corner imagecorner image
FeaturesPluginsDocs & SupportCommunityPartners

Обеспечение безопасности веб-служб с помощью профилей SAML или UserNameToken

Это руководство посвящено реализации проверки подлинности на основе SAML и UserNameToken между клиентом и поставщиком веб-службы с помощью поставляемого диспетчера доступа (Access Manager) наряду с интегрированной поддержкой стандарта WS-Security в клиенте веб-службы сервера приложений и серверных контейнеров.

Содержание

Содержимое на этой странице относится к среде IDE NetBeans 6.1 и 6.0

Для работы с этим руководством требуется программное обеспечение и ресурсы, перечисленные ниже.

Программное обеспечение или ресурс Требуемая версия
Среда IDE NetBeans "All" версии 6.0 или 6.1
Комплект для разработчика на языке Java (JDK) версия 6 или
версия 5
SDK для сервера приложений на Java
в т.ч. диспетчер доступа (Access Manager)		 "App Platform" или дистрибутив "Java EE and Tools"
обновление 4

В дистрибутив "Java EE and Tools" инструментария SDK для сервера приложений на Java добавлена среда IDE NetBeans.

Установка Sun Java System Access Manager

Если Access Manager уже установлен и настроен, обратитесь к собственному каталогу пользователя (userdir) и, если он существует, удалите файл

[Your_Userdir]/AccessManager/AMConfig_opt_SUNWappserver_domains)domain1_applications_j2ee-modules_amserver_

перед началом новой установки.

Для установки Sun Java System Access Manager сначала необходимо убедиться в том, что установлена полная среда IDE NetBeans. Затем:

  1. Загрузите SDK платформы приложений на Java, обновление 2 или выше, по адресу http://java.sun.com/javaee/downloads/index.jsp.
  2. Запустите программу установки SDK Java, укажите папку установки по выбору и примите параметры по умолчанию.
  3. Выберите надстройки, в т.ч. Sun Java System Access Manager.
  4. Продолжайте выполнение программы установки; по завершении запустите сервер и нажмите кнопку "Finish".
  5. Запустите среду IDE.
  6. На вкладке "Services" выберите узел "Servers". Щелкните правой кнопкой мыши узел Servers и выберите "Add Server" в появившемся меню. Откроется диалоговое окно "Add Server Instance".
  7. Нажмите кнопку "Next". Откроется страница "Platform Location Folder".
  8. Нажмите кнопку "Browse" в поле "Platform Location", затем перейдите к каталогу, содержащему только что установленный SDK платформы приложений на Java и выберите его.
  9. Нажмите кнопку "Finish".
  10. На вкладке "Services" для только что установленного сервера приложений появится узел "Sun Java System Access Manager". Для работы с Sun Java System Access Manager необходимо сначала запустить сервер приложений.

    наверх

Проверка правильности настройки Access Manager

  1. В окне "Services" разверните узел "Sun Java System Access Managers". Щелкните правой кнопкой мыши узел "Access Manager" и выберите действие "View Admin Console".
  2. При этом выполняется переход к странице "Login", которая немедленно отображается при последующих входах в систему. Далее можно зарегистрироваться в Sun Java System Access Manager. Открывается страница "Log In", что указывает на то, что диспетчер доступа запущен.

Для правильной работы Access Manager его необходимо настроить. По умолчанию он настраивается при первом запуске сервера GlassFish, полученного из SDK, однако в дальнейшем при необходимости настройку можно изменить. Дополнительная информация приведена в файле [your_SDKGlassfish_location]/addons/README.html .

наверх

Настройка среды для работы с руководством

  1. Запустите среду IDE.
  2. Для проверки настройки сервера Sun Java System Application Server в среде IDE перейдите к вкладке "Runtime" и разверните узел Servers.
  3. Если в узле Servers отсутствует узел "Java EE SDK GlassFish", выполните процедуру Добавление сервера приложений.
  4. В окне "Runtime" разверните узел "Servers", а затем щелкните правой кнопкой мыши узел "Java EE SDK GlassFish" и выберите "Start" в появившемся меню.
    Через некоторое время в окне "Output" появляется следующее сообщение:
    Application server startup complete.
    Работающий сервер обозначается в среде IDE зеленой стрелкой рядом с узлом "Sun Java System Application Server 9".
    Примечание: Если пункт "Start" недоступен, сервер уже работает.

