Configuration des clients et des fournisseurs pour le jeton SAML sender-vouches (envoyeur garant)

Vous pouvez configurer les associations d'ensembles de règles et les liaisons des clients et des fournisseurs pour le jeton SAML sender-vouches. Un jeton SAML sender-vouches est un jeton SAML utilisant la méthode de confirmation de sujet sender-vouches. La méthode de confirmation sender-vouches est utilisée lorsqu'un serveur doit propager l'identité ou le comportement du client.

Avant de commencer

  • Avant de pouvoir utiliser un jeton SAML sender-vouches, vous devez créer un ou plusieurs profils de serveur ou ajouter des paramètres de configuration SAML à un profil existant.

    Pour plus d'informations sur la création d'un profil de serveur, reportez-vous à la rubrique Création de profils de serveur d'applications.

    Consultez les différentes rubriques expliquant comment configurer SAML pour savoir comment ajouter des paramètres de configuration SAML à un profil existant.

  • Déterminez le type de sécurité que vous souhaitez utiliser pour protéger l'intégrité des messages SOAP et des jetons SAML de sorte qu'un destinataire puisse vérifier que le contenu des messages et les jetons SAML n'ont pas été modifiés par des parties non autorisées. Vous devez utiliser la sécurité de niveau message ou le transport HTTPS.

    Comme indiqué dans la section 3.5.2.1 de la spécification de profil de jeton SAML :

    "Pour satisfaire le traitement du destinataire à l'aide de la méthode de confirmation associée, l'entité de certification doit absolument protéger le contenu de message SOAP cautionné de sorte que le destinataire puisse déterminer quand il a été modifié par un tiers. L'entité de certification DOIT également faire en sorte que les instructions cautionnées (selon les besoins) ainsi que leur liaison avec le contenu de message soient protégées afin de détecter toute modification non autorisée."

    Vous pouvez utiliser la sécurité de niveau transport ou de niveau message pour satisfaire cette exigence SAML sender-vouches :

    Vous devez utiliser la sécurité de niveau message ou le transport HTTPS pour protéger le jeton sender-vouches.
    • Pour utiliser la sécurité de niveau transport HTTP, configurez le transport HTTPS.
    • Pour utiliser la sécurité de niveau message, la spécification de profil de jeton SAML suggère que l'entité de certification "signe le contenu de message et les assertions appropriées".
    Pour signer le contenu de message et les assertions appropriées, vous devez au moins signer le jeton SAML (l'assertion). Le contenu approprié est fonction de votre application. La spécification recommande ce qui suit :
    • L'émetteur doit au moins signer conjointement le corps SOAP et l'assertion SAML afin de satisfaire l'exigence de contenu de message approprié.
    • Le consommateur vérifie que le jeton SAML est signé avec le corps SOAP lors de l'utilisation de SAML sender-vouches.

Pourquoi et quand exécuter cette tâche

Cette procédure décrit les étapes à effectuer pour la signature numérique d'un jeton SAML. Elle ne décrit aucune des exigences de la norme OASIS de profil de jeton SAML pour les jetons SAML sender-vouches ou SAML bearer concernant les parties de message à signer.

L'exemple présenté dans cette procédure utilise le modèle d'application de services Web JaxWSServicesSamples.

La procédure de création de l'ensemble de règles sender-vouches commence par la création d'une règle SAML sender-vouches.

Procédure

  1. Créez la règle SAML sender-vouches, puis configurez les parties de message.

    Vous devez créer un ensemble de règles SAML sender-vouches basé sur l'ensemble de règles du jeton SAML bearer avant de pouvoir configurer les liaisons client et fournisseur du jeton SAML sender-vouches. Une fois l'ensemble de règles créé, vous devez associer les liaisons aux applications client et fournisseur JAX-WS. Pour plus d'informations sur les ensembles de règles bearer, reportez-vous à la rubrique Configuration des liaisons des clients et des fournisseurs pour le jeton SAML bearer.

