Gestión de la configuración de señales autoemitidas SAML utilizando mandatos de wsadmin

El uso del archivo samlissuerconfig.properties está en desuso en WebSphere Application Server Versión 8. Puede utilizar las tareas de mandato listSAMLIssuerConfig y updateSAMLIssuerConfig de wsadmin para leer y modificar los archivos de configuración a nivel de célula y a nivel de servidor samlissuerconfig.properties. A partir de WebSphere Application Server Versión 8, debe utilizar la consola de administración o la tarea de mandato setSAMLIssuerConfigInBinding para especificar la configuración de señales autoemitidas SAML como propiedades personalizadas en la configuración de salida del solicitante en los enlaces generales o en los enlaces específicos de la aplicación. No utilice el archivo samlissuerconfig.properties a nivel de servidor y a nivel de célula.

Antes de empezar

El producto proporciona una forma alternativa de especificar una configuración de señal SAML autoemitida en los enlaces de conjunto de políticas. Migre los datos de configuración de la señal SAML autoemitida desde el archivo samlissuerconfig.properties a los enlaces. La especificación de los datos de configuración para crear las señales SAML autoemitidas en enlaces generales o en enlaces específicos de la aplicación proporciona flexibilidad de gestión para especificar la configuración en un ámbito más preciso, además del nivel de célula y el nivel de servidor. Por ejemplo, puede configurar un determinado emisor de señales SAML para una aplicación de servicio web concreta, para un grupo arbitrario de aplicaciones o para una aplicación de servicio web en un dominio de seguridad.

Avoid trouble Avoid trouble: Los datos de configuración de la señal SAML autoemitida que se definen en los enlaces tiene prioridad sobre los datos que se definen en el archivo samlissuerconfig.properties a nivel de servidor o a nivel de célula, en ese orden. Cuando se definen los datos de configuración de señales SAML autoemitidas en un conjunto de políticas conectado, el entorno de ejecución de seguridad de servicios web desatenderá los archivos samlissuerconfig.properties, tanto a nivel de servidor y a nivel de célula. Por lo que es importante que cuando realiza una migración del archivo samlissuerconfig.properties a los enlaces, debe migrar todas las propiedades necesarias. gotcha

Acerca de esta tarea

Dos tareas están disponibles para gestionar la configuración del emisor SAML basada en el archivo samlissuerconfig.properties. Este archivo puede estar situado a nivel de célula y a nivel de servidor. Estas dos tareas son:

  • listSAMLIssuerConfig
  • updateSAMLIssuerConfig

Procedimiento

  1. Ejecute la tarea de mandato de wsadmin en la modalidad interactiva. El siguiente script Jython ilustra cómo ejecutar la tarea de mandato wsadmin en la modalidad interactiva.
    AdminTask.listSAMLIssuerConfig('[-interactive]')

    Para seleccionar la configuración del emisor SAML a nivel de servidor, son necesarios los parámetros nombre_servidor y nombre_nodo. Si faltan estos parámetros, la tarea de mandato enumera la configuración del emisor SAML a nivel de célula.

  2. Utilice la tarea de mandato listSAMLIssuerConfig para mostrar la configuración del emisor SAML a nivel de servidor.
    AdminTask.listSAMLIssuerConfig('[-nodeName Node01 -serverName server1]')

    Necesita el privilegio de rol administrativo “supervisor” o superior para ejecutar el mandato listSAMLIssuerConfig.

  3. Utilice la tarea de mandato updateSAMLIssuerConfig para actualizar la configuración del emisor SAML a nivel de servidor o a nivel de célula.
    AdminTask.updateSAMLIssuerConfig('[-IssuerURI My_Issuer 
                                       -TimeToLiveMilliseconds 3600000 
                                       -KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01" 
                                       -KeyAlias samlissuer 
                                       -KeyName "CN=SAMLIssuer, O=Acme, C=US" -KeyPassword ***** 
                                       -TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')

    Si no se especifican los parámetros nombre_servidor y nombre_nodo la tarea actualiza la configuración del emisor SAML a nivel de célula.

    Necesita el privilegio de rol administrativo “administrador” para ejecutar el mandato updateSAMLIssuerConfig.

Resultados

Ha creado scripts de mandatos para automatizar el proceso de actualizar los archivos samlissuerconfig.properties a nivel de célula o a nivel de servidor o ha creado los datos de configuración de señales SAML autoemitidas como propiedades personalizadas en la configuración de salida del solicitante en los enlaces generales o en los enlaces específicos de la aplicación.

Ejemplo

En el ejemplo siguiente se ilustra cómo añadir o modificar los datos de configuración de señales SAML autoemitidas en los enlaces específicos de la aplicación:
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName SAMLTestAppClientBinding 
-bindingLocation [ [application JaxWSServicesSamples] [attachmentId 1904] ] 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 " 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')
El ejemplo siguiente muestra cómo modificar los enlaces generales:
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName "Saml Bearer Client sample" 
-bindingScope domain -bindingLocation  -domainName global 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath "raíz_perfil/etc/ws-security/saml/saml-issuer.jceks
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US"
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath "raíz_perfil/profiles/<nombre_servidor>/etc/ws-security/saml/saml-issuer.jceks
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword *****]')

Al especificar los enlaces de aplicación, bindingLocation es un parámetro obligatorio y se puede proporcionar como un objeto properties. Los nombres de las propiedades son application y attachmentId. Al especificar los enlaces generales, es necesario el parámetro bindingLocation, que puede ser nulo o tener propiedades vacías. Además, es necesario bindingScope si el ámbito no es global. Utilice el parámetro bindingName para identificar la ubicación del enlace. Para obtener más información sobre bindingLocation, bindingScope y domainName, consulte la documentación de las tareas de mandato setBinding o getBinding.

Para eliminar las propiedades personalizadas de configuración del emisor SAML de los enlaces, utilice la consola de administración o la tarea de mandato setBinding.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_manage_saml_self_issuer
File name: twbs_manage_saml_self_issuer.html