Configuración de socios de inicio de sesión único (SSO)

Antes de empezar

En esta tarea se presupone que ha habilitado la característica de inicio de sesión único web SAML.

Acerca de esta tarea

Para poder utilizar WebSphere Application Server como socio proveedor de servicios para los proveedores de identidades para el inicio de sesión único iniciado por IdP, debe establecer asociaciones entre el proveedor de servicios SAML de WebSphere Application Server y proveedores de identidades SAML externos.

Procedimiento

  1. Añada un proveedor de identidades al proveedor de servicios SAML de WebSphere Application para el inicio de sesión único. Para utilizar el proveedor de servicios SAML de WebSphere Application Server para el inicio de sesión único con un proveedor de identidades, debe añadir el proveedor de identidades como socio. Puede añadir un proveedor de identidades como socio importando los metadatos del proveedor de identidades o siguiendo unos pasos manuales.
    • Adición de un proveedor de identidades utilizando metadatos del proveedor de identidades.
    1. Inicie WebSphere Application Server.
    2. Inicie el programa de utilidad de línea de mandatos wsadmin desde el directorio raíz_servidor_aplicaciones/bin entrando el mandato siguiente: wsadmin -lang jython.
    3. En el indicador de wsadmin, escriba el mandato siguiente: AdminTask.importSAMLIdpMetadata('-idpMetadataFileName <IdPMetaDataFile> -idpId 1 -ssoId 1 -signingCertAlias <idpAlias>') donde IdpMetaDataFile es el nombre completo de la vía de acceso del archivo de metadatos IdP e IdpAlias es cualquier nombre de alias que especifique para el certificado importado.
    4. Guarde la configuración entrando el mandato siguiente: AdminConfig.save().
    5. Salga del programa de utilidad de mandatos wsadmin entrando el mandato siguiente: quit.
    6. Reinicie WebSphere Application Server.
    • Adición manual de un proveedor de identidades al proveedor de servicios SAML de WebSphere Application.

      El requisito mínimo para configurar el proveedor de servicios SAML de WebSphere Application Server como socio de inicio de sesión único para un proveedor de identidades es el de importar el certificado de firmante de la señal SAML del proveedor de identidades al almacén de confianza del proveedor de servicios. El proveedor de servicios se puede configurar para que funcione con varios proveedores de identidades. Para cada proveedor de identidades, debe importar el certificado de firmante de la señal SAML.

      Puede importar el certificado utilizado por un IdP para firmar la señal SAML por utilizando la consola administrativa o el programa de utilidad de línea de mandatos wsadmin.

    • Importación del certificado de firmante de la señal SAML mediante la consola administrativa.
    1. Inicie una sesión en la consola administrativa de WebSphere Application Server.
    2. Pulse Security > Gestión de claves y certificados SSL > Almacenes de claves y certificados > NodeDefaultTrustStore > Certificados de firmante. Utilice CellDefaultTrustStore en lugar de NodeDefaultTrustStore para un gestor de despliegue.
    3. Pulse Añadir.
    4. Rellene la información del certificado.
    5. Pulse Aplicar.
    • Importación del certificado de firmante de la señal SAML mediante el programa de utilidad de línea de mandatos wsadmin.
    1. Inicie WebSphere Application Server.
    2. Inicie el programa de utilidad de línea de mandatos wsadmin desde el directorio raíz_servidor_aplicaciones/bin entrando el mandato siguiente: wsadmin -lang jython.
    3. En el indicador de wsadmin, entre el mandato siguiente: AdminTask.addSignerCertificate('[-keyStoreName NodeDefaultTrustStore -certificateFilePath <archivo_cert> -base64Encoded true -certificateAlias <alias_cert>]'), donde archivo_cert es el nombre completo de vía de acceso del archivo de certificado y alias_cert es el alias del certificado. Utilice CellDefaultTrustStore en lugar de NodeDefaultTrustStore para un gestor de despliegue.
    4. Guarde la configuración entrando el mandato siguiente: AdminConfig.save().
    5. Salga del programa de utilidad de mandatos wsadmin entrando el mandato siguiente: quit.
  2. Añada reinos de IdP a la lista de reinos de confianza de entrada. Para cada proveedor de identidades que se utiliza con el proveedor de servicios de WebSphere Application Server, debe otorgar confianza de entrada a todos los reinos que utilizan el proveedor de identidades.

    Puede otorgar confianza de entrada a los proveedores de identidades utilizando la consola administrativa o el programa de utilidad de mandatos wsadmin.

    • Adición de la confianza de entrada mediante la consola administrativa.
    1. Pulse Seguridad global.
    2. En el repositorio de cuentas de usuario, pulse Configurar.
    3. Pulse Dominios de autenticación fiables - entrada.
    4. Pulse Añadir reino externo.
    5. Rellene el nombre de reino externo.
    6. Pulse Aceptar y Guardar los cambios en la configuración maestra.
    • Adición de la confianza de entrada mediante el programa de utilidad de línea de mandatos wsadmin.
    1. Para añadir un proveedor de identidades único para la confianza de entrada, utilice el mandato siguiente: AdminTask.addTrustedRealms('[-communicationType inbound -realmList <nombre_reino>]'), donde nombre_reino es el nombre del reino al que se debe otorgar confianza de entrada.
    2. Para añadir una lista de reinos a la confianza de entrada, utilice el mandato siguiente: AdminTask.addTrustedRealms('[-communicationType inbound -realmList <reino1|reino2|reino3>]'), donde reino1, reino2 y reino3 son los reinos que se deben añadir como reinos fiables.
  3. Añada el proveedor de servicios SAML de WebSphere Application Server a los proveedores de identidades para el inicio de sesión único.

