Configurando Ligações de Cliente e Provedor para o Token sender-vouches do SAML

É possível configurar os anexos e as ligações do conjunto de políticas de cliente e de provedor para o token sender-vouches do SAML. Um token sender-vouches SAML é um token SAML que usa o método de confirmação de assunto sender-vouches. O método de confirmação de comprovantes de emissor é usado quando um servidor precisar propagar a identidade do cliente ou o comportamento do cliente.

Antes de Iniciar

  • Antes de poder usar um token sender-vouches do SAML, você deve criar um ou mais novos perfis do servidor ou incluir definições de configuração do SAML em um perfil existente.

    Consulte o tópico Criando perfis do servidor de aplicativos para obter informações adicionais sobre como criar um perfil do servidor.

    Consulte os vários tópicos que descrevem como configurar o SAML para obter informações adicionais sobre como incluir definições de configuração em um perfil existente.

  • Determine qual tipo de segurança você deseja usar para proteger a integridade de mensagens SOAP e de tokens do SAML, para que um receptor possa verificar se o conteúdo da mensagem e os tokens do SAML não foram modificados por partes desautorizadas. Você deve usar a segurança de nível de mensagem ou o transporte HTTPS.

    Conforme declarado na seção 3.5.2.1 da especificação Perfil do Token do SAML:

    "Para satisfazer o processamento do método de confirmação associado do receptor, a entidade atestadora DEVE proteger o chamado à autoria ou lide do conteúdo da mensagem SOAP de tal modo que o receptor possa determinar quando ele foi alterado por outra parte. A entidade atestadora também DEVE fazer com que o chamado à autoria ou lide das instruções (conforme necessário) e sua ligação com o conteúdo da mensagem sejam protegidos de tal modo que a modificação desautorizada seja detectada."

    É possível usar a segurança de nível de transporte ou de nível de mensagem para atender a este requisito sender-vouches do SAML:

    Você deve usar a segurança de nível de mensagem ou o transporte HTTPS para proteger o token sender-vouches.
    • Para utilizar a segurança de nível de transporte HTTP, configure o transporte HTTPS.
    • Para utilizar a segurança de nível de mensagem, a Especificação Perfil do Token do SAML sugere que a entidade atestadora "assine o conteúdo da mensagem e as asserções relevantes".
    Para assinar o conteúdo da mensagem e as asserções relevantes, você deve pelo menos assinar o token do SAML (a asserção). O conteúdo relevante é dependente do aplicativo. A especificação recomenda que:
    • O emissor pelo menos assine o Corpo SOAP e a Asserção do SAML juntamente para atender ao requisito do conteúdo da mensagem relevante.
    • O consumidor verifica se o token do SAML está assinado com o corpo SOAP ao usar sender-vouches do SAML.

Sobre Esta Tarefa

Este procedimento descreve as etapas que você deve concluir para assinar digitalmente um token do SAML. Ele não descreve nehum dos requisitos padrão do OASIS de Perfil do Token do SAML para os tokens sender-vouches do SAML ou de acesso do SAML referentes às partes da mensagem que devem ser assinadas.

O exemplo fornecido neste procedimento usa o aplicativo de serviços da web de amostra JaxWSServicesSamples.

O procedimento para a criação do conjunto de políticas sender-vouches inicia com a criação de uma nova política sender-vouches do SAML.

Procedimento

  1. Crie a política sender-vouches do SAML e configure as partes da mensagem.

    Você deve criar um conjunto de políticas sender-vouches do SAML, com base na política de acesso do SAML antes de poder configurar as ligações de cliente e de provedor para o token sender-vouches do SAML. Após criar o conjunto de políticas, você deverá anexar as ligações aos aplicativos cliente e provedor do JAX-WS. Para obter informações adicionais sobre os conjuntos de políticas de acesso, consulte o tópico Configurando ligações de cliente e de provedor para o token de acesso do SAML.

    Vários conjuntos de políticas de aplicativo do token do SAML e várias amostras gerais de ligação de cliente e de provedor padrão são fornecidos com o produto. Um conjunto de políticas usado para um token sender-vouches do SAML é semelhante a um usado para um token de acesso do SAML. O procedimento a seguir descreve como criar um conjunto de políticas sender-vouches com base em um conjunto de políticas do token de acesso do SAML.

