Configuration des partenaires SSO
Avant de commencer
Pourquoi et quand exécuter cette tâche
Procédure
- Ajoutez un fournisseur d'identité au fournisseur de services SAML
WebSphere Application Server pour la connexion unique. Pour utiliser le fournisseur de
services SAML WebSphere Application Server pour la connexion unique avec un fournisseur d'identité,
vous devez ajouter le fournisseur d'identité en tant que partenaire.
Pour ce faire, vous pouvez
importer les métadonnées du fournisseur d'identité ou suivre la procédure manuelle.
- Ajoutez un fournisseur d'identité à l'aide des métadonnées du fournisseur d'identité.
- Démarrez WebSphere Application Server.
- Démarrez l'utilitaire de ligne de commande wsadmin dans le répertoire app_server_root/bin en entrant la commande suivante : wsadmin -lang jython.
- A l'invite wsadmin, entrez la commande suivante : AdminTask.importSAMLIdpMetadata('-idpMetadataFileName <IdPMetaDataFile> -idpId 1 -ssoId 1 -signingCertAlias <idpAlias>'), où IdpMetaDataFile est le chemin d'accès complet du fichier de métadonnées IdP et IdpAlias le nom d'alias que vous avez spécifié pour le certificat importé.
- Sauvegardez la configuration en entrant la commande suivante : AdminConfig.save().
- Quittez l'utilitaire de commande wsadmin en entrant la commande suivante : quit.
- Redémarrez WebSphere Application Server.
- Ajoutez manuellement un fournisseur d'identité au fournisseur de services SAML
WebSphere Application Server.
L'exigence minimale pour configurer le fournisseurs de service SAML WebSphere Application Server en tant que partenaire SSO auprès d'un fournisseur d'identité consiste à importer le certificat de signataire du jeton SAML depuis le fournisseur d'identité dans le fichier de clés certifiées du fournisseur de services. Le fournisseur de services peut être configuré pour fonctionner avec plusieurs fournisseurs d'identité. Pour chaque fournisseur d'identité, vous devez importer le certificat de signataire du jeton SAML.
Vous pouvez importer le certificat utilisé par un IdP pour signer le jeton SAML à l'aide de la console d'administration ou de l'utilitaire de ligne de commande wsadmin.
- Importez le certificat de signataire du jeton SAML à l'aide de la console d'administration.
- Connectez vous à la console d'administration de WebSphere Application Server.
- Cliquez sur Sécurité > Gestion des certificats SSL et des clés > Magasins de clés et certificats > NodeDefaultTrustStore > Certificats de signataire. Utilisez CellDefaultTrustStore à la place de NodeDefaultTrustStore pour un gestionnaire de déploiement.
- Cliquez sur Ajouter.
- Renseignez les informations de certificat.
- Cliquez sur Appliquer.
- Importez le certificat de signataire du jeton SAML à l'aide de l'utilitaire de ligne de commande wsadmin.
- Démarrez WebSphere Application Server.
- Démarrez l'utilitaire de ligne de commande wsadmin dans le répertoire app_server_root/bin en entrant la commande suivante : wsadmin -lang jython.
- A l'invite wsadmin, entrez la commande suivante : AdminTask.addSignerCertificate('[-keyStoreName NodeDefaultTrustStore -certificateFilePath <certFile> -base64Encoded true -certificateAlias <certAlias>]'); où certFile est le chemin d'accès complet du fichier de certificat et certAlias l'alias du certificat. Utilisez CellDefaultTrustStore à la place de NodeDefaultTrustStore pour un gestionnaire de déploiement.
- Sauvegardez la configuration en entrant la commande suivante : AdminConfig.save().
- Quittez l'utilitaire de commande wsadmin en entrant la commande suivante : quit.
- Ajoutez des domaines IdP à la liste des domaines accrédités entrants. Pour chaque fournisseur d'identité utilisé avec votre fournisseur de services
WebSphere Application Server, vous devez accorder une sécurité entrante à tous les domaines utilisés par le
fournisseur d'identité.
Vous pouvez accorder la sécurité entrante aux fournisseurs d'identité à l'aide de la console d'administration ou de l'utilitaire de commande wsadmin.
- Ajoutez une sécurité entrante à l'aide de la console d'administration.
- Cliquez sur Sécurité globale.
- Dans le référentiel de compte utilisateur, cliquez sur Configurer.
- Cliquez sur Domaine d'authentification sécurisé - entrant.
- Cliquez sur Ajouter un domaine externe.
- Renseignez le nom de domaine externe.
- Cliquez sur OK et sauvegardez mes changements apportés à la configuration principale.
- Ajoutez la sécurité entrante à l'aide de l'utilitaire de ligne de commande wsadmin.
- Pour ajouter un fournisseur d'identité à la sécurité entrante, utilisez la commande suivante : AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realmName>]'), où realmName est le nom du domaine auquel doit être accordée la sécurité entrante.
- Pour ajouter une liste de domaines à la sécurité entrante, utilisez la commande suivante : AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realm1|realm2|realm3>]'), où realm1, realm2, et realm3 sont les domaines à ajouter en tant que domaines accrédités.
- Ajoutez le fournisseur de services SAML WebSphere Application Server aux fournisseurs d'identité
pour SSO.
