IBM WebSphere DataPower als OAuth-Autorisierungsserver konfigurieren

Informationen zu diesem Vorgang

Im Zentrum des MobileFirst-Sicherheitsframeworks steht ein Autorisierungsserver, der das OAuth-Protokoll implementiert und die OAuth-Endpunkte, mit denen der Client interagiert, zugänglich macht. MobileFirst Server implementiert auf der Basis des Autorisierungsservers angepasste Sicherheitslogik und erweiterte Sicherheitsfeatures. Standardmäßig agiert MobileFirst Server auch als OAuth-Autorisierungsserver. Sie können jedoch IBM® WebSphere DataPower (DataPower) als Autorisierungsserver konfigurieren, der mit MobileFirst Server interagiert. So haben Sie mehr Flexibilität beim Einrichten von Produktionstopologien, wenn Sie beispielsweise den DataPower-Autorisierungsserver in der Datenverwaltungszone implementieren.

Anmerkung: Die Grundbausteine des Sicherheitsframeworks (Sicherheitsüberprüfungen und Abfrage-Handler) werden hiervon nicht beeinflusst. Das Verhalten der logischen Bausteine bleibt unabhängig davon, ob MobileFirst Server oder DataPower der Autorisierungsserver ist, immer gleich.

Die Integration von DataPower als Autorisierungsserver in das MobileFirst-Sicherheitsframework erfolgt über die bereitgestellte MobileFirst-DataPower-Musterdatei dp-external-az-pattern.zip. Sie können diese Datei von der IBM MobileFirst Platform Operations Console aus abrufen. Wählen Sie im Dashboard der Konsole das Download-Center aus und dann das Register Tools. Wählen Sie auf der Registerkarte Tools im Abschnitt MobileFirst External Authorization Server Pattern die Schaltfläche Herunterladen aus und speichern Sie das Muster an der gewünschten Position. .

Wenn Sie DataPower als Autorisierungsserver verwenden möchten, implementieren Sie das bereitgestellte Muster in Ihrem DataPower-Gerät und konfigurieren Sie MobileFirst Server für die Interaktion mit DataPower als Autorisierungsserver. Gehen Sie dazu wie nachfolgend beschrieben vor.

Anmerkung: Wenn Sie DataPower als Autorisierungsserver verwenden, konfigurieren Sie Clientanwendungen so, dass sie eine Verbindung zum DataPower-Gerät herstellen und keine Direktverbindung zu MobileFirst Server. Für eine iOS-Anwendung müssten Sie beispielsweise die Eingenschaften wlServerHost und wlServerPort in der Datei mfpclient.plist auf die Host-IP-Adresse und den Port des DataPower-Geräts setzen. Wenn Sie mit einem selbst signierten SSL-Zertifikat für DataPower arbeiten, müssen Sie dieses Zertifikat auch in die Clientanwendung importieren.