наверх

Создание учебных проектов

Предлагается два учебных проекта: StockQuoteService и StockQuoteClient.

Для создания проекта StockQuoteService:

  1. В главном меню среды IDE выберите "File > New Project".
  2. В списке "Categories" разверните узел Samples и выберите узел Identity Blueprints.
  3. В окне "Projects" выберите Stock Service.
  4. Нажмите кнопку "Next".
  5. Примите стандартное имя проекта (StockQuoteService) и, если необходимо, измените местоположение проекта ("Project Location").
  6. Нажмите кнопку "Finish".

Для создания проекта StockQuoteClient:

  1. В главном меню среды IDE выберите "File > New Project".
  2. В списке "Categories" разверните узел Samples и выберите узел Identity Blueprints.
  3. В списке "Projects" выберите StockQuote Client.
  4. Нажмите кнопку "Next".
  5. Примите стандартные значения для имени проекта (StockQuote Client) и его местоположения.
  6. Нажмите кнопку "Finish".
    В окно "Projects" добавляется узел проекта StockQuote Client.

Если среда IDE NetBeans была установлена вместе с сервером GlassFish v2, он выбран в качестве сервера по умолчанию для обоих демонстрационных проектов. Вместо него следует выбрать сервер "Java EE SDK Glassfish".

Для изменения серверов проектов на "Java EE SDK Glassfish":

  1. Откройте вкладку "Projects".
  2. Щелкните правой кнопкой мыши узел проекта "StockQuoteService" и выберите "Properties".
  3. Выберите категорию "Run".
  4. Откройте раскрывающийся список "Server:" и выберите пункт "Java EE SDK GlassFish".
  5. Нажмите кнопку "OK".
  6. Повторите эти действия для проекта "StockQuoteClient".

наверх


Безопасность веб-служб: использование механизма обеспечения безопасности SAML-HolderOfKey

В этом случае используется профиль безопасности SAML-HolderOfKey без подписи ответа, но с использованием хранилища ключей по умолчанию. Для этого необходимо сначала изменить профиль маркера (токена) для Access Manager, а затем настроить провайдер и клиент веб-службы.

Для изменения профиля SAML-HolderOfKey:

  1. В окне "Runtime" разверните узел Sun Java System Access Managers, а затем разверните узлы Profiles.
  2. Выберите узел SAML-HolderOfKey.
  3. Щелкните правой кнопкой мыши и выберите "Edit". Откроется диалоговое окно "Edit SAML-HolderOfKey Profile".
    Пример диалогового окна "Edit SAML Holder of Key Profile", показан установленный флажок "Use Default Key Store"
  4. Снимите флажок "Sign Response".
  5. Перейдите к разделу "Existing Certificate Settings" и убедитесь в том, что установлен флажок "Use Default Key Store".
  6. Нажмите кнопку "OK".

Для настройки провайдера веб-службы:

  1. В окне "Projects" разверните узел проекта "StockQuoteService" и узел "Web Services".
  2. Перейдите к узлу "Web Services", щелкните правой кнопкой мыши узел "StockService" и выберите "Edit Web Service Attributes" в появившемся меню. Откроется окно "StockService" с выбранной вкладкой "AM Security".
    Пример вкладки "AM Security" диалогового окна "Edit Web Service Attributes" для StockService; установлен флажок "Enable Message Level Security" и выбран механизм "SAML Holder of Key"
  3. Установите флажок "Enable Message Level Security".
  4. В раскрывающемся списке "Request" выберите механизм обеспечения безопасности SAML-HolderOfKey.
  5. Нажмите кнопку "OK".

Для настройки клиента веб-службы:

  1. В окне "Projects" разверните узел StockQuoteClient и узел Web Service References.
  2. Перейдите к узлу Web Service References, щелкните правой кнопкой мыши узел StockService и выберите "Edit Web Service Attributes" в появившемся меню.
    Откроется диалоговое окно "Web Service Client Security Configuration".
    Пример вкладки "AM Security" диалогового окна "Edit Web Service Attributes" для клиента "StockService"; установлен флажок "Enable Message Level Security" и выбран механизм "SAML Holder of Key"
  3. Установите флажок "Enable Message Level Security".
  4. Выберите в раскрывающемся списке "Request" пункт "SAML-HolderOfKey".
  5. Перейдите к разделу "Existing Certificate Settings". Убедитесь в том, что установлен флажок "Use Default Key Store".
  6. Нажмите кнопку "OK".

