Puede configurar un TAI (interceptor de asociación de confianza) de entrada Web SAML para
autenticar y validar una señal SAML enviada en la cabecera de
solicitud de una solicitud web.
Acerca de esta tarea
Configure un TAI (interceptor de asociación de confianza) para WebSphere Application Server para procesar una señal SAML enviada en la
cabecera de
solicitud de una solicitud web. La señal SAML debe estar codificada en Base-64 o UTF-8, y puede comprimirse en formato GZIP. La cabecera de señal SAML de
la solicitud HTTP puede tener uno de los formatos siguientes:
Authorization=[<nombreCabecera>=<SAML_AQUÍ>]
Authorization=[<nombreCabecera>="<SAML_AQUÍ>"]
Authorization=[<nombreCabecera> <SAML_AQUÍ>]
<nombreCabecera>=[<SAML_AQUÍ>]
Procedimiento
- En la consola de administración de WebSphere, seleccione > > > .
- Seleccione Interceptores.
- Seleccione Nuevo para añadir un interceptor nuevo.
- Especifique el nombre de clase de interceptor:
com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI.
- Añada propiedades personalizadas para el entorno; consulte Propiedades
personalizadas de TAI de entrada Web SAML para obtener una lista de las propiedades.
- Aplique y guarde las actualizaciones de configuración.
Nota: Si guarda los cambios sin aplicarlos, descartará las propiedades personalizadas.
- Vuelva a > y
seleccione Propiedades personalizadas.
- Seleccione Nuevo y defina la siguiente información de propiedades personalizadas para las propiedades generales
Nombre: com.ibm.websphere.security.InvokeTAIbeforeSSO
Valor: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
Nota: Si esta propiedad ya se ha definido, añada com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI al valor existente, separado por
una coma para crear una lista.
- Importe el certificado de firmante del emisor SAML al almacén de confianza de WebSphere Application Server.
- En la consola administrativa, pulse . Utilice CellDefaultTrustStore en lugar de NodeDefaultTrustStore para un gestor de despliegue.
- Pulse Añadir.
- Complete la información del certificado y, a continuación, pulse Aplicar.
- Añada el nombre del emisor SAML (o el valor de realmName o el valor de atributo del realmIdentifier configurado)
a la lista de reinos de confianza de entrada. Para cada emisor SAML que se utiliza con el proveedor de servicios de WebSphere
Application Server, debe otorgar confianza de entrada a todos los reinos utilizados por el emisor SAML. Puede otorgar confianza de entrada al emisor SAML
utilizando la consola administrativa.
- Pulse Seguridad global.
- Para el repositorio de cuentas de usuario, pulse Configurar.
- Pulse Dominios de autenticación de confianza - entrada.
- Pulse Añadir reino externo.
- Rellene el nombre de reino externo.
- Pulse Aceptar y Guardar cambios en la configuración maestra.
- Reinicie WebSphere Application Server.
Resultados
Estos pasos establecen la configuración mínima necesaria para configurar un interceptor de asociación de confianza para un
WebSphere Application Server que pueda procesar señales SAML en la cabecera de solicitud de una solicitud web
de entrada.