    A menos que elas sejam importados como uma cópia, as políticas padrão do SAML20 Bearer WSSecurity e do SAML20 Bearer WSHTTPS não podem ser atualizadas para uso com os tokens sender-vouches do SAML. As políticas padrão do SAML20 Bearer WSSecurity e do SAML20 Bearer WSHTTPS não são configuradas para assinar o token do SAML. Para atender ao requisito do sender-vouches do SAML, a política deve ser atualizada para assinar o token SAML. Portanto, a política deve ser importada como uma cópia ou você deve fazer uma cópia da política. O procedimento a seguir faz uma cópia da política.

    1. Importe os Conjuntos de Políticas Necessárias.

      A seção Antes de Iniciar do tópico Configurando ligações de cliente e de provedor com o token de acesso do SAML descreve como importar a política padrão WSHTTPS do Nome de Usuário e a política do SAML Bearer do tipo desejado. Por exemplo, o padrão do SAML20 Bearer WSSecurity é usado para os tokens sender-vouches do SAML 2.0 que usam HTTP.

    2. Faça uma cópia da política do SAML Bearer importado desejado que seja possível editar.
      1. No console administrativo, clique em Serviços > Conjuntos de Políticas > Conjuntos de Políticas de Aplicativos.
      2. Selecione a política do SAML Bearer importado que deseja copiar.

        Por exemplo, você pode selecionar Padrão do SAML20 Bearer WSSecurity.

      3. Clique em Copiar... .
      4. Especifique o nome desejado no campo Nome. Por exemplo, você pode especificar sender-vouches do SAML20.
      5. Clique em OK.
    3. Edite a nova política sender-vouches do SAML para incluir a assinatura digital do token do SAML.
      1. No console administrativo, clique em Serviços > Conjuntos de Políticas > Conjuntos de Políticas de Aplicativos.
      2. Selecione a política que você acabou de criar.

        Usando o exemplo anterior, você deve selecionar sender-vouches do SAML20.

    4. No console administrativo, edite o conjunto de políticas do SAML, em seguida, clique em Segurança WS > Política Principal > Proteção de Parte da Mensagem de Solicitação.
    5. Em Proteção de Integridade, clique em Incluir.
    6. Insira um nome de parte para Nome da Parte a Ser Assinada; por exemplo, saml_part.
    7. Em Elementos na Parte, clique em Incluir.
    8. Selecione Expressão XPath.
    9. Inclua duas expressões XPath.
      /*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
      /*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Envelope']/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' 
      and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' 
      and local-name()='SecurityTokenReference']
    10. Clique em Aplicar e em Salvar.
    11. Se um aplicativo nunca tiver sido iniciado usando esta política, nenhuma ação adicional será necessária. Caso contrário, reinicie o servidor de aplicativos ou siga as instruções no artigo Atualizando configurações de conjunto de políticas usando o script wsadmin, para o servidor de aplicativos recarregar o conjunto de políticas.
  2. Configurar o cliente de confiança

    Se você estiver usando as ligações gerais para acessar o STS externo, ignore para Anexar o conjunto de políticas e ligações à etapa do aplicativo cliente.

    Se você estiver usando as ligações específicas ao aplicativo para acessar o STS externo, conclua as subetapas a seguir.

    1. Anexe temporariamente um conjunto de políticas do cliente de confiança ao aplicativo do cliente de serviços da web, para que as ligações possam ser configuradas.

      Anexar um conjunto de políticas ao cliente de confiança permita usar o console administrativo para criar e, em seguida, modificar as ligações do documento de ligação de cliente. Você apenas deverá concluir esta ação, se uma ligação específica ao aplicativo for usada para acessar o STS externo.

