Standardrichtliniensätze und Beispielbindungen für SAML

Wenn die SAML-Funktion installiert ist, werden SAML-spezifishce Standardrichtliniensätze und allgemeine Bindungen bereitgestellt. Diese Richtliniensätze und allgemeinen Bindungen werden verwendet, um von einem externen STS (Sicherheitstokenservice) SAML-Token anzufordern und diese an nachgeschaltete Web-Services weiterzugeben.

SAML-Standardrichtliniensätze

WebSphere Application Server mit SAML stellt acht Standardrichtliniensätze und verschiedene allgemeine Beispielbindungen bereit, die den OASIS-Standard Web Services Security SAML Token Profile 1.1 unterstützen. Sie müssen die Standardrichtliniensätze für SAML importieren, bevor Sie sie nutzen können. Sie können diese Richtliniensätze und Beispielbindungen für SAML Web-Services zuordnen und mit der Verwendung von SAML-Funktionen beginnen, ohne zusätzlichen Code schreiben zu müssen. Es gibt jedoch einige Konfigurationsparameter, die Sie in den Dokumenten mit den Beispielbindungen festlegen müssen, bevor Sie sie verwenden können. Diese Parameter umfassen den URL des externen STS und das X.509-Zertifikat für den Aussteller des SAML-Tokens. Weitere Informationen finden Sie in den Artikeln, die sich mit der Konfiguration von Client- und Providerbindungen für das SAML-Bearer-Token (Trägertoken) und das SAML-HoK-Token (Holder-of-key) mit symmetrischem Schlüssel befassen.

Die Installation der SAML-Funktion umfasst den Standardanwendungsrichtliniensatz "Username WSHTTPS", der eine Trust-Anforderung an einen externen STS sendet. Ein Sicherheitstokenservice (Security Token Service, STS) ist ein Web-Service, der einem speziellen Zweck dient. Sie können die Standardrichtliniensätze von WebSphere Application Server verwenden, um mit dem STS zu kommunizieren. Der Standardrichtliniensatz "Username WSHTTPS" sendet ein Benutzernamenstoken in der SOAP-Nachricht und schützt die Nachricht mit SSL. Sie müssen im Bindungsdokument einen Benutzernamen und ein Kennwort konfigurieren, um diesen Richtliniensatz verwenden zu können. In den Artikeln, die sich mit der Konfiguration von Richtliniensätzen und Bindungen für die Kommunikation mit dem STS befassen, finden Sie hierzu Schritt-für-Schritt-Anleitungen.

Im Rahmen der Installation der SAML-Funktion werden vier SAML-1.1-Standardrichtliniensätze und vier SAML-2.0-Richtliniensätze bereitgestellt. Wie im Artikel zur SAML-Konfiguration beschrieben, müssen Sie diese Richtliniensätze einem vorhandenen Profil hinzufügen oder nach der Installation von WebSphere Application Server ein neues Profil erstellen, bevor Sie sie nutzen können. Es gibt folgende SAML-Richtliniensätze:
  • SAML11 Bearer WSHTTPS default: sendet ein SAML-Token mit der Bestätigungsmethode "bearer" in SOAP-Nachrichten und schützt SOAP-Nachrichten mit SSL
  • SAML11 Bearer WSSecurity default: sendet ein SAML-Token mit der Bestätigungsmethode "bearer" in SOAP-Nachrichten und schützt SOAP-Nachrichten mit mit X.509-Signatur und Verschlüsselung
  • SAML11 Bearer WSSecurity default: sendet ein SAML-Token mit der Bestätigungsmethode "holder-of-key" mit einem Client-X.509-Zertifikat im SAML-Token und schützt SOAP-Nachrichten mit dem Clientzertifikat im SAML-Token und dem X.509-Zertifikat des Empfängers
  • SAML11 HoK Symmetric WSSecurity default: sendet ein SAML-Token mit der Bestätigungsmethode "holder-of-key" mit einem gemeinsam genutzten Schlüssel, der mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wird, und schützt die SOAP-Nachricht mit dem gemeinsam genutzten Schlüssel für Signatur und Verschlüsselung
  • SAML20 Bearer WSHTTPS default
  • SAML20 Bearer WSSecurity default
  • SAML20 HoK Public WSSecurity default
  • SAML20 HoK Symmetric WSSecurity default
Der einzige Unterschied zwischen den Richtliniensätzen für SAML 1.1 und SAML 2.0 ist der Namespace für SAML-Token.

