Activation de votre système pour utiliser la fonction de connexion unique (SSO) Web SAML

Avant de commencer

Cette tâche suppose de bien connaître la fonction SSO SAML.

Pourquoi et quand exécuter cette tâche

Pour pouvoir utiliser la fonction SSO Web SAML, vous devez installer SAML Assertion Consumer Service (ACS) et activer le TAI SAML. Si vous prévoyez d'utiliser l'application métier en tant qu'application SAML ACS, il n'est pas utile d'installer l'application SAML ACS dans la première étape. Il est préférable de spécifier l'URL de l'application métier pour la valeur acsUrl.
Eviter les incidents Eviter les incidents: L'application SAML ACS doit être installée sur chaque serveur d'application qui a été ou qui sera configurée pour accepter les réponses SAML de l'IdP. Ces serveurs seront référencés sur les URL spécifiées dans les propriétés personnalisées d'intercepteur de relations de confiance SAML sso_.sp.acsUrl. gotcha

Procédure

  1. Installez l'application SAML ACS. Choisissez l'une des approches suivantes :
    • A l'aide de la console d'administration, installez le fichier app_server_root/installableApps/WebSphereSamlSP.ear sur votre serveur ou cluster d'applications.
    • Installez l'application SAML ACS à l'aide du script python.
      1. Accédez au répertoire racine_serveur_app/bin.
      2. Exécutez le script installSamlACS.py.
        wsadmin -f installSamlACS.py install <nodeName> <serverName>
        ou
        wsadmin -f installSamlACS.py install <clusterName>
        nom_noeud est le nom de poste du serveur d'application cible, nom_serveur le nom du serveur d'application cible et nom_cluster le nom du cluster de serveur d'application.
  2. Activez le TAI SAML. Vous pouvez activer le TAI SAML à l'aide de l'utilitaire de commande wsadmin ou de la console d'administration.
    • Activez le TAI SAML à l'aide de l'utilitaire de commande wsadmin.
      1. Démarrez WebSphere Application Server.
      2. Démarrez l'utilitaire de commande wsadmin dans le répertoire racine_serveur_app/bin en entrant la commande wsadmin -lang jython.
      3. A l'invite wsadmin, entrez la commande suivante : AdminTask.addSAMLTAISSO('-enable true -acsUrl https://<nom_hôte>:<port_ssl>/samlsps/<chaîne de masque URI>')nom_hôte est le nom d'hôte du système sur lequel est installé WebSphere Application et port_ssl est le numéro de port SSL du serveur Web (WC_defaulthost_secure).
      4. Sauvegardez la configuration en entrant la commande suivante : AdminConfig.save().
      5. Quittez l'utilitaire de commande wsadmin en entrant la commande suivante : quit.
      6. Redémarrez WebSphere Application Server.
    • Activez le TAI SAML à l'aide de la console d'administration.
      1. Connectez vous à la console d'administration de WebSphere Application Server.
      2. Click SecurityGlobal security.
      3. Développez Web et sécurité SIP, puis cliquez sur Relation de confiance.
      4. Dans l'en-tête Propriétés générales, cochez la case Activer la relation de confiance et cliquez sur Intercepteurs.
      5. Cliquez sur Nouveau et entrez com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor dans la zone Nom de classe d'intercepteur.
      6. Dans Propriétés personnalisées, renseignez les informations de propriétés personnalisées suivantes : Nom : sso_1.sp.acsUrl et Valeur : https://<nom_hôte>:<port_ssl>/samlsps/<chaîne de masque URI>nom_hôte est le nom d'hôte du système sur lequel est installé WebSphere Application et port_ssl le numéro de port SSL du serveur Web (WC_defaulthost_secure).
        Remarque : Si vous avez besoin de plusieurs points d'entrée similaires pour vos flux de travaux SAML, vous pouvez spécifier un caractère générique à la place d'une chaîne de masque URI spécifique à la fin de l'URL spécifiée en tant que valeur de cette propriété. Il n'est alors plus indispensable de configurer séparément chacun des points d'entrée similaires.

        Voici quelques exemples de méthodes d'insertion d'un caractère générique en tant que valeur de cette propriété :

        https://<serveur>/<racine_contexte>/ep1/path1/p*
        https://<serveur>/<racine_contexte>/ep1/path1/*
        https://<serveur>/<racine_contexte>/ep1/*

        Eviter les incidents Eviter les incidents: Si vous utilisez des métadonnées pour configurer votre connexion unique, des caractères génériques ne peuvent pas être utilisés dans la définition acsUrl.gotcha
      7. Cliquez sur Nouveau et entrez les informations de propriété personnalisée suivantes : Nom : sso_1.sp.idMap et Valeur : idAssertion.
      8. Cliquez sur OK.
      9. Go back to SecurityGlobal security and click Custom properties.
      10. Cliquez sur Nouveau et définissez les informations de propriété personnalisée suivantes dans Propriétés générales: Nom : com.ibm.websphere.security.DeferTAItoSSO et Valeur : com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
        Eviter les incidents Eviter les incidents: Avant, la propriété com.ibm.websphere.security.DeferTAItoSSO était utilisée dans la configuration par défaut de tous les serveurs installés. Désormais, elle n'est utilisée que dans la configuration SAML. Par conséquent, même si cette propriété existe déjà dans votre configuration système, vous devez remplacer sa valeur par com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor. Vous ne pouvez pas spécifier plusieurs valeurs séparées par une virgule pour cette propriété. Il doit d'agit d'un intercepteur de relations de confiance (TAI) SAML unique.gotcha
      11. Cliquez sur Nouveau et définissez les informations de propriété personnalisée suivantes dans Propriétés générales: Nom : com.ibm.websphere.security.InvokeTAIbeforeSSO et Valeur : com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
      12. Cliquez sur OK.
      13. Redémarrez WebSphere Application Server.

Résultats

L'intercepteur de relations de confiance (TAI) SAML est à présent activé pour WebSphere Application Server.

Que faire ensuite

Après avoir activé la fonction SSO Web SAML, vous devez configurer WebSphere Application Server en tant que partenaire de fournisseur de services afin de participer aux scénarii de connexion unique initiée par IdP avec d'autres fournisseurs d'identité.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_enablesamlsso
Nom du fichier : twbs_enablesamlsso.html