    Cada proveedor de identidades que se utiliza con el proveedor de servicios de WebSphere Application Server se debe configurar para añadir el proveedor de servicios como socio de inicio de sesión único. El procedimiento para añadir el socio proveedor de servicios a un proveedor de identidades depende del proveedor de identidades específico. Consulte la documentación del proveedor de identidades para obtener instrucciones sobre cómo añadir un socio proveedor de servicios para el inicio de sesión único.

    Puede exportar los metadatos del proveedor de servicios de WebSphere Application Server e importarlos en el proveedor de identidades o configurar manualmente el proveedor de identidades para añadir el proveedor de servicios.

    Para añadir el proveedor de servicios como un socio de federación a un proveedor de identidades, debe proporcionar el URL del servicio de consumidor de aserción (ACS) del proveedor de servicios, que es el parámetro -acsUrl utilizado cuando se habilita el interceptor de asociación de confianza (TAI) de SAML.

    Si un proveedor de identidades puede utilizar un archivo de metadatos para añadir el proveedor de servicios como un socio de federación, puede utilizar el siguiente programa de utilidad de línea de mandatos wsadmin para exportar los metadatos del proveedor de servicios:
    wsadmin -lang jython
    AdminTask.exportSAMLSpMetadata('-spMetadataFileName /tmp/spdata.xml -ssoId 1')
    Este mandato crea el archivo de metadatos /tmp/spdata.xml.

    Si la señal SAML está cifrada, debe proporcionar el certificado de claves públicas que desea que el proveedor de identidades utilice para cifrar la señal SAML y el certificado debe existir en el almacén de claves predeterminado de WebSphere Application Server antes de realizar una exportación.

  4. Configure el contexto de seguridad de WebSphere Application Server utilizando los atributos sso_<id>.sp.idMap,sso_<id>.sp.groupMap y sso_<id>.sp.groupName. El proveedor de servicios de WebSphere Application Server intercepta un mensaje de protocolo SAML del proveedor de identidades y establece el contexto de seguridad. El contexto de seguridad se crea mediante la correlación de la aserción SAML. La correlación de contexto de seguridad en el proveedor de servicios es muy flexible y configurable. A continuación se ofrece una lista de las opciones de correlación disponibles:
    • idAssertion

      Puede correlacionar la aserción SAML con el sujeto de plataforma WebSphere Application Server sin utilizar un registro local. Este es el comportamiento predeterminado. En esta implementación predeterminada, el NameID de SAML se correlaciona con el principal, el emisor se correlaciona con el reino, y los atributos seleccionados se pueden correlacionar con miembros del grupo. El ID de aserción se puede personalizar aún más. Por ejemplo, puede configurar un atributo SAML como principal, reino, ID o una lista de miembros del grupo. También puede configurar NameQualifier de NameID como un reino o utilizar un nombre de reino predefinido.

    • localRealm

      Puede configurar el proveedor de servicios de WebSphere Application Server para correlacionar el NameID de una aserción SAML con el registro de usuarios del proveedor de servicios y crear el sujeto a partir del registro. Con esta opción, puede buscar directamente el NameID de SAML en el registro o utilizar un punto de plug-in para la correlación personalizada de la aserción, y luego utilizar el nuevo ID correlacionado para crear el sujeto a partir del registro.

    • localRealmThenAssertion

      Esta opción le permite correlacionar el NameID con el registro, y volver a la aserción del ID si el NameID no se puede correlacionar con el registro.

    • AddGroupsFromLocalRealm

      Esta opción combina la aserción de ID y el registro local y le permite evaluar la pertenencia al grupo mientras se realiza la aserción de ID. Tomemos como ejemplo una aserción SAML del laboratorio de un socio que contiene el usuario Joe con un atributo de grupo X-ray Techs. En el proveedor de servicios, el grupo X-ray Techs es un subgrupo de grupo de Technicians, pero Joe no se encuentra necesariamente en el registro de usuarios del proveedor de servicios. La política de autorización de la aplicación del proveedor de servicios permite el acceso al grupo Technicians. Para lograrlo, el TAI de SAML necesita buscar los grupos confirmados X-ray Techs en el registro y, a continuación, incluir los grupos padre Technicians en el sujeto.

    Al realizar la aserción de ID para crear un contexto de seguridad, se elige un reino de seguridad personalizado. Debe añadir explícitamente el reino personalizado como reino de confianza. En una implementación de aserción de ID predeterminado, el nombre del emisor SAML se utiliza como reino de seguridad. Debe añadir explícitamente el nombre de usuario a la lista de reinos de autenticación de confianza de entrada en el registro de usuarios actual. Después de añadir el reino personalizado a los reinos de confianza de entrada, podrá realizar la correlación de roles con este reino personalizado.

    Para añadir un reino personalizado como un reino de confianza, consulte el paso Añada reinos de IdP a la lista de reinos de confianza de entrada.

Resultados

WebSphere Application Server está ahora configurado como socio proveedor de servicios para el inicio de sesión único iniciado por IdP.

Qué hacer a continuación

Para conocer opciones de configuración adicionales para su proveedor de servicios, consulte los temas de Propiedades personalizadas del TAI de inicio de sesión único web SAML para obtener una lista completa de las propiedades personalizadas de TAI de SAML.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configuresamlssopartners
File name: twbs_configuresamlssopartners.html