Configuración de un TAI de entrada Web SAML

Puede configurar un TAI (interceptor de asociación de confianza) de entrada Web SAML para autenticar y validar una señal SAML enviada en la cabecera de solicitud de una solicitud web.

Antes de empezar

Revise las propiedades personalizadas que debe configurar para un interceptor de asociación de confianza de entrada Web SAML; consulte Propiedades personalizadas de TAI de entrada Web SAML.

Acerca de esta tarea

Configure un TAI (interceptor de asociación de confianza) para WebSphere Application Server para procesar una señal SAML enviada en la cabecera de solicitud de una solicitud web. La señal SAML debe estar codificada en Base-64 o UTF-8, y puede comprimirse en formato GZIP. La cabecera de señal SAML de la solicitud HTTP puede tener uno de los formatos siguientes:
  • Authorization=[<nombreCabecera>=<SAML_AQUÍ>]
  • Authorization=[<nombreCabecera>="<SAML_AQUÍ>"]
  • Authorization=[<nombreCabecera> <SAML_AQUÍ>]
  • <nombreCabecera>=[<SAML_AQUÍ>]

Procedimiento

  1. En la consola de administración de WebSphere, seleccione Seguridad > Seguridad global > Seguridad Web y SIP > Asociación de confianza.
  2. Seleccione Interceptores.
  3. Seleccione Nuevo para añadir un interceptor nuevo.
  4. Especifique el nombre de clase de interceptor: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI.
  5. Añada propiedades personalizadas para el entorno; consulte Propiedades personalizadas de TAI de entrada Web SAML para obtener una lista de las propiedades.
  6. Aplique y guarde las actualizaciones de configuración.
    Nota: Si guarda los cambios sin aplicarlos, descartará las propiedades personalizadas.
  7. Vuelva a Seguridad > Seguridad global y seleccione Propiedades personalizadas.
  8. Seleccione Nuevo y defina la siguiente información de propiedades personalizadas para las propiedades generales
    Nombre: com.ibm.websphere.security.InvokeTAIbeforeSSO
    Valor: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
    Nota: Si esta propiedad ya se ha definido, añada com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI al valor existente, separado por una coma para crear una lista.
  9. Importe el certificado de firmante del emisor SAML al almacén de confianza de WebSphere Application Server.
    1. En la consola administrativa, pulse SeguridadGestión de claves y certificados SSLAlmacenes de claves y certificadosNodeDefaultTrustStoreCertificados de firmante. Utilice CellDefaultTrustStore en lugar de NodeDefaultTrustStore para un gestor de despliegue.
    2. Pulse Añadir.
    3. Complete la información del certificado y, a continuación, pulse Aplicar.
  10. Añada el nombre del emisor SAML (o el valor de realmName o el valor de atributo del realmIdentifier configurado) a la lista de reinos de confianza de entrada. Para cada emisor SAML que se utiliza con el proveedor de servicios de WebSphere Application Server, debe otorgar confianza de entrada a todos los reinos utilizados por el emisor SAML. Puede otorgar confianza de entrada al emisor SAML utilizando la consola administrativa.
    1. Pulse Seguridad global.
    2. Para el repositorio de cuentas de usuario, pulse Configurar.
    3. Pulse Dominios de autenticación de confianza - entrada.
    4. Pulse Añadir reino externo.
    5. Rellene el nombre de reino externo.
    6. Pulse Aceptar y Guardar cambios en la configuración maestra.
  11. Reinicie WebSphere Application Server.

Resultados

Estos pasos establecen la configuración mínima necesaria para configurar un interceptor de asociación de confianza para un WebSphere Application Server que pueda procesar señales SAML en la cabecera de solicitud de una solicitud web de entrada.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_config_saml_web_inbound_tai
File name: twbs_config_saml_web_inbound_tai.html