Vorbereitende Schritte
Bevor Sie diesen Befehl verwenden, müssen Sie den SAML-TAI
(Security
Assertion Markup Language Trust Association Interceptor) mit mindestens
einem SSO-Partner (Single Sign-on) konfigurieren, indem Sie den Befehl
addSAMLTAISSO verwenden.
Wenn Sie einen eigenen Truststore erstellen, muss dieser im Eintrag
sso_<ID>.sp.trustStore angegeben sein.
Wenn Sie die Eigenschaft
sp.trustStore nicht angeben, wird der Standardtruststore verwendet.
Alle Zertifikate des Identitätsproviders (IdP) und des Service-Providers
werden in demselben Truststore gespeichert.
Informationen zu diesem Vorgang
Sie können das Befehlszeilendienstprogramm
wsadmin verwenden, um den
SAML-IdP-Partner in den
SAML-TAI in der Sicherheitskonfiguration für
WebSphere Application Server zu importieren. Mit diesem Befehl werden folgende Daten des
IdP-Partners importiert:
- Entitäts-ID
- Signaturzertifikat
- SingleSignOnService-HTTP-POST-Bindung
Fehler vermeiden: Wenn eine der oben angegebenen Eigenschaften fehlt, protokolliert der Befehl eine Warnung.
gotcha
Vorgehensweise
- Starten Sie WebSphere Application Server.
- Starten Sie das Befehlzeilendienstprogramm
wsadmin im Verzeichnis
Stammverzeichnis_des_Anwendungsservers/bin, indem Sie folgenden Befehl eingeben:
wsadmin -lang jython.
- Geben Sie an der wsadmin-Eingabeaufforderung den folgenden Befehl ein:
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
-idpId 1 -ssoId 1 -signingCertAlias idpcert')
Diesen Befehl können Sie mit den folgenden
Parametern verwenden:
Tabelle 1. Parameter für importSAMLIdpMetaDataParameter |
Beschreibung |
-ssoId |
Dieser Parameter ist optional, wenn Sie nur einen
SSO-Service-Provider-Partner haben. Wenn mehrere SSO-Service-Provider-Partner existieren, ist dieser Parameter erforderlich.
Dies ist die ID für die Gruppe der angepassten Eigenschaften, die dem SSO-Service-Provider-Partner zugeordnet werden.
Der Wert dieses Parameters wird als ganze Zahl angegeben. |
-idpId |
Dieser Parameter ist optional. Dies ist
die IdP-ID für die Gruppe der angepassten Eigenschaften, die mit diesem Befehl definiert werden sollen.
Wird der Parameter nicht angegeben, wird
eine nicht verwendete ID zugeordnet. Der Wert dieses Parameters wird als ganze Zahl angegeben. |
-signingCertAlias |
Dieser Parameter ist optional, wenn Sie kein Signaturzertifikat haben.
Wenn Sie ein Signaturzertifikat haben, ist dieser Parameter erforderlich.
Dieser Parameter gibt
den Alias an, den Sie dem Zertifikat im aktuellen Keystore zuweisen möchten. Der Wert dieses Parameters wird als boolescher Wert angegeben. |
-idpMetadataFileName |
Dieser Parameter ist
erforderlich. Geben Sie den vollständig qualifizierten Namen der Datei
mit den Metadaten des
SAML-IdP-Partners an. Der Wert dieses Parameters wird als Zeichenfolge angegeben. |
-securityDomainName |
Dieser Parameter gibt den Namen der gewünschten Sicherheitsdomäne an.
Wenn Sie für diesen Parameter keinen Wert angeben,
verwendet der Befehl die globale Sicherheitskonfiguration.
Der Wert dieses Parameters wird als Zeichenfolge angegeben. |
Ergebnisse
Die Eigenschaften des
IdP-Partners werden jetzt dem
SAML-TAI für diese Instanz von
WebSphere Application Server hinzugefügt.
Beispiel
Im folgenden Beispiel
werden die Metadaten des SAML-IdP-Partners 1 in den
SAML-TAI-SSO-Service-Provider-Partner 1 in der globalen Sicherheitskonfiguration importiert,
wobei als Aliasname für das Signaturzertifikat
idp1CertAlias verwendet wird:
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
Im folgenden Beispiel
werden die Metadaten des SAML-IdP-Partners 1 in den
SAML-TAI-SSO-Service-Provider-Partner 1 in der Sicherheitsdomäne
myDomain1 importiert,
wobei als Aliasname für das Signaturzertifikat
idp1CertAlias verwendet wird:
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')