josso 2.3 部分译文

9.2.11 使用Apache Tomcat执行环境

Apache Tomcat (or Jakarta Tomcat or simply Tomcat)是由the Apache Software Foundation (ASF)k开发的一款开源的小服务程序容器。Tomcat 从Sun Microsystems规格上添加了Java Servlet 和Jsp，并且提供一个“纯净版的java”HTTP  web服务器环境供java 代码运行。

JOSSO支持JavaEE  web应用程序在 Apache Tomcat 5.0, 5.5 and 6.0上运行以实现单点登录。

建立一个SP和Tomcat执行环境之间的激活连接，意味着，SP是一个标准的Java Web应用由Apache Tomcat容器托管。

一旦一个成功的安全上下文被建立，扮演服务提供者角色的Web应用就可以消耗它依靠Servlet API的标准安全方法。

该getuserprincipal方法可用于返回一个javax.security.主体对象所包含的单点登录用户的主。这种方法的结果可以施放的JOSSO用户类属的Apache Tomcat剂的特定版本，允许您访问SSO特性，如所有的断言称为用户。

如果远程用户被授予指定的安全作用，该isuserinrole允许你断言。通过这样的操作，使得我们完成根据权利而提出的要求基于角色的访问控制成为一种可能。

从托盘中， 在 "Execution Environments" 画布上单击 ，并把它在图的画布中拖到一个合适的位置。

在设置对话框中，输入Apache Tomcat执行环境的细节：

Field Descriptions 

 

Field	Description
Name	The unique identifier for the execution environment.
Description	A descriptive text for the execution environment.
Version	The Apache Tomcat web container family.  Select "5.0.x" to define an execution environment element based on the Apache Tomcat 5 family.  Select "5.5.x" to define an execution environment element based on the Apache Tomcat 5.5 family.  Select "6.0.x" to define an execution environment element based on the Apache Tomcat 6 family.
Target Host	The host where the Apache Tomcat web container instance is located.  The available options are "Local" and "Remote". If the "Local" option is selected, it is assumed that the execution environment will be found within the same host that is running JOSSO2. Alternatively, if the "Remote" option is selected, it is assumed that the execution environment will be located within a different host than the one that's running JOSSO2.
Install Home	The folder hosting the artifacts of the Apache Tomcat execution environment. The value for this field should correspond to that of the CATALINA_HOME environment variable.
Remote JOSSO2 URL	The endpoint of the activation web service for a remote JOSSO2 instance. In order for the remote activation to be successful, the target execution environments need to be located within the same host as the remote JOSSO2 instance.  This field is only shown if the remote target host option is selected.
Overwrite Original Setup	Check in case the execution environment has been previously activated, either from the JOSSO1 command line console or through the Atricore Console, and you wish to have the original settings replaced with new ones.
Install Demo Applications	Check, to deploy JOSSO example web applications onto the target execution environment. It is strongly recommended to check this field, in order to verify that the Internet SSO setting works as expected, before engaging in SSO-enabling candidate business applications.

 

10 建立信任圈

信任圈是一组分享链接的身份的服务提供商，关于如何做生意、如何与身份互动信任圈有适当的、针对性的业务协议。

建立信任的第一和最明显的方式是通过与合作伙伴，供应商和客户建立关系。如果你的组织已经与另一个组织由适当的协议，并且你们有过一起工作的历史，他们已经在你的圈子。

当我们已经把至少明确一个身份提供商（IDP）的标识设置和一组服务供应商的积木安置好，下一步是确保无缝SSO经验的使用者利用消费时由服务提供商（SP）提供商业服务来融资。

这是通过在IDPS和SPS之间创建的信任关系来完成的，一方同意尊重另一方的身份验证和授权信息。

10.1连接身份认证的提供者和服务提供商

连接IDP和SP的元素以创建信任关系，可以使用“连接”面板下的“联邦连接”抽屉。

单击“联邦连接”元素。选择SP和拖动边缘到目标IDP。

下面的对话框会呈现定义过的所选择的实体之间的联接线特点。

在Contract屏幕上，指定the SAML Profiles and Bindings enabled，以及参与SPS和IDP之间的消息交换文物安全水平。

 

Field Descriptions 

Field	Description
Name	The unique identifier of the Federated SSO connection.
Description	A descriptive text for the Federated SSO connection.