Если в "Web Services References" для клиента "StockQuoteClient" появился значок ошибки, выполните развертывание проекта "StockQuoteService" (щелкните правой кнопкой мыши узел проекта службы и выберите "Undeploy and Deploy"), затем обновите клиент (щелкните правой кнопкой мыши узел ссылки на веб-службу и выберите "Refresh Client").

Теперь можно приступить к развертыванию и запуску примера в соответствии с указаниями из раздела Развертывание и запуск проекта.

наверх

Безопасность веб-служб: использование механизма обеспечения безопасности UserNameToken

В этом случае используется профиль безопасности UserNameToken с подписью ответа и с хранилищем ключей по умолчанию. Для этого необходимо сначала изменить профиль маркера (токена) для Access Manager, а затем настроить провайдер и клиент веб-службы.

Для изменения профиля UserNameToken:

  1. В окне "Runtime" разверните узел Sun Java System Access Managers, а затем разверните узлы Profiles.
  2. Выберите узел UserNameToken, щелкните правой кнопкой мыши и выберите "Edit". Откроется диалоговое окно "Edit UserNameToken Profile".
    Пример диалогового окна "Edit UserNameToken Profile"; добавлено имя пользователя "sherry" и установлены флажки "Sign Response" и "Use Default Key Store"
  3. Выберите "Use Default Key Store".
  4. Перейдите к разделу "Username Token Profile Info". Нажмите кнопку "Add" для добавления записи "UserNameToken" для клиента веб-службы.
    Откроется диалоговое окно "Add User".
  5. В поле "Username" введите sherry. В поле "Password" введите mypw и нажмите кнопку "OK".
  6. Для закрытия диалогового окна "Edit UserNameToken Profile" нажмите кнопку "OK".

Для настройки провайдера веб-службы:

  1. В окне "Projects" разверните узел StockQuoteService и узел Web Services.
  2. Перейдите к узлу "Web Services", щелкните правой кнопкой мыши узел "StockService" и выберите "Edit Web Service Attributes" в появившемся меню. Откроется окно "StockService" с выбранной вкладкой "AM Security".
    Пример вкладки "AM Security" диалогового окна "Edit Web Service Attributes" для StockService; установлен флажок "Enable Message Level Security" и выбран механизм "UserNameToken"
  3. Установите флажок "Enable Message Level Security".
  4. В раскрывающемся списке "Request" выберите механизм обеспечения безопасности UserNameToken.
  5. Нажмите кнопку "OK".

Для настройки клиента веб-службы:

  1. В окне "Project" разверните узел "StockClient". В проекте "StockClient" разверните узел "Web Service References". Щелкните правой кнопкой мыши узел "StockService" и выберите "Edit Web Service Attributes" в появившемся меню. Откроется диалоговое окно "Web Service Client Security Configuration".
    Пример вкладки "AM Security" диалогового окна "Edit Web Service Attributes" для клиента "StockService"; установлены флажки "Enable Message Level Security" и "Use Default Key Store" и выбран механизм "UserNameToken"
  2. Установите флажок "Enable Message Level Security".
  3. В раскрывающемся списке "Request" выберите механизм обеспечения безопасности UserNameToken.
  4. В поле "Username" введите sherry, а в поле "Password" – mypw.
  5. Выберите "Use Default Key Store".
  6. Нажмите кнопку "OK".

Теперь можно приступить к развертыванию и запуску примера в соответствии с указаниями из раздела Развертывание и запуск проекта.

наверх

Развертывание и запуск проекта

  1. В окне "Projects" щелкните правой кнопкой мыши узел проекта StockQuoteService и выберите "Undeploy and Deploy Project".
    Средой IDE выполняются следующие действия:
    • Запуск сервера приложений, если он еще не запущен.
    • Сборка проекта StockQuoteService. Результаты процесса сборки отображаются в окне "Output".
    • Развертывание server.war на сервере приложений.
  2. В окне "Projects" щелкните правой кнопкой мыши узел проекта StockQuoteClient и выберите "Run Project".
    Средой IDE выполняются следующие действия:
    • Сборка проекта StockQuoteClient. Результаты процесса сборки отображаются в окне "Output".
    • Развертывание client.war на сервере приложений.
    • Приложение открывается в обозревателе.

