Configuración de enlaces de cliente y proveedor para la señal SAML sender-vouches
Puede configurar los archivos adjuntos y los enlaces de conjunto de políticas de cliente y proveedor para la señal sender-vouches SAML. Una señal SAML sender-vouches es una señal SAML que utiliza el método de confirmación de sujetos sender-vouches. El método de confirmación sender-vouches se utiliza cuando un servidor tiene que propagar la identidad o el comportamiento del cliente.
Antes de empezar
- Para poder utilizar una señal sender-vouches de SAML, debe crear uno o más perfiles de servidor nuevos o añadir valores de configuración de SAML a un
perfil existente.
Consulte el tema Creación de perfiles de servidor de aplicaciones para obtener más información sobre la creación de un perfil de servidor.
Consulte los diversos temas que describen cómo configurar SAML para obtener más información sobre cómo añadir valores de configuración SAML a un perfil existente.
- Determine qué tipo de seguridad desea utilizar para proteger la integridad de los mensajes SOAP y señales SAML para que un receptor pueda verificar que el contenido del mensaje y las señales SAML no han sido modificados por partes no autorizadas. Debe utilizar la seguridad de nivel de mensaje o transporte HTTPS.
Como se ha indicado en la sección 3.5.2.1 de la especificación de perfiles de señal SAML:
"Para satisfacer el procesamiento de método de confirmación asociado del receptor, la entidad de certificación debe proteger el vouched del contenido de mensaje SOAP de modo que el receptor pueda determinar cuándo ha sido alterado por otra parte. La entidad de certificación DEBE también hacer que el vouched de sentencias (según sea necesario) y su enlace al contenido del mensaje se proteja de modo que se detecte cualquier modificación no autorizada."
Puede utilizar cualquiera seguridad de nivel de mensajes o de transporte para cumplir este requisito de sender-vouches SAML:
Debe utilizar la seguridad de nivel de mensaje o transporte HTTPS para proteger la señal sender-vouches.- Para utilizar la seguridad de nivel de transporte HTTP, configure el transporte HTTPS.
- Para utilizar la seguridad a nivel de mensajes, la especificación SAML Token Profile sugiere que la entidad de certificación "firme el contenido de mensajes y aserciones relevantes".
Para firmar el contenido de mensajes y las aserciones relevantes, debe por lo menos firmar la señal SAML (la aserción). El contenido relevante depende de la aplicación. La especificación recomienda:- El emisor debe por lo menos firmar el cuerpo SOAP y la aserción SAML juntos para cumplir con el requisito de contenido de mensajes pertinentes.
- El consumidor debe verificar que la señal SAML se firma con el cuerpo SOAP al utilizar sender-vouches de SAML.
Acerca de esta tarea
Este procedimiento describe los pasos que debe completar para firmar digitalmente una señal SAML. No describe ninguno de los requisitos estándares de OASIS de perfil de señal SAML para sender-vouches SAML ni señales de portador SAML relativas a partes de mensaje que deben firmarse.
El ejemplo que se muestra en el procedimiento utiliza el ejemplo de aplicación de servicios web JaxWSServicesSamples.
El procedimiento para crear el conjunto de políticas de sender-vouches empieza con la creación de una nueva política de sender-vouches SAML.
Procedimiento
- Cree la política sender-vouches SAML de políticas y configure las partes del mensaje.
Debe crear un conjunto de políticas sender-vouches de SAML, basado en la política de portador SAML para poder configurar los enlaces de cliente y proveedor para la señal de sender-vouches SAML. Después de crear el conjunto de políticas, debe adjuntar los enlaces con las aplicaciones de cliente y proveedor JAX-WS. Para obtener más información sobre los conjuntos de políticas de portador, consulte el tema Configuración de enlaces de cliente y proveedor para señal de portador SAML.
El producto incluye varios conjuntos de políticas de aplicación de señal SAML por defecto y varios ejemplos de enlaces de cliente y proveedor generales. Un conjunto de políticas que se utiliza para una señal SAML sender-vouches es similar a uno que se utiliza para una señal de portador SAML. El procedimiento siguiente describe cómo crear un conjunto de políticas sender-vouches basado en un conjunto de políticas de señal de portador SAML.