      1. No console administrativo, clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações de Cliente de Serviço.
      2. Selecione o recurso do cliente de serviços da web (JaxWSServicesSamples).
      3. Clique em Anexar Conjunto de Política do Cliente.
      4. Selecione o conjunto de políticas Padrão WSHTTPS do Nome de Usuário.
    2. Criar a ligação de cliente de confiança.
      1. Selecione novamente o recurso do cliente de serviços da web (JaxWSServicesSamples).
      2. Clique em Designar Ligação.
      3. Clique em Nova Ligação Específica de Aplicativo para criar uma ligação específica de aplicativo.
      4. Especifique um nome de configuração de ligação para a nova ligação específica ao aplicativo. Neste exemplo, o nome de ligação é SamlTCSample.
    3. Inclua o tipo de política de transporte SSL na ligação,

      Clique em Incluir > Transporte SSL e, em seguida, clique em OK.

    4. Inclua o tipo de política de WS-Security na ligação, em seguida, modifique as configurações de autenticação do cliente de confiança.
      1. Se o tipo de política de WS-Security ainda não estiver na definição de ligação SamlTCSample, clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações de Cliente de Serviço > SamlTCSample.
      2. Clique em Incluir > WS-Security > Autenticação e Proteção > request:uname_token.
      3. Clique em Aplicar.
      4. Selecione Manipulador de Retorno de Chamada
      5. Especifique um nome de usuário e senha para o cliente de serviços da web se autenticar no STS externo.
      6. Clique em OK e, em seguida, clique em Salvar.
    5. Depois que as configurações de ligação estiverem salvas, retorne para o painel Conjuntos de Políticas e Ligações de Cliente de Serviços e separe o conjunto de políticas e as ligações.
      1. Clique em Conjuntos de Políticas e Ligações de Cliente de Serviço na navegação desta página ou em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de de Políticas e Ligações de Cliente de Serviço.
      2. Selecione o recurso do cliente de serviços da web (JaxWSServicesSamples) e, em seguida, clique em Separar Conjunto de Políticas do Cliente.

      A configuração de ligação específica ao aplicativo que você acabou de criar não será excluída do sistema de arquivos quando o conjunto de políticas for separado. Entretanto, é possível usar ainda a ligação específica ao aplicativo criada para acessar o STS com o cliente de confiança.

  3. Anexe o conjunto de políticas sender-vouches do SAML e crie novas ligações específicas ao aplicativo para o aplicativo cliente

    É necessário utilizar ligações customizadas específicas do aplicativo em vez de ligações gerais para sender-vouches. Portanto, se você configurar ligações e conjuntos de políticas sender-vouches a partir de ligações e conjuntos de políticas de token de transmissão, será necessário garantir que as ligações designadas sejam específicas de aplicativo.

    1. Anexe o conjunto de políticas do SAML desejado ao aplicativo cliente de serviços da web.
      1. Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações do Cliente de Serviço.
      2. Selecione o recurso de cliente de serviços da web (JaxWSServicesSamples).
      3. Clique em Anexar Conjunto de Política do Cliente.
      4. Selecione a política SAML criada.

        Por exemplo, você pode selecionar sender-vouches do SAML20.

    2. Crie novas ligações específicas ao aplicativo para o cliente.
      1. Selecione novamente o recurso de cliente de serviços da web (JaxWSServicesSamples).
      2. Clique em Designar Ligação.
      3. Selecione Nova Ligação Específica ao Aplicativo....
      4. Especifique um nome de configuração de ligação para a nova ligação específica ao aplicativo.

        Neste exemplo, o nome de ligação é SamlSenderVouchesClient.

      5. Clique em Incluir > WS-Security.
  4. Edite o gerador de token do SAML nas ligações de cliente específicas ao aplicativo.
    1. Clique em Autenticação e Proteção.
    2. Nos Tokens de Autenticação, clique em request:SAMLToken20Bearer ou em request:SAMLToken11Bearer.
    3. Clique em Aplicar.
    4. Clique em Manipulador de Retorno de Chamada.
    5. Inclua as propriedades customizadas a seguir.
      • confirmationMethod=sender-vouches
      • keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      • stsURI=SecurityTokenService_address

        Por exemplo, você pode especificar https://example.com/Trust/13/UsernameMixed para SecurityTokenService_address.

