Usando OAuth em Dispositivos IBM WebSphere DataPower, Parte 2: Usando o Web Token Service em uma Configuração de OAuth do DataPower

A Parte 2 desta série de artigos em várias partes descreve como criar, configurar e depurar um Web Token Service. Também explica casos de uso típicos de WTS e as vantagens de usar WTS em relação a outros serviços. Por fim, fornece uma configuração de amostra do WTS.

Krithika Prakash, Advisory Software Engineer, IBM  

Krithika Prakash é Software Engineer com dez anos de experiência no setor, especializada nas áreas de redes, segurança, segurança de serviços da web e tecnologias XML/XSLT. Ela possui patentes registradas e escreveu diversos artigos para o developerWorks nas áreas de segurança.



31/Ago/2012

Introdução

O firmware WebSphere® DataPower versão 5.0 fornecia suporte para OAuth, incluindo a configuração de um serviço de autenticação OAuth que pode ser usado para autenticar tokens OAuth no dispositivo em si. Isso fornece um mecanismo eficiente para a criação rápida desse recurso. A Parte 2 descreve os fundamentos do Web Token Service DataPower e demonstra como criar um.


Visão geral do Web Token Service

Um serviço de token é um serviço que emite tokens de segurança. Ele negocia a confiança entre aplicativos do cliente e serviços da web e elimina a necessidade de um relacionamento direto entre clientes e serviços.

O DataPower tem suporte para um serviço de token por meio de objetos como a Política de AAA, Proxy de Serviço da web, e assim por diante. O Web Token Service (WTS) apresentado no firmware DataPower versão 5.0 fornece um serviço dedicado e simplificado para atuar como o serviço de token usando a funcionalidade existente do objeto AAA e outras ações de uma política de processamento. Esse é um serviço de loopback que pode ser configurado como o terminal do token de um Servidor de Autorização. Para obter informações sobre o servidor de autorização, consulte a Parte 1 desta série, Introducing the OAuth 2.0 support within the DataPower firmware revision 5.0. . O Web Token Service tem suporte para a regra de política padrão para que os clientes possam expandir as funcionalidades usando qualquer uma das ações de várias etapas, incluindo, entre outras, entrar, criptografar, etc.

Seções subsequentes deste artigo fornecerão etapas detalhadas para criar e configurar um Web Token Service.


Criando um Web Token Service

É possível criar um Web Token Service com o assistente fornecido, que simplifica a configuração, ou sem o assistente.

Criando um Web Token Service com o assistente

O firmware DataPower V5.0.0 fornece um assistente para facilitar a configuração de um Web Token Service. Esse assistente é personalizado para configurar um servidor de autorização OAuth com apenas alguns cliques. O assistente recebe entrada do administrador e cria uma política de processamento que é necessária para o WTS ser um servidor de autorização OAuth. Para obter informações sobre o servidor de autorização OAuth, consulte a Parte 1 desta série, Introducing the OAuth 2.0 support within the DataPower firmware revision 5.0. Observe que é possível modificar a política de processamento depois de sair do assistente. Esta seção fornece instruções sobre como criar um Web Token Service usando o assistente.

  1. No lado esquerdo do menu, navegue para Services > Web Token Service > New Web Token Service, como mostra a Figura 1.
    Figura 1. Selecionar o novo Web Token Service
  2. Insira um nome e clique em Next como mostra a Figura 2.
    Figura 2. Insira um nome para o Web Token Service
  3. Insira um número de porta e crie um perfil proxy SSL como mostrado na Figura 3. Clique em Add.
    Figura 3. Criar o manipulador de recebimento especificando a porta e o perfil proxy SSL
  4. Clique em Next como mostra a Figura 4.
    Figura 4. Clicar em Next
  5. A Política de AAA que será usada para manipular as solicitações de OAuth é criada. Consulte a Parte 3 da série, Using the AAA and form-based login in DataPower OAuth protocol support. Se já tiver criado uma política de AAA, escolha-a na lista suspensa e clique em Next. . Observe que se a Política de AAA não estiver configurada corretamente para habilitar OAuth, o assistente sinalizará um erro.
    Figura 5. Selecionar AAA para o servidor de autorização
  6. Clique em Commit como mostra a Figura 6.
    Figura 6. Confirmar o novo Web Token Service
  7. Clique em Done , como mostra a Figura 7.
    Figura 7. Clicar em Done
  8. É possível visualizar o objeto de Web Token Service criado pelo assistente navegando para o Control Panel > Objects >Service Configuration > Web Token Service, como mostra a Figura 8.
    Figura 8. Visualizando o Web Token Service
  9. Também é possível visualizar a política de processamento do objeto de Web Token Service criada pelo assistente. Observe que o assistente de Web Token Service criou uma política de processamento com as ações necessárias. Como mostrado na Figura 9, duas regras foram criadas:
    1. Corresponde a /favicon.io para ignorar o ícone de solicitações enviadas pelos navegadores.
    2. Corresponde a * (tudo), que inclui a ação "http-convert" e a ação de política de AAA especificada.
    Figura 9. Política de estilo de Web Token Service