A menos que se importen como una copia, las políticas por defecto SAML20 Bearer WSSecurity y SAML20 Bearer WSHTTPS no se pueden actualizar para utilizarse con SAML sender-vouches. Las políticas SAML20 Bearer WSSecurity default y SAML20 Bearer WSHTTPS default no están configurados para firmar la señal SAML. Para cumplir con el requisito de SAML sender-vouches, la política se debe actualizarse para firmar la señal SAML. Por lo tanto, la política se debe importar como una copia, o debe hacer una copia de la política. El procedimiento realiza una copia de la política.
- Importe los conjuntos de políticas necesarios.
La sección Antes de empezar del tema Configuración de enlaces de cliente y proveedor para la señal SAML bearer describe cómo importar Username WSHTTPS default y la política de portador SAML del tipo deseado. Por ejemplo, SAML20 Bearer WSSecurity default se utiliza para SAML 2.0 sender-vouches utilizando HTTP.
- Haga una copia de la política de portador SAML importado que desee que pueda editar.
- En la consola de administración, pulse Servicios > Conjuntos de políticas > conjuntos de políticas de servicios.
- Seleccione la política de portador SAML importada que desea copiar.
Por ejemplo, puede seleccionar SAML20 Bearer WSSecurity default.
- Pulse Copiar... .
- Especifique el nombre deseado en el campo Nombre. Por ejemplo, puede especificar SAML20 sender-vouches.
- Pulse Aceptar.
- Edite la nueva política SAML sender-vouches para añadir la firma digital de la señal SAML.
- En la consola de administración, pulse Servicios > Conjuntos de políticas > conjuntos de políticas de servicios.
- Seleccione la política que acaba de crear.
Utilizando el ejemplo anterior, debe seleccionar SAML20 sender-vouches.
- En la consola administrativa, edite el conjunto de políticas SAML y, a continuación, pulse WS-Security > Política principal > Solicitar protección de parte de mensaje.
- En Protección de integridad, pulse Añadir.
- Especifique un nombre de componente para Nombre de la parte que se va a firmar; por ejemplo, saml_part.
- En Elementos en la parte, pulse Añadir.
- Seleccione Expresión XPath.
- Añada dos expresiones XPath.
/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='SecurityTokenReference']
/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' and local-name()='Envelope']/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='SecurityTokenReference']
- Pulse Aplicar y Guardar.
- Si una aplicación nunca se ha iniciado utilizando esta política, no es necesario llevar a cabo ninguna acción más. De lo contrario, reinicie el servidor de aplicaciones o siga las instrucciones del artículo Renovación de las configuraciones del conjunto de políticas mediante scripts wsadmin, para que el servidor de aplicaciones vuelva a cargar el conjunto de políticas.
- Importe los conjuntos de políticas necesarios.
- Configurar el cliente de confianza
Si va a utilizar los enlaces generales para acceder al STS externo, vaya al paso Conectar el conjunto de políticas y enlaces a la aplicación del cliente.
Si va a utilizar enlaces específicos de aplicación para acceder al STS externo, realice los siguientes pasos.
- Conecte temporalmente un conjunto de políticas para el cliente de confianza a la aplicación de cliente de servicios web de modo que los enlaces puedan configurarse.
El objetivo de este paso es permitir utilizar la consola administrativa para crear o modificar el documento de enlace de cliente.Sólo tiene que completar esta acción si un enlace específico de aplicación se utiliza para acceder al STS externo.
- En la consola administrativa, pulse Aplicaciones > Tipos de aplicación > Aplicaciones empresariales de WebSphere > JaxWSServicesSamples > Conjunots de políticas y enlaces de cliente de servicio.
- Seleccione el recurso de cliente de servicios web (JaxWSServicesSamples).
- Pulse Conectar conjunto de políticas de cliente.
- Seleccione el conjunto de políticas Username WSHTTPS default.
- Crear el enlace de cliente de confianza.
- Vuelva a seleccionar el recurso de cliente de servicios web (JaxWSServicesSamples).
