Avant de commencer
Pour pouvoir utiliser cette commande, vous devez configurer l'intercepteur de relations
de confiance (TAI) SAML (Security Assertion Markup Language) avec au moins un partenaire de connexion
unique (SSO) à l'aide de la commande
addSAMLTAISSO.
Si vous créez votre propre magasin sécurisé, il doit être spécifié dans l'entrée
sso_<ID>.sp.trustStore.
Si vous ne
spécifiez pas la propriété
sp.trustStore, le fichier de clés certifiées par défaut est
utilisé. Tous les certificats du fournisseur d'identité (IdP) et du fournisseur de services
sont sauvegardés dans le même fichier de clés certifiées.
Pourquoi et quand exécuter cette tâche
Vous pouvez utiliser l'utilitaire de ligne de commande
wsadmin
pour importer le partenaire IdP SAML dans l'intercepteur de relations de confiance SAML de la configuration
de sécurité de WebSphere Application Server. Cette commande importe les données de partenaire IdP suivantes :
- ID de l'entité
- Certificat signataire
- Liaison HTTP-POST SingleSignOnService
Eviter les incidents: S'il l'une des propriétés précédentes est manquante, la commande consigne un message
d'avertissement.
gotcha
Procédure
- Démarrez WebSphere Application Server.
- Démarrez l'utilitaire de commande wsadmin dans le répertoire
racine_serveur_app/bin en entrant la commande
wsadmin -lang jython.
- A l'invite de wsadmin, entrez la commande suivante :
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
-idpId 1 -ssoId 1 -signingCertAlias idpcert')
Vous pouvez utiliser
les paramètres suivants avec cette commande :
Tableau 1. Paramètres importSAMLIdpMetaDataParamètre |
Description |
-ssoId |
Ce paramètre est facultatif si vous ne disposez que d'un seul partenaire de
fournisseur de services SSO. Si vous disposez de plusieurs partenaire de fournisseur de services SSO,
ce paramètre est obligatoire. Il s'agit de l'identifiant du groupe de propriétés personnalisées associées au
partenaire du fournisseur de services SSO. Ce paramètre se présente sous la forme d'un entier. |
-idpId |
Ce paramètre est facultatif. Il s'agit de l'identificateur IdP du groupe de propriétés
personnalisées qui doivent être définies avec cette commande. Si ce paramètre n'est pas défini, un identifier
inutilisé est attribué. Ce paramètre se présente sous la forme d'un entier. |
-signingCertAlias |
Ce paramètre est facultatif si vous ne disposez pas de certificat signataire. Dans le cas
contraire, il est obligatoire. Ce paramètre spécifie l'alias que doit porter le certificat dans la magasin
de clés en cours. Ce paramètre se présente sous la forme d'une valeur booléenne. |
-idpMetadataFileName |
Ce paramètre est obligatoire. Spécifiez le nom de fichier qualifié complet
des métadonnées du partenaire IdP SAML. Ce paramètre se présente sous la forme d'une chaîne. |
-securityDomainName |
Ce paramètre spécifie le nom du domaine de sécurité considéré. Si la valeur de ce paramètre
n'est pas spécifiée, la commande utilise la configuration de sécurité globale. Ce paramètre se présente sous la forme d'une chaîne. |
Résultats
Les propriétés du partenaire IdP sont à présent ajoutées au TAI SAML de WebSphere Application Server.
Exemple
L'exemple ci-dessous importe les métadonnées du partenaire IdP SAML 1 dans le partenaire de
fournisseur de services SSO TAI SAML 1 avec le nom d'alias de certificat signataire
idp1CertAlias :
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
L'exemple
ci-dessous importe les métadonnées du partenaire IdP SAML 1 dans le partenaire de fournisseur de services SSO TAI
SAML 1 du domaine de sécurité
myDomain1 avec le nom d'alias de certificat signataire
idp1CertAlias :
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')