Antes de empezar
Para poder utilizar este mandato, debe configurar el interceptor de asociación de confianza (TAI) de SAML (Security Assertion Markup Language) al menos con un socio de inicio de sesión único (SSO) utilizando el mandato
addSAMLTAISSO. Si crea su propio almacén de confianza, debe especificarse en la entrada
sso_<ID>.sp.trustStore. Si no especifica la propiedad
sp.trustStore, se utilizará el almacén de confianza predeterminado. Todos los certificados del proveedor de identidades (IdP) y el proveedor de servicios se guardan en el mismo almacén de confianza.
Acerca de esta tarea
Puede utilizar el programa de utilidad de línea de mandatos
wsadmin para importar el socio IdP de SAML en el TAI de SAML en la configuración de seguridad para WebSphere Application Server. Este mandato importará los datos de socio IdP siguientes:
- ID de entidad
- Certificado para firmas
- Enlace HTTP-POST SingleSignOnService
Avoid trouble: Si falta cualquiera de las propiedades anteriores, el mandato registra un mensaje de aviso.
gotcha
Procedimiento
- Inicie WebSphere Application Server.
- Inicie el programa de utilidad de mandatos wsadmin desde el directorio raíz_servidor_aplic/bin entrando el mandato siguiente: wsadmin -lang jython.
- En el indicador de mandatos wsadmin, escriba el mandato siguiente:
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
-idpId 1 -ssoId 1 -signingCertAlias idpcert')
Puede utilizar los parámetros siguientes con este mandato:
Tabla 1. parámetros de importSAMLIdpMetaDataParámetro |
Descripción |
-ssoId |
Este parámetro es opcional si sólo tiene un socio de proveedor de servicios de inicio de sesión único. Si tiene más de un socio proveedor de servicios de inicio de sesión único, este parámetro es obligatorio. Es el identificador para el grupo de propiedades personalizadas asociadas con el socio proveedor de servicios de inicio de sesión único. Este parámetro se especifica como un entero. |
-idpId |
Este parámetro es opcional.
Es el identificador IdP para el grupo de propiedades personalizadas que se van a definir con este mandato. Si el parámetro no se especifica, se asigna un identificador no asignado. Este parámetro se especifica como un entero. |
-signingCertAlias |
Este parámetro es opcional si no tiene un certificado para firmas. Si tiene un certificado para firmas, este parámetro es obligatorio. Este parámetro especifica el alias que desea asignar como nombre al certificado en el almacén de claves actual. Este parámetro se especifica como un valor booleano. |
-idpMetadataFileName |
Este parámetro es obligatorio. Especifique el nombre de archivo totalmente calificado para los metadatos del socio IdP de SAML. Este parámetro se especifica como una serie. |
-securityDomainName |
Este parámetro especifica el nombre del dominio de seguridad de interés. Si no
se especifica ningún valor para este parámetro, el mandato utiliza la
configuración de seguridad global. Este parámetro se especifica como una serie. |
Resultados
Las propiedades del socio IdP se han añadido al TAI de SAML para este WebSphere Application Server.
Ejemplo
El ejemplo siguiente importa los metadatos del socio IdP de SAML 1 al socio proveedor de servicios de inicio de sesión único del TAI de SAML 1 de seguridad global con un nombre de alias de certificado para firmas
idp1CertAlias:
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
El ejemplo siguiente importa los metadatos del socio IdP de SAML 1 al socio proveedor de servicios de inicio de sesión único del TAI de SAML 1 del dominio de seguridad
myDomain1 con un nombre de alias de certificado para firmas
idp1CertAlias:
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')