Habilitación del sistema para utilizar la característica de inicio de sesión único (SSO) web SAML

Antes de empezar

En esta tarea se presupone que está familiarizado con la característica de inicio de sesión único SAML.

Acerca de esta tarea

Para poder utilizar la característica de inicio de sesión único web SAML, debe instalar el servicio de consumidor de aserciones (ACS) de SAML y habilitar el TAI de SAML. Si tiene previsto utilizar su aplicación empresarial como aplicación ACS de SAML, no es necesario instalar la aplicación ACS de SAML en el primer paso. En su lugar, debe especificar el URL de la aplicación empresarial para el valor de acsUrl.
Avoid trouble Avoid trouble: La aplicación ACS de SAML debe instalarse en cada servidor de aplicaciones que se ha configurado o se va a configurar para aceptar SAMLResponses de IdP. Estos servidores se referenciarán en los URL especificados en las propiedades personalizadas del TAI de SAML sso_.sp.acsUrl. gotcha

Procedimiento

  1. Instale la aplicación ACS de SAML. Elija uno de los procedimientos siguientes:
    • Mediante la consola administrativa, instale el archivo raíz_servidor_aplic/installableApps/WebSphereSamlSP.ear en el servidor de aplicaciones o clúster.
    • Instale la aplicación ACS de SAML utilizando el script python.
      1. Vaya al directorio raíz_servidor_aplicaciones/bin.
      2. Ejecute el script installSamlACS.py.
        wsadmin -f installSamlACS.py install <nombre_nodo> <nombre_servidor>
        o
        wsadmin -f installSamlACS.py install <nombre_clúster>
        donde nombre_nodo es el nombre de nodo del servidor de aplicaciones de destino, nombre_servidor es el nombre del servidor del servidor de aplicaciones de destino y nombre_clúster es el nombre del clúster del servidor de aplicaciones.
  2. Habilite el TAI de SAML. Puede habilitar el TAI de SAML mediante el programa de utilidad de mandatos wsadmin o la consola administrativa.
    • Habilitación del TAI de SAML utilizando el programa de utilidad de mandatos wsadmin.
      1. Inicie WebSphere Application Server.
      2. Inicie el programa de utilidad de mandatos wsadmin desde el directorio raíz_servidor_aplic/bin entrando el mandato siguiente: wsadmin -lang jython.
      3. En el indicador de wsadmin, entre el mandato siguiente: AdminTask.addSAMLTAISSO('-enable true -acsUrl https://<nombre_host>:<puerto_ssl>/samlsps/<cualquier patrón de URI >') donde nombre_host es el nombre de host del sistema donde está instalado WebSphere Application y puerto_ssl es el número de puerto SSL del servidor web (WC_defaulthost_secure).
      4. Guarde la configuración entrando el mandato siguiente: AdminConfig.save().
      5. Salga del programa de utilidad de mandatos wsadmin entrando el mandato siguiente: quit.
      6. Reinicie WebSphere Application Server.
    • Habilitación del TAI de SAML mediante la consola administrativa.
      1. Inicie una sesión en la consola administrativa de WebSphere Application Server.
      2. Pulse Seguridad Seguridad global.
      3. Expanda Seguridad Web y SIP y pulse Asociación de confianza .
      4. En la cabecera Propiedades generales, marque el recuadro de selección Habilitar la asociación de confianza y pulse Interceptores.
      5. Pulse Nuevo y especifique com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor en el campo Nombre de clase del interceptor.
      6. En Propiedades personalizadas, cumplimente la información de propiedad personalizada siguiente: Nombre: sso_1.sp.acsUrl y Valor: https://<nombre_host>:<puerto_ssl>/samlsps/<cualquier serie de patrón de URI> donde nombre_host es el nombre de host del sistema donde está instalado WebSphere Application y puerto_ssl es el número de puerto SSL del servidor web (WC_defaulthost_secure).
        Nota: Si necesita tener varios puntos de entrada similares para los flujos de trabajo de SAML, puede especificar un valor comodín en lugar de una serie de patrón de URI específica al final del URL especificado como valor de esta propiedad. Si se especifica un comodín como parte del valor de esta propiedad se evita la necesidad de configurar por separado cada uno de los puntos de entrada similares.

        A continuación se muestran algunos ejemplos de formas válidas para incluir un comodín como parte del valor para esta propiedad:

        https://<servidor>/<raíz_contexto>/ep1/path1/p*
        https://<servidor>/<raíz_contexto>/ep1/path1/*
        https://<servidor>/<raíz_contexto>/ep1/*

        Avoid trouble Avoid trouble: Si utiliza metadatos para configurar el SSO, no pueden utilizarse comodines en la definición de acsUrl. gotcha
      7. Pulse Nuevo y especifique la información de la propiedad personalizada siguiente: Nombre: sso_1.sp.idMap y Valor: idAssertion.
      8. Pulse Aceptar.
      9. Vuelva a SeguridadSeguridad global y pulse Propiedades personalizadas.
      10. Pulse Nuevo y defina la siguiente información de la propiedad personalizada en Propiedades generales: Nombre: com.ibm.websphere.security.DeferTAItoSSO y Valor: com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
        Avoid trouble Avoid trouble: La propiedad com.ibm.websphere.security.DeferTAItoSSO, se ha utilizado anteriormente en la configuración predeterminada de todos los servidores instalados. Ahora sólo se utiliza como parte de la configuración SAML. Por lo tanto, aunque esta propiedad ya existe en la configuración del sistema, debe cambiar su valor a com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor. No se pueden especificar varios valores, separados por comas, para esta propiedad. Debe establecerse en un TAI de SAML único.gotcha
      11. Pulse Nuevo y defina la siguiente información de la propiedad personalizada en Propiedades generales: Nombre: com.ibm.websphere.security.InvokeTAIbeforeSSO y Valor: com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
      12. Pulse Aceptar.
      13. Reinicie WebSphere Application Server.

Resultados

El TAI de SAML ahora está habilitado para WebSphere Application Server.

Qué hacer a continuación

Después de habilitar la característica de inicio de sesión único web SAML, debe configurar WebSphere Application Server como socio proveedor de servicios (SP) para participar en escenarios de inicio de sesión único iniciados por IdP con otros proveedores de identidades.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_enablesamlsso
File name: twbs_enablesamlsso.html