您可配置 SAML Web 入站信任关联拦截器 (TAI),以认证并验证在 Web 请求的请求头中发送的 SAML 令牌。
关于此任务
为 WebSphere® 配置信任关联拦截器 (TAI),以便处理在
Web 请求的请求头中发送的 SAML 令牌。SAML 令牌必须以 Base-64 或 UTF-8 编码,并可以采用
GZIP 格式进行压缩。HTTP 请求中的 SAML 令牌头可以采用下列其中一种格式:
Authorization=[<headerName>=<SAML_HERE>]
Authorization=[<headerName>="<SAML_HERE>"]
Authorization=[<headerName> <SAML_HERE>]
<headerName>=[<SAML_HERE>]
过程
- 从 WebSphere 管理控制台中,选择 > > > 。
- 选择拦截器。
- 选择新建以添加新拦截器。
- 输入拦截器类名:com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI。
- 为您的环境添加定制属性,请参阅 SAML Web 入站 TAI 定制属性以获取属性列表。
- 应用并保存配置更新。
注: 在不应用更改的情况下保存将废弃定制属性。
- 返回至 > ,然后选择定制属性。
- 选择新建,并为“常规属性”定义以下定制属性信息:
Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
Value: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
注: 如果已定义此属性,请将 com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI 添加到现有的值中(以逗号分隔以创建列表)。
- 将 SAML 签发者的签署者证书导入到 WebSphere Application Server 的信任库中。
- 在管理控制台中,单击。对于 Deployment Manager,请使用 CellDefaultTrustStore,而不要使用 NodeDefaultTrustStore。
- 单击添加。
- 填写证书信息,然后单击应用。
- 将 SAML 签发者名称、realmName 的值或者已配置的 realmIdentifier 的属性值添加到入站可信领域列表中。对于每个与
WebSphere Application Server 服务提供程序配合使用的 SAML 签发者,必须向该
SAML 签发者使用的所有领域授予入站信任。您可使用管理控制台向 SAML 签发者授予入站信任。
- 单击全局安全性。
- 对于用户帐户存储库,单击配置。
- 单击可信认证领域 - 入站。
- 单击添加外部领域。
- 填写外部领域名。
- 单击确定并将更改保存到主配置。
- 重新启动 WebSphere Application Server。
结果
这些步骤将建立为 WebSphere Application Server 配置信任关联拦截器(以使其能够处理在入站 Web 请求的请求头中发送的 SAML 令牌)所需的最低限度配置。