wsadmin 명령을 사용하여 자체 발행 SAML 토큰 구성 관리

SAMLIssuerConfig.properties 파일 사용은 WebSphere® Application Server 버전 8에서 더 이상 사용되지 않습니다. listSAMLIssuerConfigupdateSAMLIssuerConfig wsadmin 명령 태스크를 사용하여 SAMLIssuerConfig.properties 셀 및 서버 레벨 구성 파일을 읽고 수정할 수 있습니다. WebSphere Application Server 버전 8부터 관리 콘솔 또는 setSAMLIssuerConfigInBinding 명령 태스크를 사용하여 애플리케이션 특정 바인딩 또는 일반 바인딩의 요청자 아웃바운드 구성에서 사용자 정의 특성으로 자체 발행된 SAML 토큰 구성을 지정할 수 있습니다. 서버 레벨 및 셀 레벨 SAMLIssuerConfig.properties 파일을 사용하지 마십시오.

시작하기 전에

제품은 정책 세트 바인딩에서 자체 발행된 SAML 토큰 구성을 지정하는 대안을 제공합니다. SAMLIssuerConfig.properties 파일에서 바인딩으로 자체 발행된 SAML 토큰 구성 데이터를 마이그레이션합니다. 일반 바인딩 또는 애플리케이션 특정 바인딩에서 자체 발행된 SAML 토큰을 작성하기 위해 구성 데이터를 지정하면 셀 레벨 및 서버 레벨 외에도 미세한 범위에서 구성을 지정하는 관리 유연성을 제공합니다. 예를 들어, 특정 웹 서비스 애플리케이션, 임의의 애플리케이션 그룹 또는 보안 도메인에서 웹 서비스 애플리케이션에 대해 특정 SAML 토큰 발행자를 구성할 수 있습니다.

문제점 방지 문제점 방지: 바인딩에서 정의된 자체 발행된 SAML 토큰 구성 데이터는 서버 레벨 또는 셀 레벨 SAMLIssuerConfig.properties 파일에 정의된 데이터보다 우선하고 우선순위는 해당 나열 순서를 따릅니다. 자체 발행된 SAML 토큰 구성 데이터가 첨부된 정책 세트 바인딩에 정의된 경우 웹 서비스 보안 런타임 환경은 서버 레벨 및 셀 레벨 모두에서 SAMLIssuerConfig.properties 파일을 무시합니다. 따라서 SAMLIssuerConfig.properties 파일에서 바인딩으로 마이그레이션할 때 모든 필수 특성을 마이그레이션해야 합니다. gotcha

이 태스크 정보

두 개의 명령 태스크를 사용하여 SAMLIssuerConfig.properties 파일 기반 SAML 발행자 구성을 관리할 수 있습니다. 이 파일은 셀 레벨 및 서버 레벨에 존재할 수 있습니다. 이 두 태스크는 다음과 같습니다.

  • listSAMLIssuerConfig
  • updateSAMLIssuerConfig

프로시저

  1. 대화식 모드로 wsadmin 명령 태스크를 실행하십시오. 다음 Jython 스크립트는 대화식 모드로 wsadmin 명령 태스크를 실행하는 방법을 보여줍니다.
    AdminTask.listSAMLIssuerConfig('[-interactive]')

    서버 레벨 SAML 발행자 구성을 선택하려면 serverNamenodeName 매개변수가 필요합니다. 이 매개변수가 누락된 경우 명령 태스크는 셀 레벨 SAML 발행자 구성을 나열합니다.

  2. listSAMLIssuerConfig 명령 태스크를 사용하여 서버 레벨 SAML 발행자 구성을 표시하십시오.
    AdminTask.listSAMLIssuerConfig('[-nodeName Node01 -serverName server1]')

    listSAMLIssuerConfig 명령을 실행하려면 "모니터" 이상의 관리 역할 권한이 필요합니다.

  3. updateSAMLIssuerConfig 명령 태스크를 사용하여 서버 레벨 또는 셀 레벨 SAML 발행자 구성을 업데이트하십시오.
    AdminTask.updateSAMLIssuerConfig('[-IssuerURI My_Issuer 
                                       -TimeToLiveMilliseconds 3600000 
                                       -KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01" 
                                       -KeyAlias samlissuer 
                                       -KeyName "CN=SAMLIssuer, O=Acme, C=US" -KeyPassword ***** 
                                       -TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')

    serverNamenodeName 매개변수를 지정하지 않은 경우 태스크는 셀 레벨 SAML 발행자 구성을 업데이트합니다.

    updateSAMLIssuerConfig 명령을 실행하려면 "관리자"의 관리 역할 권한이 필요합니다.

결과

셀 레벨 또는 서버 레벨 SAMLIssuerConfig.properties 파일을 업데이트하는 프로세스를 자동화하도록 명령 스크립트를 작성하거나 일반 바인딩 또는 애플리케이션 특정 바인딩의 요청자 아웃바운드 구성에서 사용자 정의 특성으로 자체 발행된 SAML 토큰 구성 데이터를 작성합니다.

다음 예제에서는 애플리케이션 특정 바인딩에서 자체 발행된 SAML 토큰 구성 데이터를 추가하거나 수정하는 방법을 보여줍니다.
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName SAMLTestAppClientBinding 
-bindingLocation [ [application JaxWSServicesSamples] [attachmentId 1904] ] 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 " 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')
다음 예제에서는 일반 바인딩을 수정하는 방법을 보여줍니다.
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName "Saml Bearer Client sample" 
-bindingScope domain -bindingLocation  -domainName global 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath "profile_root/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme, C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath "profile_root/profiles/<server_name>/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword *****]')

애플리케이션 바인딩을 지정하는 경우 bindingLocation은 필수 매개변수이며, 특성 오브젝트로 제공할 수 있습니다. 특성 이름은 applicationattachmentId입니다. 일반 바인딩을 지정하는 경우 bindingLocation이 필요합니다(널이거나 특성이 비어 있을 수 있음). 또한 범위가 글로벌이 아닌 경우 bindingScope가 필요합니다. bindingName 매개변수를 사용하여 바인딩 위치를 식별하십시오. bindingLocation, bindingScope, domainName에 대한 자세한 정보는 setBinding 또는 getBinding 명령 태스크 문서를 참조하십시오.

바인딩에서 SAML 발행자 구성 사용자 정의 특성을 제거하려면 관리 콘솔 또는 setBinding 명령 태스크를 사용하십시오.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_manage_saml_self_issuer
파일 이름:twbs_manage_saml_self_issuer.html