Creación de una configuración de interlocutor WS-Security SAML

Una configuración de proveedor WS-Security que incluye un emisor para una señal SAML se puede configurar con el elemento <callerToken> en el archivo server.xml.

Procedimiento

  1. Configure la configuración del emisor WS-Security Security Assertion Markup Language (SAML) en el archivo server.xml con el elemento <callerToken>. El ejemplo siguiente muestra una configuración de proveedor WS-Security de ejemplo que incluye un interlocutor para una señal SAML:
    <wsSecurityProvider ...>
      ...
      <callerToken name="SamlToken"
    userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString"
                   includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/>
     ...
    </wsSecurityProvider>

    El único atributo necesario en esta configuración es ""name"". De forma predeterminada, el sujeto autenticado se crea utilizando la información de la aserción SAML y no requiere un registro de usuarios locales para realizar la autenticación.

  2. Opcional: puede configurar los atributos opcionales siguientes para ayudar a crear un sujeto autenticado a partir de la aserción SAML. Los valores predeterminados para algunos de estos atributos opcionales son:
    includeTokenInSubject=true
    mapToUserRegistry="No"
    allowCustomCacheKey="true"
    • Cuando mapToUserRegistry es ""No"", el nombre del emisor SAML se utiliza como reino y el NameID se utiliza como el nombre principal y el nombre de seguridad exclusivo en el sujeto y el miembro del grupo no está incluido.
    • Cuando mapToUserRegistry es" "User"", el usuario de SAML se valida en el registro de usuarios internos y, después, el tiempo de ejecución crea el sujeto de usuario basándose en el registro de usuarios internos.
    • Cuando mapToUserRegistry es ""Group"", el grupo SAML se valida en el registro de usuarios internos y, después, el tiempo de ejecución crea el sujeto con los grupos validados. Esta opción es similar a mapToUserRegistry=No, excepto para la verificación de las pertenencias a grupos en el registro de usuarios internos.

    Puede configurar atributos adicionales como, por ejemplo, userIdentifier, realmIdentifier, groupIdentifier y userUniqueIdentifier para crear un sujeto autenticado con un nombre de usuario personalizado, nombre de reino, pertenencias de grupo e identificador de seguridad exclusivo.

    • userIdentifier: utilice este atributo para seleccionar un nombre de atributo SAML cuyo valor se utiliza como el nombre de atributo.
    • groupIdentifier: utilice este atributo para seleccionar un nombre de atributo SAML cuyos valores se incluyen como miembros de grupo en el sujeto.
    • realmName: utilice este atributo para especificar de forma explícita el nombre de reino para identificar un principal SAML para el sujeto autenticado. El nombre de reino predeterminado es el nombre del emisor de SAML.
  3. Opcional: Puede implementar la SPI SAML Liberty, com.ibm.wsspi.security.saml2.UserCredentialResolver, como una característica de usuario para correlacionar dinámicamente una aserción SAML con un sujeto de Liberty.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_wssec_caller_saml_config.html