- Pulse Asignar enlace.
- Pulse Nuevo enlace específico de la aplicación para crear un enlace específico de aplicación.
- Especifique un nombre de configuración de enlace para el nuevo enlace específico de aplicación. En este ejemplo, el nombre del enlace es SamlTCSample.
- Añada el tipo de política de transporte SSL al enlace.
Pulse Añadir > Transporte SSL y, a continuación, pulse Aceptar.
- Añada el tipo de política WS-Security al enlace y, a continuación,
modifique los valores de autenticación del cliente de confianza.
- Si el tipo de política WS-Security todavía no está en la definición de enlace SamITCSample, pulse Aplicaciones > Tipos de aplicación > Aplicaciones empresariales de WebSphere > JaxWSServicesSamples > Conjunots de políticas y enlaces de cliente de servicio > SamlTCSample.
- Pulse Añadir > WS-Security > Autenticación y protección > request:uname_token.
- Pulse Aplicar.
- Seleccione Manejador de devolución de llamada
- Especifique un nombre de usuario y una contraseña para el cliente de servicios web para autenticar el STS externo.
- Pulse Aceptar y, a continuación, pulse Guardar.
- Después de guardar los valores de enlace, vuelva al panel Conjuntos de políticas y enlaces del cliente de servicios y desasocie el conjunto de políticas y enlaces.
- Pulse Conjuntos de políticas y enlaces del cliente de servicios en la navegación de esta página o Aplicaciones > Tipos de aplicación > Aplicaciones de empresa de WebSphere > JaxWSServicesSamples > Conjuntos de políticas y enlaces del cliente de servicios.
- Seleccione el recurso de cliente de servicios web (JaxWSServicesSamples) y, a continuación, pulse Desconectar conjunto de políticas de cliente.
La configuración de enlace específico de aplicación que ha creado en los pasos anteriores no se suprime del sistema de archivos cuando el conjunto de políticas se desconecta. Esto significa que puede seguir utilizando el enlace específico de aplicación que ha creado para acceder a la STS con el cliente de confianza.
- Conecte temporalmente un conjunto de políticas para el cliente de confianza a la aplicación de cliente de servicios web de modo que los enlaces puedan configurarse.
- Conecte el conjunto de políticas sender-vouches SAML y cree nuevos enlaces específicos de aplicación para la aplicación de cliente.
Debe utilizar enlaces personalizados específicos de aplicación en lugar de enlaces generales para sender-vouches. Por lo tanto, si configura conjuntos de políticas y enlaces de sender-vouches a partir de los conjuntos de políticas y los enlaces de la señal bearer adjunta, debe asegurarse de que los enlaces asignadas son enlaces específicos de aplicación.
- Conectar el conjunto de políticas SAML con la aplicación cliente de servicios web.
- Pulse Aplicaciones > Tipos de aplicación > Aplicaciones empresariales de WebSphere > JaxWSServicesSamples > Conjunots de políticas y enlaces de cliente de servicio.
- Seleccione el recurso de cliente de servicios web (JaxWSServicesSamples).
- Pulse Conectar conjunto de políticas de cliente.
- Seleccione la política SAML que ha creado.
Por ejemplo, puede seleccionar SAML20 sender-vouches.
- Cree nuevos enlaces específicos de aplicación para el cliente.
- Vuelva a seleccionar el recurso de cliente de servicios web (JaxWSServicesSamples).
- Pulse Asignar enlace.
- Seleccione Nuevo enlace específico de aplicación....
- Especifique un nombre de configuración de enlace para el nuevo enlace específico
de aplicación.
En este ejemplo, el nombre del enlace es SamlSenderVouchesClient.
- Pulse Añadir > WS-Security.
- Conectar el conjunto de políticas SAML con la aplicación cliente de servicios web.
- Edite el generador de señales SAML en los enlaces de cliente específicos de aplicación.
- Pulse Autenticación y protección.
- En Señales de autenticación, pulse request:SAMLToken20Bearer o request:SAMLToken11Bearer.
- Pulse Aplicar.
