SSO-Partner konfigurieren

Vorbereitende Schritte

Diese Task setzt voraus, dass Sie das SAML-Web-SSO-Feature aktiviert haben.

Informationen zu diesem Vorgang

Bevor WebSphere Application Server als Service-Provider-Partner verwenden können, um Provider für das vom Identitätsprovider (IdP) gestartete SSO zu ermitteln, müssen Sie Partnerschaften zwischen dem SAML-Service-Provider von WebSphere Application Server und den externen SAML-Identitätsprovidern aufbauen.

Vorgehensweise

  1. Fügen Sie dem SAML-Service-Provider für SSO (Single Sign-on) von WebSphere Application Server einen Identitätsprovider hinzu. Damit der SAML-Service-Provider für SSO von WebSphere Application Server mit einem Identitätsprovider verwendet werden kann, müssen Sie den Identitätsprovider als Partner hinzufügen. Sie können einen Identitätsprovider als Partner hinzufügen, indem Sie entweder die Metadaten des Identitätsproviders importieren oder manuell vorgehen.
    • Identitätsprovider über Metadaten des Identitätsproviders hinzufügen.
    1. Starten Sie WebSphere Application Server.
    2. Starten Sie das Befehlzeilendienstprogramm wsadmin im Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, indem Sie folgenden Befehl eingeben: wsadmin -lang jython.
    3. Geben Sie in der wsadmin-Eingabeaufforderung den folgenden Befehl ein: AdminTask.importSAMLIdpMetadata('-idpMetadataFileName <IdP-Metadatendatei> -idpId 1 -ssoId 1 -signingCertAlias <IdP-Alias>'), wobei Idp-Metadatendatei der vollständig qualifizierte Pfadname der IdP-Metadatendatei und Idp-Alias ein Aliasname ist, den Sie für das importierte Zertifikat angeben.
    4. Speichern Sie die Konfiguration mit folgendem Befehl: AdminConfig.save().
    5. Verlassen Sie das Befehlszeilendienstprogramm wsadmin, indem Sie folgenden Befehl ausführen: quit.
    6. Starten Sie WebSphere Application Server erneut.
    • Dem SAML-Service-Provider von WebSphere Application Server manuell einen Identitätsprovider hinzufügen.

      Als Mindestanforderung für die Konfiguration des SAML-Service-Providers von WebSphere Application Server als SSO-Partner für einen Identitätsprovider müssen Sie das Unterzeichnerzertifikat für SAML-Token aus dem Identitätsprovider in den Truststore des Service-Providers importieren. Der Service-Provider kann so konfiguriert werden, dass er mit mehreren Identitätsprovidern zusammenarbeitet. Das Unterzeichnerzertifikat für SAML-Token muss für jeden Identitätsprovider importiert werden.

      Sie können das Zertifikat, das von einem IdP zum Unterzeichnen des SAML-Tokens verwendet wird, über die Administrationskonsole oder mit dem Befehlszeilendienstprogramm wsadmin importieren.

    • Unterzeichnerzertifikat für SAML-Token über die Administrationskonsole importieren.
    1. Melden Sie sich an der Administrationskonsole von WebSphere Application Server an.
    2. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate > NodeDefaultTrustStore > Unterzeichnerzertifikate. Für einen Deployment Manager verwenden Sie CellDefaultTrustStore anstelle von NodeDefaultTrustStore.
    3. Klicken Sie auf Hinzufügen.
    4. Geben Sie die Zertifikatsinformationen an.
    5. Klicken Sie auf Anwenden.
    • Unterzeichnerzertifikat für SAML-Token mit dem Befehlszeilendienstprogramm wsadmin importieren.
    1. Starten Sie WebSphere Application Server.
    2. Starten Sie das Befehlzeilendienstprogramm wsadmin im Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, indem Sie folgenden Befehl eingeben: wsadmin -lang jython.
    3. Geben Sie in der wsadmin-Eingabeaufforderung folgenden Befehl ein: AdminTask.addSignerCertificate('[-keyStoreName NodeDefaultTrustStore -certificateFilePath <Zertifikatsdatei> -base64Encoded true -certificateAlias <Zertifikatsalias>]'). Hier steht Zertifikatsdatei für den vollständigen Pfadnamen der Zertifikatsdatei und Zertifikatsalias ist der Aliasname des Zertifikats. Für einen Deployment Manager verwenden Sie CellDefaultTrustStore anstelle von NodeDefaultTrustStore.
    4. Speichern Sie die Konfiguration mit folgendem Befehl: AdminConfig.save().
    5. Verlassen Sie das Befehlszeilendienstprogramm wsadmin, indem Sie folgenden Befehl ausführen: quit.
  2. Fügen Sie der Liste der eingehenden anerkannten Realms IdP-Realms hinzu. Für jeden mit Ihrem WAS-Service-Provider verwendeten Identitätsprovider müssen Sie so vorgehen, dass Sie alle vom Identitätsprovider verwendeten Realms als eingehende anerkannte Realms zulassen.

