始める前に
このコマンドを使用するにはその前に、
addSAMLTAISSO コマンドを使用して、少なくとも 1 つのシングル・サインオン (SSO) パートナーで Security Assertion Markup Language (SAML) トラスト・アソシエーション・インターセプター (TAI) を構成しておく必要があります。
独自のトラストストアを作成した場合は、それを
sso_<ID>.sp.trustStore エントリーで指定する必要があります。
sp.trustStore プロパティーを指定しなかった場合は、デフォルトのトラストストアが使用されます。ID プロバイダー (IdP) およびサービス・プロバイダーのすべての証明書は、同じトラストストア内に保存されます。
このタスクについて
wsadmin コマンド行ユーティリティーを使用して、WebSphere Application Server のセキュリティー構成で、SAML IdP パートナーを SAML TAI にインポートできます。このコマンドは以下の IdP パートナー・データをインポートします。
- エンティティー ID
- 署名証明書
- SingleSignOnService HTTP-POST バインディング
トラブルの回避 (Avoid trouble): 上記のいずれかのプロパティーが欠落している場合、このコマンドは警告メッセージをログに記録します。
gotcha
手順
- WebSphere Application Server を始動します。
- コマンド wsadmin -lang jython を入力して、app_server_root/bin ディレクトリーから wsadmin コマンド・ユーティリティーを開始します。
- wsadmin プロンプトで、次のコマンドを入力します。
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
-idpId 1 -ssoId 1 -signingCertAlias idpcert')
このコマンドでは、以下のパラメーターを使用できます。
表 1. importSAMLIdpMetaData のパラメーターパラメーター |
説明 |
-ssoId |
SSO サービス・プロバイダー・パートナーが 1 つのみの場合、このパラメーターはオプションです。SSO サービス・プロバイダー・パートナーが複数である場合は、このパラメーターは必須です。これは、SSO サービス・プロバイダー・パートナーに関連付けられたカスタム・プロパティーのグループの ID です。このパラメーターは、整数で指定されます。 |
-idpId |
このパラメーターはオプションです。
これは、このコマンドで定義されるカスタム・プロパティーのグループの IdP ID です。このパラメーターを指定しなかった場合は、未使用の ID が割り当てられます。このパラメーターは、整数で指定されます。 |
-signingCertAlias |
署名証明書がない場合は、このパラメーターはオプションです。署名証明書がある場合は、このパラメーターは必須です。このパラメーターは、現行鍵ストアで証明書に付ける別名を指定します。このパラメーターはブール値として指定します。 |
-idpMetadataFileName |
このパラメーターは必須です。
SAML IdP パートナー・メタデータの完全修飾ファイル名を指定します。このパラメーターは、ストリングで指定されます。 |
-securityDomainName |
このパラメーターは、対象のセキュリティー・ドメインの名前を指定します。このパラメーターの値を指定しなかった場合は、このコマンドではグローバル・セキュリティー構成が使用されます。このパラメーターは、ストリングで指定されます。 |
タスクの結果
当該 WebSphere Application Server の SAML TAI に、IdP パートナー・プロパティーが追加されました。
例
以下の例では、署名証明書別名
idp1CertAlias を使用して、グローバル・セキュリティー SAML TAI SSO サービス・プロバイダー・パートナー 1 に SAML IdP パートナー 1 メタデータをインポートします。
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
以下の例では、署名証明書別名
idp1CertAlias を使用して、セキュリティー・ドメイン
myDomain1 SAML TAI SSO サービス・プロバイダー・パートナー 1 に、SAML IdP パートナー 1 メタデータをインポートします。
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')