    Le produit contient de nombreux ensembles de règles d'application par défaut destinés au jeton SAML, ainsi que plusieurs modèles de liaisons générales pour le client et le fournisseur. Un ensemble de règles utilisé pour le jeton SAML sender-vouches est similaire à celui d'un jeton SAML bearer. La procédure ci-dessous montre comment créer un ensemble de règles sender-vouches basé sur un ensemble de règles du jeton SAML bearer.

    A moins qu'elles soient importées sous forme de copie, les règles SAML20 Bearer WSSecurity Default et SAML20 Bearer WSHTTPS Default ne peuvent pas être mises à jour pour être utilisées avec des jetons SAML sender-vouches. Les règles SAML20 Bearer WSSecurity Default et SAML20 Bearer WSHTTPS Default ne sont pas configurées pour signer le jeton SAML. Pour satisfaire l'exigence des jetons SAML sender-vouches, les règles doivent être mises à jour pour que le jeton SAML puisse être signé. Par conséquent, les règles doivent être importées sous forme de copie ou vous devez effectuer une copie des règles. La procédure ci-dessous permet d'effectuer une copie des règles.

    1. Importez les ensembles de règles requis.

      La section Avant de commencer de la rubrique Configuration des liaisons des clients et des fournisseurs pour le jeton SAML explique comment importer les règles Username WSHTTPS Default et SAML Bearer du type désiré. Par exemple, la règle SAML20 Bearer WSSecurity Default est utilisée pour les jetons SAML 2.0 sender-vouches utilisant HTTP.

    2. Faites une copie de la règle SAML Bearer importée désirée que vous pouvez modifier.
      1. Dans la console d'administration, cliquez sur Services > Ensembles de règles > Ensembles de règles de l'application.
      2. Sélectionnez la règle SAML Bearer importée à copier.

        Par exemple, vous pouvez sélectionner SAML20 Bearer WSSecurity Default.

      3. Cliquez sur Copier...
      4. Indiquez le nom souhaité dans la zone Nom. Par exemple, vous pouvez spécifier SAML20 sender-vouches.
      5. Cliquez sur OK.
    3. Modifiez la nouvelle règle SAML sender-vouches pour ajouter la signature numérique du jeton SAML.
      1. Dans la console d'administration, cliquez sur Services > Ensembles de règles > Ensembles de règles de l'application.
      2. Sélectionnez la règle que vous venez de créer.

        A l'aide de l'exemple précédent, sélectionnez SAML20 sender-vouches.

    4. Dans la console administrative, éditez l'ensemble de règles SAML, puis cliquez sur WS-Security > Règle principal > Protection des parties de message de demande.
    5. Sous Protection de l'intégrité, cliquez sur Ajouter.
    6. Saisissez le nom d'une portion dans la zone Nom de la partie à signer, par exemple portion_saml.
    7. Dans Eléments figurant dans la partie, cliquez sur Ajouter.
    8. Sélectionnez Expression XPath.
    9. Ajoutez deux expressions XPath.
      /*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
      /*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Envelope']/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
    10. Cliquez sur Valider et sur Sauvegarder.
    11. Si une application n'a jamais démarré à l'aide de cette règle, aucune autre action n'est requise. Dans le cas contraire, redémarrez le serveur d'applications ou suivez les instructions figurant dans l'article Régénération des configurations d'ensemble de règles à l'aide de l'outil de scriptage wsadmin, de sorte que le serveur d'applications recharge l'ensemble de règles.
  2. Configurez le client sécurisé

    Si vous allez utiliser des liaisons générales pour accéder au STS externe, ignorez cette étape pour aller à l'étape d'association des ensembles de règles et des liaisons à l'application client.

    Si vous allez utiliser des liaisons spécifiques à une application pour accéder au STS externe, effectuez les sous-étapes ci-dessous.

    1. Associez provisoirement un ensemble de règles pour le client sécurisé à l'application client des services Web, de sorte que les liaisons puissent être configurées.

