红帽全球峰会5.2. 配置 PicketLink STS
PicketLink STS 定义了几个接口来提供扩展功能,实现可以通过配置进行插入,一些属性的默认值也可以通过配置来指定。所有的 PicketLink STS 配置都必须在
picketlink-sts.xml 文件里指定。下面是可以在 picketlink-sts.xml 文件里进行配置的元素。
注意
在下面的文本里,服务提供者引用要求客户出示安全令牌的 Web 服务。
PicketLinkSTS:这是根元素。它定义允许 STS 管理者设置下列值的属性:STSName:代表安全令牌服务名称的字符串。如果没有指定,默认值PicketLinkSTS将被使用。TokenTimeout:以秒为单位的令牌生命周期。如果没有指定,默认值3600(1小时)将被使用。EncryptToken:布尔值,指定发出的令牌是否加密。默认值为 false。
KeyProvider:这个元素及其子元素配置 PicketLink STS 用来签注和加密令牌的密钥库。密钥库位置、密码和签注(私有密钥)别名和密码等属性都可以在这个部分进行配置。RequestHandler:这个元素指定要使用的WSTrustRequestHandler实现的权限定名。如果没有指定,默认值org.picketlink.identity.federation.core.wstrust.StandardRequestHandler将被使用。SecurityTokenProvider:这个部分指定必需用来处理每种安全令牌的SecurityTokenProvider实现。在这个例子里,我们有两个提供者 - 一个处理类型为SpecialToken的令牌而另外一个处理类型为StandardToken的令牌。WSTrustRequestHandler调用STSConfiguration的getProviderForTokenType(String type) 方法来获得对合适的SecurityTokenProvider的引用。TokenTimeout:当在 WS-Trust 请求里没有指定生命周期时,WSTrustRequestHandler使用它。它创建一个以当前时间为创建时间且在指定的时间后过期的 Lifetime 实例。ServiceProviders:这个部分指定必须用于每个服务提供者(要求安全令牌的 Web 服务)的令牌类型。当 WS-Trust 请求没有包含令牌类型时,WSTrustRequestHandler必须使用服务提供者端点来确定要发出的令牌的类型。EncryptToken:WSTrustRequestHandler用它来决定发出的令牌是否必须加密。如果为 true,服务提供者的公共密钥证书(PKC)将被用来加密这个令牌。
下面是一个 PicketLink STS 配置的例子。
例 5.3. PicketLink STS 配置
<PicketLinkSTS xmlns="urn:picketlink:identity-federation:config:1.0"
STSName="Test STS" TokenTimeout="7200" EncryptToken="true">
<KeyProvider ClassName="org.picketlink.identity.federation.bindings.tomcat.KeyStoreKeyManager">
<Auth Key="KeyStoreURL" Value="keystore/sts_keystore.jks"/>
<Auth Key="KeyStorePass" Value="testpass"/>
<Auth Key="SigningKeyAlias" Value="sts"/>
<Auth Key="SigningKeyPass" Value="keypass"/>
<ValidatingAlias Key="http://services.testcorp.org/provider1" Value="service1"/>
<ValidatingAlias Key="http://services.testcorp.org/provider2" Value="service2"/>
</KeyProvider>
<RequestHandler>org.picketlink.identity.federation.core.wstrust.StandardRequestHandler</RequestHandler>
<TokenProviders>
<TokenProvider ProviderClass="org.picketlink.test.identity.federation.bindings.wstrust.SpecialTokenProvider"
TokenType="http://www.tokens.org/SpecialToken"/>
<TokenProvider ProviderClass="org.picketlink.identity.federation.api.wstrust.plugins.saml.SAML20TokenProvider"
TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0"/>
</TokenProviders>
<ServiceProviders>
<ServiceProvider Endpoint="http://services.testcorp.org/provider1" TokenType="http://www.tokens.org/SpecialToken"
TruststoreAlias="service1"/>
<ServiceProvider Endpoint="http://services.testcorp.org/provider2" TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0"
TruststoreAlias="service2"/>
</ServiceProviders>
</PicketLinkSTS>
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}