    Sie können eingehende anerkannte Realms für die Identitätsprovider über die Administrationskonsole zulassen oder mit dem Befehlszeilendienstprogramm wsadmin.

    • Eingehende anerkannte Reamls über die Administrationskonsole hinzufügen.
    1. Klicken Sie auf Globale Sicherheit.
    2. Klicken Sie unter "Repository für Benutzeraccounts" auf Konfigurieren.
    3. Klicken Sie auf Anerkannte Authentifizierungsrealms - eingehend
    4. Klicken Sie auf Externen Realm hinzufügen.
    5. Geben Sie den Namen des externen Realms an.
    6. Klicken Sie auf OK und speichern Sie Ihre Änderungen in der Masterkonfiguration.
    • Eingehende anerkannte Reamls mit dem Befehlszeilendienstprogramm wsadmin hinzufügen.
    1. Wenn dem Identitätsprovider ein einzelner eingehender anerkannter Realm hinzugefügt werden soll, führen Sie den folgenden Befehl aus: AdminTask.addTrustedRealms('[-communicationType inbound -realmList <Realmname>]'), wobei Realmname der Name des Realms ist, der als eingehender anerkannter Realm zugelassen werden soll.
    2. Wenn eine Liste von Realms als eingehende anerkannte Realms hinzugefügt werden soll, führen Sie den folgenden Befehl aus: AdminTask.addTrustedRealms('[-communicationType inbound -realmList <Realm1|Realm2|Realm3>]'), wobei Realm1, Realm2 und Realm3 die Realms sind, die als anerkannte Realms hinzugefügt werden sollen.
  3. Fügen Sie den WAS-SAML-Service-Provider den Identitätsprovidern für SSO hinzu.

    Jeder mit Ihrem WAS-Service-Provider verwendete Identitätsprovider muss so konfiguriert werden, dass der Service-Provider als SSO-Partner hinzugefügt wird. Die Prozedur zum Hinzufügen des Service-Provider-Partners zu einem Identitätsprovider ist abhängig vom jeweiligen Identitätsprovider. Anweisungen zum Hinzufügen eines Service-Provider-Partners für SSO entnehmen Sie der Dokumentation zum betreffenden Identitätsprovider.

    Sie können entweder die Metadaten des WAS-Service-Providers exportieren und in den Identitätsprovider importieren oder Sie können den Identitätsprovider manuell konfigurieren, um den Service-Provider hinzuzufügen.

    Damit der Service-Provider als Verbandpartner hinzugefügt wird, müssen Sie den URL des Assertion Consumer Service (ACS) des Service-Providers angeben, der im Parameter -acsUrl enthalten ist, der beim Aktivieren des SAML-TAI (Trust-Association-Interceptor) verwendet wird.

    Wenn ein Identitätsprovider eine Metadatendatei verwenden kann, um den Service-Provider als Verbandpartner hinzuzufügen, können Sie den folgenden Befehl mit dem Befehlszeilendienstprogramm wsadmin verwenden, um die Metadaten des Service-Providers zu exportieren:
    wsadmin -lang jython
    AdminTask.exportSAMLSpMetadata('-spMetadataFileName /tmp/spdata.xml -ssoId 1')
    Dieser Befehl erstellt die Metadatendatei /tmp/spdata.xml.

    Wenn das SAML-Token verschlüsselt ist, müssen Sie das Zertifikat für öffentlichen Schlüssel angeben, das der Identitätsprovider zum Verschlüsseln des SAML-Tokens verwenden soll, und das Zertifikat muss im Standardkeystore von WebSphere Application Server vorhanden sein, bevor der Export ausgeführt wird.