在“Identity Provider Channel”部分，定义SP的contract，具体到联合单点登录连接的IDP端。在本节中详述Identity Provider Channel属性，它将覆盖由SP对信任的IDPS确立的默认contract。

Field Descriptions 

Field	Description
Use Inherited Service Provider Settings	Select this checkbox if you wish to override the default contract established by the SP toward the IdP.
Enabled SAML Profiles	The SAML Profile to activate in the SP for the IdPs. These mainly represent usage scenarios which arerealized by the SP for this specific IdP. The most important SAML profile is the "Web Browser Single Sign-On Profile", which can be enabled by selecting the SSO checkbox. Select the SLO checkbox to enable Single Logout Support.
Enabled SAML Bindings	Enable SAML bindings for selected SAML profiles. This action specifies the mapping of a SAML protocol message onto standard messaging formats and/or communications protocols. Select the Http Post checkbox to convey SAML messages through HTTP Post. Select the Http Redirect checkbox to convey SAML messages through HTTP Get. Select the Artifact checkbox to convey SAML messages through the SAML Artifact Binding, which builds on both HTTP Redirect and SOAP bindings to exchange SAML messages. Select the SOAP checkbox to convey SAML messages through SOAP over HTTP(s).
Sign Authentication Requests	Select this checkbox to authenticate - by digitally signing SAML authentication request messages - submitted to the IdP by the SP.
Want Assertions Signed	Select this checkbox to request that the IdP authenticate assertions conveyed in responses pushed by the IdP to the SP.
Account Linkage Policy	The means by which an IdP user account is mapped with one on the SP end; it determines which of the input claims is the name identifier to use at the SP end.  Select "One To One" to link IdP and SP accounts using the supplied name identifier.  Select "Email" to link IdP and SP accounts using the supplied email.  Select "UID" to link IdP and SP accounts using the username identifier.
Identity Mapping Policy	The means by which input claims conveyed in the security token, which are issued and submitted by the IdP's end of the Federated SSO connection, are mapped to output claims; which will in turn be consumed by the relevant party in order to authorize users and grant appropriate access.  Select "Use Theirs" to link IdP and SP accounts using the supplied name identifier, and mapping input to output claims in a one-to-one fashion.  Select "Use Ours" to link IdP and SP accounts using the supplied name identifier, and to issue output claims based only on the user details that are available within the identity source that is connected to the SP.  Select "Aggregate" to link IdP and SP accounts using the supplied name identifier, and to issue output claims based on merging both the user details conveyed in the security token and those obtained from the identity source connected to the SP.
Preferred IdP Channel	Select this checkbox to select the IdP of this connection as the SP's default authority for identification of a user when a protected resource is requested. More specifically, this is the IdP to which the user will be redirected in an SP-initiated usage scenario.

在 "Service Provider Channel" 部分, 定义IDP的contract，具体到联合单点登录连接的ＳＰ端。在本节中详述Service Provider Channel属性，它将覆盖由IDP对信任的SPS确立的默认contract。

 

