Sie können einen
SAML-TAI (Trust Association Interceptor) für eingehende Webanforderungen konfigurieren, um ein SAML-Token,
das im Anforderungsheader einer Webanforderung gesendet wird, zu authentifizieren und zu validieren.
Informationen zu diesem Vorgang
Konfigurieren Sie einen
TAI (Trust Association Interceptor) für WebSphere Application Server für die Verarbeitung eines
SAML-Tokens, das im Anforderungsheader einer Webanforderung gesendet wird.
Das SAML-Token muss eine
Base-64- oder
UTF-8-Codierung haben und im
GZIP-Format komprimiert sein. Der
SAML-Token-Header in der HTTP-Anforderung kann eines der folgenden Formate haben:
Authorization=[<headerName>=<SAML_HERE>]
Authorization=[<headerName>="<SAML_HERE>"]
Authorization=[<headerName> <SAML_HERE>]
<headerName>=[<SAML_HERE>]
Vorgehensweise
- Wählen Sie in
der WebSphere-Administrationskonsole > > > .
- Wählen Sie Interceptor aus.
- Wählen Sie
Neu aus, um einen neuen Interceptor hinzuzufügen.
- Geben Sie den Interceptorklassennamen ein:
com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI.
- Fügen Sie angepasste Eigenschaften für Ihre Umgebung hinzu. Eine Liste mit Eigenschaften
finden Sie unter
Eigenschaften des SAML-TAI für eingehende Webanforderungen.
- Wenden Sie die Konfigurationsaktualisierungen an und speichern Sie sie.
Anmerkung: Wenn Sie speichern, ohne Ihre Änderungen anzuwenden, werden die angepassten
Eigenschaften gelöscht.
- Gehen Sie zurück zu
> und wählen Sie
Angepasste Eigenschaften aus.
- Wählen Sie Neu aus und legen Sie für die allgemeinen Eigenschaften
die folgenden angepassten Eigenschaftsinformationen fest:
Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
Wert: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
Anmerkung: Wenn diese Eigenschaft bereits definiert ist, fügen Sie
com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI zum vorhandenen Wert hinzu. Trennen Sie die Werte mit einem Komma, um eine Liste zu erstellen.
- Importieren Sie das Unterzeichnerzertifikat
des SAML-Ausstellers in den Truststore von WebSphere Application Server.
- Klicken Sie in der Administrationskonsole auf . Für einen Deployment Manager verwenden Sie CellDefaultTrustStore anstelle von
NodeDefaultTrustStore.
- Klicken Sie auf Hinzufügen.
- Geben Sie die Zertifikatsinformationen an und klicken Sie auf
Anwenden.
- Fügen Sie den Namen des
SAML-Ausstellers (oder den Wert für realmName bzw. den Attributwert des konfigurierten
realmIdentifier) zur Liste der eingehenden anerkannten Realms hinzu. Für jeden mit Ihrem
WebSphere-Service-Provider verwendeten SAML-Aussteller müssen Sie so vorgehen, dass Sie
alle vom SAML-Aussteller verwendeten
Realms als eingehende anerkannte Realms zulassen.
Sie können eingehende anerkannte Realms
für den SAML-Aussteller über die Administrationskonsole zulassen.
- Klicken Sie auf
Globale Sicherheit.
- Klicken Sie für "Repository für Benutzeraccounts"
auf Konfigurieren.
- Klicken Sie auf
Anerkannte Authentifizierungsrealms - eingehend
- Klicken Sie auf
Externen Realm hinzufügen.
- Geben Sie den Namen des externen Realms an.
- Klicken Sie auf OK, und speichern Sie Ihre Änderungen in der Masterkonfiguration.
- Starten Sie WebSphere Application
Server erneut.
Ergebnisse
Diese Schritte erstellen eine Mindestkonfiguration, die erforderlich ist, um einen
TAI (Trust
Association Interceptor) für
WebSphere Application
Server zu konfigurieren, der die
im Anforderungsheader einer eingehenden Webanforderung gesendeten SAML-Token verarbeiten kann.