòng)的某種方法向/authorize端點(diǎn)發(fā)出請(qǐng)求。 可以將下面的URL粘貼到瀏覽器中以檢索授權(quán)碼，也可以使用Curl。

注意：授權(quán)代碼的默認(rèn)生存期為60秒。

您可以使用以下腳本執(zhí)行授權(quán)代碼流：

#!/bin/bash #hostname of the reverse proxy REVERSE_PROXY_HOSTNAME=isam-demo PROVIDER_ID=acmeProvider USERNAME=testuser #populate with testusers password PASSWORD=#populate with client credentials CLIENT_ID= CLIENT_SECRET= #state is presented at /authorize and /token STATE=someState$RANDOM$RANDOM$$ #change to a registered redirect URI. REDIR_URI=https%3A%2F%2FmyService.com%2Fredirect#initial /authorize request curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/oidc/endpoint/amapp-runtime-$PROVIDER_ID/authorize?scope=openid%20profile%20email&response_type=code&client_id=$CLIENT_ID&redirect_uri=$REDIR_URI&state=$STATE" curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/sps/amapp-runtime-$PROVIDER_ID/oidc/auth" #this returns a login form curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/sps/auth"#POST to the login form curl -b cookieJar.txt -c cookieJar.txt -v -k -d "username=$USERNAME&password=$PASSWORD&login-form-type=pwd" "https://$REVERSE_PROXY_HOSTNAME/pkmslogin.form" curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/sps/auth" curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/sps/amapp-runtime-$PROVIDER_ID/oidc/auth" #Extract the consent nonce from the consent page CONSENT=$(curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/oidc/endpoint/amapp-runtime-$PROVIDER_ID/authorize?scope=openid%20profile%20email&response_type=code&client_id=$CLIENT_ID&redirect_uri=$REDIR_URI&state=$STATE") CONSENT_NONCE=$(echo $CONSENT | grep -o -P '((?<="consentNonce":")[a-zA-Z0-9]*(?=")') #Hard coded consent decision of "yes" to openid, profile, email CODE_RSP=$(curl -b cookieJar.txt -c cookieJar.txt -v -k "https://$REVERSE_PROXY_HOSTNAME/isam/oidc/endpoint/amapp-runtime-$PROVIDER_ID/authorize" -d "consentNonce=$CONSENT_NONCE&client_id=$CLIENT_ID&response_type=code&scope=openid+profile+email&state=$STATE&redirect_uri=$REDIR_URI&prompt=consent" 2>&1) # Extract the codeCODE=$(echo $CODE_RSP | grep -o -P '(?<=code=)[^&]*') echo code: $CODE#Exchange code for an id token at /token, token does not require a cookieJar curl -k -u $CLIENT_ID:$CLIENT_SECRET https://$REVERSE_PROXY_HOSTNAME/isam/oidc/endpoint/amapp-runtime-$PROVIDER_ID/token -d "code=$CODE&grant_type=authorization_code&state=$STATE&redirect_uri=$REDIR_URI"#Make it stateless rm cookieJar.txt

此腳本的凈輸出應(yīng)該是/token端點(diǎn)的成功響應(yīng)，作為承載令牌，包括聲明id_token 。 此聲明是JSON Web令牌（JWT）。 一個(gè)示例響應(yīng)是：

{"access_token": "RMOqVQl7WHMNDeQQBwoXlpP41cqQdZqEq5TGSZrM","token_type": "Bearer","expires_in": 7199,"scope": "openid profile email","refresh_token": "M62yhoNS7uGYboXGy7hJsHCyx6DhdMaCJFYEEXvtwNf18zY1AP","id_token": "eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL2FjbWVQcm92aWRlci5jb20iLCJhdF9oYXNoIjoiVWtwMlo3SnFnSDRna2lPTGJZZnJpQSIsInN1YiI6InRlc3R1c2VyIiwiYXVkIjoiOXNwOWhKck1YcExES1BWWTU3TTQiLCJyZWFsbU5hbWUiOiJtZ2EiLCJleHAiOjE0NDQ5NzY4NTMsImlhdCI6MTQ0NDk2OTY1M30.ViLy3ixFSkNBfMUFscFiQA6dVWJp4i0QjL7r0_c6e1s" }