      L'association d'un ensemble de règles pour le client sécurisé vous permet d'utiliser la console d'administration pour créer et ensuite modifier les liaisons de document de liaison du client. Vous devez effectuer cette action uniquement si une liaison spécifique à l'application est utilisée pour l'accès au STS externe.

      1. Dans la console d'administration, cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > JaxWSServicesSamples > Liaisons et ensembles de règles de client de service.
      2. Sélectionnez la ressource de client de services Web (JaxWSServicesSamples).
      3. Cliquez sur Lier un ensemble de règles du client.
      4. Sélectionnez l'ensemble de règles Username WSHTTPS default.
    2. Créez la liaison du client sécurisé.
      1. Sélectionnez de nouveau la ressource de client de services Web (JaxWSServicesSamples).
      2. Cliquez sur Affecter une liaison.
      3. Cliquez sur Nouvelle liaison spécifique à l'application pour créer une liaison spécifique à l'application.
      4. Entrez un nom de configuration de liaison pour la nouvelle liaison spécifique à l'application. Dans cet exemple, le nom de liaison est SamlTCSample.
    3. Ajoutez le type de règle de transport SSL à la liaison.

      Cliquez sur Ajouter > Transport SSL, puis sur OK.

    4. Ajoutez le type de règle WS-Security à la liaison, puis modifiez les paramètres d'authentification pour le client sécurisé.
      1. Si le type de règle WS-Security ne figure pas déjà dans la définition de liaison SamlTCSample, cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > JaxWSServicesSamples > Liaisons et ensembles de règles de client de service > SamlTCSample.
      2. Cliquez sur Ajouter > WS-Security > Authentification et protection > request:uname_token.
      3. Cliquez sur Apply.
      4. Sélectionnez Gestionnaire d'appel
      5. Spécifiez un nom d'utilisateur et un mot de passe pour que le client de services Web s'authentifie sur le STS externe.
      6. Cliquez sur OK, puis sur Sauvegarder.
    5. Une fois les paramètres de liaison sauvegardés, retournez au panneau Liaisons et ensembles de règles de client de service, puis dissociez l'ensemble de règles et les liaisons.
      1. Cliquez soit sur Liaisons et ensembles de règles de client de service dans le panneau de navigation de cette page, soit sur Applications > Types d'application > Applications d'entreprise WebSphere > JaxWSServicesSamples > Liaisons et ensembles de règles de client de service.
      2. Sélectionnez la ressource de client de services Web (JaxWSServicesSamples), puis cliquez sur Dissocier un ensemble de règles du client.

      La configuration de liaison spécifique à l'application que vous venez de créer n'est pas supprimée du système de fichiers lorsque l'ensemble de règles est dissocié. La liaison créée pour accéder au STS avec le client sécurisé est donc encore utilisable.

  3. Associez l'ensemble de règles SAML sender-vouches et créez des liaisons spécifiques à l'application client.

    Vous devez utiliser des liaisons personnalisées spécifiques à une application, la place de liaisons générales pour sender-vouches. C'est pourquoi, si vous configurez des ensembles de règles et des liaisons sender-vouches provenant d'ensembles de règles et de liaisons d'un jeton bearer associé, vous devez vérifier que les liaisons affectées sont bien spécifiques à une application.

    1. Associez l'ensemble de règles SAML souhaité à l'application client des services Web.
      1. Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > JaxWSServicesSamples > Liaisons et ensembles de règles de client de service.
      2. Sélectionnez la ressource de client de services Web (JaxWSServicesSamples).
      3. Cliquez sur Lier un ensemble de règles du client.
      4. Sélectionnez la règle SAML que vous avez créée.

        Par exemple, vous pouvez sélectionner SAML20 sender-vouches.