SAML-Beispielbindungen

Zwei Paare von Beispielbindungen, die zur Unterstützung des SAML-Bearer-Tokens und des SAML-HoK-Tokens mit symmetrischem Schlüssel verwendet werden.
  • Saml Bearer Client sample
  • Saml Bearer Provider sample
  • Saml HoK Symmetric Client sample
  • Saml HoK Symmetric Provider sample

Sie können "Saml Bearer Client sample" und "Saml Bearer Provider sample" mit einem beliebigen Standardrichtliniensatz des SAML-Bearer-Tokens verwenden. Sie können "Saml HoK Symmetric Client sample" und "Saml HoK Symmetric Provider sample" mit einem beliebigen Standardrichtliniensatz des SAML-HoK-Tokens mit symmetrischem Schlüssel verwenden: "SAML11 HoK Symmetric WSSecurity default" oder "SAML20 HoK Symmetric WSSecurity default".

Trust-Clientbindungen

WebSphere Application Server mit SAML unterstützt anwendungsspezifische Bindungen und allgemeine Bindungen für Trust-Client-Richtliniensätze. Darüber hinaus werden Standardbindungen unterstützt, wenn die Anwendung in einer Serverumgebung ausgeführt wird. Standardbindungen werden in der Thin-Client-Anwendung nicht unterstützt.

Sie können anwendungsspezifische Bindungen nur während der Zuordnung von Richtliniensätzen erstellen. Diese Bindungen sind spezifisch für die Richtlinie und werden durch die Eigenschaften der Richtlinie definiert. Anwendungsspezifische Bindungen können eine Konfiguration für erweiterte Richtlinienanforderungen bereitstellen, wie z. B. mehrere Signaturen. Diese Bindungen sind jedoch nur innerhalb einer Anwendung wiederverwendbar. Außerdem ist die Wiederverwendung anwendungsspezifischer Bindungen in Richtliniensätzen sehr beschränkt. Wenn Sie eine anwendungsspezifische Bindung für einen Richtliniensatz erstellen, ist die Bindung unkonfiguriert. Sie müssen jede Richtlinie, wie z. B. WS-Security oder HTTPTransport, mit der Sie die Standardbindung überschreiben möchten, hinzufügen und die Bindungen für jede hinzugefügte Richtlinie vollständig konfigurieren. Weitere Informationen zur Konfiguration von Trust-Clientbindungen für SAML finden Sie in den Artikeln, die sich mit der Konfiguration von Richtliniensätzen und Bindungen für die Kommunikation mit dem STS befassen.

Allgemeine Bindungen können für die Verwendung in verschiedenen Richtliniensätzen konfiguriert und in Anwendungen und für Trust-Service-Zuordnungspunkte wiederverwendet werden. Obwohl allgemeine Bindungen in hohem Maße wiederverwendbar sind, stellen sie keine Konfiguration für erweiterte Richtlinienanforderungen bereit, wie z. B. mehrere Signaturen. Es gibt zwei Typen allgemeiner Bindungen: allgemeine Providerrichtliniensatzbindungen und allgemeine Clientrichtliniensatzbindungen.

Wenn Sie die Eigenschaft wstrustClientBindingScope für die Trust-Clientbindung nicht angeben, sucht das System zuerst in der Anwendung nach der anwendungsspezifischen Bindung mit dem angegebenen Bindungsnamen. Wird eine Bindung gefunden, wird sie für die Trust-Clientanforderung verwendet. Wird keine anwendungsspezifische Bindung gefunden, durchsucht das System die verfügbaren allgemeinen Bindungen nach einer Bindung mit dem angegebenen Namen. Wird eine allgemeine Bindung gefunden, wird sie für die Trust-Clientanforderung verwendet. Wird keine Bindung mit dem angegebenen Namen gefunden, werden die Standardbindungen aus der Serverumgebung verwendet. Die Standardbindungen werden nur verwendet, wenn die Anwendung in der Serverumgebung ausgeführt wird. Wenn die Anwendung in einer Thin-Client-Umgebung ausgeführt wird und keine Eigenschaft wstrustClientBindingScope angegeben ist und keine anwendungsspezifischen oder allgemeinen Bindungen gefunden werden, werden keine Bindungen verwendet, weil für einen Thin Client keine Standardbindungen verwendet werden.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_samldefaultpsbindings
Dateiname:cwbs_samldefaultpsbindings.html