Field Descriptions 

Field	Description
Use Inherited Identity Provider Settings	Select this checkbox if you wish to override the default contract, established by the IdP end, toward trusted SPs.
Enabled SAML Profiles	The SAML Profile to activate in the IdP, for SPs. These profiles mainly represent usage scenarios which have been realized by the IdP for a specific SP. The most important SAML profile is the "Web Browser Single Sign-On Profile", which can be enabled by selecting the SSO checkbox. Select the SLO checkbox to enable Single Logout Support.
Enabled SAML Bindings	The SAML bindings to be enabled for your chosen SAML profiles. This specifies the mapping of a SAML protocol message onto standard messaging formats and/or communications protocols. Select the Http Post checkbox to convey SAML messages through HTTP Post. Select the Http Redirect checkbox to convey SAML messages through HTTP Get. Select the Artifact checkbox to convey SAML messages through the SAML Artifact Binding, which builds on both HTTP Redirect and SOAP bindings for exchanging SAML messages. Select the SOAP checkbox to convey SAML messages through SOAP over HTTP(s).
Want Authentication Requests Signed	Determines whether SAML Authentication Requests submitted by the SP end will need to be authenticated using digital signature. Digitally signing SAML Authentication Requests provides proof-of-identity of the SP to the Identity Provider, as well as ensuring their integrity.
Authentication Contract	The authentication contract is a fundamental set of assumptions made by application-level code about the security context of any given request.
Authentication Mechanism	The means for authenticating a user.
Authentication Mechanism	Select "Two-Factor Authentication" checkbox if you wish to use strong authentication, instead of simple authentication, for identifying users accessing from the SP end.
Authentication Assertion Emission Policy	This enables you to customize how, upon successful authentication, assertions are emitted for the SP's connection end. The emitted authentication assertions are conveyed in security tokens pushed to relying parties.

11.标识设备生命周期管理

身份架构师还控制标识体系结构模型的转换成一个完全的执行器。在身份设备模型，这个过程是以单击方式实现的。

标识设备全生命周期管理的屏幕提供了一个基于网格的布局，其中的表格代表标识设备架构师所能处于的不同的状态。通过从网格中拖动标识设备项目中代表源状态的一张表，并且扔到标识目标状态表，可以改变标识设备的状态。

 

11.1创建标识设备

使一个身份标识设备模型提供指定的身份和访问管理服务要求你变换到一个可执行的伪影。简单地说，执行器上的身份设备映射是一组被打包成一个OSGi包

的josso2描述符。josso2描述符提供身份和访问管理服务的定义-如SAML端点到内在的核心。为了建立标识设备，从“保存”的生命周期管理网格表中，选择目标识别设备的相应的行。

“保存”表中，存在候选编译的标识设备的实体，该实体最终将被部署和执行。在这种状态下，标识设备能被编译和删除。要继续设计过程，在模型视图内，单击打开标识设备。单击。删除标识设备。
要创建标识设备，从“saved”表格中选择并拖拉标识设备项目中的一行，并把它扔到网格中“Staged”表。如果操作成功，目标标识设备会出现在生命周期管理网格“Deployed”表中。

11.2部署标识设备

一旦一个标识设备转变成一个可执行的工件，它仍然不能执行，因为底层的执行环境没有意识到它的存在。为了执行一个标识设备，你首先必须通过在JOSSO@执行环境中安装相关的工件来部署它。

候选部署的标识设备会出现在生命周期管理网格“Staged”表中。

“Staged”表拥有已经成功编译的标识设备的实体。在这个状态下，表示设备能可见并且课重建。要继续设计过程，在模型视图内，单击打开标识设备。

然后，再次点击这个按钮来重建标识设备（要求在编辑为了实现最新的变化在编辑区的可见性）。

要部署标识设备，从“saved”表格中选择并拖拉标识设备项目中的一行，并把它扔到网格中“Deployed”表。如果操作成功，目标标识设备会出现在生命周期管理网格“Deployed”表中。

11.3管理标识设备执行

一旦一个标识设备已经部署完毕，即它如今能在josso2执行环境上搭建好，那么就能执行。

“Deployed”表中拥有已经部署好的并且候选执行的标识设备的实体。在这个部署状态下，标识设备要不在运行要不停止。“State”列显示了设备的当前状态。可能状态有："Deployed", "Started" or "Stopped"。在状态列中以“DEPLOYED”标识的部署状态，指已经部署好的但未开始启动的标识设备。在状态列中以“STARTED”标识的部署，指已经部署好的并且开始启动的标识设备。这些标识设备的定义是通过身份和访问管理服务提供给消费者可见的。最后，在状态列中以“STOPED”标识的部署状态，指部署好的但未标识设备补在执行。这些标识设备的相关服务的定义不再是启动和运行。