    2. Créez des liaisons spécifiques à l'application pour le client.
      1. Sélectionnez de nouveau la ressource de client de services Web (JaxWSServicesSamples).
      2. Cliquez sur Affecter une liaison.
      3. Sélectionnez Nouvelle liaison spécifique de l'application....
      4. Entrez un nom de configuration de liaison pour la nouvelle liaison spécifique à l'application.

        Dans cet exemple, le nom de liaison est SamlSenderVouchesClient.

      5. Cliquez sur Ajouter > WS-Security.
  4. Modifiez le générateur de jeton SAML dans les liaisons de client spécifiques à l'application.
    1. Cliquez sur Authentification et protection.
    2. Sous Jetons d'authentification, cliquez sur request:SAMLToken20Bearer ou request:SAMLToken11Bearer.
    3. Cliquez sur Appliquer.
    4. Cliquez sur Gestionnaire d'appel.
    5. Ajoutez les propriétés personnalisées suivantes :
      • confirmationMethod=sender-vouches
      • keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      • stsURI=adresse_SecurityTokenService

        Par exemple, vous pouvez indiquer https://example.com/Trust/13/UsernameMixed pour adresse_SecurityTokenService.

      • wstrustClientPolicy=Username WSHTTPS default.
      • wstrustClientBinding=valeur

        La valeur que vous indiquez pour wstrustClientBinding doit correspondre au nom de la liaison spécifique à l'application du client sécurisé que vous avez créé dans les étapes précédentes. Par exemple, si vous avez créé, dans les étapes précédentes, une liaison spécifique à l'application intitulée SamlTCSample, vous devez indiquer SamlTCSample comme valeur pour la propriété wstrustClientBinding.

      • wstrustClientSoapVersion=valeur

        Indiquez la valeur 1.1 pour cette propriété si vous souhaitez utiliser SOAP Version 1.1.

        Indiquez la valeur 1.2 pour cette propriété si vous souhaitez utiliser SOAP Version 1.2.

    6. Cliquez sur OK.
    7. Cliquez sur WS-Security dans le panneau de navigation de cette page.
  5. Configurez la signature numérique générale des liaisons client.
    1. Configurez un espace de stockage de certificats.
      1. Cliquez sur Clés et certificats.
      2. Sous Espace de stockage de certificats, cliquez sur Nouvel élément entrant... .
      3. Spécifiez nom=clientCertStore.
      4. Spécifiez Certificats X.509 intermédiaires=${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/intca2.cer.
      5. Cliquez sur OK.
    2. Configurez un ancrage sécurisé.
      1. Sous Ancrage sécurisé, cliquez sur Nouveau...
      2. Spécifiez nom=clientTrustAnchor.
      3. Cliquez sur Fichier de clés externe.
      4. Spécifiez Chemin d'accès complet=${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/dsig-sender.ks.
      5. Spécifiez Mot de passe=client.
      6. Cliquez sur OK.
      7. Cliquez sur WS-Security dans le panneau de navigation de cette page.
    3. Configurez le générateur de signature.
      1. Cliquez sur Authentification et protection > AsymmetricBindingInitiatorSignatureToken0 (générateur de signature), puis cliquez sur Appliquer.
      2. Cliquez sur Gestionnaire d'appel.
      3. Spécifiez Fichier de clés=personnalisé.
      4. Cliquez sur Configuration du fichier de clés personnalisé, puis spécifiez
        • Chemin d'accès complet==${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/dsig-sender.ks
        • Mot de passe du fichier de clés=client
        • Nom=client
        • Alias=soaprequester
        • Mot de passe=client
      5. Cliquez sur OK, OK et OK.
    4. Configurez le consommateur de signature.
      1. Cliquez sur AsymmetricBindingRecipientSignatureToken0 (consommateur de signature), puis cliquez sur Appliquer.
      2. Cliquez sur Gestionnaire d'appel.
      3. Sous Certificats, cliquez sur le bouton radial Espace de stockage de certificats, puis spécifiez :
        • Espace de stockage de certificats=clientCertStore
        • Espace de stockage d'ancrages sécurisés=clientTrustAnchor
      4. Cliquez sur OK, puis de nouveau sur OK.
    5. Configurez les informations de signature de demande.
      1. Cliquez sur request:app_signparts, puis spécifiez Nom=clientReqSignInfo.
      2. Sous Informations de clé de signature, cliquez sur Nouveau , puis spécifiez :
        • Nom=clientReqSignKeyInfo
        • Type=Référence de jeton de sécurité
        • Nom du consommateur ou du générateur de jeton=AsymmetricBindingInitiatorSignatureToken0
      3. Cliquez sur OK, puis sur Appliquer.
      4. Sous Référence de partie de message, sélectionnez request:app_signparts .
      5. Cliquez sur Editer.
      6. Sous Algorithmes de transformation, cliquez sur Nouveau
      7. Spécifiez URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      8. Cliquez sur OK, OK et OK.
    6. Configurez les informations de signature de réponse.
      1. Cliquez sur response:app_signparts, puis spécifiez Nom=clientRespSignInfo.
      2. Cliquez sur Appliquer.
      3. Sous Informations de clé de signature, cliquez sur Nouveau , puis spécifiez :
        • Nom=clientRspSignKeyInfo
        • Nom du consommateur ou du générateur de jeton=AsymmetricBindingRecipientSignatureToken0
      4. Cliquez sur OK.
      5. Sous Informations de clé de signature, cliquez sur clientRspSignKeyinfo, puis cliquez sur Ajouter.
      6. Sous Référence de partie de message, sélectionnez response:app_signparts .
      7. Cliquez sur Editer.
      8. Sous Algorithmes de transformation, cliquez sur Nouveau.
      9. Spécifiez URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      10. Cliquez sur OK, OK et OK.
  6. Configurez la signature numérique générale pour le jeton SAML des liaison client.
    1. Modifiez les liaisons de partie de message signée sortantes actuellement configurées pour inclure la nouvelle partie SAML que vous avez créée.

