配置单点登录 (SSO) 伙伴

开始之前

此项任务假设已启用 SAML Web SSO 功能。

关于此任务

对于 IdP 启动的单点登录,在可以将 WebSphere Application Server 用作身份提供程序的服务提供程序伙伴之前,需要在 WebSphere Application Server SAML 服务提供程序与外部 SAML 身份提供程序之间建立伙伴关系。

过程

  1. 将身份提供程序添加到单点登录的 WebSphere Application Server SAML 服务提供程序。 要将单点登录的 WebSphere Application Server SAML 服务提供程序与身份提供程序结合使用,需要将该身份提供程序添加为伙伴。 通过导入身份提供程序的元数据或完成手动步骤,可以添加该身份提供程序作为伙伴。
    • 使用身份提供程序的元数据来添加该身份提供程序。
    1. 启动 WebSphere Application Server。
    2. 通过输入以下命令来从 app_server_root/bin 目录启动 wsadmin 命令行实用程序:wsadmin -lang jython
    3. 在 wsadmin 提示符处,输入以下命令:AdminTask.importSAMLIdpMetadata('-idpMetadataFileName <IdPMetaDataFile> -idpId 1 -ssoId 1 -signingCertAlias <idpAlias>'),其中 IdpMetaDataFile 是 IdP 元数据文件的完整路径名,而 IdpAlias 是您为导入的证书指定的任何别名。
    4. 通过输入以下命令来保存配置:AdminConfig.save()
    5. 通过输入以下命令来退出 wsadmin 命令实用程序:quit
    6. 重新启动 WebSphere Application Server。
    • 将身份提供程序手动添加到 WebSphere Application Server SAML 服务提供程序。

      将 WebSphere Application Server SAML 服务提供程序配置成身份提供程序的 SSO 伙伴的最低需求,是将 SAML 令牌签署者证书从身份提供程序导入服务提供程序的信任库。 可将服务提供程序配置成与多个身份提供程序协同工作。对于每一个身份提供程序,都必须导入 SAML 令牌签署者证书。

      您可以使用管理控制台或 wsadmin 命令行实用程序来导入 IdP 在签署 SAML 令牌时所使用的证书。

    • 使用管理控制台导入 SAML 令牌签署者证书。
    1. 登录 WebSphere Application Server 管理控制台。
    2. 单击安全 > SSL 证书和密钥管理 > 密钥库和证书 > NodeDefaultTrustStore > 签署者证书 对于 Deployment Manager,请使用 CellDefaultTrustStore 而不要使用 NodeDefaultTrustStore
    3. 单击添加
    4. 填写证书信息。
    5. 单击应用
    • 使用 wsadmin 命令行实用程序导入 SAML 令牌签署者证书。
    1. 启动 WebSphere Application Server。
    2. 通过输入以下命令来从 app_server_root/bin 目录启动 wsadmin 命令行实用程序:wsadmin -lang jython
    3. 在 wsadmin 提示符处,输入以下命令:AdminTask.addSignerCertificate('[-keyStoreName NodeDefaultTrustStore -certificateFilePath <certFile> -base64Encoded true -certificateAlias <certAlias>]'),其中 certFile 是证书文件的完整路径名,certAlias 是证书的别名。 对于 Deployment Manager,请使用 CellDefaultTrustStore 而不要使用 NodeDefaultTrustStore
    4. 通过输入以下命令来保存配置:AdminConfig.save()
    5. 通过输入以下命令来退出 wsadmin 命令实用程序:quit
  2. 将 IdP 领域添加到入站可信领域列表。 针对与 WebSphere Application Server 服务提供程序配合使用的每一个身份提供程序,必须向该身份提供程序使用的所有领域授予入站信任。

    您可以使用管理控制台或 wsadmin 命令实用程序向身份提供程序授予入站信任。

    • 使用管理控制台添加入站信任。
    1. 单击全局安全性
    2. 在“用户帐户存储库”下,单击配置
    3. 单击可信认证域 - 入站
    4. 单击添加外部域
    5. 填写外部领域名。
    6. 单击确定,然后单击保存对主配置所作的更改
    • 使用 wsadmin 命令行实用程序添加入站信任。
    1. 要将单个身份提供程序添加到入站信任,请使用以下命令:AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realmName>]'),其中 realmName 是需要授予入站信任的领域的名称。
    2. 要将一列领域添加到入站信任,请使用以下命令:AdminTask.addTrustedRealms('[-communicationType inbound -realmList <realm1|realm2|realm3>]'),其中 realm1realm2realm3 是需要添加为可信领域的领域。
  3. 将 WebSphere Application Server SAML 服务提供程序添加到 SSO 的身份提供程序。

