システムでの SAML Web シングル・サインオン (SSO) 機能の使用可能化

始める前に

このタスクは、SAML SSO 機能に精通していることを前提としています。

このタスクについて

SAML Web SSO 機能を使用するにはその前に、SAML アサーション・コンシューマー・サービス (ACS) をインストールし、SAML TAI を使用可能にしておく必要があります。ビジネス・アプリケーションを SAML ACS アプリケーションとして使用する場合は、最初のステップで SAML ACS アプリケーションをインストールする必要はありません。代わりに、acsUrl の値として、ビジネス・アプリケーションの URL を指定する必要があります。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): SAML ACS アプリケーションは、IdP から SAMLResponse を受け入れるように構成されている、または構成される各アプリケーション・サーバーにインストールする必要があります。これらのサーバーは、sso_.sp.acsUrl SAML TAI カスタム・プロパティーに指定された URL で参照されます。gotcha

手順

  1. SAML ACS アプリケーションをインストールします。 次のアプローチのうちの 1 つを選択します。
    • 管理コンソールを使用して、app_server_root/installableApps/WebSphereSamlSP.ear ファイルをアプリケーション・サーバーまたはアプリケーション・クラスターにインストールします。
    • python スクリプトを使用して SAML ACS アプリケーションをインストールします。
      1. app_server_root/bin ディレクトリーにナビゲートします。
      2. installSamlACS.py スクリプトを実行します。
        wsadmin -f installSamlACS.py install <nodeName> <serverName>
        または
        wsadmin -f installSamlACS.py install <clusterName>
        ここで、nodeName はターゲット・アプリケーション・サーバーのノード名で、serverName はターゲット・アプリケーション・サーバーのサーバー名で、clusterName はアプリケーション・サーバー・クラスターの名前です。
  2. SAML TAI を使用可能にします。 SAML TAI を使用可能にするには、wsadmin コマンド・ユーティリティーを使用するか、管理コンソールを使用します。
    • wsadmin コマンド・ユーティリティーを使用して SAML TAI を使用可能にします。
      1. WebSphere Application Server を始動します。
      2. コマンド wsadmin -lang jython を入力して、app_server_root/bin ディレクトリーから wsadmin コマンド・ユーティリティーを開始します。
      3. wsadmin プロンプトで、コマンド AdminTask.addSAMLTAISSO('-enable true -acsUrl https://<hostname>:<sslport>/samlsps/<any URI pattern string>') を入力します。ここで、hostname は WebSphere Application Server がインストールされているシステムのホスト名で、sslport は Web サーバーの SSL ポート番号 (WC_defaulthost_secure) です。
      4. コマンド AdminConfig.save() を入力して、構成を保存します。
      5. コマンド quit を入力して、wsadmin コマンド・ユーティリティーを終了します。
      6. WebSphere Application Server を再始動します。
    • 管理コンソールを使用して SAML TAI を使用可能にします。
      1. WebSphere Application Server 管理コンソールにログオンします。
      2. 「セキュリティー」「グローバル・セキュリティー」をクリックします。
      3. 「Web および SIP セキュリティー」を展開し、「トラスト・アソシエーション」をクリックします。
      4. 「一般プロパティー」見出しの下で、「トラスト・アソシエーションを使用可能にする」チェック・ボックスを選択し、「インターセプター」をクリックします。
      5. 「新規」をクリックし、「インターセプター・クラス名」フィールドに com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor と入力します。
      6. 「カスタム・プロパティー」の下で、カスタム・プロパティー情報として、名前 sso_1.sp.acsUrl および値 https://<hostname>:<sslport>/samlsps/<any URI pattern string> を入力します。ここで、hostname は WebSphere Application Server がインストールされているシステムのホスト名で、sslport は Web サーバーの SSL ポート番号 (WC_defaulthost_secure) です。
        注: SAML ワークフローで同じようなエントリー・ポイントが複数必要な場合は、このプロパティーの値として指定する URL の末尾に、特定の URI パターン・ストリングではなく、ワイルドカード値を指定できます。 このプロパティーの値の一部としてワイルドカードを指定すると、同じような各エントリー・ポイントを個別に構成する必要がなくなります。

        以下に、このプロパティーの値の一部としてワイルドカードを含める有効な方法の例を示します。

        https://<server>/<context_root>/ep1/path1/p*
        https://<server>/<context_root>/ep1/path1/*
        https://<server>/<context_root>/ep1/*

        トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): メタデータを使用して SSO を構成している場合、acsUrl 定義でワイルドカードを使用することはできません。gotcha
      7. 「新規」をクリックし、カスタム・プロパティー情報として、名前 sso_1.sp.idMap および値 idAssertion を入力します。
      8. OK」をクリックします。
      9. 「セキュリティー」「グローバル・セキュリティー」に戻り、「カスタム・プロパティー」をクリックします。
      10. 「新規」をクリックし、「一般プロパティー」の下でカスタム・プロパティー情報として、名前 com.ibm.websphere.security.DeferTAItoSSO および値 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor を定義します。
        トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): プロパティー com.ibm.websphere.security.DeferTAItoSSO は、すべてのインストール済みサーバーのデフォルト構成で以前は使用されていました。これが、SAML 構成の一部としてのみ使用されるようになりました。したがって、このプロパティーがご使用のシステム構成内に既に存在していても、値を com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor に変更する必要があります。 コンマで区切った複数の値は、このプロパティーに指定することはできません。これは、単一 SAML TAI に設定する必要があります。gotcha
      11. 「新規」をクリックし、「一般プロパティー」の下でカスタム・プロパティー情報として、名前 com.ibm.websphere.security.InvokeTAIbeforeSSO および値 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor を定義します。
      12. OK」をクリックします。
      13. WebSphere Application Server を再始動します。

タスクの結果

WebSphere Application Server で SAML TAI が使用可能になりました。

次のタスク

SAML Web SSO 機能を使用可能にした後には、他の ID プロバイダーを使用した IdP で開始されたシングル・サインオン・シナリオに参加するために、サービス・プロバイダー (SP) パートナーとして WebSphere Application Server を構成する必要があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_enablesamlsso
ファイル名:twbs_enablesamlsso.html