- Pulse Manejador de retorno de llamada.
- Añada las siguientes propiedades personalizadas.
- confirmationMethod=sender-vouches
- keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
- stsURI=SecurityTokenService_address
Por ejemplo, especifique https://example.com/Trust/13/UsernameMixed para SecurityTokenService_address.
- wstrustClientPolicy=Username WSHTTPS default.
- wstrustClientBinding=value
El valor que especifique para wstrustClientBinding debe coincidir con el nombre del enlace específico de la aplicación del cliente de confianza que ha creado en los pasos anteriores. Por ejemplo, si en los pasos anteriores, ha creado un enlace específico de aplicación denominado SamlTCSample, debe especificar SamlTCSample como el valor de la propiedad wstrustClientBinding.
- wstrustClientSoapVersion=value
Especifique un valor de 1,1 para esta propiedad si desea utilizar SOAP Version 1.1.
Especifique un valor de 1,2 para esta propiedad si desea utilizar SOAP Version 1.2.
- Pulse Aceptar.
- Pulse WS-Security en la navegación de esta página.
- Configure la firma digital general en los enlaces de cliente.
- Configure un almacén de certificados.
- Pulse Claves y certificados.
- En Almacén de certificados, pulse Nueva entrada... .
- Especifique name=clientCertStore.
- Especifique Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer.
- Pulse Aceptar.
- Configure un ancla de confianza.
- En ancla de confianza, pulse Nuevo...
- Especifique name=clientTrustAnchor.
- Pulse Almacén de claves externo .
- Especifique Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
- Especifique Contraseña=cliente.
- Pulse Aceptar.
- Pulse WS-Security en la navegación de esta página.
- Configure el generador de firmas.
- Pulse Autenticación y protección > AsymmetricBindingInitiatorSignatureToken0 (firma del generador)y, a continuación, pulse Aplicar.
- Pulse Manejador de retorno de llamada.
- Especifique Keystore=custom.
- Pulse Configuración de almacén de claves personalizado y, a continuación, pulse
- Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- Keystore password=cliente
- Name=cliente
- Alias=soaprequester
- Password=cliente
- Pulse Aceptar, Aceptar y Aceptar.
- Configure el consumidor de firma.
- Pulse AsymmetricBindingRecipientSignatureToken0 (consumidor de firmas) y, a continuación, pulseAplicar.
- Pulse Manejador de retorno de llamada.
- Bajo Certificados, haga clic en el botón radial Almacén de certificados y especifique:
- Certificate store=clientCertStore
- Almacén de ancla de confianza=clientTrustAnchor
- Pulse Aceptar y Aceptar.
- Configure la información de firma de solicitud.
- Pulse request:app_signparts y especifique Name=clientReqSignInfo.
- En Información de clave de firmante, pulse Nuevo y, a continuación, especifique:
- Name=clientReqSignKeyInfo
- Tipo=Security Token reference
- Consumidor o generador de señales name=AsymmetricBindingInitiatorSignatureToken0
- Pulse Aceptar y, a continuación, pulse Aplicar.
- Bajo Referencia de parte del mensaje, seleccione request:app_signparts .
- Pulse Editar.
- En los algoritmos de transformación, pulse Nuevo
- Especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
- Pulse Aceptar, Aceptar y Aceptar.
- Configure la información de firma de respuesta.
- Pulse response:app_signparts y especifique Name=clientRespSignInfo.
- Pulse Aplicar.
- En Información de clave de firmante, pulse Nuevo y, a continuación, especifique:
- Nombre=clientRspSignKeyInfo
- Consumidor o generador de señales name=AsymmetricBindingRecipientSignatureToken0
- Pulse Aceptar.
- Bajo Información de clave de firma, pulse clientRspSignKeyinfo y, a continuación, pulse Añadir.
- Bajo Referencia de parte de mensaje, seleccione response:app_signparts .
- Pulse Editar.
- En los algoritmos de transformación, pulse Nuevo
- Especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
- Pulse Aceptar, Aceptar y Aceptar.
- Configure un almacén de certificados.
- Configure la firma digital para la señal SAML en los enlaces de cliente.