      • wstrustClientPolicy=Username WSHTTPS default.
      • wstrustClientBinding=value

        O valor especificado para wstrustClientBinding deve corresponder ao nome da ligação específica ao aplicativo do cliente de confiança criado nas etapas anteriores. Por exemplo, se nas etapas anteriores, você tiver criado uma ligação específica ao aplicativo nomeada SamlTCSample, deverá especificar SamlTCSample como o valor da propriedade wstrustClientBinding.

      • wstrustClientSoapVersion=value

        Especifique um valor de 1.1 para esta propriedade, se desejar usar o SOAP Versão 1.1.

        Especifique um valor de 1.2 para esta propriedade, se desejar usar o SOAP Versão 1.2.

    6. Clique em OK.
    7. Clique em Segurança WS na navegação desta página.
  5. Configure a assinatura digital geral nas ligações de clientes.
    1. Configure um Armazenamento de Certificados.
      1. Clique em Chaves e Certificados.
      2. Em Armazenamento de Certificados, clique em Nova Entrada... .
      3. Especifique name=clientCertStore.
      4. Especifique Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer.
      5. Clique em OK.
    2. Configure uma Âncora de Confiança.
      1. Em Âncora de Confiança, clique em Novo...
      2. Especifique name=clientTrustAnchor.
      3. Clique em Keystore Externo.
      4. Especifique Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks.
      5. Especifique Password=client.
      6. Clique em OK.
      7. Clique em Segurança WS na navegação desta página.
    3. Configure o Gerador de Assinatura.
      1. Clique em Autenticação e Proteção > AsymmetricBindingInitiatorSignatureToken0 (gerador de assinatura) e, em seguida, clique em Aplicar.
      2. Clique em Manipulador de Retorno de Chamada
      3. Especifique Keystore=custom.
      4. Clique em Configuração de Keystore Customizado e, em seguida, especifique
        • Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
        • Keystore password=client
        • Name=client
        • Alias=soaprequester
        • Password=client
      5. Clique em OK, em OK e em OK.
    4. Configure o Consumidor de Assinatura.
      1. Clique em AsymmetricBindingRecipientSignatureToken0 (consumidor de assinatura) e, em seguida, clique em Aplicar.
      2. Clique em Manipulador de Retorno de Chamada.
      3. Em Certificados, clique no botão de opções Armazenamento de Certificados e especifique:
        • Certificate store=clientCertStore
        • Trusted anchor store=clientTrustAnchor
      4. Clique em OK e em OK.
    5. Configure as Informações sobre Assinatura da Solicitação.
      1. Clique em request:app_signparts e especifique Name=clientReqSignInfo.
      2. Em Informações Chave de Assinatura, clique em Novo e, em seguida, especifique:
        • Name=clientReqSignKeyInfo
        • Type=Security Token reference
        • Token generator or consumer name=AsymmetricBindingInitiatorSignatureToken0
      3. Clique em Ok e, em seguida, clique em Aplicar.
      4. Em Referência de Parte da Mensagem, selecione request:app_signparts.
      5. Clique em Editar.
      6. Em Algoritmos de Conversão, clique em Novo
      7. Especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      8. Clique em OK, em OK e em OK.
    6. Configure as Informações sobre Assinatura da Resposta.
      1. Clique em response:app_signparts e especifique Name=clientRespSignInfo.
      2. Clique em Aplicar.
      3. Em Informações Chave de Assinatura, clique em Novo e, em seguida, especifique:
        • Name=clientRspSignKeyInfo
        • Token generator or consumer name=AsymmetricBindingRecipientSignatureToken0
      4. Clique em OK.
      5. Em Informações Chave de Assinatura, clique em clientRspSignKeyinfo e, em seguida, clique em Incluir.
      6. Em Referência de Parte da Mensagem, selecione response:app_signparts.
      7. Clique em Editar.
      8. Em Algoritmos de Conversão, clique em Novo
      9. Especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      10. Clique em OK, em OK e em OK.
  6. Configure a assinatura digital para o token do SAML nas ligações de clientes.
    1. Modifique as Ligações de Parte da Mensagem Assinada da saída configurada atualmente para incluir a nova parte do SAML criada.

      Em Proteção de Criptografia e de Assinatura da Mensagem de Solicitação, selecione a referência da parte cujo status é configurado como Configurado. Esta referência de peça muito provavelmente será request:app_signparts.