id_token由三部分組成，前兩部分是base64URL編碼的JSON。 第三個(gè)是用于驗(yàn)證JWT的簽名。

$ JWT="eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwczovL2FjbWVQcm92aWRlci5jb20iLCJhdF9oYXNoIjoiVWtwMlo3SnFnSDRna2lPTGJZZnJpQSIsInN1YiI6InRlc3R1c2VyIiwiYXVkIjoiOXNwOWhKck1YcExES1BWWTU3TTQiLCJyZWFsbU5hbWUiOiJtZ2EiLCJleHAiOjE0NDQ5NzY4NTMsImlhdCI6MTQ0NDk2OTY1M30.ViLy3ixFSkNBfMUFscFiQA6dVWJp4i0QjL7r0_c6e1s" $ JWT_HEAD=$(echo $JWT | cut -f1 -d".") $ echo $JWT_HEAD | base64 -d {"alg":"HS256"} $ JWT_BODY=$(echo $JWT | cut -f2 -d".") $ echo $JWT_BODY | base64 -d {"iss": "https://acmeProvider.com","at_hash": "Ukp2Z7JqgH4gkiOLbYfriA","sub": "testuser","aud": "9sp9hJrMXpLDKPVY57M4","realmName": "mga","exp": 1444976853,"iat": 1444969653 }

自省令牌

令牌自省端點(diǎn)允許客戶端找出access_token的有效性。 該端點(diǎn)需要使用客戶端憑據(jù)進(jìn)行身份驗(yàn)證。 一個(gè)示例請(qǐng)求將是：

#!/bin/bash REVERSE_PROXY_HOSTNAME=isam-demo ACCESS_TOKEN=zWmP2T7qITV2ibMKaicNl8gxoQ9oWlWNX6VAExPE PROVIDER_ID=acmeProvider CLIENT_ID=9sp9hJrMXpLDKPVY57M4 CLIENT_SECRET=BYjqNcIHWGrP0wseZMNgcurl -k -u $CLIENT_ID:$CLIENT_SECRET \ https://$REVERSE_PROXY_HOSTNAME/isam/oidc/endpoint/amapp-runtime-$PROVIDER_ID/introspect \ -d "token=$ACCESS_TOKEN"

這將產(chǎn)生以下輸出：

{"sub": "testuser","grant_type": "authorization_code","realmName": "mga","scope": "openid profile email","active": true,"exp": 1445228044,"token_type": "Bearer","iat": 1445220844,"client_id": "9sp9hJrMXpLDKPVY57M4" }

這提供了足夠的信息，可以用預(yù)期的信息正確地填充STSUU 。

注意：第2、3、5、7和10行中的值將在映射規(guī)則中提取并返回到反向代理，然后將其作為屬性包括在內(nèi)。

步驟3.，配置STS鏈

要配置的STS鏈采用一個(gè)STSUU，并根據(jù)其內(nèi)容添加WebSEAL可以用作授權(quán)決策的屬性。 這是一個(gè)定義明確的接口 。 通過(guò)以下步驟配置STS鏈：

創(chuàng)建鏈模板。

上傳地圖模塊要使用的映射規(guī)則。

創(chuàng)建鏈模板的實(shí)例。

創(chuàng)建鏈模板

通過(guò)STS用戶界面完成創(chuàng)建STS模板。 對(duì)于此鏈，您需要三個(gè)模塊：

• 模式下的STSUU模塊validate
• 模式map默認(rèn)映射模塊
• STSUU模塊處于模式issue

請(qǐng)按照以下步驟配置模板：

單擊“ 管理”下的“ 安全令牌服務(wù) ”。

單擊模板 。

單擊添加以添加新模板。

填充模板。

上載映射規(guī)則

在創(chuàng)建鏈的實(shí)例之前，需要上載默認(rèn)映射模塊要使用的映射規(guī)則。 有一個(gè)Web界面，允許上載和編輯JavaScript映射規(guī)則。 將要上載的映射規(guī)則執(zhí)行以下操作：

從STSUU中提取access_token。

如果沒(méi)有返回訪問(wèn)令牌，則不更改STSUU。

如果有訪問(wèn)令牌，請(qǐng)向OP的/introspect端點(diǎn)發(fā)出請(qǐng)求。

檢查/introspect的響應(yīng)是否為200 。

如果來(lái)自/introspect的響應(yīng)顯示令牌無(wú)效，則返回未經(jīng)授權(quán)的決定。

如果來(lái)自/introspect的響應(yīng)包含屬性active = true ，則令牌有效； active = true ，令牌無(wú)效。 從自省響應(yīng)中提取值，并將其插入到STSUU中。

