Gestion de la configuration de jeton SAML auto-généré à l'aide des commandes wsadmin

L'utilisation du fichier SAMLIssuerConfig.properties est dépréciée dans WebSphere Application Server Version 8. Vous pouvez utiliser les tâches de commande listSAMLIssuerConfig et updateSAMLIssuerConfig wsadmin pour lire et modifier le niveau de cellule SAMLIssuerConfig.properties et les fichiers de configuration au niveau du serveur. Depuis WebSphere Application Server Version 8, vous devez utiliser la console d'administration ou la tâche de commande setSAMLIssuerConfigInBinding pour spécifier une configuration de jeton SAML auto-généré en propriété personnalisée dans la configuration sortante du demandeur dans les liaisons générales ou dans les liaisons spécifiques à l'application. N'utilisez pas le fichier SAMLIssuerConfig.properties au niveau de la cellule ni du serveur.

Avant de commencer

Le produit fournit un autre moyen de spécifier une configuration de jeton SAML auto-généré dans les liaisons de l'ensemble de règles. Migrez les données de configuration du jeton SAML auto-généré à partir du fichier SAMLIssuerConfig.properties vers les liaisons. La spécification des données de configuration pour créer des jetons SAML auto-générés dans les liaisons générales ou des liaisons spécifiques à l'application fournit la souplesse de gestion permettant de spécifier la configuration de manière plus précise, en plus du niveau du serveur ou de la cellule. Par exemple, vous pouvez configurer un émetteur de jeton SAML spécifique pour une application de service Web particulière, pour un groupe d'applications arbitraire ou pour une application de service Web dans un domaine de sécurité.

Eviter les incidents Eviter les incidents: Les données de configuration de jeton SAML auto-généré définies dans les liaisons sont prioritaires par rapport aux données définies dans le fichier SAMLIssuerConfig.properties au niveau du serveur ou de la cellule, dans cet ordre. Lorsque les données de configuration de jeton SAML auto-généré sont définies dans des liaisons d'ensemble de règles jointes, l'environnement d'exécution de sécurité des services Web ignore les fichiers SAMLIssuerConfig.properties, au niveau du serveur comme au niveau de la cellule. Il est donc important de migrer toutes les propriétés requises lorsque vous effectuez une migration à partir du fichier SAMLIssuerConfig.properties vers les liaisons.gotcha

Pourquoi et quand exécuter cette tâche

Deux tâches de commande sont disponibles pour gérer la configuration de l'émetteur SAML basé sur le fichier SAMLIssuerConfig.properties. Ce fichier peut être situé au niveau de la cellule et au niveau du serveur. Ces deux tâches sont les suivantes :

  • listSAMLIssuerConfig
  • updateSAMLIssuerConfig

Procédure

  1. Exécutez la tâche de commande wsadmin en mode interactif. Le script Jython suivant illustre la manière d'exécuter la tâche de commande wsadmin en mode interactif.
    AdminTask.listSAMLIssuerConfig('[-interactive]')

    Pour sélectionner la configuration de l'émetteur SAML au niveau du serveur, les paramètres serverName et nodeName sont requis. Si ces paramètres manquent, la tâche de commande répertorie la configuration de l'émetteur SAML au niveau de la cellule.

  2. Utilisez la tâche de commande listSAMLIssuerConfig pour afficher la configuration de l'émetteur SAML au niveau du serveur.
    AdminTask.listSAMLIssuerConfig('[-nodeName Node01 -serverName server1]')

    Vous avez besoin du privilège de rôle administratif “monitor” ou supérieur pour exécuter la commande listSAMLIssuerConfig.

  3. Utilisez la tâche de commande updateSAMLIssuerConfig pour mettre à jour la configuration de l'émetteur SAML au niveau du serveur ou de la cellule.
    AdminTask.updateSAMLIssuerConfig('[-IssuerURI My_Issuer 
                                       -TimeToLiveMilliseconds 3600000 
                                       -KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01" 
                                       -KeyAlias samlissuer 
                                       -KeyName "CN=SAMLIssuer, O=Acme, C=US" -KeyPassword ***** 
                                       -TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')

    Si les paramètres serverName et nodeName ne sont pas spécifiés, la tâche met à jour la configuration de l'émetteur SAML au niveau de la cellule.

    Vous avez besoin du privilège de rôle administratif “administrator” pour exécuter la commande updateSAMLIssuerConfig.

Résultats

Vous avez créé des scripts de commande pour automatiser le processus de mise à jour des fichiers SAMLIssuerConfig.properties au niveau de la cellule ou du serveur, ou vous avez créé des données de configuration de jeton SAML auto-généré en propriétés personnalisées dans la configuration sortante du demandeur dans les liaisons générales ou dans les liaisons spécifiques à l'application.

Exemple

L'exemple suivant illustre comment ajouter ou modifier les données de configuration de jeton SAML auto-généré dans les liaisons spécifiques à l'application :
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName SAMLTestAppClientBinding 
-bindingLocation [ [application JaxWSServicesSamples] [attachmentId 1904] ] 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 " 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')
L'exemple suivant illustre la manière de modifier les liaisons générales :
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName "Saml Bearer Client sample" 
-bindingScope domain -bindingLocation  -domainName global 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath "profile_root/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme, C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath "profile_root/profiles/<server_name>/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword *****]')

Lors de la spécification des liaisons de l'application, bindingLocation est un paramètre requis et peut être fourni en objet de propriétés. Les noms de ces propriétés sont application et attachmentId. Lors de la spécification des liaisons générales, bindingLocation, qui peut être null ou avoir des propriétés vides, est requis. De plus, bindingScope est requis si la portée n'est pas globale. Utilisez le paramètre bindingName pour identifier l'emplacement de la liaison. Pour plus d'informations sur bindingLocation, bindingScope et domainName, consultez la documentation relatives aux tâches des commandes setBinding ou getBinding.

Pour supprimer les propriétés personnalisées de configuration de l'émetteur SAML des liaisons, utilisez la console d'administration ou la tâche de commande setBinding.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_manage_saml_self_issuer
Nom du fichier : twbs_manage_saml_self_issuer.html