シングル・サインオン (SSO) パートナーの構成
始める前に
このタスクについて
手順
- シングル・サインオン用に WebSphere Application Server SAML サービス・プロバイダーに ID プロバイダーを追加します。 ID プロバイダーとのシングル・サインオン用に WebSphere Application Server SAML サービス・プロバイダーを使用するには、ID プロバイダーをパートナーとして追加する必要があります。
ID プロバイダーをパートナーとして追加するには、ID プロバイダーのメタデータをインポートするか、手動のステップを使用します。
- ID プロバイダーのメタデータを使用して ID プロバイダーを追加します。
- WebSphere Application Server を始動します。
- コマンド wsadmin -lang jython を入力して、app_server_root/bin ディレクトリーから wsadmin コマンド行ユーティリティーを開始します。
- wsadmin プロンプトで、コマンド AdminTask.importSAMLIdpMetadata('-idpMetadataFileName <IdPMetaDataFile> -idpId 1 -ssoId 1 -signingCertAlias <idpAlias>') を入力します。ここで、IdpMetaDataFile は IdP メタデータ・ファイルの絶対パス名で、IdpAlias はインポートされた証明書に指定する別名です。
- コマンド AdminConfig.save() を入力して、構成を保存します。
- コマンド quit を入力して、wsadmin コマンド・ユーティリティーを終了します。
- WebSphere Application Server を再始動します。
- WebSphere Application Server SAML サービス・プロバイダーに ID プロバイダーを手動で追加します。
ID プロバイダーの SSO パートナーとして WebSphere Application Server SAML サービス・プロバイダーを構成するための最小要件は、ID プロバイダーの SAML トークン署名者証明書をサービス・プロバイダーのトラストストアにインポートすることです。 サービス・プロバイダーは、複数の ID プロバイダーと連携するように構成できます。ID プロバイダーごとに、SAML トークン署名者証明書をインポートする必要があります。
SAML トークンに署名するために IdP が使用する証明書をインポートするには、管理コンソールを使用するか、wsadmin コマンド行ユーティリティーを使用します。
- 管理コンソールを使用して、SAML トークン署名者証明書をインポートします。
- WebSphere Application Server 管理コンソールにログオンします。
- 「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「鍵ストアおよび証明書」 > 「NodeDefaultTrustStore」 > 「署名者証明書」をクリックします。 デプロイメント・マネージャーの場合は、「NodeDefaultTrustStore」の代わりに、「CellDefaultTrustStore」を使用します。
- 「追加」をクリックします。
- 証明書情報を入力します。
- 「適用」をクリックします。
- wsadmin コマンド行ユーティリティーを使用して、SAML トークン署名者証明書をインポートします。
- WebSphere Application Server を始動します。
- コマンド wsadmin -lang jython を入力して、app_server_root/bin ディレクトリーから wsadmin コマンド行ユーティリティーを開始します。
- wsadmin プロンプトで、コマンド AdminTask.addSignerCertificate('[-keyStoreName NodeDefaultTrustStore -certificateFilePath <certFile> -base64Encoded true -certificateAlias <certAlias>]') を入力します。ここで、certFile は証明書ファイルの絶対パス名で、certAlias は証明書の別名です。 デプロイメント・マネージャーの場合は、「NodeDefaultTrustStore」の代わりに、「CellDefaultTrustStore」を使用します。
- コマンド AdminConfig.save() を入力して、構成を保存します。
- コマンド quit を入力して、wsadmin コマンド・ユーティリティーを終了します。
- インバウンド・トラステッド・レルムのリストに IdP レルムを追加します。 WebSphere Application Server サービス・プロバイダーで使用する ID プロバイダーごとに、ID プロバイダーで使用するすべてのレルムに対するインバウンド・トラストを付与する必要があります。
インバウンド・トラストを ID プロバイダーに付与するには、管理コンソールを使用するか、wsadmin コマンド・ユーティリティーを使用します。
- 管理コンソールを使用してインバウンド・トラストを追加します。
- 「グローバル・セキュリティー」をクリックします。
- ユーザー・アカウント・リポジトリーの下で、「構成」をクリックします。
- 「トラステッド認証レルム - インバウンド」をクリックします。
- 「外部レルムの追加」をクリックします。
- 外部レルム名を入力します。
- 「OK」をクリックし、マスター構成への変更内容を保存します。
- wsadmin コマンド行ユーティリティーを使用してインバウンド・トラストを追加します。
- 単一の ID プロバイダーをインバウンド・トラストに追加するには、コマンド AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realmName>]') を使用します。ここで、realmName は、インバウンド・トラストを付与する必要があるレルムの名前です。
- レルムのリストをインバウンド・トラストに追加するには、コマンド AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realm1|realm2|realm3>]') を使用します。ここで、realm1、realm2、および realm3 は、トラステッド・レルムとして追加する必要があるレルムです。