此映射規(guī)則填充“ 授權(quán)執(zhí)行點(diǎn)的OAuth STS接口 ”中定義的大多數(shù)屬性。

ISAM版本9添加了用于管理映射規(guī)則的Web界面。 單擊“ 全局設(shè)置 ”下的“ 映射規(guī)則 ” 。

單擊添加以添加新規(guī)則。

保存規(guī)則。

映射規(guī)則為：

//Use the trace strings below to debug: //com.tivoli.am.fim.trustserver.sts.utilities.* so IDMappingExtUtils.traceString will show. //com.tivoli.am.fim.trustserver.sts.modules.* rule execution pre/post //com.ibm.security.access.httpclient.* http client debugging. importPackage(Packages.com.tivoli.am.fim.trustserver.sts); importPackage(Packages.com.tivoli.am.fim.trustserver.sts.uuser); importPackage(Packages.com.tivoli.am.fim.trustserver.sts.utilities); importPackage(Packages.com.ibm.security.access.httpclient);// Types: var attribute = "urn:ibm:names:ITFIM:oauth:response:attribute"; var decision = "urn:ibm:names:ITFIM:oauth:response:decision"; var param = "urn:ibm:names:ITFIM:oauth:param";//Names(minimum): var USERNAME = "username"; var AUTHZ = "authorized"; var EXPIRES = "expires"; var AT = "access_token";//Names (extra):var CLIENT_TYPE = "client_type"; // "confidential" or "public" var SCOPE = "scope"; var TOKEN_CLIENT_ID = "oauth_token_client_id"//Constants: var TRUE = "TRUE"; var FALSE = "FALSE";// Introspect details: var ENDPOINT = "https://127.0.0.1/oidc/endpoint/amapp-runtime-acmeProvider/introspect";// Used to authenticate to /introspect var CLIENT_ID = "websealClient"; var CLIENT_SECRET = "websealClientSecret";var access_token = stsuu.getContextAttributes().getAttributeValueByName(AT);IDMappingExtUtils.traceString("access_token: " + access_token); if (access_token != null || access_token.trim() != "" ) {var body = "token=" + access_token;IDMappingExtUtils.traceString("body: " + body);var headers = new Headers();headers.addHeader("Accept", "*/*");/** httpPost(String url,* Map headers,* String body,* String httpsTrustStore,* String basicAuthUsername,* String basicAuthPassword,* String clientKeyStore,* String clientKeyAlias);*/var hr = HttpClient.httpPost(ENDPOINT,headers,body,"rt_profile_keys",CLIENT_ID,CLIENT_SECRET,null, null)IDMappingExtUtils.traceString("code: " + hr.getCode());IDMappingExtUtils.traceString("body: " + hr.getBody());if (hr.getCode() == "200") {var rsp = JSON.parse(hr.getBody());IDMappingExtUtils.traceString("active:" + rsp.active);IDMappingExtUtils.traceString("is active:" + (rsp.active == true));IDMappingExtUtils.traceString("clientId:" + rsp.client_id);IDMappingExtUtils.traceString("sub:" + rsp.sub);//active will be false if its bad otherwiseif(rsp.active == true) {// active == authorizedstsuu.addAttribute(new Attribute(AUTHZ, decision, TRUE));//Some attributesstsuu.addAttribute(new Attribute(USERNAME, attribute, rsp.sub));stsuu.addAttribute(new Attribute(TOKEN_CLIENT_ID, attribute, rsp.client_id));stsuu.addAttribute(new Attribute(SCOPE, attribute, rsp.scope));stsuu.addAttribute(new Attribute(EXPIRES, decision, secondsToDate(rsp.exp)));// Based on the grant type used to get this// access_token we decide on the client_type:if(rsp.grant_type == "authorization_code"){stsuu.addAttribute(new Attribute(CLIENT_TYPE, attribute, "confidential"));} else {stsuu.addAttribute(new Attribute(CLIENT_TYPE, attribute, "public"));}} else {IDMappingExtUtils.traceString("invalid access token");stsuu.addAttribute(new Attribute(AUTHZ, decision, FALSE));}} else {IDMappingExtUtils.traceString("non 200 code");stsuu.addAttribute(new Attribute(AUTHZ, decision, FALSE));}} else {IDMappingExtUtils.traceString("access_token was null");stsuu.addAttribute(new Attribute(AUTHZ, decision, FALSE)); }/** Helper:* Turn an OIDC exp property which is in seconds and turn it into a string* suitable for the EXPIRES attribute of a STSUU*/ function secondsToDate(seconds) {var d = new Date(0);d.setSeconds(seconds);IDMappingExtUtils.traceString("Expires:" + d);return IDMappingExtUtils.getTimeStringUTC(d.getFullYear(),d.getMonth(),d.getDay(),d.getHours(),d.getMinutes(),d.getSeconds()); }

