WS-Security SAML 호출자 구성 작성
SAML 토큰의 호출자를 포함하는 WS-Security 제공자 구성을 server.xml 파일의 <callerToken> 요소를 사용하여 구성할 수 있습니다.
프로시저
- <callerToken> 요소를 사용하여 server.xml 파일에서
WS-Security SAML(Security Assertion Markup Language) 호출자 구성을 구성하십시오. 다음 예는
SAML 토큰의 호출자가 포함된 샘플 WS-Security 제공자 구성을
표시합니다.
<wsSecurityProvider ...> ... <callerToken name="SamlToken" userIdentifier="userIdentifierString" groupIdentifier="groupIdentifierString" userUniqueIdentifier="uniqueIdentifierString" realmIdentifier="realmIdentifierString" includeTokenInSubject="false" mapToUserRegistry="User" realmName="customRealmName" allowCustomCacheKey="false"/> ... </wsSecurityProvider>
이 구성의 유일한 필수 속성은 ""name""입니다. 기본적으로, 인증된 주제는 SAML 어설션의 정보를 사용하여 작성되고 로컬 사용자 레지스트리가 인증을 수행하지 않아도 됩니다.
- 선택사항: SAML 어설션에서 인증된 주제를 작성하는 데 도움이 되는 다음 선택적
속성을 구성할 수 있습니다. 이러한 선택적 속성 중 일부의 기본값은 다음과 같습니다.
includeTokenInSubject=true mapToUserRegistry="No" allowCustomCacheKey="true"
- mapToUserRegistry가 ""No""인 경우, SAML 발행자의 이름은 영역으로 사용되고 NameID는 주제의 프린시펄 이름 및 고유 보안 이름으로 사용되며 그룹 구성원은 포함되지 않습니다.
- mapToUserRegistry가 ""User""인 경우, SAML 사용자는 사내 구축 환경의 사용자 레지스트리에 대해 유효성 검증되고 런타임이 사내 구축 환경의 레지스트리를 기반으로 사용자 주제를 작성합니다.
- mapToUserRegistry가 ""Group""인 경우, SAML 그룹이 사내 구축 환경의 사용자 레지스트리에 대해 유효성 검증되며 런타임이 유효성 검증된 그룹을 포함한 주제를 작성합니다. 이 옵션은 사내 구축 환경의 사용자 레지스트리에 대한 그룹 멤버십 검증을 제외하고 mapToUserRegistry=No와 유사합니다.
사용자 정의된 사용자 이름, 영역 이름, 그룹 멤버십, 고유 보안 ID를 포함한 인증된 주제를 작성하도록 userIdentifier, realmIdentifier, groupIdentifier, userUniqueIdentifier와 같은 추가 속성을 구성할 수 있습니다.
- userIdentifier: 값이 프린시펄 이름으로 사용되는 SAML 속성 이름을 선택하려면 이 속성을 사용하십시오.
- groupIdentifier: 값이 주제에 그룹 멤버로 포함되는 SAML 속성 이름을 선택하려면 이 속성을 사용하십시오.
- realmName: 인증된 주제의 SAML 프린시펄을 식별하도록 영역 이름을 명시적으로 지정하려면 이 속성을 사용하십시오. 기본 영역 이름은 SAML 발행자 이름입니다.
- 선택사항: Liberty SAML SPI com.ibm.wsspi.security.saml2.UserCredentialResolver를 사용자 기능으로 구현하여 Liberty 주제에 SAML 어설션을 동적으로 맵핑할 수 있습니다.
상위 주제: 웹 서비스 보안 호출자 구성


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_wssec_caller_saml_config
파일 이름: twlp_wssec_caller_saml_config.html