Conjuntos de políticas predeterminados y enlaces de ejemplo para SAML
Los conjuntos de políticas predeterminados y los enlaces generales específicos de SAML se proporcionan cuando se instala la función SAML. Estos conjuntos de políticas y enlaces generales de ejemplo se utilizan para solicitar señales SAML de un servicio de señales de seguridad (STS) externo y para propagar señales SAML a servicios web en sentido descendente.
Conjuntos de políticas predeterminados de SAML
WebSphere Application Server con SAML proporciona ocho conjuntos de políticas predeterminados y varios enlaces generales de ejemplo que admiten el estándar OASIS Web Services Security SAML Token Profile 1.1. Debe importar los conjuntos de políticas predeterminados de SAML para poder utilizarlos. Puede adjuntar estos conjuntos de políticas y enlaces de ejemplo a servicios web y empezar a utilizar la prestación SAML sin escribir código adicional. No obstante, existen unos cuantos parámetros de configuración que se tienen que establecer en los documentos de los enlaces antes de utilizarlos. Estos parámetros incluyen el URL del STS externo y el certificado X.509 del emisor de señales SAML. Para obtener más información, consulte la información sobre la configuración de enlaces de cliente y proveedor para la señal SAML bearer y sobre la configuración de enlaces de cliente y proveedor para la señal de clave simétrica SAML holder-of-key (HoK).
La instalación de la función SAML incluye el conjunto de políticas de aplicación Username WSHTTPS, que envía una solicitud de confianza a un STS externo. Un servicio de señales de seguridad (STS) es un servicio web con fines especiales. Puede utilizar cualquiera de los conjuntos de políticas predeterminados de WebSphere Application Server para comunicarse con el STS. Sin embargo, el conjunto de políticas predeterminado Username WSHTTPS envía una señal Username en el mensaje SOAP y protege el mensaje utilizando SSL (Secure Sockets Layer). Debe configurar un nombre de usuario y una contraseña en el documento de enlaces para utilizar este conjunto de políticas. Para obtener instrucciones paso a paso, consulte la configuración de los conjuntos de políticas y enlaces para comunicarse con STS.
- SAML11 Bearer WSHTTPS default: envía una señal SAML con el método de confirmación bearer en mensajes SOAP y protege los mensajes SOAP con SSL.
- SAML11 Bearer WSSecurity default: envía una señal SAML con el método de confirmación bearer en mensajes SOAP y protege los mensajes SOAP con firma y cifrado X.509.
- SAML11 HoK Public WSSecurity default: envía una señal SAML mediante el método de confirmación holder-of-key con un certificado X.509 de cliente en la señal SAML y protege los mensajes SOAP con el certificado de cliente en la señal SAML y el certificado X.509 del destinatario.
- SAML11 HoK Symmetric WSSecurity default: envía una señal SAML mediante el método de confirmación holder-of-key con una clave compartida que cifra la clave pública del destinatario y protege el mensaje SOAP con la clave compartida para firma y cifrado.
- SAML20 Bearer WSHTTPS default
- SAML20 Bearer WSSecurity default
- SAML20 HoK Public WSSecurity default
- SAML20 HoK Symmetric WSSecurity default
Enlaces de ejemplo de SAML
- Saml Bearer Client sample
- Saml Bearer Provider sample
- Saml HoK Symmetric Client sample
- Saml HoK Symmetric Provider sample
Puede utilizar el ejemplo Saml Bearer Client sample y el ejemplo Saml Bearer Provider sample con cualquiera de los conjuntos de políticas predeterminados de la señal SAML bearer. Puede utilizar el ejemplo Saml HoK Symmetric Client sample y el ejemplo Saml HoK Symmetric Provider sample con uno de los conjuntos de políticas predeterminados de clave simétrica SAML HoK: SAML11 HoK Symmetric WSSecurity default o SAML20 HoK Symmetric WSSecurity default.
Enlaces de cliente de confianza
WebSphere Application Server con SAML admite enlaces específicos de aplicación y enlaces generales para conjuntos de políticas de cliente de confianza. Además, se admiten enlaces predeterminados si la aplicación se ejecuta en un entorno de servidor. Los enlaces predeterminados no se admiten en el entorno de cliente ligero.
Puede crear enlaces específicos de la aplicación sólo en un punto de conexión del conjunto de políticas. Estos enlaces son específicos de la política y están definidos por sus características. Los enlaces específicos de aplicación pueden proporcionar configuración para requisitos de política avanzados, como la necesidad de varias firmas; sin embargo, estos enlaces sólo se pueden volver a utilizar dentro de una aplicación. Además, los enlaces específicos de aplicación tienen una capacidad de reutilización limitada en los conjuntos de políticas. Cuando se crea un enlace específico de aplicación para un conjunto de políticas, el enlace empieza en un estado no configurado. Debe añadir a cada política, como WS-Security o transporte HTTP, que desee alterar temporalmente, el enlace predeterminado, además de configurar totalmente los enlaces de cada una de las políticas que haya añadido. Para obtener más información acerca de la configuración de enlaces de cliente de confianza para SAML, consulte la información sobre la configuración de conjuntos de políticas y enlaces para comunicar con el STS.
Los enlaces generales se pueden configurar para utilizarlos en varios conjuntos de políticas y se pueden reutilizar entre aplicaciones y para puntos de adjunción de servicios de confianza. Aunque los enlaces generales son reutilizables, no proporcionan configuración para requisitos de políticas avanzados, como la necesidad de varias firmas. Hay dos tipos de enlaces generales: los enlaces generales de conjunto de políticas de proveedor y los enlaces generales de conjunto de políticas de cliente.
Si no especifica la propiedad wstrustClientBindingScope para el enlace de cliente de confianza, el sistema busca en la aplicación un enlace específico de aplicación con el nombre de enlace que haya especificado. Si se encuentra un enlace, se utiliza para la solicitud de cliente de confianza. Si no se encuentra ningún enlace específico de aplicación, el sistema busca los enlaces generales disponibles para un enlace con el nombre que haya especificado. Si se encuentra un enlace general, el enlace se utiliza para la solicitud de cliente de confianza. Si no se encuentra ningún enlace con el nombre que se ha especificado, se utilizan los enlaces predeterminados del entorno de servidor. Los enlaces predeterminados se utilizan sólo cuando la aplicación se ejecuta en el entorno de servidor. Si la aplicación se ejecuta en un entorno de cliente ligero, no se especifica ninguna propiedad wstrustClientBindingScope y no se encuentra ningún enlace específico de aplicación o general, no se utiliza ningún enlace porque los enlaces predeterminados no se admiten para un cliente ligero.