Création d'une configuration d'appelant SAML WS-Security
Une configuration de fournisseur WS-Security qui inclut un appelant pour un jeton SAML peut être configurée avec l'élément <callerToken> dans le fichier server.xml.
Procédure
- Configurez la configuration d'appelant SAML (Security Assertion Markup Language) WS-Security
dans le fichier server.xml avec l'élément <callerToken>. L'exemple suivant montre un exemple de configuration de fournisseur WS-Security qui inclut un appelant
pour un jeton SAML.
<wsSecurityProvider ...> ... <callerToken name="SamlToken" userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString" includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/> ... </wsSecurityProvider>
Le seul attribut requis dans cette configuration est ""name"". Par défaut, le sujet authentifié est créé à l'aide des informations provenant de l'assertion SAML et ne nécessite pas de registre d'utilisateurs local pour procéder à l'authentification.
- Facultatif : Vous pouvez configurer les attributs facultatifs suivants pour aider à créer
un sujet authentifié à partir de l'assertion SAML. Les valeurs par défaut de certains de ces attributs
facultatifs sont :
includeTokenInSubject=true mapToUserRegistry="No" allowCustomCacheKey="true"
- Quand mapToUserRegistry est ""No"", le nome de l'émetteur SAML est utilisé comme domaine, et NameID est utilisé comme nom principal et nom de sécurité unique dans le sujet, le membre de groupe n'étant pas inclus.
- Quand mapToUserRegistry est ""User"", l'utilisateur SAML est validé en fonction de votre registre d'utilisateurs local, puis l'environnement d'exécution crée le sujet utilisateur en fonction du registre sur site.
- Quand mapToUserRegistry est ""Group"", Le groupe SAML est validé en fonction du registre d'utilisateurs sur site, puis l'environnement d'exécution crée le sujet avec les groupes validés. Cette option est similaire à mapToUserRegistry=No, hormis pour la vérification des appartenances à des groupes en fonction du registre d'utilisateurs sur site.
Vous pouvez configurer des attributs supplémentaires tels que userIdentifier, realmIdentifier, groupIdentifier et userUniqueIdentifier pour créer un sujet authentifié avec un nom d'utilisateur, un nom de domaine, des appartenances à des groupes et un identifiant de sécurité unique personnalisés.
- userIdentifier : Utilisez cet attribut pour sélectionner un nom d'attribut SAML dont la valeur sera utilisée comme nom principal.
- groupIdentifier : Utilisez cet attribut pour sélectionner un nom d'attribut dont les valeurs seront incluses en tant que membres de groupe dans le sujet.
- realmName : Utilisez cet attribut pour spécifier de manière explicite le nom de domaine pour identifier un principal SAML pour le sujet d'authentification. Le nom de domaine par défaut est le nom d'émetteur SAML.
- Facultatif : Vous pouvez implémenter l'interface SPI SAML Liberty, com.ibm.wsspi.security.saml2.UserCredentialResolver, en tant que fonction utilisateur afin de mapper dynamiquement une assertion SAML à un sujet Liberty.
Rubrique parent : Configuration du demandeur de sécurité de services Web

Nom du fichier : twlp_wssec_caller_saml_config.html