Gerenciando Configuração de Token SAML de Emissão Automática Usando os Comandos wsadmin

O uso do arquivo SAMLIssuerConfig.properties foi descontinuado no WebSphere Application Server Versão 8. É possível usar as tarefas do comando wsadmin listSAMLIssuerConfig e updateSAMLIssuerConfig para ler e modificar os arquivos de configuração no nível da célula SAMLIssuerConfig.properties e no nível do servidor. Iniciando com o WebSphere Application Server Versão 8, você deve usar o console administrativo ou a tarefa de comando setSAMLIssuerConfigInBinding para especificar uma configuração de token do SAML de emissão automática como propriedades customizadas na configuração de saída do solicitante nas ligações gerais ou nas ligações específicas do aplicativo. Não use o arquivo SAMLIssuerConfig.properties no nível do servidor e no nível da célula.

Antes de Iniciar

O produto fornece uma maneira alternativa para especificar uma configuração de token SAML de emissão automática nas ligações do conjunto de política. Migre os dados de configuração de token SAML de emissão automática a partir do arquivo SAMLIssuerConfig.properties para as ligações. Especificar os dados de configuração para criar tokens SAML de emissão automática nas ligações gerais ou nas ligações específicas do aplicativo fornece flexibilidade de gerenciamento para especificar a configuração em um escopo de baixa granularidade e também no nível da célula e no nível do servidor. Por exemplo, é possível configurar um emissor de token SAML específico para um determinado aplicativo de serviço da Web, para um grupo arbitrário de aplicativos ou para um aplicativo de serviço da Web em um domínio de segurança.

Evitar Problemas Evitar Problemas: Os dados de configuração de token SAML de emissão automática que estiverem definidos nas ligações têm prioridade sobre os dados que estiverem definidos no arquivo SAMLIssuerConfig.properties no nível do servidor ou no nível da célula, nessa ordem. Quando os dados de configuração do token SAML de emissão automática estiverem definidos nas ligações do conjunto de políticas anexadas, o ambiente do tempo de execução de segurança de serviços da Web negligenciarão os arquivos SAMLIssuerConfig.properties no nível do servidor e no nível da célula. Portanto, é importante que quando migrar a partir do arquivo SAMLIssuerConfig.properties para as ligações, você deve migrar todas as propriedades necessárias.gotcha

Sobre Esta Tarefa

Duas tarefas de comandos estão disponíveis para gerenciar a configuração do emissor SAML baseado no arquivo SAMLIssuerConfig.properties. Esse arquivo pode estar localizado no nível da célula e no nível do servidor. Essas duas tarefas são:

  • listSAMLIssuerConfig
  • updateSAMLIssuerConfig

Procedimento

  1. Execute a tarefa do comando wsadmin no modo interativo. O seguinte script Jython ilustra como executar a tarefa do comando wsadmin no modo interativo.
    AdminTask.listSAMLIssuerConfig('[-interactive]')

    Para selecionar a configuração do emissor SAML no nível do servidor, os parâmetros serverName e nodeName são necessários. Se esses parâmetros estiverem ausentes, a tarefa do comando listará a configuração do emissor SAML no nível da célula.

  2. Use a tarefa de comando listSAMLIssuerConfig para exibir a configuração do emissor SAML no nível do servidor.
    AdminTask.listSAMLIssuerConfig('[-nodeName Node01 -serverName server1]')

    É necessário o privilégio de “monitor” ou da função administrativa acima para executar o comando listSAMLIssuerConfig.

  3. Use a tarefa de comando updateSAMLIssuerConfig para atualizara configuração do emissor SAML no nível do servidor ou no nível da célula.
    AdminTask.updateSAMLIssuerConfig('[-IssuerURI My_Issuer 
                                       -TimeToLiveMilliseconds 3600000 
                                       -KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01" 
                                       -KeyAlias samlissuer 
                                       -KeyName "CN=SAMLIssuer, O=Acme, C=US" -KeyPassword ***** 
                                       -TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')

    Se os parâmetros serverName e nodeName não forem especificados, a tarefa atualizará a configuração do emissor SAML no nível da célula.

    É necessário o privilégio de função administrativa de “administrador” para executar o comando updateSAMLIssuerConfig.

Resultados

Você criou os scripts de comando para automatizar o processo de atualização dos arquivos SAMLIssuerConfig.properties no nível da célula ou no nível do servidor ou criou os dados de configuração do token SAML de emissão automática como propriedades customizadas na configuração de saída do solicitante nas ligações gerais ou nas ligações específicas do aplicativo.

Exemplo

O seguinte exemplo ilustra como incluir ou modificar os dados de configuração do token SAML de emissão automática nas ligações específicas do aplicativo:
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName SAMLTestAppClientBinding 
-bindingLocation [ [application JaxWSServicesSamples] [attachmentId 1904] ] 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 " 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme,C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef "name=myKeyStore managementScope=(cell):Node01Cell:(node):Node01 "]')
O seguinte exemplo ilustra como modificar as ligações gerais:
AdminTask.setSAMLIssuerConfigInBinding('[-bindingName "Saml Bearer Client sample" 
-bindingScope domain -bindingLocation  -domainName global 
-com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI My_Issuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath "profile_root/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias samlissuer 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName "CN=SAMLIssuer, O=Acme, C=US" 
-com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword ***** 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath "profile_root/profiles/<server_name>/etc/ws-security/saml/saml-issuer.jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType jceks 
-com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword *****]')

Quando especificar as ligações do aplicativo, bindingLocation é um parâmetro necessário e pode ser fornecido como um objeto de propriedades. Os nomes de propriedades são application e attachmentId. Ao especificar as ligações gerais, bindingLocation, que pode ser nulo ou ter propriedades vazias, é necessário. Além disso, bindingScope é necessário se o escopo não é global. Use o parâmetro bindingName para identificar o local da ligação. Para obter mais informações sobre bindingLocation, bindingScope e domainName, consulte a documentação de tarefas do comando setBinding ou getBinding.

Para remover as propriedades customizadas de configuração do emissor SAML das ligações, use o console administrativo ou a tarefa de comando setBinding.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_manage_saml_self_issuer
Nome do arquivo: twbs_manage_saml_self_issuer.html