System für die Verwendung des SAML-Web-SSO-Features aktivieren

Vorbereitende Schritte

Diese Task setzt voraus, dass Sie mit dem Feature SAML SSO vertraut sind.

Informationen zu diesem Vorgang

Bevor Sie SAML-Web-SSO-Feature verwenden können, müssen Sie SAML Assertion Consumer Service (ACS) installieren und den SAML-TAI aktivieren. Wenn Sie Ihre Geschäftsanwendungen als SAML-ACS-Anwendungen verwenden möchten, ist die Installation der SAML-ACS-Anwendung im ersten Schritt nicht erforderlich. Stattdessen sollten Sie den URL der Geschäftsanwendung als acsUrl-Wert angeben.
Fehler vermeiden Fehler vermeiden: Die SAML-ACS-Anwendung muss auf jedem Anwendungsserver installiert sein, der SAML-Antworten (SAMLResponses) vom Identitätsprovider (IdP) akzeptieren soll. Diese Server werden in der URLs referenziert, die in den angepassten SAML-TAI-Eigenschaften des Typs sso_.sp.acsUrl angegeben sind.gotcha

Vorgehensweise

  1. Installieren Sie die SAML-ACS-Anwendung. Wählen Sie einen der folgenden Ansätze aus:
    • Verwenden Sie die Administrationskonsole, um die Datei app_server_root/installableApps/WebSphereSamlSP.ear in Ihrem Anwendungsserver oder Cluster zu installieren.
    • Installieren Sie die SAML-ACS-Anwendung über das Python-Script.
      1. Navigieren Sie zum Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin.
      2. Führen Sie das Script installSamlACS.py aus.
        wsadmin -f installSamlACS.py install <Knotenname> <Servername>
        oder
        wsadmin -f installSamlACS.py install <Clustername>
        Hier steht Knotenname für den Knotennamen des Zielanwendungsservers, Servername steht für den Servernamen des Zielanwendungservers, und Clustername ist der Name des Clusters von Anwendungsservern.
  2. Aktivieren Sie den SAML-TAI. Sie können den SAML-TAI entweder mit dem Befehlszeilendienstprogramm wsadmin oder über die Administrationskonsole aktivieren.
    • SAML-TAI mit dem Befehlszeilendienstprogramm wsadmin aktivieren.
      1. Starten Sie WebSphere Application Server.
      2. Starten Sie das Befehlzeilendienstprogramm wsadmin im Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, indem Sie folgenden Befehl eingeben: wsadmin -lang jython.
      3. Geben Sie in der wsadmin-Eingabeaufforderung folgenden Befehl ein: AdminTask.addSAMLTAISSO('-enable true -acsUrl https://<Hostname>:<SSL-Port>/samlsps/<beliebige Zeichenfolge für URI-Muster>'). Hier stehtHostname für den Hostnamen des Systems, auf dem WebSphere Application Server installiert ist und SSL-Port steht für die Nummer des Web-Server-SSL-Ports (WC_defaulthost_secure).
      4. Speichern Sie die Konfiguration mit folgendem Befehl: AdminConfig.save().
      5. Verlassen Sie das Befehlszeilendienstprogramm wsadmin, indem Sie folgenden Befehl ausführen: quit.
      6. Starten Sie WebSphere Application Server erneut.
    • SAML-TAI über die Administrationskonsole aktivieren.
      1. Melden Sie sich an der Administrationskonsole von WebSphere Application Server an.
      2. Klicken Sie auf SicherheitGlobale Sicherheit.
      3. Klicken Sie unter Web- und SIP-Sicherheit auf Trust Association.
      4. Wählen Sie unter Allgemeine Eigenschaften das Kontrollkästchen Trust Association aktivieren aus, und klicken Sie auf Interceptor.
      5. Klicken Sie auf Neu und geben Sie com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor im Feld Name der Interceptorklasse ein.
      6. Geben Sie unter Angepasste Eigenschaften die folgenden Informationen für die angepasste Eigenschaft ein: Name = sso_1.sp.acsUrl und Wert = https://<Hostname>:<SSL-Port>/samlsps/<beliebige Zeichenfolge für URI-Muster>. Dabei ist Hostname der Hostname des Systems, auf dem WebSphere Application Server installiert ist und SSL-Port ist die Web-Server-SSL-Portnummer (WC_defaulthost_secure).
        Anmerkung: Wenn mehrere ähnliche Eingangspunkte für Ihre SAML-Workflows erforderlich sind, können Sie anstelle einer Zeichenfolge für ein URI-Muster am Ende des URLs, der als Wert für diese Eigenschaft angegeben wird, einen Platzhalterwert angeben. Wird ein Platzhalter als Teil des Werts dieser Eigenschaft angegeben, müssen mehrere ähnliche Eingangspunkte nicht separat konfiguriert werden.

        Nachfolgend sind einige Beispiele für gültige Angaben von Platzhaltern als Teil des Werts für diese Eigenschaft aufgeführt:

        https://<Server>/<Kontextstammverzeichnis>/ep1/path1/p*
        https://<Server>/<Kontextstammverzeichnis>/ep1/path1/*
        https://<Server>/<Kontextstammverzeichnis>/ep1/*

        Fehler vermeiden Fehler vermeiden: Wenn Sie Metadaten zum Konfigurieren von SSO verwenden, können in der acsUrl-Definition keine Platzhalter verwendet werden.gotcha
      7. Klicken Sie auf Neu, und geben Sie die folgenden Informationen für die angepasste Eigenschaft ein: Name: sso_1.sp.idMap und Wert: idAssertion.
      8. Klicken Sie auf OK.
      9. Kehren Sie zum Menüpunkt SicherheitGlobale Sicherheit zurück und klicken Sie auf Angepasste Eigenschaften.
      10. Klicken Sie auf Neu und definieren Sie die folgenden Informationen für die angepasste Eigenschaft unter Allgemeine Eigenschaften: Name = com.ibm.websphere.security.DeferTAItoSSO und Wert = com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
        Fehler vermeiden Fehler vermeiden: Die Eigenschaft "com.ibm.websphere.security.DeferTAItoSSO" wurde zuvor in der Standardkonfiguration aller installierten Server verwendet. Jetzt wird sie nur noch als Bestandteil der SAML-Konfiguration verwendet. Daher müssen Sie den Wert dieser Eigenschaft, auch wenn die Eigenschaft bereits in Ihrer Systemkonfiguration vorhanden ist, in com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor ändern. Mehrere Werte, die durch Kommas voneinander getrennt sind, können für diese Eigenschaft nicht angegeben werden. Die Eigenschaft muss für einen einzigen SAML-TAI definiert werden. gotcha
      11. Klicken Sie auf Neu und definieren Sie die folgenden Informationen für die angepasste Eigenschaft unter Allgemeine Eigenschaften: Name = com.ibm.websphere.security.InvokeTAIbeforeSSO und Wert = com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
      12. Klicken Sie auf OK.
      13. Starten Sie WebSphere Application Server erneut.

Ergebnisse

Der SAML-TAI ist jetzt für WebSphere Application Server aktiviert.

Nächste Schritte

Nachdem das SAML-Web-SSO-Feature aktiviert wurde, müssen Sie WebSphere Application Server als einen Service-Provider-Partner (SP-Partner) konfigurieren, der in vom Identitätsprovider (IdP) gestarteten SSO-Szenarien mit anderen Identitätsprovidern teilnehmen kann.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_enablesamlsso
Dateiname:twbs_enablesamlsso.html