wsadmin コマンドを使用した自己発行される SAML トークンの構成の管理

WebSphere® Application Server バージョン 8 では、SAMLIssuerConfig.properties ファイルの使用は非推奨になりました。SAMLIssuerConfig.properties のセル・レベルおよびサーバー・レベルの構成ファイルを読み取り、変更するには、listSAMLIssuerConfig および updateSAMLIssuerConfig の wsadmin コマンド・タスクを使用することができます。 WebSphere Application Server バージョン 8 以降では、管理コンソールまたは setSAMLIssuerConfigInBinding コマンド・タスクを使用して、汎用バインディングまたはアプリケーション固有バインディングの要求側のアウトバウンド構成で、自己発行される SAML トークンの構成をカスタム・プロパティーとして指定する必要があります。サーバー・レベルおよびセル・レベルの SAMLIssuerConfig.properties ファイルは使用しないでください。

始める前に

この製品では、自己発行される SAML トークンの構成をポリシー・セット・バインディングに指定する方法が、もう 1 つ用意されています。自己発行 SAML トークン構成データを SAMLIssuerConfig.properties ファイルからバインディングに マイグレーションします。自己発行される SAML トークンを作成するために、汎用バインディングまたはアプリケーション固有のバインディングに構成データを指定すると、管理に柔軟性が与えられ、セル・レベルおよびサーバー・レベルに加えて、より細かい範囲で構成を指定できるようになります。例えば、特定の Web サービス・アプリケーション、任意のアプリケーション・グループ、またはセキュリティー・ドメインの Web サービス・アプリケーションに対して、固有の SAML トークン発行者を構成することができます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): バインディングで定義される自己発行 SAML トークンの構成データは、サーバー・レベルまたはセル・レベルの SAMLIssuerConfig.properties ファイルで定義されるデータよりも優先されます (その後の優先順位はサーバー・レベル、セル・レベルになります)。自己発行される SAML トークンの構成データが、添付されたポリシー・セット・バインディングで定義されている場合、Web Services Security のランタイム環境では、サーバー・レベルおよびセル・レベルの SAMLIssuerConfig.properties ファイルは、どちらも無視されます。そのため、SAMLIssuerConfig.properties ファイルからバインディングにマイグレーションする場合には、必要なプロパティーを必ずすべてマイグレーションすることが重要です。gotcha

このタスクについて

SAMLIssuerConfig.properties ファイルに基づいた SAML 発行者の構成の管理に使用できるコマンド・タスクは 2 つあります。このファイルは、セル・レベルおよびサーバー・レベルで見つけることができます。その 2 つのタスクは、以下のとおりです。

  • listSAMLIssuerConfig
  • updateSAMLIssuerConfig

手順

  1. wsadmin コマンド・タスクを対話モードで実行します。 wsadmin コマンド・タスクを対話モードで実行する方法を示した Jython スクリプトを、次に示します。
    AdminTask.listSAMLIssuerConfig('[-interactive]')

    サーバー・レベルの SAML 発行者構成を選択する場合、serverName パラメーターと nodeName パラメーターは必須です。これらのパラメーターを指定せずにこのコマンド・タスクを実行すると、セル・レベルの SAML 発行者構成がリストされます。

  2. サーバー・レベルの SAML 発行者構成を表示するには、listSAMLIssuerConfig コマンド・タスクを使用します。
    AdminTask.listSAMLIssuerConfig('[-nodeName Node01 -serverName server1]')

    listSAMLIssuerConfig コマンドを実行するには、「モニター」以上の管理ロール特権が必要となります。

  3. サーバー・レベルまたはセル・レベルの SAML 発行者構成を更新するには、updateSAMLIssuerConfig コマンド・タスクを使用します。
    AdminTask.updateSAMLIssuerConfig('[-IssuerURI My_Issuer 
                                       -TimeToLiveMilliseconds 3600000 
                                       -KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01" 
                                       -KeyAlias samlissuer 
                                       -KeyName "CN=SAMLIssuer, O=Acme, C=US" -KeyPassword ***** 
                                       -TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')

    serverName パラメーターと nodeName パラメーターを指定せずにこのタスクを実行すると、セル・レベルの SAML 発行者構成が更新されます。

    updateSAMLIssuerConfig コマンドを実行するには、「管理者」管理ロール特権が必要となります。

タスクの結果

セル・レベルまたはサーバー・レベルの SAMLIssuerConfig.properties ファイルの更新プロセスを自動化するコマンド・スクリプトを作成したか、汎用バインディングまたはアプリケーション固有バインディングの要求者のアウトバウンド構成内に、自己発行される SAML トークンの構成データをカスタム・プロパティーとして作成しました。

次の例は、アプリケーション固有のバインディング内に、自己発行される SAML トークンの構成データを追加するか、またはそれらのデータを変更する方法を示しています。
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName SAMLTestAppClientBinding 
-bindingLocation [ [application JaxWSServicesSamples] [attachmentId 1904] ] 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 " 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')
次の例は、汎用バインディングを変更する方法を示しています。
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName "Saml Bearer Client sample" 
-bindingScope domain -bindingLocation  -domainName global 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath "profile_root/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath "profile_root/profiles/<server_name>/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword *****]')

アプリケーション・バインディングを指定する場合、bindingLocation は必須パラメーターとなります。このパラメーターは、プロパティー・オブジェクトとして指定することができます。プロパティー名は、application および attachmentId です。 汎用バインディングを指定する際には、ヌルが可能であるか、または空のプロパティーを持つことができる bindingLocation が必要です。 さらに、有効範囲がグローバルでない場合は、bindingScope も必要になります。 バインディング・ロケーションを確認するには、bindingName パラメーターを使用します。bindingLocationbindingScopedomainName について詳しくは、setBinding コマンド・タスクまたは getBinding コマンド・タスクに関する資料を参照してください。

バインディングから SAML 発行者構成のカスタム・プロパティーを削除するには、管理コンソールを使用するか、setBinding コマンド・タスクを使用してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_manage_saml_self_issuer
ファイル名:twbs_manage_saml_self_issuer.html