웹 요청의 요청 헤더에서 전송한 SAML 토큰을 인증하거나 유효성을 검증하도록
SAML 웹 인바운드 TAI(Trust Association Interceptor)를 구성할 수 있습니다.
이 태스크 정보
웹 요청의 요청 헤더에서 전송한 SAML 토큰을 처리하도록
WebSphere®에 대한 TAI(Trust Association Interceptor)를 구성합니다.
SAML 토큰은 Base-64 또는 UTF-8로 인코딩되어야 하며, GZIP 형식으로 압축할 수 있습니다.
HTTP 요청에서 SAML 토큰 헤더는 다음 형식 중 하나일 수 있습니다.
Authorization=[<headerName>=<SAML_HERE>]
Authorization=[<headerName>="<SAML_HERE>"]
Authorization=[<headerName> <SAML_HERE>]
<headerName>=[<SAML_HERE>]
프로시저
- WebSphere 관리 콘솔에서
> > > 을 선택하십시오.
- 인터셉터를 선택하십시오.
- 새로 작성을 선택하여 새 인터셉터를 추가하십시오.
- 다음과 같은 인터셉터 클래스 이름을 입력하십시오. com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
- 환경에 대한 사용자 정의 특성을 추가하십시오. 특성 목록은
SAML 웹 인바운드 TAI 사용자 정의 특성을
참조하십시오.
- 구성 업데이트를 적용 및 저장하십시오.
참고: 변경사항을 적용하지 않고 저장하면 사용자 정의 특성이 버려집니다.
- > 으로 다시 이동하고 사용자 정의 특성을 선택하십시오.
- 새로 작성을 선택하고 일반 특성에 대해
다음 사용자 정의 특성 정보를 정의하십시오.
Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
Value: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
참고: 이 특성이 이미 정의된 경우에는
com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI를 쉼표로 구분된 기존 값에 추가하여 목록을 작성하십시오.
- SAML 발행자의 서명자 인증서를 WebSphere Application Server의 신뢰 저장소로 가져오십시오.
- 관리 콘솔에서 를 클릭하십시오. 배치 관리자에 대해
NodeDefaultTrustStore 대신 CellDefaultTrustStore를
사용하십시오.
- 추가를 클릭하십시오.
- 인증서 정보를 완료한 다음 적용을 클릭하십시오.
- SAML 발행자 이름 또는 realmName의 값이나 구성된
realmIdentifier의 속성 값을 인바운드 신뢰 영역에 추가하십시오. WebSphere
Application Server 서비스 제공자에 사용된 각 SAML 발행자의 경우
SAML 발행자에서 사용하는 모든 영역에 인바운드 신뢰를 부여해야 합니다.
관리 콘솔을 사용하여 SAML 발행자에게 인바운드 신뢰를 부여할 수 있습니다.
- 글로벌 보안을 클릭하십시오.
- 사용자 계정 저장소에 대해 구성을 클릭하십시오.
- 신뢰할 수 있는 인증 영역 - 인바운드를
클릭하십시오.
- 외부 영역 추가를 클릭하십시오.
- 외부 영역 이름을 채우십시오.
- 확인을 클릭하여 변경사항을 마스터 구성에 저장하십시오.
- WebSphere
Application Server를 다시 시작하십시오.
결과
이 단계는 인바운드 웹 요청의 요청 헤더에서 전송된 SAML 토큰을 처리할 수 있는
WebSphere Application
Server에 대한 TAI(Trust
Association Interceptor)를 구성해야 하는 최소 구성을 설정합니다.