Chaque fournisseur d'identité utilisé avec votre fournisseur de services WebSphere Application Server doit être configuré pour ajouter le fournisseur de services en tant que partenaire SSO. La procédure d'ajout du partenaire de fournisseur de services à un fournisseur d'identité dépend du fournisseur d'identité spécifique. Consultez la documentation du fournisseur d'identité pour obtenir des instructions sur la manière d'ajouter une partenaire de fournisseur de services pour SSO.
Vous pouvez exporter les métadonnées du fournisseur de services WebSphere Application Server et les importer dans le fournisseur d'identité ou configurer manuellement le fournisseur d'identité pour ajouter le fournisseur de services.
Pour ajouter le fournisseur de services en tant que partenaire de fédération à un fournisseur d'identité, vous devez fournir l'URL de l'ACS du fournisseur de services, qui est le paramètre -acsUrl utilisé lors de l'activation de l'intercepteur de relations de confiance SAML.
Si un fournisseur d'identité peut utiliser le fichier de métadonnées pour ajouter le fournisseur de services en tant que partenaire de fédération, vous pouvez utiliser la commande suivante de l'utilitaire de ligne de commande wsadmin pour exporter les métadonnées du fournisseur de services :
Cette commande permet de créer le fichier de métadonnées /tmp/spdata.xml.wsadmin -lang jython AdminTask.exportSAMLSpMetadata('-spMetadataFileName /tmp/spdata.xml -ssoId 1')
Si le jeton SAML est chiffré, vous devez fournir le certificat de clé publique que le fournisseur d'identité va utiliser pour le chiffrement du jeton SAML, le certificat devant exister dans le fichier de clés par défaut WebSphere Application Server avant de procéder à l'exportation.
- Configurez le contexte de sécurité de WebSphere Application Server à
l'aide des attributs
sso_<id>.sp.idMap,sso_<id>.sp.groupMap
et sso_<id>.sp.groupName. Le fournisseur de services WebSphere Application Server intercepte un message de protocole SAML
provenant du fournisseur d'identité, puis établit le contexte de sécurité. Le contexte de
sécurité est créé en mappant l'assertion SAML. Le mappage de contexte de sécurité dans le fournisseur
de services est très flexible et configurable. Une liste des options de mappage disponibles est présentée
ci-dessous :
- idAssertion
Vous pouvez mapper l'assertion SAML à l'objet de plateforme WebSphere Application Server sans l'aide d'un registre local (comportement par défaut). Dans cette mise en oeuvre par défaut, le NameID SAML est mappé au principal, l'émetteur est mappé au domaine et les attributs sélectionnés peuvent être mappés aux membres du groupe. L'assertion d'ID peut être personnalisée dans une plus large mesure. Par exemple, vous pouvez configurer un attribut SAML en tant que principal, domaine, accessId ou une liste de membres du groupe. Vous pouvez également configurer NameQualifier de NameID en tant que domaine ou utiliser un nom de domaine prédéfini.
- localRealm
Vous pouvez configurer le fournisseur de services WebSphere Application Server afin de mapper NameID d'une assertion SAML au registre local du fournisseur de services, et générer le sujet à partir du registre. Avec cette option, vous pouvez directement rechercher le NameID SAML en fonction du registre ou utiliser un point de module d'extension pour le mappage personnalisé de l'assertion, puis utiliser le nouvel ID mappé pour générer le sujet à partir du registre.
- localRealmThenAssertion
Cette option permet de mapper le NameID au registre, puis de revenir à l'assertion d'ID si le NameID ne peut pas être mappé au registre.
- AddGroupsFromLocalRealm
Cette option combine assertion d'ID et registre local. Elle permet de réévaluer l'appartenance au groupe tout en procédant à une assertion d'ID. Soit une assertion SAML provenant d'un laboratoire partenaire, contenant l'utilisateur Joe dont l'attribut de groupe est X-ray Techs. Au niveau du fournisseur de services, le groupe X-ray Techs est un sous-groupe du groupe Technicians, mais Joe ne se trouve pas nécessairement dans le registre d'utilisateurs du fournisseur de services. Les règles d'autorisation de l'application du fournisseur de services permettent d'accéder au groupe Technicians. Pour ce faire, l'intercepteur de relations de confiance SAML doit rechercher les groupes évalués X-ray Techs dans le registre, puis inclure les groupes parent Technicians dans le sujet.
Lors de l'assertion d'ID pour créer un contexte de sécurité, un domaine de sécurité personnalisé est choisi. Vous devez explicitement ajouter le domaine personnalisé dans un domaine digne de confiance. Dans une mise en oeuvre d'assertion d'ID par défaut, le nom de l'émetteur SAML est utilisé en tant que domaine de sécurité. Vous devez explicitement ajouter le nom de l'émetteur à la liste des domaines d'authentification sécurisés entrants dans le registre d'utilisateurs en cours. Après avoir ajouté le domaine personnalisé aux domaines sécurisés entrants, vous pour procéder au mappage de rôle avec ce domaine personnalisé.
Pour ajouter un domaine personnalisé à un domaine accrédité, voir l'étape Ajouter des domaines IdP à la liste des domaines accrédités entrants.
- idAssertion
Résultats
Que faire ensuite


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configuresamlssopartners
Nom du fichier : twbs_configuresamlssopartners.html