- Modifique los enlaces de la parte firmada del mensaje de salida configurados para incluir la nueva parte SAML que ha creado.
En Protección de firma y cifrado de mensaje de solicitud, seleccione la referencia de parte cuyo estado se ha establecido en Configurado. La referencia a esta parte será con mayor probabilidad request:app_signparts.
- En la lista Disponible bajo Referencia de parte de mensaje, seleccione el nombre de la parte que se va a firmar, tal como se ha creado en el paso 1; por ejemplo, saml_part.
- Pulse Añadir y, a continuación, pulse Aplicar.
- En la lista Asignada bajo Referencia de parte de mensaje, resalte el nombre de la parte que ha añadido; por ejemplo, saml_part.
- Pulse Editar.
- Para el valor Algoritmos de transformación, pulse Nuevo.
- Seleccione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
- Pulse Aceptar, pulse Aceptar y, a continuación, pulse Aceptar otra vez.
- Actualice el generador de señales SAML con la propiedad personalizada para indicar una firma digital con una Referencia de señal de seguridad.
En Señales de autenticación, seleccione y edite la señal SAML que desee firmar.
- En Propiedad personalizada, pulse Nuevo.
- Especifique com.ibm.ws.wssecurity.createSTR como nombre de propiedad personalizada.
- Especifique true como valor de la propiedad personalizada.
- Pulse Aplicar y, a continuación, pulse Guardar.
- Reinicie la aplicación.
- Modifique los enlaces de la parte firmada del mensaje de salida configurados para incluir la nueva parte SAML que ha creado.
- Conecte el conjunto de políticas sender-vouches SAML y cree nuevos enlaces específicos de aplicación para la aplicación de proveedor.
- Conectar el conjunto de políticas SAML con la aplicación cliente de servicios web.
- Pulse Aplicaciones > Tipos de aplicación > Aplicaciones empresariales de WebSphere > JaxWSServicesSamples > Conjunots de políticas y enlaces de proveedor de servicio.
- Seleccione el recurso de cliente de servicios web (JaxWSServicesSamples).
- Pulse Conectar conjunto de políticas.
- Seleccione la política SAML que ha creado.
Por ejemplo, puede seleccionar SAML20 sender-vouches.
- Cree nuevos enlaces específicos de aplicación para el proveedor.
- Vuelva a seleccionar el recurso de cliente de servicios web (JaxWSServicesSamples).
- Pulse Asignar enlace.
- Seleccione Nuevo enlace específico de aplicación....
- Especifique un nombre de configuración de enlace para el nuevo enlace específico
de aplicación.
En este ejemplo, el nombre del enlace es SamlSenderVouchesProvider.
- Pulse Añadir > WS-Security.
- Conectar el conjunto de políticas SAML con la aplicación cliente de servicios web.
- Edite el consumidor de señales SAML en los enlaces de proveedor específicos de aplicación.
- Pulse Autenticación y protección.
- En Señales de autenticación, pulse request:SAMLToken20Bearer o request:SAMLToken11Bearer.
- Pulse Aplicar.
- Pulse Manejador de retorno de llamada.
- Añada las siguientes propiedades personalizadas.
- confirmationMethod=sender-vouches
- keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
- signatureRequired=true
- Opcional: Establezca la propiedad personalizada trustAnySigner
en true si no desea permitir la validación de certificados de firmante.
El valor de configuración Confiar en cualquier certificado se ignora a efectos de validación de firma de SAML.Esta propiedad sólo es válida si la propiedad personalizada signatureRequired se establece en true, que es el valor predeterminado para dicha propiedad.
- Complete las acciones siguientes si STS firma las aserciones, la propiedad personalizada
signatureRequired está establecida en el valor predeterminado de true y la propiedad personalizada
trustAnySigner está establecida en el valor predeterminado de false.
- Añada un certificado al almacén de confianza para el proveedor que permita que el certificado de firmante STS externo pase la validación de confianza, como el propio certificado de firmante STS o su certificado de entidad emisora de certificados raíz.