創(chuàng)建鏈

現(xiàn)在有了模板，您可以配置映射規(guī)則以使用鏈的實(shí)例。 使用反向代理調(diào)用鏈時(shí)將使用的值來(lái)配置鏈。 頒發(fā)者地址必須為urn:ibm:ITFIM:oauth20:token:bearer ，但是您可以配置反向代理提供的“應(yīng)用于”。 它將顯示的默認(rèn)值為https://localhost/sps/oauthfed/oauth10 。 可以在[oauth]節(jié)的default-fed-id屬性default-fed-id設(shè)置反向代理將使用的值。 本示例使用https://localhost/sps/oidc的“應(yīng)用于”值。

添加一條鏈。

配置一個(gè)新鏈。

設(shè)置“請(qǐng)求類型”，“頒發(fā)者”和“應(yīng)用于”值。

配置模塊。 在這種情況下，您只能使用一個(gè)選項(xiàng)（要使用的規(guī)則）配置默認(rèn)地圖模塊。

測(cè)試鏈

您可以使用下面的代碼片段測(cè)試配置的STS鏈。 該請(qǐng)求必須是包含請(qǐng)求安全令牌的SOAP消息。 反向代理將發(fā)送的消息將包含有關(guān)請(qǐng)求的端點(diǎn)和反向代理的幾條信息。 但是，提供的規(guī)則僅使用“ access_token”上下文屬性。 下面的示例僅提供一個(gè)access_token。 反向代理提供的屬性可用于增強(qiáng)規(guī)則。

#!/bin/bash #For more on invoking the STS via HTTP.REVERSE_PROXY_HOSTNAME=isam-demo ISSUER=urn:ibm:ITFIM:oauth20:token:bearer APPLIES_TO=https://localhost/sps/oidc ACCESS_TOKEN=39eAcg8X9PUN6CWGoF9Wnti1KDME9IsjeR8y49fh USER=easuser PASSWORD=passw0rdBODY=' <SOAP-ENV:Envelopexmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"xmlns:xsd="http://www.w3.org/2001/XMLSchema"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:ns1="http://docs.oasis-open.org/ws-sx/ws-trust/200512"xmlns:wsa="http://schemas.xmlsoap.org/ws/2004/08/addressing"xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"xmlns:wst="http://docs.oasis-open.org/ws-sx/ws-trust/200512" ><SOAP-ENV:Body><ns1:RequestSecurityTokenCollection><ns1:RequestSecurityToken><wsp:AppliesTo><wsa:EndpointReference><wsa:Address>https://localhost/sps/oidc</wsa:Address></wsa:EndpointReference></wsp:AppliesTo><wst:Issuer><wsa:Address>urn:ibm:ITFIM:oauth20:token:bearer</wsa:Address></wst:Issuer><wst:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Validate</wst:RequestType><wst:Base><stsuuser:STSUniversalUser xmlns:stsuuser="urn:ibm:names:ITFIM:1.0:stsuuser"><stsuuser:Principal/><stsuuser:AttributeList/><stsuuser:RequestSecurityToken><stsuuser:Attribute name="AppliesTo" type="http://schemas.xmlsoap.org/ws/2004/09/policy"><stsuuser:Value>https://localhost/sps/oidc</stsuuser:Value></stsuuser:Attribute><stsuuser:Attribute name="Issuer" type="http://docs.oasis-open.org/ws-sx/ws-trust/200512"><stsuuser:Value>urn:ibm:ITFIM:oauth20:token:bearer</stsuuser:Value></stsuuser:Attribute><stsuuser:Attribute name="Base" type="urn:ibm:names:ITFIM:1.0:stsuuser"><stsuuser:Value><stsuuser:STSUniversalUser><stsuuser:ContextAttributes><stsuuser:Attribute name="access_token" type="urn:ibm:names:ITFIM:oauth:param"><stsuuser:Value>QLW6clF6O6NEXu8KjMZ2r2u9Si4qYtEC67EUMYon</stsuuser:Value></stsuuser:Attribute></stsuuser:ContextAttributes></stsuuser:STSUniversalUser></stsuuser:Value></stsuuser:Attribute></stsuuser:RequestSecurityToken><stsuuser:ContextAttributes><stsuuser:Attribute name="access_token" type="urn:ibm:names:ITFIM:oauth:param"><stsuuser:Value>QLW6clF6O6NEXu8KjMZ2r2u9Si4qYtEC67EUMYon</stsuuser:Value></stsuuser:Attribute></stsuuser:ContextAttributes><stsuuser:AdditionalAttributeStatement/></stsuuser:STSUniversalUser></wst:Base></ns1:RequestSecurityToken></ns1:RequestSecurityTokenCollection></SOAP-ENV:Body> </SOAP-ENV:Envelope> ' curl -k -vvv --user $USER:$PASSWORD \ https://$REVERSE_PROXY_HOSTNAME/isam/TrustServerWS/SecurityTokenServiceWST13 -d "$BODY"

