SAML Web インバウンド TAI の構成

SAML Web インバウンド・トラスト・アソシエーション・インターセプター (TAI) を構成することにより、Web 要求の要求ヘッダーに入れられて送信される SAML トークンの認証と検証を実行することができます。

始める前に

SAML Web インバウンド・トラスト・アソシエーション・インターセプターのために構成する必要のあるカスタム・プロパティーを確認します。 SAML Web インバウンド TAI のカスタム・プロパティーを参照してください。

このタスクについて

Web 要求の要求ヘッダーに入れられて送信される SAML トークンを処理するための、WebSphere® 用トラスト・アソシエーション・インターセプター (TAI) を構成します。 SAML トークンは、Base-64 または UTF-8 エンコードでなければなりません。 GZIP 形式で圧縮することができます。 HTTP 要求の SAML トークン・ヘッダーの形式は、以下のいずれかの形式にすることができます。
  • Authorization=[<headerName>=<SAML_HERE>]
  • Authorization=[<headerName>="<SAML_HERE>"]
  • Authorization=[<headerName> <SAML_HERE>]
  • <headerName>=[<SAML_HERE>]

手順

  1. WebSphere 管理コンソールから、「セキュリティー」>「グローバル・セキュリティー」>「Web および SIP セキュリティー」>「トラスト・アソシエーション」を選択します。
  2. 「インターセプター」を選択します。
  3. 新しいインターセプターを追加するため、「新規」を選択します。
  4. インターセプター・クラスのクラス名として com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI を入力します。
  5. ご使用の環境に合わせてカスタム・プロパティーを追加します。 プロパティーのリストについては、SAML Web インバウンド TAI のカスタム・プロパティーを参照してください。
  6. 構成の更新内容を適用して保存します。
    注: 変更内容を適用せずに保存すると、カスタム・プロパティーは破棄されます。
  7. 「セキュリティー」>「グローバル・セキュリティー」に戻り、「カスタム・プロパティー」を選択します。
  8. 「新規」を選択し、一般プロパティーのために以下のカスタム・プロパティー情報を定義します。
    Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
    Value: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
    注: このプロパティーが既に定義されている場合、既存の値に com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI を追加して、コンマで区切ったリストを作成します。
  9. SAML 発行者の署名者証明書を、WebSphere Application Server のトラストストアにインポートします。
    1. 管理コンソールで、「セキュリティー」「SSL 証明書および鍵管理」「鍵ストアおよび証明書」「NodeDefaultTrustStore」「署名者証明書」とクリックします。 デプロイメント・マネージャーの場合は、「NodeDefaultTrustStore」の代わりに、「CellDefaultTrustStore」を使用します。
    2. 追加」をクリックします。
    3. 証明書情報を入力し、「適用」をクリックします。
  10. SAML 発行者名 (または realmName の値、あるいは構成されている realmIdentifier の属性値) を、インバウンド・トラステッド・レルムのリストに追加します。 WebSphere Application Server サービス・プロバイダーと一緒に使用される各 SAML 発行者について、その SAML 発行者が使用するすべてのレルムにインバウンド・トラストを付与する必要があります。 インバウンド・トラストを SAML 発行者に付与するには、管理コンソールを使用します。
    1. 「グローバル・セキュリティー」をクリックします。
    2. ユーザー・アカウント・リポジトリーについて、「構成」をクリックします。
    3. 「トラステッド認証レルム - インバウンド」をクリックします。
    4. 「外部レルムの追加」をクリックします。
    5. 外部レルム名を入力します。
    6. 「OK」をクリックし、マスター構成への変更内容を保存します。
  11. WebSphere Application Server を再始動します。

タスクの結果

これらの手順により、インバウンド Web 要求の要求ヘッダーに入れて送信される SAML トークンを処理することのできる、WebSphere Application Server のためのトラスト・アソシエーション・インターセプターを構成するために必要な最小限の構成が確立されます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_config_saml_web_inbound_tai
ファイル名:twbs_config_saml_web_inbound_tai.html