Vorgehensweise

Temporäre Schritte
1. Erstellen Sie für das DataPower-SSL-Zertifikat ein Paar aus öffentlichem Schlüssel (mit dem Namen azserver-sscert.pem) und privatem Schlüssel (mit dem Namen azserver-privkey.pem). Wie genau Sie bei der Erstellung des SSL-Schlüsselpaars für die Produktion vorgehen müssen, hängt von Ihrer Zertifizierungsstelle ab und kann daher hier nicht beschrieben werden. Während der Implementierung können Sie allerdings in einem Befehlszeilenterminal die folgenden Befehle ausführen, um ein selbst signiertes Zertifikat zu erstellen:
```
openssl req -x509 -newkey rsa:4096 -keyout azserver-privkey.pem -out azserver-sscert.pem -days 365 -nodes
```
2. Erstellen Sie einen Schlüssel, den DataPower für die Verschlüsselung von OAuth-Token verwendet. Der Schlüssel ist eine hexadezimale Zeichenfolge mit einer Mindestgröße von 32 Bytes. Speichern Sie den Schlüssel in einer Datei mit dem Namen key. Beispielschlüssel: 0xabcd1234abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234
3. Erstellen Sie eine geheime Datei mit dem Namen secret. Diesen geheimen Schlüssel verwendet DataPower, um sich gegenüber MobileFirst Server zu authentifizieren. Die geheime Datei ist eine Textdatei mit einem JSON-Objekt, das einen Eintrag secret enthält, desssen Zeichenfolgewert den geheimen Schlüssel definiert. Beispiel für einen geheimem Schlüssel "12345":
```
{"secret":"12345"}
```
MobileFirst-DataPower-Muster implementieren
Gehen Sie auf der Web-GUI Ihres DataPower-Geräts wie folgt vor:
1. Erstellen Sie eine neue DataPower-Domäne.
2. Navigieren Sie zu der neuen Domäne und laden Sie die Datei mit dem öffentlichen und dem privaten Schlüssel für die SSL-Zertifizierung (azserver-sscert.pem und azserver-privkey.pem), die Sie im temporären Schritt 1 erstellt haben, in das Verzeichnis cert:/// hoch.
3. Laden Sie die Datei key, die Sie im temporären Schritt 2 erstellt haben, in dasselbe Verzeichnis hoch.
4. Laden Sie die geheime Datei, die Sie im temporären Schritt 3 erstellt haben, in das Verzeichnis local:/// hoch.
5. Wählen Sie in der Navigationsseitenleiste der Web-GUI Blueprint Console aus. Wählen Sie dann das Register Patterns aus und importieren Sie das Muster. Wählen Sie dazu die Grafikschaltfläche für Import () neben der Schaltfläche New Pattern aus.
6. Wählen Sie die Musterarchivdatei (Pattern_MobileFirstExternalAuthorisationServer.zip) aus und warten Sie, bis der Import abgeschlossen ist.
7. Wählen Sie Deploy aus und machen Sie in den vier erforderlichen Feldern Angaben. Geben Sie einen Namen für den Service, die URL für MobileFirst Server und die DataPower-IP-Adresse ein sowie den DataPower-Port, an dem der Autorisierungsserver empfangsbereit sein soll.
8. Wählen Sie nach der Implementierung des Musters das Register Services aus, und vergewissern Sie sich, dass der neue Autorisierungsservice erfolgreich gestartet wurde.
MobileFirst Server für die Zusammenarbeit mit DataPower konfigurieren
1. Fügen Sie zur Anwendungsserverkonfigurationsdatei Ihres MobileFirst Server (server.xml) die folgenden JNDI-Einträge hinzu. Ersetzen Sie den Platzhalter Ihr_geheimer_Schlüssel durch den geheihem Schlüssel, den Sie in Ihrer Datei secret im temporären Schritt 3 definiert haben (z. B. "12345"). Dieser geheime Schlüssel wird für die Authentifizierung des DataPower-Geräts verwendet.
```
<jndiEntry jndiName="mfp/mfp.authorization.server" value="external"/>
<jndiEntry jndiName="mfp.external.authorization.server.secret" value="Ihr_geheimer_Schlüssel"/>
<jndiEntry jndiName="mfp.external.authorization.server.introspection.url"
           value=“https://<DataPower host address>:8443/az/v1/introspection"/>
```
2. Importieren Sie die DataPower-Zertifikatdatei mit dem öffentlichen Schlüssel (azserver-sscert.pem) in den WebSphere-Application-Server-Liberty-Keystore Ihres MobileFirst Server, damit der Server SSL-Verbindungen herstellen kann. Mit folgenden Befehlen können Sie den Schlüssel in den Keystore importieren:
```
openssl x509 -outform der -in azserver-sscert.pem -out azserver-sscert.der
keytool -import -keystore key.jks -file azserver-sscert.der
```
  Der erste Befehl konvertiert das Zertifikat in das DER-Format. Der zweite Befehl importiert das Zertifikat mit dem Java™-Dienstprogramm keytool in den WebSphere-Application-Server-Liberty-Keystore Ihres MobileFirst Server.
3. Erstellen Sie eine leere Bereichselementzuordnung, die speziell von DataPower verwendet wird. Diese Zuordnung müssen Sie in jeder bei MobileFirst Server registrierten Anwendung erstellen. Wählen Sie für das Erstellen einer Zuordnung auf der Anwendungsseite das Register Sicherheit aus. Kicken Sie dann unter Zuordnung von Bereichselementen auf Neu erstellen. Erstellen Sie im Dialogfenster Neue Zuordnung von Bereichselementen hinzufügen eine neue Zuordnung (z. B. mit dem Namen Ohne) und lassen Sie das Feld Bereichselement leer. (Ordnen Sie den Bereich keiner Sicherheitsüberprüfung zu.) Wählen Sie Hinzufügen aus, um die Zuordnung abzuschließen.
Ressourcen mit einem leeren Bereich schützen
Wenn Sie eine Ressource dadurch schützen, dass für diese Ressource ein Zugriffstoken erforderlich ist, müssen Sie den Schutzbereich der Ressource explizit auf das leere Bereichselement setzen, das Sie in Schritt 3 der Serverkonfigurationsprozedur zugeordnet haben. Weitere Informationen zum Schützen Ihrer Ressourcen mit Bereichen finden Sie unter OAuth-Ressourcenschutz. Rufen Sie auf der Clientseite WLResourceRequest mit einem Bereichsparameter auf, der auf dasselbe leere Bereichselement gesetzt ist.