- Establezca la propiedad personalizada trustStorePath en un valor que coincida con el nombre de archivo del almacén de confianza. Este valor puede ser totalmente calificado o utilice palabras clave como ${USER_INSTALL_ROOT}.
- Establezca la propiedad personalizada trustStoreType en un valor que coincida con el tipo de almacén de claves. Los tipos de almacén de claves soportados son: jks, jceks y pkcs12.
- Establezca la propiedad personalizada trustStorePassword en un valor que coincida con la contraseña del almacén de confianza. La contraseña se almacena como propiedad personalizada y la consola administrativa la codifica.
- Opcional: Establezca la propiedad personalizada trustedAlias en un valor como samlissuer. Si se especifica esta propiedad, el certificado X.509 representado por el alias es el único certificado de STS que es de confianza para la verificación de firmas de SAML. Si no se especifica esta propiedad personalizada, el entorno de ejecución de servicios web utiliza el certificado firmante de las aserciones SAML para validar la firma SAML y, a continuación, verifica el certificado en el almacén de confianza configurado.
- Opcional: Puede configurar el destinatario para que se valide el nombre del emisor o el SubjectDN de certificado
del emisor en la aserción SAML, o puede validar ambas cosas.
Cree una lista de nombres de emisores de confianza o una lista de SubjectDN de certificados de confianza o ambos tipos de listas. Si crea listas tanto de nombres de emisor como de SubjectDN, se verifican tanto el nombre de emisor como el SubjectDN. Si el nombre de emisor SAML o el SubjectDN de firmante no figuran en la lista de confianza, la validación SAML fallará y se emitirá una excepción.
Este ejemplo muestra cómo crear una lista de emisores de confianza y los SubjectDN de confianza. Para cada nombre de emisor de confianza, utilice trustedIssuer_n siendo n un entero positivo. Para cada SubjectDN de confianza, utilice trustedSubjectDN_n siendo n un entero positivo. Si crea los dos tipos de lista, el entero n debe coincidir en las dos listas para la misma aserción SAML. El entero n empieza por 1 y va aumentando de uno en uno.
En este ejemplo, confía en una aserción SAML con el nombre de emisor WebSphere/samlissuer, independientemente del SubjectDN del firmante, por lo que añade la siguiente propiedad personalizada:<properties value="WebSphere/samlissuer" name="trustedIssuer_1"/>
Asimismo, confía en una aserción SAML emitida por IBM/samlissuer, cuando el SubjectDN del firmante es ou=websphere,o=ibm,c=us, por lo tanto, añade las siguientes propiedades personalizadas:<properties value="IBM/samlissuer" name="trustedIssuer_2"/> <properties value="ou=websphere,o=ibm,c=us" name="trustedSubjectDN_2"/>
- Pulse APLICAR.
- Pulse WS-Security en la navegación de esta página.
- Configure la firma digital general en los enlaces de proveedor.
- Configure un almacén de certificados.
- Pulse Claves y certificados.
- En Almacén de certificados, pulse Nueva entrada... .
- Especificar:
- Nombre=providerCertStore
- Certificados X.509 intermedios=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- Pulse Aceptar.
- Configure un ancla de confianza.
- En ancla de confianza, pulse Nuevo...
- Especifique Nombre=providerTrustAnchor.
- Pulse Almacén de claves externo y especifique:
- Vía de acceso completa=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- Contraseña=server
- Pulse Aceptar y, a continuación, pulse WS-Security en la navegación de esta página.
- Configure el generador de firmas.
- Pulse Autenticación y protección > AsymmetricBindingRecipientSignatureToken0 (firma del generador)y, a continuación, pulse Aplicar.
- Pulse Manejador de retorno de llamada.
- Especifique Keystore=custom.
- Pulse Configuración de almacén de claves personalizado y, a continuación, pulse
- Vía de acceso completa=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- Contraseña de almacén de claves=server
- Nombre=server
- Alias=soapprovider
- Contraseña=server
- Pulse Aceptar, Aceptar y Aceptar.
- Configure el consumidor de firma.
- Pulse AsymmetricBindingInitiatorSignatureToken0 (consumidor de firmas) y, a continuación, pulseAplicar.
