SAML-TAI für eingehende Webanforderungen konfigurieren

Sie können einen SAML-TAI (Trust Association Interceptor) für eingehende Webanforderungen konfigurieren, um ein SAML-Token, das im Anforderungsheader einer Webanforderung gesendet wird, zu authentifizieren und zu validieren.

Vorbereitende Schritte

Lesen Sie die Informationen zu den angepassten Eigenschaften, die für einen SAML-TAI für eingehende Webanforderungen konfiguriert werden müssen, unter Eigenschaften des SAML-TAI für eingehende Webanforderungen.

Informationen zu diesem Vorgang

Konfigurieren Sie einen TAI (Trust Association Interceptor) für WebSphere Application Server für die Verarbeitung eines SAML-Tokens, das im Anforderungsheader einer Webanforderung gesendet wird. Das SAML-Token muss eine Base-64- oder UTF-8-Codierung haben und im GZIP-Format komprimiert sein. Der SAML-Token-Header in der HTTP-Anforderung kann eines der folgenden Formate haben:
  • Authorization=[<headerName>=<SAML_HERE>]
  • Authorization=[<headerName>="<SAML_HERE>"]
  • Authorization=[<headerName> <SAML_HERE>]
  • <headerName>=[<SAML_HERE>]

Vorgehensweise

  1. Wählen Sie in der WebSphere-Administrationskonsole Sicherheit > Globale Sicherheit > Web- und SIP-Sicherheit > Trust-Association.
  2. Wählen Sie Interceptor aus.
  3. Wählen Sie Neu aus, um einen neuen Interceptor hinzuzufügen.
  4. Geben Sie den Interceptorklassennamen ein: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI.
  5. Fügen Sie angepasste Eigenschaften für Ihre Umgebung hinzu. Eine Liste mit Eigenschaften finden Sie unter Eigenschaften des SAML-TAI für eingehende Webanforderungen.
  6. Wenden Sie die Konfigurationsaktualisierungen an und speichern Sie sie.
    Anmerkung: Wenn Sie speichern, ohne Ihre Änderungen anzuwenden, werden die angepassten Eigenschaften gelöscht.
  7. Gehen Sie zurück zu Sicherheit > Globale Sicherheit und wählen Sie Angepasste Eigenschaften aus.
  8. Wählen Sie Neu aus und legen Sie für die allgemeinen Eigenschaften die folgenden angepassten Eigenschaftsinformationen fest:
    Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
    Wert: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
    Anmerkung: Wenn diese Eigenschaft bereits definiert ist, fügen Sie com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI zum vorhandenen Wert hinzu. Trennen Sie die Werte mit einem Komma, um eine Liste zu erstellen.
  9. Importieren Sie das Unterzeichnerzertifikat des SAML-Ausstellers in den Truststore von WebSphere Application Server.
    1. Klicken Sie in der Administrationskonsole auf SicherheitVerwaltung von SSL-Zertifikaten und SchlüsselnKeystores und ZertifikateNodeDefaultTrustStoreUnterzeichnerzertifikate. Für einen Deployment Manager verwenden Sie CellDefaultTrustStore anstelle von NodeDefaultTrustStore.
    2. Klicken Sie auf Hinzufügen.
    3. Geben Sie die Zertifikatsinformationen an und klicken Sie auf Anwenden.
  10. Fügen Sie den Namen des SAML-Ausstellers (oder den Wert für realmName bzw. den Attributwert des konfigurierten realmIdentifier) zur Liste der eingehenden anerkannten Realms hinzu. Für jeden mit Ihrem WebSphere-Service-Provider verwendeten SAML-Aussteller müssen Sie so vorgehen, dass Sie alle vom SAML-Aussteller verwendeten Realms als eingehende anerkannte Realms zulassen. Sie können eingehende anerkannte Realms für den SAML-Aussteller über die Administrationskonsole zulassen.
    1. Klicken Sie auf Globale Sicherheit.
    2. Klicken Sie für "Repository für Benutzeraccounts" auf Konfigurieren.
    3. Klicken Sie auf Anerkannte Authentifizierungsrealms - eingehend
    4. Klicken Sie auf Externen Realm hinzufügen.
    5. Geben Sie den Namen des externen Realms an.
    6. Klicken Sie auf OK, und speichern Sie Ihre Änderungen in der Masterkonfiguration.
  11. Starten Sie WebSphere Application Server erneut.

Ergebnisse

Diese Schritte erstellen eine Mindestkonfiguration, die erforderlich ist, um einen TAI (Trust Association Interceptor) für WebSphere Application Server zu konfigurieren, der die im Anforderungsheader einer eingehenden Webanforderung gesendeten SAML-Token verarbeiten kann.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_config_saml_web_inbound_tai
Dateiname:twbs_config_saml_web_inbound_tai.html