Conjuntos de Políticas Padrão e Ligações de Amostra para SAML
Os conjuntos de política padrão e ligações gerais específicos do SAML são fornecidos quando a função SAML é instalada. Esses conjuntos de política e essas ligações gerais de amostra são usados para solicitar tokens SAML de um Serviço de Token de Segurança (STS) externo e propagar tokens SAML para serviços da Web de recebimento de dados.
Conjuntos de Políticas Padrão SAML
O WebSphere Application Server com SAML fornece oito conjuntos de política padrão e várias ligações gerais de amostra que suportam o padrão do OASIS Web Services Security SAML Token Profile 1.1. Você deve importar os conjuntos de política padrão SAML antes de usá-los. É possível anexar esses conjuntos de política SAML e ligações de amostra a serviços da Web e começar usando o recurso SAML sem gravar nenhum código adicional. No entanto, existem alguns parâmetros de configuração que precisam ser configurados nos documentos de ligações de amostra antes de usá-los. Estes parâmetros incluem a URL de STS externo e o certificado X.509 do emissor do token SAML. Para obter informações adicionais, leia sobre como configurar ligações de cliente e de provedor para o token de transmissão SAML e como configurar ligações de cliente e de provedor para o token de chave simétrica holder-of-key (HoK) SAML.
A instalação da função SAML inclui o conjunto de políticas de aplicativo padrão Username WSHTTPS, que envia um pedido de confiança para um STS externo. Um Serviço de Token de Segurança (STS) é um serviço da Web com finalidade especial. É possível usar um dos conjuntos de políticas padrão do WebSphere Application Server para comunicar-se com o STS. No entanto, o conjunto de políticas padrão Username WSHTTPS envia um token Username na mensagem SOAP e protege a mensagem usando Secure Sockets Layer (SSL). É necessário configurar um nome de usuário e senha no documento de ligações para usar este conjunto de políticas. Para obter instruções passo a passo, leia sobre como configurar conjuntos de política e ligações para comunicação com o STS.
- Padrão SAML11 Bearer WSHTTPS: envia um token SAML usando o método de confirmação de transmissão em mensagens SOAP e protege as mensagens SOAP usando SSL
- Padrão SAML11 Bearer WSSecurity: envia um token SAML usando o método de confirmação de transmissão em mensagens SOAP e protege as mensagens SOAP usando assinatura e criptografia X.509
- Padrão SAML11 HoK Public WSSecurity: envia um token SAML usando o método de confirmação holder-of-key com um certificado X.509 de cliente no token SAML e protege as mensagens SOAP usando o certificado de cliente no token SAML e o certificado X.509 do destinatário
- Padrão SAML11 HoK Symmetric WSSecurity: envia um token SAML usando o método de confirmação holder-of-key com uma chave compartilhada, criptografada pela chave pública do destinatário e protege a mensagem SOAP usando a chave compartilhada para assinatura e criptografia
- Padrão SAML20 Bearer WSHTTPS
- Padrão SAML20 Bearer WSSecurity
- Padrão SAML20 HoK Public WSSecurity
- Padrão SAML20 HoK Symmetric WSSecurity
Ligações de Amostra SAML
- Amostra Saml Bearer Client
- Amostra Saml Bearer Provider
- Amostra Saml HoK Symmetric Client
- Amostra Saml HoK Symmetric Provider
É possível usar a amostra Saml Bearer Client e a amostra Saml Bearer Provider com qualquer um dos conjuntos de políticas padrão do token de transmissão SAML. É possível usar a amostra Saml HoK Symmetric Client e a amostra Saml HoK Symmetric Provider com um dos conjuntos de políticas padrão de chave SAML HoK Symmetric: o padrão SAML11 HoK Symmetric WSSecurity ou o padrão SAML20 HoK Symmetric WSSecurity.
Ligações de Cliente de Confiança
O WebSphere Application Server com SAML suporta ligações específicas do aplicativo e ligações gerais para conjuntos de política de cliente de confiança. Além disso, as ligações padrão serão suportadas se o aplicativo estiver em execução em um ambiente do servidor. As ligações padrão não são suportadas no ambiente thin client.
Você pode criar ligações específicas do aplicativo apenas em um ponto de anexo do conjunto de política. Essas ligações são específicas para e definidas pelas características da política. As ligações específicas do aplicativo podem fornecer configuração para requisitos de política avançados, como várias assinaturas; no entanto, estas ligações são reutilizáveis apenas em um aplicativo. Além disso, as ligações específicas do aplicativo têm reutilização limitada em conjuntos de políticas. Ao criar uma ligação específica do aplicativo para um conjunto de políticas, a ligação é iniciada em um estado desconfigurado. Você deve incluir cada política, como WS-Security ou transporte HTTP, desejada para substituir a ligação padrão e configurar totalmente as ligações para cada política incluída. Para obter informações adicionais sobre como configurar ligações do cliente de confiança para SAML, consulte Configurando Conjuntos de Políticas e Ligações para Comunicação com o STS.
As ligações gerais podem ser configuradas para uso em um intervalo de conjuntos de políticas e podem ser reutilizadas em aplicativos e para pontos de conexão de serviço de confiança. Embora as ligações gerais sejam altamente reutilizáveis, elas não fornecem configuração para requisitos de política avançados, como várias assinaturas. Existem dois tipos de ligações gerais: ligações gerais do conjunto de políticas do provedor e ligações gerais do conjunto de políticas do cliente.
Se você não especificar a propriedade wstrustClientBindingScope para a ligação do cliente de confiança, o sistema procurará primeiro no aplicativo uma ligação específica do aplicativo com o nome da ligação especificado. Se for localizada uma ligação, ela será usada para o pedido do cliente de confiança. Se não for localizada nenhuma ligação específica do aplicativo, o sistema procurará nas ligações gerais disponíveis uma ligação com o nome especificado. Se for localizada uma ligação geral, ela será usada para o pedido do cliente de confiança. Se não for localizada nenhuma ligação com o nome especificado, serão usadas as ligações padrão do ambiente do servidor. As ligações padrão são usadas apenas quando o aplicativo está em execução no ambiente do servidor. Se o aplicativo estiver em execução em um ambiente thin client e nenhuma propriedade wstrustClientBindingScope for especificada, e não for localizada nenhuma ligação específica do aplicativo ou geral, nenhuma ligação será usada, porque as ligações padrão não são suportadas para um thin client.