wsadmin コマンドを使用した自己発行される SAML トークンの構成の管理
WebSphere® Application Server バージョン 8 では、SAMLIssuerConfig.properties ファイルの使用は非推奨になりました。SAMLIssuerConfig.properties のセル・レベルおよびサーバー・レベルの構成ファイルを読み取り、変更するには、listSAMLIssuerConfig および updateSAMLIssuerConfig の wsadmin コマンド・タスクを使用することができます。 WebSphere Application Server バージョン 8 以降では、管理コンソールまたは setSAMLIssuerConfigInBinding コマンド・タスクを使用して、汎用バインディングまたはアプリケーション固有バインディングの要求側のアウトバウンド構成で、自己発行される SAML トークンの構成をカスタム・プロパティーとして指定する必要があります。サーバー・レベルおよびセル・レベルの SAMLIssuerConfig.properties ファイルは使用しないでください。
始める前に
この製品では、自己発行される SAML トークンの構成をポリシー・セット・バインディングに指定する方法が、もう 1 つ用意されています。自己発行 SAML トークン構成データを SAMLIssuerConfig.properties ファイルからバインディングに マイグレーションします。自己発行される SAML トークンを作成するために、汎用バインディングまたはアプリケーション固有のバインディングに構成データを指定すると、管理に柔軟性が与えられ、セル・レベルおよびサーバー・レベルに加えて、より細かい範囲で構成を指定できるようになります。例えば、特定の Web サービス・アプリケーション、任意のアプリケーション・グループ、またはセキュリティー・ドメインの Web サービス・アプリケーションに対して、固有の SAML トークン発行者を構成することができます。

このタスクについて
SAMLIssuerConfig.properties ファイルに基づいた SAML 発行者の構成の管理に使用できるコマンド・タスクは 2 つあります。このファイルは、セル・レベルおよびサーバー・レベルで見つけることができます。その 2 つのタスクは、以下のとおりです。
- listSAMLIssuerConfig
- updateSAMLIssuerConfig
手順
タスクの結果
セル・レベルまたはサーバー・レベルの SAMLIssuerConfig.properties ファイルの更新プロセスを自動化するコマンド・スクリプトを作成したか、汎用バインディングまたはアプリケーション固有バインディングの要求者のアウトバウンド構成内に、自己発行される SAML トークンの構成データをカスタム・プロパティーとして作成しました。
例
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName SAMLTestAppClientBinding
-bindingLocation [ [application JaxWSServicesSamples] [attachmentId 1904] ]
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US"
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword *****
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName "Saml Bearer Client sample"
-bindingScope domain -bindingLocation -domainName global
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath "profile_root/etc/ws-security/saml/saml-issuer.jceks
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType jceks
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword *****
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US"
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword *****
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath "profile_root/profiles/<server_name>/etc/ws-security/saml/saml-issuer.jceks
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType jceks
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword *****]')
アプリケーション・バインディングを指定する場合、bindingLocation は必須パラメーターとなります。このパラメーターは、プロパティー・オブジェクトとして指定することができます。プロパティー名は、application および attachmentId です。 汎用バインディングを指定する際には、ヌルが可能であるか、または空のプロパティーを持つことができる bindingLocation が必要です。 さらに、有効範囲がグローバルでない場合は、bindingScope も必要になります。 バインディング・ロケーションを確認するには、bindingName パラメーターを使用します。bindingLocation、bindingScope、domainName について詳しくは、setBinding コマンド・タスクまたは getBinding コマンド・タスクに関する資料を参照してください。
バインディングから SAML 発行者構成のカスタム・プロパティーを削除するには、管理コンソールを使用するか、setBinding コマンド・タスクを使用してください。