STS와 통신하도록 정책 세트 및 바인딩 구성
웹 서비스 클라이언트가 외부 보안 토큰 서비스(STS)에서 SAML 어설션을 요청할 수 있도록 정책 세트 및 바인딩 문서를 구성합니다.
시작하기 전에
이 태스크 정보
STS에 액세스하기 위해 애플리케이션 특정 바인딩을 구성하는 프로시저가 보다 연관성이 깊습니다. 관리 콘솔은 웹 서비스 제공자와 통신하기 위해 정책 세트 첨부를 관리하도록 설계되었습니다. 콘솔은 STS와 통신하기 위해 두 번째 정책 세트 첨부 세트를 관리하도록 설계되지 않았습니다. 그러나 관리 콘솔을 사용하여 프로시저에서 설명한 대로, STS에 액세스하기 위해 정책 세트 첨부를 관리할 수 있습니다.
관리 콘솔을 사용하여 STS에 액세스하는 데 사용되는 정책 세트를 웹 서비스 클라이언트에 첨부하고 애플리케이션 특정 바인딩을 작성 및 수정합니다. 바인딩 구성을 완료하면 웹 서비스 클라이언트에서 정책 세트 및 바인딩을 분리합니다. 이 프로시저는 다음 단계가 대상 웹 서비스 제공자에 통신에 필요한 정책 세트 및 바인딩을 첨부하는 것이기 때문에 필요합니다. 분리된 애플리케이션 특정 바인딩은 파일 시스템에서 삭제되지 않으므로 웹 서비스 클라이언트 바인딩 사용자 정의 특성은 분리된 애플리케이션 특정 바인딩을 참조할 수 있습니다.
프로시저는 기본 애플리케이션 정책 세트, Username WSHTTPS 기본값을 STS에 액세스하는 구성 단계를 설명하는 예제로 사용합니다. 또한 다른 정책 세트에 단계를 적용할 수 있습니다. 웹 서비스 애플리케이션, JaxWSServicesSamples이 이 예제에 사용됩니다. JaxWSServicesSamples는 기본적으로 설치되어 있지 않습니다.
프로시저
결과
- SAML 토큰을 전파하는 정책 세트 및 바인딩을 첨부하십시오. 예를 들어, SAML11 Bearer WSHTTPS 기본 정책 세트 및 Saml Bearer 클라이언트 샘플 일반 바인딩을 웹 서비스 클라이언트에 첨부하십시오.
- Username WSHTTPS 기본 정책 세트 및 애플리케이션 특정 바인딩, SamlTCSample은 Saml Bearer 클라이언트 샘플 바인딩에서 참조되며, 외부 STS에 액세스하도록 설정됩니다.
- 외부 STS SSL 인증서를 검색하고 NodeDefaultTrustStore 신뢰 저장소에 추가했습니다.
- 기능이 사용 가능함을 확인하기 위해 추적 설정, com.ibm.ws.wssecurity.*=all=enabled를 구성할 수
있습니다.
추적에서는 SAML 어설션이 외부 STS에 의해 실행됨을 보여줍니다. 예를 들어, 다음과 같습니다.
[8/23/09 18:26:59:252 CDT] 0000001f TrustSecurity 3 Security Token Service response: [8/23/09 18:26:59:392 CDT] 0000001f TrustSecurity 3 <?xml version="1.0" encoding="UTF-8"?><s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://www.w3.org/2005/08/addressing" xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> <s:Header> <a:Action s:mustUnderstand="1">http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal</a:Action> <a:RelatesTo>urn:uuid:663A7B27BA8EB2CF9D1251070029934</a:RelatesTo> <o:Security xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" s:mustUnderstand="1"> <u:Timestamp u:Id="_0"> <u:Created>2009-08-23T23:26:57.664Z</u:Created> <u:Expires>2009-08-23T23:31:57.664Z</u:Expires> </u:Timestamp> </o:Security> </s:Header> <s:Body> <trust:RequestSecurityTokenResponseCollection xmlns:trust="http://docs.oasis-open.org/ws-sx/ws-trust/200512"> <trust:RequestSecurityTokenResponse> <trust:Lifetime> <wsu:Created xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2009-08-23T23:26:57.648Z</wsu:Created> <wsu:Expires xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2009-08-24T09:26:57.648Z</wsu:Expires> </trust:Lifetime> <wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"> <a:EndpointReference> <a:Address>https://taishan.austin.ibm.com:9443/WSSampleSei/EchoService12</a:Address> </a:EndpointReference> </wsp:AppliesTo> <trust:RequestedSecurityToken> <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" MajorVersion="1" MinorVersion="1" AssertionID="_3c656382-9916-4e5f-9a16-fe0287dfc409" Issuer="http://svt193.svt193domain.com/Trust" IssueInstant="2009-08-23T23:26:57.663Z"> <saml:Conditions NotBefore="2009-08-23T23:26:57.648Z" NotOnOrAfter="2009-08-24T09:26:57.648Z"> <saml:AudienceRestrictionCondition> <saml:Audience>https://taishan.austin.ibm.com:9443/WSSampleSei/EchoService12</saml:Audience> </saml:AudienceRestrictionCondition> </saml:Conditions> <saml:AuthenticationStatement AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password" AuthenticationInstant="2009-08-23T23:26:57.640Z"> <saml:Subject> <saml:SubjectConfirmation> <saml:ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:bearer</saml:ConfirmationMethod> </saml:SubjectConfirmation> </saml:Subject> </saml:AuthenticationStatement> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <ds:Reference URI="#_3c656382-9916-4e5f-9a16-fe0287dfc409"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <ds:DigestValue>YGySZX4VPv25R+oyzFpE0/T/tjs=</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>eP68...Vr08=</ds:SignatureValue> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <X509Data> <X509Certificate>MII...ymqg3</X509Certificate> </X509Data> </KeyInfo> </ds:Signature> </saml:Assertion> </trust:RequestedSecurityToken> <trust:RequestedAttachedReference> <o:SecurityTokenReference xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <o:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID">_3c656382-9916-4e5f-9a16-fe0287dfc409</o:KeyIdentifier> </o:SecurityTokenReference> </trust:RequestedAttachedReference> <trust:RequestedUnattachedReference> <o:SecurityTokenReference xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <o:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID">_3c656382-9916-4e5f-9a16-fe0287dfc409</o:KeyIdentifier> </o:SecurityTokenReference> </trust:RequestedUnattachedReference> <trust:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1</trust:TokenType> <trust:RequestType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue</trust:RequestType> <trust:KeyType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer</trust:KeyType> </trust:RequestSecurityTokenResponse> </trust:RequestSecurityTokenResponseCollection> </s:Body> </s:Envelope>