      1. Na lista Disponível em Referência da Parte da Mensagem, selecione o nome da parte a ser assinada, conforme criado na etapa 1; por exemplo, saml_part.
      2. Clique em Incluir e, em seguida, clique em Aplicar.
      3. Na lista Designado em Referência da Parte da Mensagem, realce o nome da parte incluída; por exemplo, saml_part.
      4. Clique em Editar.
      5. Para a configuração Algoritmos de Conversão, clique em Novo.
      6. Selecione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
      7. Clique em OK, clique em OK e, em seguida, clique em OK mais uma vez.
    2. Atualize o token GENERATO SAML com a propriedade customizada para indicar uma assinatura digital com uma Referência de token de segurança.

      Em Tokens de Autenticação, selecione e edite o token SAML que deseja assinar.

      1. Em Propriedade Customizada, clique em Novo.
      2. Insira com.ibm.ws.wssecurity.createSTR como o nome da propriedade customizada.
      3. Insira true como o valor da propriedade customizada.
      4. Clique em Aplicar e, em seguida, clique em Salvar.
    3. Inicie novamente o aplicativo.
  7. Anexe o conjunto de políticas sender-vouches do SAML e crie novas ligações específicas ao aplicativo para o aplicativo provedor.
    1. Anexe o conjunto de políticas do SAML desejado ao aplicativo cliente de serviços da web.
      1. Clique em Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos do WebSphere > JaxWSServicesSamples > Conjuntos de Políticas e Ligações do Provedor de Serviços.
      2. Selecione o recurso de cliente de serviços da web (JaxWSServicesSamples).
      3. Clique em Anexar Conjunto de Políticas.
      4. Selecione a política SAML criada.

        Por exemplo, você pode selecionar sender-vouches do SAML20.

    2. Crie novas ligações específicas ao aplicativo para o provedor.
      1. Selecione novamente o recurso de cliente de serviços da web (JaxWSServicesSamples).
      2. Clique em Designar Ligação.
      3. Selecione Nova Ligação Específica ao Aplicativo....
      4. Especifique um nome de configuração de ligação para a nova ligação específica ao aplicativo.

        Neste exemplo, o nome de ligação é SamlSenderVouchesProvider.

      5. Clique em Incluir > WS-Security.
  8. Edite o consumidor de token do SAML nas ligações de provedor específicas ao aplicativo.
    1. Clique em Autenticação e Proteção.
    2. Nos Tokens de Autenticação, clique em request:SAMLToken20Bearer ou em request:SAMLToken11Bearer.
    3. Clique em Aplicar.
    4. Clique em Manipulador de Retorno de Chamada.
    5. Inclua as propriedades customizadas a seguir.
      • confirmationMethod=sender-vouches
      • keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
      • signatureRequired=true
    6. Opcional: Configure a propriedade customizada trustAnySigner como true, se desejar não permitir nenhuma validação de certificado de assinante.

      A definição de configuração do certificado Trust Any será ignorada para fins de validação de assinatura do SAML. Esta propriedade será válida apenas se a propriedade customizada signatureRequired estiver configurada como true, que é o valor padrão desta propriedade.

    7. Conclua as ações a seguir, se as asserções forem assinadas pelo STS, a propriedade customizada signatureRequired será configurada como o valor padrão true e a propriedade customizada trustAnySigner será configurada como o valor padrão false.
      • Inclua um certificado no armazenamento confiável para o provedor que permite que o certificado de assinatura do STS externo passe a validação de confiança, como por exemplo, o próprio certificado de assinatura do STS ou seu certificado CA raiz.
      • Configure a propriedade customizada trustStorePath como um valor que corresponda ao nome do arquivo do armazenamento de confiança. Este valor pode ser o caminho completo ou palavras-chave de uso, como por exemplo, ${USER_INSTALL_ROOT}.
      • Configure a propriedade customizada trustStoreType como um valor que corresponda ao tipo de armazenamento de chaves. Os tipos de armazenamentos de chaves suportados incluem: jks, jceks e pkcs12.
      • Configure a propriedade customizada trustStorePassword como um valor que corresponda à senha do armazenamento confiável. A senha é armazenada como uma propriedade customizada e é codificada pelo console administrativo.
      • Opcional: Configure a propriedade customizada trustedAlias como um valor, como por exemplo, samlissuer. Se essa propriedade for especificada, o certificado X.509 representado pelo alias será o único certificado STS confiável para a verificação de assinatura do SAML. Se essa propriedade customizada não for especificada, o ambiente de tempo de execução dos serviços da Web usa o certificado de sinalização dentro as asserções SAML para validar a assinatura SAML e depois verifica o certificado em relação ao armazenamento confiável configurado.
    8. Opcional: Configure o destinatário para validar o nome do emissor ou o certificado SubjectDN do emissor na asserção do SAML ou ambos.

