建立 WS-Security SAML 呼叫端配置
您可以在 server.xml 檔中使用 <callerToken> 元素,來配置含有 SAML 記號呼叫端的 WS-Security 提供者配置。
程序
- 在 server.xml 檔中,使用 <callerToken> 元素來配置 WS-Security「安全主張標記語言 (SAML)」呼叫端配置。下列範例顯示含有「SAML 記號」呼叫端的範例 WS-Security 提供者配置:
<wsSecurityProvider ...> ... <callerToken name="SamlToken" userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString" includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/> ... </wsSecurityProvider>
這項配置中唯一的必要屬性是 ""name""。依預設,會使用 SAML 主張中的資訊來建立受鑑別的主體,且不需要使用本端使用者登錄來執行鑑別。
- 選用:您可以配置下列選用屬性,以協助您從 SAML 主張建立受鑑別的主體。部分選用屬性的預設值如下:
includeTokenInSubject=true mapToUserRegistry="No" allowCustomCacheKey="true"
- 當 mapToUserRegistry 為 ""No"" 時,會使用 SAML 簽發者的名稱作為網域範圍,使用 NameID 作為主體中的主體名稱和唯一安全名稱,且不包含群組成員。
- 當 mapToUserRegistry 為 ""User"" 時,會根據您的內部部署使用者登錄來驗證 SAML 使用者,接著執行時期會根據內部部署登錄來建立使用者主體。
- 當 mapToUserRegistry 為 ""Group"" 時,會根據您的內部部署使用者登錄來驗證 SAML 群組,接著執行時期會使用已驗證的群組來建立主體。這個選項類似於 mapToUserRegistry=No,只是不會根據內部部署使用者登錄來驗證群組成員資格。
您可以配置其他屬性(例如 userIdentifier, realmIdentifier、groupIdentifier 和 userUniqueIdentifier),以便使用自訂的使用者名稱、網域範圍名稱、群組成員資格和唯一的安全 ID,來建立受鑑別的主體。
- userIdentifier:這個屬性用來選取一個 SAML 屬性名稱,以便使用其值作為主體名稱。
- groupIdentifier:這個屬性用來選取一個 SAML 屬性名稱,以便將其值當成群組成員包含在主體中。
- realmName:這個屬性用來明確指定網域範圍名稱,以識別受鑑別主體的 SAML 主體。預設網域範圍名稱是 SAML 簽發者名稱。
- 選用:您可以採使用者特性形式來實作 Liberty SAML SPI com.ibm.wsspi.security.saml2.UserCredentialResolver,以便將 SAML 主張動態對映至 Liberty 主體。
上層主題: Web 服務安全呼叫端配置


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_wssec_caller_saml_config
檔名:twlp_wssec_caller_saml_config.html