    Убедитесь в том, что в поле "URL" всегда отображается http://localhost:8080/stockquoteclient/.

  3. Нажмите кнопку "Submit".

    Для просмотра сообщений SOAP, связанных с этим запросом, можно щелкнуть "View SOAP Messages".

наверх

Исследование файлов протоколов

Указания в этом разделе не обязательны для выполнения. Эти указания служат для просмотра изменений в файлах протоколов.

  1. Перед переходом к следующему этапу включите максимально подробный уровень протоколирования.
    Следуйте указаниям в разделе Изменение уровня защиты на сервере приложений.
  2. В окне "Projects" щелкните правой кнопкой мыши узел проекта StockQuoteClient и выберите "Run Project" в появившемся меню.
  3. Откройте файл протокола сервера приложений (server.log) в следующем каталоге: application-server-installation-directory\domains\domain1\logs.
    Если в ходе установки были приняты стандартные значения, на экран выводится содержимое каталога C:\Sun\AppServer\domains\domain1\logs.
  4. Обратите внимание на изменения в файле протокола.
    Измененный файл протокола показывает использование в модулях методов, определенных на экранах настройки.
    С примерами разделов измененного файла протокола можно ознакомиться путем перехода по следующим ссылкам.

наверх

Дополнительные задачи по настройке

В этом разделе содержится информация о возможных дополнительных задачах по настройке.

наверх

 

Сведения о настройке для сервера приложений, не установленного на порту 8080

Если при установке сервера приложений Sun Java System Application Server был указан порт, отличный от 8080, требуются дополнительные этапы процедуры настройки:

  1. В окне "Projects" разверните узлы StockQuoteClient > Web Pages > WEB-INF и wsdl, а затем откройте файл stock.wsdl в редакторе.
  2. Нажмите кнопку "Source" для перехода в окну "Source" для этого файла.
  3. Выполните прокрутку в конец файла и найдите следующую строку:
    <soap:address location="http://localhost:8080/stockservice/stockservice" xmlns:soap12="http://schemas.xmlsoap.org/wsdl/soap12/"/>
  4. Замените значение 8080 номером порта, на котором установлен сервер приложений.
  5. Сохраните изменения и закройте файл.

наверх

Изменение уровня защиты на сервере приложений

  1. В окне "Runtime" щелкните правой кнопкой мыши узел Java EE SDK GlassFish и выберите "View Admin Console".
  2. Введите имя пользователя admin и пароль adminadmin.
  3. Перейдите по ссылке "Application Server" в левой области переходов.
  4. В правой области перейдите к вкладке "Logging", а затем к вкладке "Log Levels".
    Консоль администратора сервера приложений, вкладка "Log Levels", щелкните для увеличения

  5. Выполните прокрутку до конца страницы и установите "FINEST" в качестве значения параметра "Security".
    Консоль администратора сервера приложений, параметр настройки "Security", щелкните для увеличения
  6. Нажмите кнопку "Save" и выйдите из системы.

наверх

Справочная информация

наверх

Заключение

В этом руководстве была рассмотрена процедура включения проверки подлинности на основе SAML и UserNameToken клиентом и провайдером веб-службы. Для этого были выполнены следующие действия...

наверх

Что дальше?

  • Для получения дополнительных сведений об управлении идентификацией см. соответствующие темы справки в среде IDE NetBeans.

  • Оставить комментарии и предложения, обратиться за поддержкой и получить информацию о последних изменениях в функциональных возможностях разработки среды IDE NetBeans можно через список рассылки .



наверх

Bookmark this page

del.icio.us furl simpy slashdot technorati digg
Companion
Projects: 		MySQL Database Server   GlassFish Community: an Open Source Application Server   Open Solaris  Open JDK: an Open SourceJDK   Mobile & Embedded Community     Sponsored by 
Sponsored by Sun Microsystems