      É possível criar uma lista de nomes de emissores confiáveis ou uma lista de certificados SubjectDNs confiáveis ou é possível criar ambos os tipos de listas. Se você criar listas de nome de emissor e SubjectDN, o nome do emissor e o SubjectDN serão verificados. Se o nome do emissor do SAML recebido ou o SubjectDN do assinante não estiver nas listas confiáveis, a validação do SAML falhará e uma exceção será emitida.

      O exemplo a seguir mostra como criar uma lista de emissores e de SubjectDNs confiáveis. Para cada nome do emissor confiável, use trustedIssuer_n em que n é um número inteiro positivo. Para cada SubjectDN confiável, use trustedSubjectDN_n em que n é um número inteiro positivo. Se você criar ambos os tipos de listas, o número inteiro n deverá ser correspondente em ambas as listas para a mesma asserção do SAML. O número inteiro n começa com 1 e aumenta de 1 em 1.

      Neste exemplo, confie uma asserção do SAML com o WebSphere/samlissuer do nome do emissor, independentemente do SubjectDN do assinante, portanto, inclua a propriedade customizada a seguir:
       <properties value="WebSphere/samlissuer" name="trustedIssuer_1"/>
      Além disso, confie uma asserção do SAML emitida pelo IBM/samlissuer, quando o SubjectDN do assinante for ou=websphere,o=ibm,c=us, portanto, inclua as propriedades customizadas a seguir:
      <properties value="IBM/samlissuer" name="trustedIssuer_2"/> 
      <properties value="ou=websphere,o=ibm,c=us" name="trustedSubjectDN_2"/>  
    9. Clique em APLICAR.
    10. Clique em WS-Security na navegação desta página.
  9. Configure a assinatura digital geral nas ligações de provedores.
    1. Configure um Armazenamento de Certificados.
      1. Clique em Chaves e Certificados.
      2. Em Armazenamento de Certificados, clique em Nova Entrada... .
      3. Especifique:
        • Name=providerCertStore
        • Intermediate X.509 certificate=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
      4. Clique em OK.
    2. Configure uma Âncora de Confiança.
      1. Em Âncora de Confiança, clique em Novo...
      2. Especifique, Name=providerTrustAnchor.
      3. Clique em Keystore Externo e especifique:
        • Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
        • Password=server
      4. Clique em OK e, em seguida, clique em Segurança WS na navegação desta página.
    3. Configure o Gerador de Assinatura.
      1. Clique em Autenticação e Proteção > AsymmetricBindingRecipientSignatureToken0 (gerador de assinatura) e, em seguida, clique em Aplicar.
      2. Clique em Manipulador de Retorno de Chamada
      3. Especifique Keystore=custom.
      4. Clique em Configuração de Keystore Customizado e, em seguida, especifique
        • Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
        • Keystore password=server
        • Name=server
        • Alias=soapprovider
        • Password=server
      5. Clique em OK, em OK e em OK.
    4. Configure o Consumidor de Assinatura.
      1. Clique em AsymmetricBindingInitiatorSignatureToken0 (consumidor de criptografia) e, em seguida, clique em Aplicar.
      2. Clique em Manipulador de Retorno de Chamada.
      3. Em Certificados, clique no botão de opções Armazenamento de Certificados e especifique:
        • Certificate store=providerCertStore
        • Trusted anchor store=providerTrustAnchor
      4. Clique em OK.
      5. Clique em Autenticação e Proteção na navegação desta página.
    5. Configure as Informações sobre Assinatura da Solicitação.
      1. Clique em request:app_signparts e especifique Name=reqSignInf.
      2. Clique em Aplicar.
      3. Em Informações Chave de Assinatura, clique em Novo e, em seguida, especifique:
        • Name=reqSignKeyInfo
        • Token generator or consumer name=AsymmetricBindingInitiatorSignatureToken0
      4. Clique em OK.
      5. Em Informações Chave de Assinatura, clique em reqSignKeyinfo e, em seguida, clique em Incluir.
      6. Em Referência de Parte da Mensagem, clique em request:app_signparts.
      7. Clique em Editar.
      8. Em Algoritmos de Conversão, clique em Novo e, em seguida, especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      9. Clique em OK, em OK e em OK.
    6. Configure as Informações sobre Assinatura da Resposta.
      1. Clique em response:app_signparts e especifique Name=rspSignInfo.
      2. Clique em Aplicar.
      3. Em Informações Chave de Assinatura, clique em Novo e, em seguida, especifique:
        • Name=rspSignKeyInfo
        • Type=Security Token reference
        • Token generator or consumer name=AsymmetricBindingRecipientSignatureToken0
      4. Clique em Ok e, em seguida, clique em Aplicar.
      5. Em Referência de Parte da Mensagem, selecione response:app_signparts.
      6. Clique em Editar.
      7. Em Algoritmos de Conversão, clique em Novo
      8. Especifique URL=http://www.w3.org/2001/10/xml-exc-c14n#.
      9. Clique em OK, em OK e em OK.
  10. Configure a assinatura digital para o token do SAML nas ligações de provedores.
    1. Clique em Segurança WS na navegação desta página e, em seguida, clique em Autenticação e Proteção.
    2. Modifique as Ligações de Parte da Mensagem Assinada de entrada configurada atualmente para incluir a nova parte do SAML criada.

