Creación de una configuración de interlocutor WS-Security SAML
Una configuración de proveedor WS-Security que incluye un emisor para una señal SAML se puede configurar con el elemento <callerToken> en el archivo server.xml.
Procedimiento
- Configure la configuración del emisor WS-Security Security
Assertion Markup Language (SAML) en el archivo
server.xml con el elemento
<callerToken>. El ejemplo siguiente muestra
una configuración de proveedor WS-Security de ejemplo que
incluye un interlocutor para una señal SAML:
<wsSecurityProvider ...> ... <callerToken name="SamlToken" userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString" includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/> ... </wsSecurityProvider>
El único atributo necesario en esta configuración es ""name"". De forma predeterminada, el sujeto autenticado se crea utilizando la información de la aserción SAML y no requiere un registro de usuarios locales para realizar la autenticación.
- Opcional: puede configurar los atributos opcionales siguientes
para ayudar a crear un sujeto autenticado a partir de la aserción
SAML. Los valores predeterminados para algunos de estos atributos
opcionales son:
includeTokenInSubject=true mapToUserRegistry="No" allowCustomCacheKey="true"
- Cuando mapToUserRegistry es ""No"", el nombre del emisor SAML se utiliza como reino y el NameID se utiliza como el nombre principal y el nombre de seguridad exclusivo en el sujeto y el miembro del grupo no está incluido.
- Cuando mapToUserRegistry es" "User"", el usuario de SAML se valida en el registro de usuarios internos y, después, el tiempo de ejecución crea el sujeto de usuario basándose en el registro de usuarios internos.
- Cuando mapToUserRegistry es ""Group"", el grupo SAML se valida en el registro de usuarios internos y, después, el tiempo de ejecución crea el sujeto con los grupos validados. Esta opción es similar a mapToUserRegistry=No, excepto para la verificación de las pertenencias a grupos en el registro de usuarios internos.
Puede configurar atributos adicionales como, por ejemplo, userIdentifier, realmIdentifier, groupIdentifier y userUniqueIdentifier para crear un sujeto autenticado con un nombre de usuario personalizado, nombre de reino, pertenencias de grupo e identificador de seguridad exclusivo.
- userIdentifier: utilice este atributo para seleccionar un nombre de atributo SAML cuyo valor se utiliza como el nombre de atributo.
- groupIdentifier: utilice este atributo para seleccionar un nombre de atributo SAML cuyos valores se incluyen como miembros de grupo en el sujeto.
- realmName: utilice este atributo para especificar de forma explícita el nombre de reino para identificar un principal SAML para el sujeto autenticado. El nombre de reino predeterminado es el nombre del emisor de SAML.
- Opcional: Puede implementar la SPI SAML Liberty, com.ibm.wsspi.security.saml2.UserCredentialResolver, como una característica de usuario para correlacionar dinámicamente una aserción SAML con un sujeto de Liberty.
Tema principal: Configuración de interlocutor de seguridad de servicios Web

Nombre de archivo: twlp_wssec_caller_saml_config.html