시작하기 전에
이 명령을 사용하려면 먼저
addSAMLTAISSO 명령을 사용하여 하나 이상의 싱글 사인온(SSO) 파트너에서
SAML(Security Assertion Markup Language) 신뢰 연관 인터셉터(TAI)를 구성해야 합니다.
고유한 신뢰 저장소를 작성하는 경우 이는
sso_<ID>.sp.trustStore
항목에 지정해야 합니다.
sp.trustStore 특성을 지정하지 않으면 기본 신뢰 저장소가 사용됩니다.
ID 제공자(IdP) 및 서비스 제공자의 모든 인증서는 동일한 신뢰 저장소에 저장됩니다.
이 태스크 정보
wsadmin 명령행 유틸리티를 사용하여
WebSphere Application Server의 보안 구성에서
SAML IdP 파트너를 SAML TAI로 가져올 수 있습니다. 이 명령은 다음 IdP 파트너 데이터를 가져옵니다.
- 엔티티 ID
- 서명 인증서
- SingleSignOnService HTTP-POST 바인딩
문제점 방지: 이전 특성이 누락된 경우 명령은 경고 메시지를 로깅합니다.
gotcha
프로시저
- WebSphere Application Server를 시작하십시오.
- wsadmin -lang jython 명령을 입력하여 app_server_root/bin
디렉토리에서 wsadmin 명령 유틸리티를 시작하십시오.
- wsadmin 프롬프트에서 다음 명령을 입력하십시오.
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
-idpId 1 -ssoId 1 -signingCertAlias idpcert')
이 명령에서
다음 매개변수를 사용할 수 있습니다.
표 1. importSAMLIdpMetaData
매개변수매개변수 |
설명 |
-ssoId |
하나의 SSO 서비스 제공자 파트너만 보유한 경우 이 매개변수는 선택적입니다.
SSP 서비스 제공자 파트너가 둘 이상인 경우 이 매개변수는
필수입니다. 이는 SSO 서비스 제공자 파트너와 연관된 사용자 정의 특성 그룹의
ID입니다. 이 매개변수는 정수로 지정됩니다. |
-idpId |
이 매개변수는 선택적입니다. 이는 이 명령에서 정의할 사용자 정의 특성의 그룹에 대한
IdP ID입니다. 이 매개변수를
지정하지 않으면 사용되지 않은 ID가 지정됩니다. 이 매개변수는 정수로 지정됩니다. |
-signingCertAlias |
이 매개변수는 서명 인증서가 없는 경우 선택적입니다.
서명 인증서가 있으면 이 매개변수는 필수입니다. 이 매개변수는
현재 키 저장소에서 인증서의 이름으로 지정하려는 별명을 지정합니다. 이 매개변수는 부울로 지정됩니다. |
-idpMetadataFileName |
이 매개변수는 필수입니다. SAML IdP 파트너 메타데이터의 완전한 파일 이름을 지정합니다.
이 매개변수는 문자열로 지정됩니다. |
-securityDomainName |
이 매개변수는 원하는 보안 도메인 이름을 지정합니다. 이 매개변수 값을
지정하지 않으면 명령은 글로벌 보안 구성을 사용합니다. 이 매개변수는 문자열로 지정됩니다. |
결과
이제 IdP 파트너 특성은 이 WebSphere Application Server에 대한 SAML TAI에 추가됩니다.
예
다음 예제에서는 서명 인증서 별명
idp1CertAlias를 사용하여
글로벌 보안 SAML TAI SSO 서비스 제공자 파트너 1로 SAML IdP 파트너 1 메타데이터를 가져옵니다.
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
다음 예제에서는 서명 인증서 별명
idp1CertAlias를 사용하여
보안 도메인
myDomain1 SAML TAI SSO 서비스 제공자 파트너 1로
SAML IdP 파트너 1 메타데이터를 가져옵니다.
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')