      Em Proteção de Criptografia e de Assinatura da Mensagem de Solicitação, selecione a referência da parte cujo status é configurado como Configurado. Esta referência de peça muito provavelmente será request:app_signparts.

      1. Na lista Disponível em Referência da Parte da Mensagem, selecione o nome da parte a ser assinada, conforme criado na etapa 1; por exemplo, saml_part.
      2. Clique em Incluir e, em seguida, clique em Aplicar.
      3. Na lista Designado em Referência da Parte da Mensagem, realce o nome da parte incluída; por exemplo, saml_part.
      4. Clique em Editar.
      5. Para a configuração Algoritmos de Conversão, clique em Novo.
      6. Selecione http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform.
      7. Clique em OK, clique em OK e, em seguida, clique em OK mais uma vez.
      8. Clique em Salvar.
  11. Opcional: É possível configurar a ligação do responsável pela chamada para selecionar um token SAML para representar a identidade do solicitante. O ambiente de tempo de execução da Segurança de serviços da Web usa a configuração de login do JAAS para adquirir o nome de segurança do usuário e os dados de associação ao grupo do registro do usuário usando o NameId do token SAML ou NameIdentifier como o nome de usuário.
    1. Clique em WebSphere Enterprise Applications > JaxWSServicesSamples > Ligações e Conjuntos de Políticas do Provedor do Serviço > Amostra Saml Bearer Provider > WS-Security > Responsáveis pela Chamada.
    2. Clique em Novo para criar a configuração do responsável pela chamada
    3. Especifique um Nome, como responsável pela chamada.
    4. Insira um valor para Parte local da identidade do responsável pela chamada.

      Para os tokens do SAML 1.1, insira:

      http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1

      Para os tokens do SAML 2.0, insira:

      http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0
    5. Clique em Aplicar e em Salvar.
  12. Reinicie o aplicativo do provedor de serviços da Web para que as modificações de conexão do conjunto de políticas possam entrar em vigor.

Resultados

O aplicativo de serviços da web JaxWSServicesSamples é lido para usar o novo conjunto de políticas sender-vouches do SAML, a ligação de cliente específica ao aplicativo sender-vouches do SAML e a ligação de provedor específica ao aplicativo sender-vouches do SAML.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsamlsendervouches
Nome do arquivo: twbs_configsamlsendervouches.html