注意：端點(diǎn)將需要附加一個(gè)unauth acl 。 或者，將運(yùn)行時(shí)綁定到外部接口，并更新URL以直接進(jìn)入運(yùn)行時(shí)。 注意： STS受BA身份驗(yàn)證的保護(hù)。 有關(guān)配置用戶帳戶的更多信息，請(qǐng)參見(jiàn)管理用戶注冊(cè)表 。

步驟4.將反向代理配置為實(shí)施點(diǎn)

現(xiàn)在，您需要將反向代理配置為OAuth PEP。 您將使用之前的相同實(shí)例。 對(duì)配置文件進(jìn)行以下更改，以啟用OAuth授權(quán)。 記下default-fed-id紙default-fed-id值，因?yàn)樗仨毰cSTS鏈的“應(yīng)用于”值相對(duì)應(yīng)。

[oauth] fed-id-param = FederationId default-fed-id = https://localhost/sps/oidc user-identity-attribute = username oauth-auth = both cluster-name = oauth-cluster[server] http-method-disabled-remote = TRACE,CONNECT[tfim-cluster:oauth-cluster] basic-auth-user = easuser basic-auth-passwd = passw0rd handle-idle-timeout = 240 handle-pool-size = 10 ssl-keyfile = pdsrv.kdb ssl-keyfile-stash = pdsrv.sth server = 9,https://127.0.0.1/TrustServerWS/SecurityTokenServiceWST13 ssl-keyfile-label = server [azn-decision-info] HTTP_CONTENT_TYPE_HDR = header:content-type HTTP_HOST_HDR = header:host HTTP_REQUEST_METHOD = method HTTP_TRANSFER_ENCODING_HDR = header:transfer-encoding HTTP_AZN_HDR = header:authorization HTTP_REQUEST_URI = uri HTTP_REQUEST_SCHEME = scheme

這是在下面的代碼段中編寫的腳本。

#! /bin/bash USER=admin PASSWORD= HOST= INST=default APPLIES_TO=https://localhost/sps/oidc RUNTIME=127.0.0.1function setEntry {STZ=$1bENT=$2VAL=$3curl -k -H "Accept: application/json" -H "Content-Type: application/json" \--user $USER:$PASSWORD https://$HOST/wga/reverseproxy/$INST/configuration/stanza/$STZ/entry_name/$ENT \-X PUT -d '{"value":"'$VAL'"}'}setEntry oauth fed-id-param FederationId setEntry oauth default-fed-id $APPLIES_TO setEntry oauth user-identity-attribute username setEntry oauth oauth-auth both setEntry oauth cluster-name oauth-clustersetEntry server http-method-disabled-remote TRACE,CONNECTsetEntry "tfim-cluster:oauth-cluster" ssl-keyfile-stash pdsrv.sth setEntry "tfim-cluster:oauth-cluster" basic-auth-user easuser setEntry "tfim-cluster:oauth-cluster" handle-idle-timeout 240 setEntry "tfim-cluster:oauth-cluster" handle-pool-size 10 setEntry "tfim-cluster:oauth-cluster" basic-auth-passwd passw0rd setEntry "tfim-cluster:oauth-cluster" ssl-keyfile pdsrv.kdb setEntry "tfim-cluster:oauth-cluster" server 9,https://$RUNTIME/TrustServerWS/SecurityTokenServiceWST13 setEntry "tfim-cluster:oauth-cluster" ssl-keyfile-label serversetEntry azn-decision-info HTTP_CONTENT_TYPE_HDR header:content-type setEntry azn-decision-info HTTP_HOST_HDR header:host setEntry azn-decision-info HTTP_REQUEST_METHOD method setEntry azn-decision-info HTTP_TRANSFER_ENCODING_HDR header:transfer-encoding setEntry azn-decision-info HTTP_AZN_HDR header:authorization setEntry azn-decision-info HTTP_REQUEST_URI uri setEntry azn-decision-info HTTP_REQUEST_SCHEME schemecurl -k -v -L -H 'Accept: application/json' -X PUT --user $USER:$PASSWORD https://$HOST/isam/pending_changes curl -k -v -L -H 'Accept: application/json' -H "Content-Type: application/json" -X PUT \ --user $USER:$PASSWORD https://$HOST/wga/reverseproxy/$INST -d'{"operation":"restart"}'