  4. Konfigurieren Sie den WebSphere Application Server-Sicherheitskontext mit den Attributen sso_<ID>.sp.idMap,sso_<ID>.sp.groupMap und sso_<ID>.sp.groupName. Der WAS-Service-Provider fängt eine SAML-Protokollnachricht vom Identitätsprovider ab, und baut den Sicherheitskontext auf. Der Sicherheitskontext wird erstellt, indem die SAML-Zusicherung zugeordnet wird. Die Zuordnung des Sicherheitskontexts im Service-Provider ist sehr flexibel und ist konfigurierbar. Nachfolgend ist eine Liste der verfügbaren Zuordnungsoptionen aufgeführt:
    • idAssertion

      Sie können die SAML-Zusicherung dem Subjekt der WAS-Plattform (WebSphere Application Server) zuordnen, ohne eine lokale Registry zu verwenden. Dies ist das Standardverhalten. In dieser Standardimplementierung wird die SAML-NameID dem Principal zugeordnet, der Aussteller (Issuer) wird dem Realm zugeordnet, und die ausgewählten Attribute können Gruppenmitgliedern zugeordnet werden. Die Identitätszusicherung kann weiter angepasst werden. Beispielsweise können Sie ein SAML-Attribut als Principal, Realm, Zugriffs-ID (accessId) oder als Liste von Gruppenmitgliedern konfigurieren. Außerdem können Sie das Elements NameQualifier aus der NameID als Realm konfigurieren oder als vordefinierten Realmnamen.

    • localRealm

      Sie können den Service-Provider von WebSphere Application Server so konfigurieren, dass er die NameID aus einer SAML-Zusicherung der lokalen Registry des Service-Providers zuordnet. Anschließend können Sie das Subjekt aus der Registry erstellen. Mit dieser Option können Sie die SAML-NameID direkt in der Registry suchen oder einen Plug-in-Punkt zur angepassten Zuordnung der Zusicherung verwenden. Anschließend können Sie die neu zugeordnete ID verwenden, um das Subjekt aus der Registry zu erstellen.

    • localRealmThenAssertion

      Mit dieser Option können Sie die NameID der Registry zuordnen und zur Identitätszusicherung zurückkehren, falls die NameID der Registry nicht zugeordnet werden kann.

    • AddGroupsFromLocalRealm

      Diese Option kombiniert die Identitätszusicherung und die lokale Registry und ermöglicht eine Neubewertung der Gruppenzugehörigkeit während die Identitätszusicherung ausgeführt wird. Betrachten Sie als Beispiel eine SAML-Zusicherung von einem Partnerlabor, die den Benutzer Joe mit dem Gruppenattribut X-ray Techs enthält. Im Service-Provider ist die Gruppe X-ray Techs eine Untergruppe von Technicians, aber Joe ist nicht unbedingt in der Benutzerregistry des Service-Providers enthalten. Die Berechtigungsrichtlinie der Service-Provider-Anwendung erlaubt den Zugriff auf die Gruppe Technicians. Dazu muss der SAML-TAI die zugesicherte Gruppe X-ray Techs in der Registry suchen und anschließend die übergeordnete Gruppe Technicians in das Subjekt aufnehmen.

    Bei Ausführung einer Identitätszusicherung zum Erstellen eines Sicherheitskontexts wird ein angepasster Sicherheitsrealm ausgewählt. Sie müssen den angepassten Realm explizit als anerkannten Realm hinzufügen. In einer Standardimplementierung der Identitätszusicherung wird der SAML-Ausstellername als Sicherheitsrealm verwendet. Sie müssen den Namen des Ausstellers explizit der Liste der eingehenden anerkannten Authentifizierungsrealms in der aktuellen Benutzerregistry hinzufügen. Nachdem Sie den angepassten Realm den eingehenden anerkannten Realms hinzugefügt haben, können Sie mit diesem angepassten Realm die Rollenzuordnung ausführen.

    Damit ein angepasster Realm als anerkannter Realm hinzugefügt wird, führen Sie den Schritt aus, mit dem IdP-Realms der Liste eingehender anerkannter Realms hinzugefügt werden.

Ergebnisse

Ihre Instanz von WebSphere Application Server ist jetzt als Service-Provider für das vom IdP gestartete SSO konfiguriert.

Nächste Schritte

Zusätzliche Konfigurationsoptionen für Ihren Service-Provider finden Sie im Abschnitt zu den angepassten Angepasste SAML-Web-SSO-TAI-Eigenschaften. Er enthält eine vollständige Liste der unterstützten angepassten SAML-TAI-Eigenschaften.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configuresamlssopartners
Dateiname:twbs_configuresamlssopartners.html