SAML Web インバウンド・トラスト・アソシエーション・インターセプター (TAI) を構成することにより、Web 要求の要求ヘッダーに入れられて送信される SAML トークンの認証と検証を実行することができます。
このタスクについて
Web 要求の要求ヘッダーに入れられて送信される SAML トークンを処理するための、WebSphere® 用トラスト・アソシエーション・インターセプター (TAI) を構成します。
SAML トークンは、Base-64 または UTF-8 エンコードでなければなりません。
GZIP 形式で圧縮することができます。
HTTP 要求の SAML トークン・ヘッダーの形式は、以下のいずれかの形式にすることができます。
Authorization=[<headerName>=<SAML_HERE>]
Authorization=[<headerName>="<SAML_HERE>"]
Authorization=[<headerName> <SAML_HERE>]
<headerName>=[<SAML_HERE>]
手順
- WebSphere 管理コンソールから、>>>を選択します。
- 「インターセプター」を選択します。
- 新しいインターセプターを追加するため、「新規」を選択します。
- インターセプター・クラスのクラス名として com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI を入力します。
- ご使用の環境に合わせてカスタム・プロパティーを追加します。
プロパティーのリストについては、SAML Web インバウンド TAI のカスタム・プロパティーを参照してください。
- 構成の更新内容を適用して保存します。
注: 変更内容を適用せずに保存すると、カスタム・プロパティーは破棄されます。
- >に戻り、「カスタム・プロパティー」を選択します。
- 「新規」を選択し、一般プロパティーのために以下のカスタム・プロパティー情報を定義します。
Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
Value: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
注: このプロパティーが既に定義されている場合、既存の値に com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI を追加して、コンマで区切ったリストを作成します。
- SAML 発行者の署名者証明書を、WebSphere Application Server のトラストストアにインポートします。
- 管理コンソールで、とクリックします。
デプロイメント・マネージャーの場合は、「NodeDefaultTrustStore」の代わりに、「CellDefaultTrustStore」を使用します。
- 「追加」をクリックします。
- 証明書情報を入力し、「適用」をクリックします。
- SAML 発行者名 (または realmName の値、あるいは構成されている realmIdentifier の属性値) を、インバウンド・トラステッド・レルムのリストに追加します。
WebSphere Application Server サービス・プロバイダーと一緒に使用される各 SAML 発行者について、その SAML 発行者が使用するすべてのレルムにインバウンド・トラストを付与する必要があります。
インバウンド・トラストを SAML 発行者に付与するには、管理コンソールを使用します。
- 「グローバル・セキュリティー」をクリックします。
- ユーザー・アカウント・リポジトリーについて、「構成」をクリックします。
- 「トラステッド認証レルム - インバウンド」をクリックします。
- 「外部レルムの追加」をクリックします。
- 外部レルム名を入力します。
- 「OK」をクリックし、マスター構成への変更内容を保存します。
- WebSphere Application Server を再始動します。
タスクの結果
これらの手順により、インバウンド Web 要求の要求ヘッダーに入れて送信される SAML トークンを処理することのできる、WebSphere Application Server のためのトラスト・アソシエーション・インターセプターを構成するために必要な最小限の構成が確立されます。