建立 WS-Security SAML 呼叫端配置

您可以在 server.xml 檔中使用 <callerToken> 元素,來配置含有 SAML 記號呼叫端的 WS-Security 提供者配置。

程序

  1. server.xml 檔中,使用 <callerToken> 元素來配置 WS-Security「安全主張標記語言 (SAML)」呼叫端配置。下列範例顯示含有「SAML 記號」呼叫端的範例 WS-Security 提供者配置:
    <wsSecurityProvider ...>
      ...
      <callerToken name="SamlToken"  userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString"
                   includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/>
     ...
    </wsSecurityProvider>

    這項配置中唯一的必要屬性是 ""name""。依預設,會使用 SAML 主張中的資訊來建立受鑑別的主體,且不需要使用本端使用者登錄來執行鑑別。

  2. 選用:您可以配置下列選用屬性,以協助您從 SAML 主張建立受鑑別的主體。部分選用屬性的預設值如下:
    includeTokenInSubject=true
    mapToUserRegistry="No"
    allowCustomCacheKey="true"
    • mapToUserRegistry""No"" 時,會使用 SAML 簽發者的名稱作為網域範圍,使用 NameID 作為主體中的主體名稱和唯一安全名稱,且不包含群組成員。
    • mapToUserRegistry""User"" 時,會根據您的內部部署使用者登錄來驗證 SAML 使用者,接著執行時期會根據內部部署登錄來建立使用者主體。
    • mapToUserRegistry""Group"" 時,會根據您的內部部署使用者登錄來驗證 SAML 群組,接著執行時期會使用已驗證的群組來建立主體。這個選項類似於 mapToUserRegistry=No,只是不會根據內部部署使用者登錄來驗證群組成員資格。

    您可以配置其他屬性(例如 userIdentifier, realmIdentifiergroupIdentifieruserUniqueIdentifier),以便使用自訂的使用者名稱、網域範圍名稱、群組成員資格和唯一的安全 ID,來建立受鑑別的主體。

    • userIdentifier:這個屬性用來選取一個 SAML 屬性名稱,以便使用其值作為主體名稱。
    • groupIdentifier:這個屬性用來選取一個 SAML 屬性名稱,以便將其值當成群組成員包含在主體中。
    • realmName:這個屬性用來明確指定網域範圍名稱,以識別受鑑別主體的 SAML 主體。預設網域範圍名稱是 SAML 簽發者名稱。
  3. 選用:您可以採使用者特性形式來實作 Liberty SAML SPI com.ibm.wsspi.security.saml2.UserCredentialResolver,以便將 SAML 主張動態對映至 Liberty 主體。

指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_wssec_caller_saml_config
檔名:twlp_wssec_caller_saml_config.html