      Dans Protection par chiffrement et signature du message de demande, sélectionnez la référence de partie dont l'état est paramétré sur Configuré. Cette référence de partie sera probablement request:app_signparts.

      1. Dans la liste Disponible située sous Référence de partie de message, sélectionnez le nom de la partie à signer, telle qu'elle est créée à l'étape 1, par exemple, saml_part.
      2. Cliquez sur Ajouter, puis sur Appliquer.
      3. Dans la liste Affecté située sous Référence de partie de message, mettez en évidence le nom de la portion ajoutée, par exemple, portion_saml.
      4. Cliquez sur Editer.
      5. Pour le paramètre Algorithmes de transformation, cliquez sur Nouveau.
      6. Sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
      7. Cliquez sur OK, puis sur OK et une nouvelle fois sur OK.
    2. Mettez à jour le générateur de jeton SAML avec la propriété personnalisée afin d'indiquer une signature numérique avec une référence de jeton de sécurité.

      Sous Jetons d'authentification, sélectionnez et éditez le jeton SAML à signer.

      1. Sous Propriété personnalisée, cliquez sur Nouveau.
      2. Entrez le nom de propriété personnalisée com.ibm.ws.wssecurity.createSTR.
      3. Entrez true comme valeur de la propriété personnalisée.
      4. Cliquez sur Appliquer, puis sur Sauvegarder.
    3. Relancez l'application.
  7. Associez l'ensemble de règles SAML sender-vouches, puis créez des liaisons spécifiques à l'application fournisseur.
    1. Associez l'ensemble de règles SAML souhaité à l'application client des services Web.
      1. Cliquez sur Applications > Types d'application > Applications d'entreprise WebSphere > JaxWSServicesSamples > Liaisons et ensembles de règles de fournisseur de service.
      2. Sélectionnez la ressource de client de services Web (JaxWSServicesSamples).
      3. Cliquez sur Lier un ensemble de règles.
      4. Sélectionnez la règle SAML que vous avez créée.

        Par exemple, vous pouvez sélectionner SAML20 sender-vouches.