- SSO 用に ID プロバイダーに WebSphere Application Server SAML サービス・プロバイダーを追加します。
WebSphere Application Server サービス・プロバイダーで使用する 各 ID プロバイダーを構成して、SSO パートナーとしてサービス・プロバイダーを追加する必要があります。 サービス・プロバイダー・パートナーを ID プロバイダーに追加する手順は、特定の ID プロバイダーに依存します。SSO 用にサービス・プロバイダー・パートナーを追加する方法については、ID プロバイダーの資料を参照してください。
WebSphere Application Server サービス・プロバイダー・メタデータをエクスポートしてからそのメタデータを ID プロバイダーにインポートするか、手動で ID プロバイダーを構成してサービス・プロバイダーを追加できます。
統合パートナーとしてサービス・プロバイダーを ID プロバイダーに追加するには、サービス・プロバイダーのアサーション・コンシューマー・サービス (ACS) の URL を指定する必要があります。これは、SAML トラスト・アソシエーション・インターセプター (TAI) を使用可能にする際に使用される -acsUrl パラメーターです。
ID プロバイダーがメタデータ・ファイルを使用してサービス・プロバイダーを統合パートナーとして追加できる場合は、以下の wsadmin コマンド行ユーティリティー・コマンドを使用して、サービス・プロバイダー・メタデータをエクスポートできます。
このコマンドは、/tmp/spdata.xml メタデータ・ファイルを作成します。wsadmin -lang jython AdminTask.exportSAMLSpMetadata('-spMetadataFileName /tmp/spdata.xml -ssoId 1')
SAML トークンを暗号化する場合は、SAML トークンの暗号化に ID プロバイダーが使用する公開鍵証明書を指定する必要があり、その証明書は、エクスポートを実行する前に WebSphere Application Server のデフォルト鍵ストアに存在している必要があります。
- sso_<id>.sp.idMap 属性、sso_<id>.sp.groupMap 属性、および sso_<id>.sp.groupName 属性を使用して、WebSphere Application Server セキュリティー・コンテキストを構成します。 WebSphere Application Server サービス・プロバイダーは、ID プロバイダーからの SAML プロトコル・メッセージをインターセプトし、セキュリティー・コンテキストを確立します。SAML アサーションをマップすることで、セキュリティー・コンテキストが作成されます。サービス・プロバイダーでのセキュリティー・コンテキスト・マッピングは非常に柔軟であり、構成可能です。以下に、使用可能なマッピング・オプションのリストを示します。
- idAssertion
ローカル・レジストリーを使用せずに SAML アサーションを WebSphere Application Server プラットフォームのサブジェクトにマップできます。これはデフォルトの動作です。このデフォルトの実装では、SAML NameID はプリンシパルにマップされ、発行者はレルムにマップされます。また、選択した属性は、グループ・メンバーにマップできます。ID アサーションはさらにカスタマイズできます。例えば、プリンシパル、レルム、accessID、またはグループ・メンバーのリストとして SAML 属性を構成できます。また、NameID の NameQualifier をレルムとして構成したり、事前定義のレルム名を使用したりすることもできます。
- localRealm
SAML アサーションの NameID をサービス・プロバイダーのローカル・レジストリーにマップして、レジストリーからサブジェクトを作成するように、WebSphere Application Server サービス・プロバイダーを構成できます。このオプションを使用すると、レジストリーに照らして SAML NameID を直接検索するか、アサーションのカスタム・マッピングのプラグイン・ポイントを使用してから、新しいマップされた ID を使用してレジストリーからサブジェクトを作成できます。
- localRealmThenAssertion
このオプションでは、NameID をレジストリーにマップし、NameID をレジストリーにマップできない場合には ID アサーションにフォールバックできます。
- AddGroupsFromLocalRealm
このオプションは ID アサーションとローカル・レジストリーを組み合わせたものであり、ID アサーションを実行しながら、グループ・メンバーシップを再評価できます。グループ属性 X-ray Techs を持つユーザー Joe が含まれた、パートナー・ラボからの SAML アサーションについて考えてみます。サービス・プロバイダーで、グループ X-ray Techs はグループ Technicians のサブグループですが、Joe はサービス・プロバイダーのユーザー・レジストリーに必ずしも存在しているとは限りません。サービス・プロバイダー・アプリケーションの許可ポリシーでは、Technicians グループにアクセスが許可されています。 これを実現するために、SAML TAI は、表明されたグループ X-ray Techs をレジストリーで検索してから、親グループ Technicians をサブジェクトに含める必要があります。
ID アサーションを実行してセキュリティー・コンテキストを作成する際に、カスタム・セキュリティー・レルムが選択されます。カスタム・レルムをトラステッド・レルムとして明示的に追加する必要があります。デフォルトの ID アサーション実装では、SAML 発行者名がセキュリティー・レルムとして使用されます。現在のユーザー・レジストリー内でインバウンド・トラステッド認証レルムのリストに発行者名を明示的に追加する必要があります。インバウンド・トラステッド・レルムにカスタム・レルムを追加すると、このカスタム・レルムを使用したロール・マッピングを実行する準備ができています。
カスタム・レルムをトラステッド・レルムとして追加するには、ステップ『インバウンド・トラステッド・レルムのリストに IdP レルムを追加します』を参照してください。
- idAssertion
タスクの結果
次のタスク


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configuresamlssopartners
ファイル名:twbs_configuresamlssopartners.html