SAML 웹 싱글 사인온(SSO) 기능을 사용하도록 시스템 사용

시작하기 전에

이 태스크에서는 SAML SSO 기능에 친숙하다고 가정합니다.

이 태스크 정보

SAML 웹 SSO 기능을 사용하려면 SAML 어설션 이용자 서비스(ACS)를 설치하고 SAML TAI를 사용해야 합니다. 비즈니스 애플리케이션을 SAML ACS 애플리케이션으로 사용하려는 경우 첫 번째 단계에서 SAML ACS 애플리케이션을 설치하지 않아도 됩니다. 대산 acsUrl 값에 대해 비즈니스 애플리케이션의 URL을 지정해야 합니다.
문제점 방지 문제점 방지: SAML ACS 애플리케이션은 IdP에서 SAMLResponses를 승인하도록 구성되었거나 구성될 각 애플리케이션 서버에 설치되어야 합니다. 이 서버는 sso_.sp.acsUrl SAML TAI 사용자 정의 특성에 지정된 URL에서 참조됩니다. gotcha

프로시저

  1. SAML ACS 애플리케이션을 설치하십시오. 다음 접근 방식 중 하나를 선택하십시오.
    • 관리 콘솔을 사용하여 app_server_root/installableApps/WebSphereSamlSP.ear 파일을 애플리케이션 서버 또는 클러스터에 설치하십시오.
    • python 스크립트를 사용하여 SAML ACS 애플리케이션을 설치하십시오.
      1. app_server_root/bin 디렉토리로 이동하십시오.
      2. installSamlACS.py 스크립트를 실행하십시오.
        wsadmin -f installSamlACS.py install <nodeName> <serverName>
        or
        wsadmin -f installSamlACS.py install <clusterName>
        여기서 nodeName은 대상 애플리케이션 서버의 노드 이름이고, serverName은 대상 애플리케이션 서버의 서버 이름이고, clusterName은 애플리케이션 서버 클러스터의 이름입니다.
  2. SAML TAI를 사용하십시오. wsadmin 명령 유틸리티 또는 관리 콘솔을 사용하여 SAML TAI를 사용할 수 있습니다.
    • wsadmin 명령 유틸리티를 사용하여 SAML TAI를 사용하십시오.
      1. WebSphere Application Server를 시작하십시오.
      2. wsadmin -lang jython 명령을 입력하여 app_server_root/bin 디렉토리에서 wsadmin 명령 유틸리티를 시작하십시오.
      3. wsadmin 프롬프트에서 AdminTask.addSAMLTAISSO('-enable true -acsUrl https://<hostname>:<sslport>/samlsps/<any URI pattern string>') 명령을 입력하십시오. hostname은 WebSphere Application이 설치된 시스템의 호스트 이름이고 sslport는 웹 서버 SSL 포트 번호(WC_defaulthost_secure)입니다.
      4. 다음 명령을 입력하여 구성을 저장하십시오. AdminConfig.save().
      5. 다음 명령을 입력하여 wsadmin 명령 유틸리티를 종료하십시오. quit.
      6. WebSphere Application Server를 다시 시작하십시오.
    • 관리 콘솔을 사용하여 SAML TAI를 사용하십시오.
      1. WebSphere Application Server 관리 콘솔에 로그온하십시오.
      2. 보안글로벌 보안을 클릭하십시오.
      3. 웹 및 SIP 보안을 펼치고 신뢰 연관을 클릭하십시오.
      4. 일반 특성 표제에서 신뢰 연관 사용 선택란을 선택하고 인터셉터를 클릭하십시오.
      5. 새로 작성을 클릭하고 인터셉터 클래스 이름 필드에 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor를 입력하십시오.
      6. 사용자 정의 특성에서 다음 사용자 정의 특성 정보를 채우십시오. 이름: sso_1.sp.acsUrl 및 값: https://<hostname>:<sslport>/samlsps/<any URI pattern string> 여기서, hostname은 WebSphere Application이 설치된 시스템의 호스트 이름이고 sslport는 웹 서버 SSL 포트 번호(WC_defaulthost_secure)입니다.
        참고: SAML 워크플로우에 대해 유사한 다중 시작점이 필요한 경우 이 특성 값으로 지정된 URL 끝에 특정 URI 패턴 문자열 대신 와일드카드를 지정할 수 있습니다. 이 특성 값의 일부로 와일드카드를 지정하면 각 유사한 시작점을 개별적으로 구성하지 않아도 됩니다.

        다음은 이 특성의 값 일부로 와일드카드를 포함하는 올바른 방법에 대한 몇 가지 예제입니다.

        https://<server>/<context_root>/ep1/path1/p*
        https://<server>/<context_root>/ep1/path1/*
        https://<server>/<context_root>/ep1/*

        문제점 방지 문제점 방지: 메타데이터를 사용하여 SSO를 구성 중인 경우에는 acsUrl 정의에서 와일드카드를 사용할 수 없습니다. gotcha
      7. 새로 작성을 클릭하고 다음 사용자 정의 특성 정보를 입력하십시오. 이름: sso_1.sp.idMap 및 값: idAssertion.
      8. 확인을 클릭하십시오.
      9. 보안글로벌 보안으로 돌아가 사용자 정의 특성을 클릭하십시오.
      10. 새로 작성을 클릭하고 일반 특성에서 다음 사용자 정의 특성 정보를 정의하십시오. 이름: com.ibm.websphere.security.DeferTAItoSSO 및 값: com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
        문제점 방지 문제점 방지: com.ibm.websphere.security.DeferTAItoSSO 특성은 설치된 모든 서버의 기본 구성에서 이전에 사용됩니다. 지금은 SAML 구성의 일부로만 사용됩니다. 따라서 시스템 구성에 이 특성이 이미 있으면 해당 값을 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor로 변경해야 합니다. 쉼표로 분리된 다중 값은 이 특성에서 지정할 수 없습니다. 하나의 SAML TAI로 설정해야 합니다. gotcha
      11. 새로 작성을 클릭하고 일반 특성에서 다음 사용자 정의 특성 정보를 정의하십시오. 이름: com.ibm.websphere.security.InvokeTAIbeforeSSO 및 값: com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor.
      12. 확인을 클릭하십시오.
      13. WebSphere Application Server를 다시 시작하십시오.

결과

이제 WebSphere Application Server에서 SAML을 사용할 수 있습니다.

다음에 수행할 작업

SAML 웹 SSO 기능을 사용 가능하게 한 후에 다른 ID 제공자를 포함하는 IdP 시작 싱글 사인온 시나리오에 참여하도록 WebSphere Application Server를 서비스 제공자(SP) 파트너로 구성해야 합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_enablesamlsso
파일 이름:twbs_enablesamlsso.html