配置POP

POP需要配置為觸發(fā)OAuth EAS。 有關(guān)OAuth EAS的更多信息，請(qǐng)參見(jiàn)“ OAuth EAS的高級(jí)概述 。您可以使用以下pdadmin命令來(lái)配置POP：

pop create oidc-pop pop modify oidc-pop set attribute eas-trigger oauth_pop_trigger

將此附加到根資源作為測(cè)試：

pop attach /WebSEAL/isam-op-default/ oidc-pop server replicate

測(cè)試PEP

現(xiàn)在，訪問(wèn)令牌可以用作通過(guò)使用Authorization：Bearer標(biāo)頭通過(guò)反向代理對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證的方法。 可以按照以下步驟進(jìn)行測(cè)試：

獲取訪問(wèn)令牌。

訪問(wèn)不帶標(biāo)題的資源，并提示登錄。

使用授權(quán)標(biāo)頭訪問(wèn)資源并被允許通過(guò)。

如下所示：

$ curl -v -k -L https://isam-demo/ > GET / HTTP/1.1 > User-Agent: curl/7.37.0 > Host: isam-demo > Accept: */* > < HTTP/1.1 200 OK < content-length: 12505 < content-type: text/html < date: Tue, 20 Oct 2015 01:06:46 GMT < ...&lt;form class="login-container" method="POST"action="/pkmslogin.form?token=Unknown"&gt; ... Login form.$ curl -v -k -L -H "Authorization: Bearer QLW6clF6O6NEXu8KjMZ2r2u9Si4qYtEC67EUMYon" \ https://isam-demo/ > GET / HTTP/1.1 > User-Agent: curl/7.37.0 > Host: isam-demo > Accept: */* > Authorization: Bearer QLW6clF6O6NEXu8KjMZ2r2u9Si4qYtEC67EUMYon > < HTTP/1.1 200 OK < content-length: 510 < content-type: text/html ...&lt;center&gt;&lt;img src="/pics/iv30.gif" alt=""&gt;&lt;/center&gt; ...Reverse Proxy Landing page

現(xiàn)在可以將POP附加到各種資源，以允許使用access_tokens訪問(wèn)它們。

結(jié)論

這樣就完成了配置，以使ISAM反向代理能夠接受OpenID Connect訪問(wèn)令牌作為身份驗(yàn)證方法。 您現(xiàn)在應(yīng)該能夠：

• 通過(guò)使用UI或Web服務(wù)來(lái)配置OpenID Connect聯(lián)合身份驗(yàn)證。
• 調(diào)用聯(lián)合身份驗(yàn)證配置Web服務(wù)。
• 執(zhí)行OpenID Connect授權(quán)代碼流。
• 創(chuàng)建一個(gè)STS模板和鏈。
• 創(chuàng)建POP并將其附加到資源。
• 通過(guò)使用訪問(wèn)令牌作為身份驗(yàn)證方法從反向代理請(qǐng)求頁(yè)面

---

翻譯自: https://www.ibm.com/developerworks/security/library/se-configure-ISAM-reverse-proxy-PeP-to-OpenID-connect-provider-trs/index.html

isam 驅(qū)動(dòng)程序 下載

總結(jié)

以上是生活随笔為你收集整理的isam 驱动程序 下载_将ISAM反向代理配置为与OpenID连接提供程序的PEP的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。