11.3.1启动标识设备

在生命周期管理的网格的“DEPLOYED”表格中，在行为列中点击 。这样，就启动了标识设备，转变成“Started”状态。目标标识设备应该能在状态列中显示“started”状态。

11.3.2停止标识设备

在生命周期管理的网格的“DEPLOYED”表格中，点击来终止标识设备。这样，会转变成“Stopped”状态。目标标识设备应该能在状态列中显示“stopped”状态。

11.4取消部署标识设备

在生命周期管理的网格的“DEPLOYED”表格中，可以取消部署标识设备。点击即可，它可以过渡到阶段的状态。目标标识设备会被取消部署，并且转变成“staged”状态，可以在生命周期管理的网格的“Staged”表格中看到这种转变。

11.5处理标识设备

在生命周期管理的网格的“Staged”表格中可以实现处理标识设备。有两种不同的方式可以实现。1）点击按钮，可以转变成“Disposed”状态。2）从“Staged”表中为目标标识设备项目选择并拖动一列，放在“Disposed”表中。目标标识设备会被处理掉并且状态转换成“Disposed”, 可以在生命周期管理的网格的“Staged”表格中看到这种转变。

11.6删除标识设备

一个标识设备不再使用就有可能被丢掉，或者完全从系统中擦除。一旦标识设备被移除，就不能恢复。

处理可实现对设备的“Saved”和“Disposed”状态。“Disposed”表中拥有的实体都是已经被丢弃的，它们要不是不再能被编辑要不是不再能被执行。这这个状态下的标识设备都是即将被移除的候选者。

要想在“Disposed”表中处理掉标识设备，选择标识设备中的一行，然后在状态列中点击

，那么在生命周期管理网格中的状态表中将没有处理标识设备的状态。

要想在“Saved”表中处理掉标识设备, 选择标识设备中的一行，然后在状态列中点击

，那么在生命周期管理网格中的状态表中将没有处理标识设备的状态。

12.执行环境激活

在 3.2.5.3 Activation那节中解释道，激活功能可以在应用运行的执行环境中（如应用服务器或web容器）提供单点登录功能。

激活过程涉及JOSSO特定工件的安装，如相应的JOSSO代理和配置描述符；以及使得执行环境中无缝和透明的方式josso2交互操作的配线。

一旦执行环境被激活，执行的应用程序将会执行由目标标识设备提供的单点登录功能

12.1引入准备单点登录执行环境

为了详述激活过程，至少提供一个服务器供应商和一个执行黄精元素，应为详述激活关系涉及到这些元素之间的互联。

要想连接SP和执行环境要素并创建一个激活关系，可以在调色板抽屉的“Connenctons” 使用“Activation”边。

点击“Activation”元件，选择SP并拖拉这条边到目标执行环境中。

下面的对话框会出现已选择的实体中的激活链接特征的定义。

在“Create JOSSO　Ａｃｔｉｖａｔｉｏｎ”屏幕上，指定获取目标执行环境的应用程序中使用到的端点。

 

Field Descriptions 

Field	Description
Name	The unique identifier of the Activation connection.
Description	A descriptive text for the Activation connection.
Partner Application Identifier	The Service Provider-facing unique identifier of the partner application.  By default, the name of the source SP element is used.
Partner Application Location	Specify the protocol, host, port and URI to which your partner application is bound for servicing requests from end-users.  In order to enable the SSO capabilities in your application, user requests should refer to the web application using URLs that match the values specified in this field.  If your SP is the example JOSSO application, make sure to specify "partnerapp" in the URI field.

一旦激活属性被指定，实际可以运行激活程序。

选择SP元件，并在属性表部分选择“Activation”标签，标记“Reactivate”check。

如果正在激活的执行环境是先前已经被激活过的，但是它以一个不同的SP或者标识设备，标记"Overwrite Original Setup" check。

运行一个包括在JOSSO分布中的与集成的应用实例，标记"Install Demo Applications" check。

一旦激活连接设置完成后，为了激活程序的执行需要在属性表中回滚。