WS-Security-SAML-Caller-Konfiguration erstellen
Eine WS-Security-Providerkonfiguration, die einen Caller eines SAML-Tokens enthält, kann mit dem Element <callerToken> in der Datei server.xml konfiguriert werden.
Vorgehensweise
- Konfigurieren Sie die WS-Security-SAML-Caller-Konfiguration (Security Assertion Markup Language) in der Datei
server.xml mit dem Element <callerToken>. Das folgende
Beispiel zeigt eine WS-Security-Providerbeispielkonfiguration, die einen Caller eines SAML-Tokens enthält.
<wsSecurityProvider ...> ... <callerToken name="SamlToken" userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString" includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/> ... </wsSecurityProvider>
Das einzige erforderliche Attribut in dieser Konfiguration ist "name". Das authentifizierte Subjekt wird standardmäßig mit den Informationen aus der SAML-Zusicherung erstellt und erfordert nicht, dass eine lokale Benutzerregistry die Authentifizierung durchführt.
- Optional: Sie können die folgenden optionalen Attribute konfigurieren, um ein authentifiziertes Subjekt aus einer SAML-Zusicherung zu erstellen.
Im Folgenden finden Sie die Standardwerte einiger dieser optionalen Attribute:
includeTokenInSubject=true mapToUserRegistry="No" allowCustomCacheKey="true"
- Wenn mapToUserRegistry den Wert "No" hat, wird der Name des SAML-Ausstellers als Realm und die NameID als Princiipalname und eindeutiger Sicherheitsname im Subjekt verwendet. Es wird kein Gruppenmember eingeschlossen.
- Wenn mapToUserRegistry den Wert "User" hat, wird der SAML-Benutzer anhand Ihrer lokalen Benutzerregistry validiert. Anschließend erstellt die Laufzeit das Benutzersubjekt basierend auf der lokalen Registry.
- Wenn mapToUserRegistry den Wert "Group" hat, wird die SAML-Gruppe anhand Ihrer lokalen Benutzerregistry validiert. Anschließend erstellt die Laufzeit das Sbujekt mit den validierten Gruppen. Diese Option ähnelt der Einstellung mapToUserRegistry=No, aber bei dieser Option werden die Gruppenzugehörigkeiten anhand der lokalen Benutzerregistry überprüft.
Sie können weitere Attribute wie userIdentifier, realmIdentifier, groupIdentifier und userUniqueIdentifier konfigurieren, um ein authentifiziertes Subjekt mit einem angepassten Benutzernamen, Realmnamen, Gruppenzugehörigkeiten und eindeutiger Sicherheits-ID zu erstellen.
- userIdentifier: Verwenden Sie dieses Attribut, um einen SAML-Attributnamen auszuwählen, dessen Wert als Principalname verwendet wird.
- groupIdentifier: Verwenden Sie dieses Attribut, um einen SAML-Attributnamen auszuwählen, dessen Werte als Gruppenmember in das Subjekt eingeschlossen werden.
- realmName: Verwenden Sie dieses Attribut, um den Realmnamen für die Identifizierung eines SAML-Principals für das authentifizierte Subjekt explizit anzugeben. Der Standardrealmname ist der Name des SAML-Ausstellers.
- Optional: Sie können die Liberty-SAML-SPI com.ibm.wsspi.security.saml2.UserCredentialResolver als Benutzerfeature für die dynamische Zuordnung einer SAML-Zusicherung und eines Liberty-Subjekts implementieren.
Übergeordnetes Thema: Caller-Konfiguration in Web Services Security


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_wssec_caller_saml_config
Dateiname: twlp_wssec_caller_saml_config.html