创建 WS-Security SAML 调用者配置
可使用 server.xml 文件中的 <callerToken> 元素来配置包含 SAML 令牌的调用者的 WS-Security 提供者配置。
过程
- 在 server.xml 文件中使用 <callerToken> 元素配置 WS-Security 安全性断言标记语言 (SAML) 调用者配置。以下示例显示包含 SAML 令牌的调用者的样本
WS-Security 提供者配置:
<wsSecurityProvider ...> ... <callerToken name="SamlToken" userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString" includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/> ... </wsSecurityProvider>
此配置中的唯一必需属性为“name”。缺省情况下,认证主体集是使用 SAML 断言中的信息创建的,它不需要本地用户注册表来执行认证。
- 可选:可配置以下可选属性以帮助通过 SAML 断言创建认证主体集。其中一些可选属性的缺省值为:
includeTokenInSubject=true mapToUserRegistry="No" allowCustomCacheKey="true"
- 如果 mapToUserRegistry 为“No”,那么 SAML 发卡者的名称将用作域,NameID 将用作主体名称和主体集中的唯一安全性名称,组成员未被包括。
- 如果 mapToUserRegistry 为“User”,那么系统将针对您的本地用户注册表验证 SAML 用户,然后运行时会根据本地注册表创建用户主体集。
- 如果 mapToUserRegistry 为“Group”,那么系统将针对您的本地用户注册表验证 SAML 组,然后运行时会创建带有已验证组的主体集。此选项类似 mapToUserRegistry=No,只是针对本地用户注册表验证组成员资格的操作不同。
可配置附加属性(例如,userIdentifier、realmIdentifier、groupIdentifier 和 userUniqueIdentifier)以创建带有定制用户名、域名、组成员资格和唯一安全标识的认证主体集。
- userIdentifier:使用此属性选择其值用作主体名称的 SAML 属性名称。
- groupIdentifier:使用此属性选择其值包含为主体集中的组成员的 SAML 属性名称。
- realmName:使用此属性明确指定用于对认证主体集标识 SAML 主体的域名。缺省域名为 SAML 发卡者名称。
- 可选:可实现 Liberty SAML SPI com.ibm.wsspi.security.saml2.UserCredentialResolver 作为用户功能部件,以将 SAML 断言动态映射至 Liberty 主体集。
父主题: Web Service 安全性调用者配置


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_wssec_caller_saml_config
文件名:twlp_wssec_caller_saml_config.html