    需要对与 WebSphere Application Server 服务提供程序配合使用的每一个身份提供程序进行配置才能将服务提供程序添加为 SSO 伙伴。 将服务提供程序伙伴添加到身份提供程序的过程取决于特定的身份提供程序。有关如何为 SSO 添加服务提供程序伙伴的指示信息,请参阅身份提供程序的文档。

    您可以导出 WebSphere Application Server 服务提供程序元数据,然后将该元数据导入身份提供程序,也可以手动配置身份提供程序以添加服务提供程序。

    要将服务提供程序添加为身份提供程序的联合伙伴,必须提供服务提供程序的断言使用者服务 (ACS) 的 URL,该 URL 是启用 SAML 信任关联拦截器 (TAI) 时所使用的 -acsUrl 参数。

    如果身份提供程序可以使用元数据文件将服务提供程序添加为联合伙伴,那么您可以使用以下 wsadmin 命令行实用程序命令来导出服务提供程序元数据:
    wsadmin -lang jython
    AdminTask.exportSAMLSpMetadata('-spMetadataFileName /tmp/spdata.xml -ssoId 1')
    此命令将创建 /tmp/spdata.xml 元数据文件。

    如果 SAML 令牌已加密,那么必须提供要让身份提供程序用于加密 SAML 令牌的公用密钥证书,并且该证书必须存在于 WebSphere Application Server 缺省密钥库中才能执行导出操作。

  4. 使用 sso_<id>.sp.idMapsso_<id>.sp.groupMapsso_<id>.sp.groupName 属性来配置 WebSphere Application Server 安全上下文。 WebSphere Application Server 服务提供程序拦截来自身份提供程序的 SAML 协议消息并建立安全上下文。该安全上下文通过映射 SAML 声明进行创建。服务提供程序中的安全上下文映射非常灵活且可配置。以下是可用映射选项的列表:
    • idAssertion

      您可以将 SAML 声明映射到 WebSphere Application Server 平台主体集而无需使用本地注册表,并且这是缺省行为。在此缺省实现中,SAML NameID 映射到主体,签发者映射到领域,所选属性可以映射到组成员。可以进一步定制身份断言。例如,您可以将 SAML 属性配置为主体、领域、访问标识或组成员列表。还可以将 NameIDNameQualifier 配置为域,也可以使用预定义的域名。

    • localRealm

      您可以配置 WebSphere Application Server 服务提供程序以将 NameID 从 SAML 声明映射至服务提供程序的本地注册表,然后从该注册表构建主体集。通过此选项,您可以对注册表直接搜索 SAML NameID,也可以将插件点用于声明的定制映射,然后使用新映射的标识从注册表构建主体集。

    • localRealmThenAssertion

      此选项允许您将 NameID 映射至注册表,并在 NameID 无法映射至注册表时后退到身份断言。

    • AddGroupsFromLocalRealm

      此选项会将身份断言与本地注册表组合在一起,并允许您在执行身份断言时重新评估组成员资格。请考虑来自伙伴实验室的 SAML 声明,用于包含具有组属性 X-ray Techs 的用户 Joe。在服务提供程序处,X-ray Techs 组是 Technicians 组的一个子组,但 Joe 不必在服务提供程序的用户注册表中。服务提供者应用程序的授权策略允许访问 Technicians 组。 要实现此目的,SAML TAI 需要在注册表中查找已声明的组 X-ray Techs,然后在主体集中包括父组 Technicians

    执行身份断言以创建安全上下文时,将选择定制安全领域。必须将定制领域显式添加为可信领域。在缺省身份断言实现中,SAML 签发者名称用作安全领域。必须将签发者名称显式添加到当前用户注册表中的入站可信认证域列表。将定制领域添加到入站可信领域之后,您就可以使用此定制领域来执行角色映射。

    要将定制领域添加为可信领域,请参阅将 IdP 领域添加到入站可信领域列表步骤。

结果

现在,已将 WebSphere Application Server 配置为 IdP 启动的 SSO 的服务提供程序伙伴。

下一步做什么

有关适用于您服务提供程序的其他配置选项,请参阅 SAML Web SSO TAI 定制属性主题以获取 SAML TAI 定制属性的完整列表。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configuresamlssopartners
文件名:twbs_configuresamlssopartners.html