WS-Security SAML 呼び出し元構成の作成

SAML トークンの呼び出し元を含む WS-Security プロバイダー構成は、server.xml ファイル内の <callerToken> エレメントを使用して構成できます。

手順

  1. server.xml ファイル内に <callerToken> エレメントを使用して WS-Security Security Assertion Markup Language (SAML) 呼び出し元構成を設定します。以下の例は、SAML トークンの呼び出し元を含む、サンプルの WS-Security プロバイダー構成を示しています。
    <wsSecurityProvider ...>
      ...
      <callerToken name="SamlToken"  userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString"
                   includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/>
     ...
    </wsSecurityProvider>

    この構成内で唯一の必須属性は ""name"" です。デフォルトで、認証済みサブジェクトは、SAML アサーションからの情報を使用して作成され、認証を行うためにローカル・ユーザー・レジストリーは必要ありません。

  2. オプション: 以下のオプション属性を構成して、SAML アサーションからの認証済みサブジェクトの作成に役立てることができます。これらのオプション属性の一部のデフォルト値は以下のとおりです。
    includeTokenInSubject=true
    mapToUserRegistry="No"
    allowCustomCacheKey="true"
    • mapToUserRegistry""No"" の場合、SAML 発行者の名前がレルムとして使用され、NameID がサブジェクト内のプリンシパル名および固有セキュリティー名として使用され、グループ・メンバーは含まれません。
    • mapToUserRegistry" "User"" の場合、SAML ユーザーはオンプレミス・ユーザー・レジストリーに照らし合わせて検証され、次にランタイムがオンプレミス・レジストリーに基づいてユーザー・サブジェクトを作成します。
    • mapToUserRegistry""Group"" の場合、SAML グループがオンプレミス・ユーザー・レジストリーに照らし合わせて検証され、次にランタイムが、検証されたグループを使用してサブジェクトを作成します。このオプションは、オンプレミス・ユーザー・レジストリーを使用してグループ・メンバーシップが検証される点を除き、 mapToUserRegistry=No に似ています。

    userIdentifierrealmIdentifiergroupIdentifier、および userUniqueIdentifier などの追加属性を構成して、カスタマイズしたユーザー名、レルム名、グループ・メンバーシップ、および固有のセキュリティー ID を使用して、認証済みサブジェクトを作成することができます。

    • userIdentifier: この属性を使用して、値がプリンシパル名として使用される SAML 属性名を選択します。
    • groupIdentifier: この属性を使用して、値がサブジェクトにグループ・メンバーとして含まれる SAML 属性名を選択します。
    • realmName: この属性を使用して、認証済みサブジェクトの SAML プリンシパルを識別するためのレルム名を明示的に指定します。デフォルトのレルム名は SAML 発行者名です。
  3. オプション: Liberty SAML SPI、com.ibm.wsspi.security.saml2.UserCredentialResolver をユーザー・フィーチャーとして実装して、SAML アサーションを Liberty サブジェクトに動的にマップすることができます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_wssec_caller_saml_config
ファイル名: twlp_wssec_caller_saml_config.html