    2. Créez des liaisons spécifiques à l'application pour le fournisseur.
      1. Sélectionnez de nouveau la ressource de client de services Web (JaxWSServicesSamples).
      2. Cliquez sur Affecter une liaison.
      3. Sélectionnez Nouvelle liaison spécifique de l'application....
      4. Entrez un nom de configuration de liaison pour la nouvelle liaison spécifique à l'application.

        Dans cet exemple, le nom de liaison est SamlSenderVouchesProvider.

      5. Cliquez sur Ajouter > WS-Security.
  8. Modifiez le consommateur de jeton SAML dans les liaisons de fournisseur spécifiques à l'application.
    1. Cliquez sur Authentification et protection.
    2. Sous Jetons d'authentification, cliquez sur request:SAMLToken20Bearer ou request:SAMLToken11Bearer.
    3. Cliquez sur Appliquer.
    4. Cliquez sur Gestionnaire d'appel.
    5. Ajoutez les propriétés personnalisées suivantes :
      • confirmationMethod=sender-vouches
      • keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      • signatureRequired=true
    6. Facultatif : Affectez à la propriété personnalisée trustAnySigner la valeur true pour autoriser la non-validation du certificat de signataire.

      Le paramètre de configuration de certificat Trust Any est ignoré dans le cadre de la validation de la signature SAML. Cette propriété n'est valide que si la propriété personnalisée signatureRequired est paramétrée sur true, qui est la valeur par défaut de cette propriété.

    7. Effectuez les actions ci-dessous si les assertions sont signées par le STS, que la propriété personnalisée signatureRequired est paramétrée sur la valeur par défaut true et que la propriété personnalisée trustAnySigner est paramétrée sur la valeur par défaut false.
      • Ajoutez un certificat dans le fichier de clés certifiées pour que le fournisseur qui fournit le certificat de signature STS externe de transmette la validation sécurisée, par exemple le certificat signataire STS externe proprement dit ou son certificat de CA racine.
      • Affectez à la propriété personnalisée trustStorePath une valeur correspondant au nom de fichier de clés certifiées. Cette valeur peut être un nom qualifié complet ou utiliser des mots clés tels que ${USER_INSTALL_ROOT}.
      • Affectez à la propriété personnalisée trustStoreType une valeur correspondant au type de fichier de clés. Les types de fichier de clés pris en charge sont les suivants : jks, jceks et pkcs12.
      • Affectez à la propriété personnalisée trustStorePassword une valeur correspondant au mot de passe du fichier de clés certifiées. Le mot de passe est stocké sous la forme d'une propriété personnalisée et codé par la console d'administration.
      • Facultatif : Pour la propriété personnalisée trustedAlias, vous pouvez définir une valeur du type samlissuer. Si cette propriété est définie, le certificat X.509 représenté par l'alias est le seul certificat STS de confiance pour la vérification de la signature SAML. Si la propriété personnalisée n'est pas définie, l'environnement d'exécution des services Web utilise le certificat signataire dans les assertions SAML pour valider la signature SAML, puis vérifie le certificat par rapport au fichier de clés certifiées configuré.
    8. Facultatif : Configurez le destinataire de sorte qu'il valide soit le nom de l'émetteur, soit le nom distinctif du sujet (SubjectDN) du certificat de l'émetteur dans l'assertion SAML, soit les deux.

      Vous pouvez créer une liste de confiance des noms d'émetteur, ou des noms distinctifs des sujets de certificat, ou une liste de chaque type. Si vous créez une liste de noms d'émetteur et une liste de noms distinctifs, les deux éléments sont vérifiés. Si le nom de l'émetteur SAML ou le nom distinctif du signataire reçu ne fait pas partie des listes de confiance, la validation SAML échoue et une exception est émise.