Se a política AAA de entrada contiver "HTML Forms Based Authentication" como o método Extract identity (EI), o assistente criará automaticamente três regras para manipular as formas com base nas solicitações de login.

Parte 3 da série fornece uma configuração de amostra do WTS. É possível fazer o download da configuração de amostra para entender como o WTS pode ser usado como um servidor de autorização OAuth usando uma política AAA configurada para realizar autenticação baseada em formulários.

Criando um Web Token Service sem o assistente

Também é possível configurar o WTS sem usar o assistente, basta navegar para Objects > Service Configuration > Web Token Service ou Services > Web Token Service > Edit Web Token Service.

Todas as configurações devem ser realizadas manualmente criando a política de processamento com as regras requeridas e validando se o objeto AAA está habilitado para OAuth, e assim por diante.

A próxima seção detalha cada uma das guias na visualização de Objeto do Web Token Service e como elas podem ser configuradas.

A configuração do WTS possui três guias simples, Main, Advanced e Probe Settings, como mostra a Figura 10. Elas têm suporte para manipuladores do lado da frente HTTP e HTTPS e permitem a configuração de uma política de processamento.

Figura 10. Guias Main, Advanced e Probe Settings

A guia Advanced permite a configuração das definições do manipulador do lado da frente (consulte a Figura 11). Observe que há suporte para os seguintes métodos e recursos HTTP. Porém, eles não são configuráveis.

  • FragmentIdentifiers
  • GET
  • HEAD
  • HTTP-1.0
  • HTTP-1.1
  • POST
  • QueryString
Figura 11. Guia Advanced do Web Token Service

A terceira guia é Probe Settings , que pode ser habilitada para depurar solicitações recebidas e processadas pelo WTS.


Casos de uso típicos do Web Token Service

O Web Token Service normalmente é usado como o terminal do token do servidor de autorização. Observe que o WTS não tem um backend e, portanto, não pode ser usado como o ponto de execução para um servidor de recursos.


Vantagens de usar WTS sobre outros serviços no DataPower

O WTS vem com um assistente para ajudar a configurar um servidor de autorização OAuth. Esse é um serviço simplificado e não há configurações complicadas que sejam irrelevantes para um serviço de token. O assistente facilita a configuração do login baseado em formato para a autenticação do proprietário do recurso na troca de um protocolo OAuth.


Conclusão

Este artigo explicou o Web Token Service como fornecido no firmware do DataPower V5.0.0. Forneceu instruções para criar e configurar um WTS como um serviço de autorização OAuth típico. Observe que, embora a funcionalidade fornecida pelo WTS esteja disponível em serviços de Firewall XML ou MPGW, as vantagens de usar WTS são sua simplicidade e a facilidade de configuração usando seu assistente. Também é possível usar o WTS para outros tipos de troca de token, uma vez que ele não está limitado a OAuth.

Para informações adicionais, consulte o restante da série de artigos a seguir:

Os seguintes artigos da série estarão disponíveis nas próximas semanas:

  • Part 8: Customizing the Websphere DataPower native support for OAuth scope, identity processing, and additional processing
  • Part 9: Customizing the DataPower native support for OAuth authorization codes and access tokens
  • Part 10: Troubleshooting DataPower OAuth protocol support

Recursos

Aprender

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=WebSphere
ArticleID=832030
ArticleTitle=Usando OAuth em Dispositivos IBM WebSphere DataPower, Parte 2: Usando o Web Token Service em uma Configuração de OAuth do DataPower
publish-date=08312012