- Pulse Manejador de retorno de llamada.
- Bajo Certificados, haga clic en el botón radial del almacén de certificados y especifique:
- Almacén de certificados=providerCertStore
- Almacén de ancla de confianza=providerTrustAnchor
- Pulse Aceptar.
- Pulse Autenticación y protección en la navegación de esta página.
- Configure la información de firma de solicitud.
- Pulse request:app_signparts y especifique Name=reqSignInf.
- Pulse Aplicar.
- En Información de clave de firmante, pulse Nuevo y, a continuación, especifique:
- Nombre=reqSignKeyInfo
- Consumidor o generador de señales name=AsymmetricBindingInitiatorSignatureToken0
- Pulse Aceptar.
- En Información de clave de firma, pulse reqSignKeyinfoy, a continuación, pulse Añadir.
- Bajo Referencia de parte del mensaje, seleccione request:app_signparts .
- Pulse Editar.
- En Algoritmos de transformación, pulse Nuevo y, a continuación, especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
- Pulse Aceptar, Aceptar y Aceptar.
- Configure la información de firma de respuesta.
- Pulse response:app_signparts y especifique Name=rspSignInfo.
- Pulse Aplicar.
- En Información de clave de firmante, pulse Nuevo y, a continuación, especifique:
- Nombre=rspSignKeyInfo
- Tipo=Security Token reference
- Consumidor o generador de señales name=AsymmetricBindingRecipientSignatureToken0
- Pulse Aceptar y, a continuación, pulse Aplicar.
- Bajo Referencia de parte de mensaje, seleccione response:app_signparts .
- Pulse Editar.
- En Algoritmos de transformación, pulse Nuevo.
- Especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
- Pulse Aceptar, Aceptar y Aceptar.
- Configure un almacén de certificados.
- Configure la firma digital para la señal SAML en los enlaces de proveedor.
- Pulse WS-Security en la navegación de esta página y pulse Autenticación y protección.
- Modifique los enlaces de la parte firmada del mensaje de entrada configurados para incluir la nueva parte SAML que ha creado.
En Protección de firma y cifrado de mensaje de solicitud, seleccione la referencia de parte cuyo estado se ha establecido en Configurado. La referencia a esta parte será con mayor probabilidad request:app_signparts.
- En la lista Disponible bajo Referencia de parte de mensaje, seleccione el nombre de la parte que se va a firmar, tal como se ha creado en el paso 1; por ejemplo, saml_part.
- Pulse Añadir y, a continuación, pulse Aplicar.
- En la lista Asignada bajo Referencia de parte de mensaje, resalte el nombre de la parte que ha añadido; por ejemplo, saml_part.
- Pulse Editar.
- Para el valor Algoritmos de transformación, pulse Nuevo.
- Seleccione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
- Pulse Aceptar, pulse Aceptar y, a continuación, pulse Aceptar otra vez.
- Pulse Guardar.
- Opcional: Puede configurar el enlace de llamante para seleccionar una señal SAML a fin de representar la identidad del solicitante. El entorno de ejecución de seguridad de servicios Web utiliza la configuración de inicio de sesión
JAAS especificada para adquirir el nombre de seguridad del usuario y los datos de miembros de grupo del
registro de usuarios que utiliza la señal SAML NameId o NameIdentifier como nombre de usuario.
- Pulse Aplicaciones de empresa de WebSphere > JaxWSServicesSamples > Conjuntos de políticas y enlaces del proveedor de servicios > Saml Bearer Provider sample > WS-Security > Autenticación y protección.
- Pulse Nuevo para crear la configuración de llamante.
- Especifique un Nombre, como llamante.
- Especifique un valor para Nombre local de identidad del llamante.
Para las señales SAML 1.1, especifique:
http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1Para las señales SAML 2.0, especifique:
http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 - Pulse Aplicar y Guardar.
- Reinicie la aplicación de proveedor de servicios web para que las modificaciones en la adjunción de conjunto de políticas puedan entrar en vigor.
Resultados


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsamlsendervouches
File name: twbs_configsamlsendervouches.html