      L'exemple qui suit illustre la façon de créer une liste de confiance d'émetteurs et de noms distinctifs de sujet (SubjectDN). Pour chaque nom d'émetteur de confiance, utilisez trustedIssuer_n, où n est un entier positif. Pour chaque nom distinctif de sujet de confiance, utilisez trustedSubjectDN_n, où n est un entier positif. Si vous créez les deux types de liste, le nombre entier n doit être le même dans les deux listes pour la même assertion SAML. Le nombre n commence à 1 et s'incrémente de 1 à chaque fois.

      Dans cet exemple, vous faites confiance à une assertion SAML avec le nom d'émetteur WebSphere/samlissuer, quel que soit le nom distinctif de sujet du signataire, et donc vous ajoutez la propriété personnalisée suivante :
       <properties value="WebSphere/samlissuer" name="trustedIssuer_1"/>
      En outre, vous faites confiance à une assertion SAML émise par IBM/samlissuer, lorsque le nom distinctif de sujet du signataire est ou=websphere,o=ibm,c=us, et vous ajoutez la propriété personnalisée suivante :
      <properties value="IBM/samlissuer" name="trustedIssuer_2"/> 
      <properties value="ou=websphere,o=ibm,c=us" name="trustedSubjectDN_2"/>  
    9. Cliquez sur Appliquer.
    10. Cliquez sur WS-Security dans le panneau de navigation de cette page.
  9. Configurez la signature numérique générale des liaisons fournisseur.
    1. Configurez un espace de stockage de certificats.
      1. Cliquez sur Clés et certificats.
      2. Sous Espace de stockage de certificats, cliquez sur Nouvel élément entrant... .
      3. Indiquez :
        • Nom=providerCertStore
        • Certificat X.509 intermédiaire=${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/intca2.cer
      4. Cliquez sur OK.
    2. Configurez un ancrage sécurisé.
      1. Sous Ancrage sécurisé, cliquez sur Nouveau...
      2. Spécifiez Nom=providerTrustAnchor.
      3. Cliquez sur Fichier de clés externe, puis spécifiez :
        • Chemin d'accès complet=${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/dsig-receiver.ks
        • Mot de passe=server
      4. Cliquez sur OK, puis sur WS-Security dans le panneau de navigation de cette page.
    3. Configurez le générateur de signature.
      1. Cliquez sur Authentification et protection > AsymmetricBindingRecipientSignatureToken0 (générateur de signature), puis cliquez sur Appliquer.
      2. Cliquez sur Gestionnaire d'appel.
      3. Spécifiez Fichier de clés=personnalisé.
      4. Cliquez sur Configuration du fichier de clés personnalisé, puis spécifiez
        • Chemin d'accès complet=${RACINE_INSTALL_UTILISATEUR}/etc/ws-security/samples/dsig-receiver.ks
        • Mot de passe du fichier de clés=server
        • Nom=server
        • Alias=soapprovider
        • Mot de passe=server
      5. Cliquez sur OK, OK et OK.
    4. Configurez le consommateur de signature.
      1. Cliquez sur AsymmetricBindingInitiatorSignatureToken0 (consommateur de signature), puis cliquez sur Appliquer.
      2. Cliquez sur Gestionnaire d'appel.
      3. Sous Certificats, cliquez sur le bouton radial Espace de stockage de certificats, puis spécifiez :
        • Espace de stockage de certificats=providerCertStore
        • Espace de stockage d'ancrages sécurisés=providerTrustAnchor
      4. Cliquez sur OK.
      5. Cliquez sur Authentification et protection dans le panneau de navigation de cette page.
    5. Configurez les informations de signature de demande.
      1. Cliquez sur request:app_signparts, puis spécifiez Nom=reqSignInf.
      2. Cliquez sur Apply.
      3. Sous Informations de clé de signature, cliquez sur Nouveau , puis spécifiez :
        • Nom=reqSignKeyInfo
        • Nom du consommateur ou du générateur de jeton=AsymmetricBindingInitiatorSignatureToken0
      4. Cliquez sur OK.
      5. Sous Informations de clé de signature, cliquez sur reqSignKeyinfo, puis cliquez sur Ajouter.
      6. Sous Référence de partie de message, cliquez sur request:app_signparts .
      7. Cliquez sur Editer.
      8. Sous Algorithmes de transformation, cliquez sur Nouveau, puis spécifiez URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      9. Cliquez sur OK, OK et OK.
    6. Configurez les informations de signature de réponse.
      1. Cliquez sur response:app_signparts, puis spécifiez Nom=rspSignInfo.
      2. Cliquez sur Apply.
      3. Sous Informations de clé de signature, cliquez sur Nouveau , puis spécifiez :
        • Nom=rspSignKeyInfo
        • Type=Référence de jeton de sécurité
        • Nom du consommateur ou du générateur de jeton=AsymmetricBindingRecipientSignatureToken0
      4. Cliquez sur OK, puis sur Appliquer.
      5. Sous Référence de partie de message, sélectionnez response:app_signparts .
      6. Cliquez sur Editer.
      7. Sous Algorithmes de transformation, cliquez sur Nouveau.
      8. Spécifiez URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      9. Cliquez sur OK, OK et OK.
  10. Configurez la signature numérique générale pour le jeton SAML des liaison fournisseur.
    1. Cliquez sur WS-Security dans le panneau de navigation de cette page, puis cliquez sur Authentification et protection.
    2. Modifiez les liaisons de partie de message signée entrantes actuellement configurées pour inclure la nouvelle partie SAML que vous avez créée.

      Dans Protection par chiffrement et signature du message de demande, sélectionnez la référence de partie dont l'état est paramétré sur Configuré. Cette référence de partie sera probablement request:app_signparts.

      1. Dans la liste Disponible située sous Référence de partie de message, sélectionnez le nom de la partie à signer, telle qu'elle est créée à l'étape 1, par exemple, saml_part.
      2. Cliquez sur Ajouter, puis sur Appliquer.
      3. Dans la liste Affecté située sous Référence de partie de message, mettez en évidence le nom de la portion ajoutée, par exemple, portion_saml.
      4. Cliquez sur Editer.
      5. Pour le paramètre Algorithmes de transformation, cliquez sur Nouveau.
      6. Sélectionnez http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
      7. Cliquez sur OK, puis sur OK et une nouvelle fois sur OK.
      8. Cliquez sur Sauvegarder.
  11. Facultatif : Vous pouvez configurer la liaison d'appelant de façon à sélectionner un jeton SAML pour représenter l'identité du demandeur. L'environnement d'exécution de sécurité des services Web utilise la configuration de connexion JAAS spécifiée pour obtenir dans le registre d'utilisateurs le nom de sécurité de l'utilisateur et ses données d'appartenance au groupe, en prenant la valeur de NameId ou de NameIdentifier dans le jeton comme nom d'utilisateur.
    1. Cliquez sur Applications d'entreprise WebSphere > JaxWSServicesSamples > Ensembles de règles et liaisons du fournisseur de services > Saml Bearer Provider Sample > WS-Security > Appelants.
    2. Cliquez sur Nouveau pour créer la configuration de l'appelant.
    3. Définissez un Nom, par exemple caller.
    4. Remplissez la zone Partie locale de l'identité de l'appelant.

      Pour les jetons SAML 1.1, entrez :

      http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1

      Pour les jetons SAML 2.0, entrez :

      http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0
    5. Cliquez sur Valider et sur Sauvegarder.
  12. Redémarrez l'application de fournisseur de services Web pour que les modifications d'association d'ensemble de règles prennent effet.

Résultats

L'application de services Web JaxWSServicesSamples est prête à utiliser le nouvel ensemble de règles SAML sender-vouches, la liaison client spécifique à l'application pour le jeton SAML sender-vouches et la liaison fournisseur spécifique à l'application pour le jeton SAML sender-vouches.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsamlsendervouches
Nom du fichier : twbs_configsamlsendervouches.html