为 SAML sender-vouches 令牌配置客户机和提供程序绑定
可以为 SAML sender-vouches 令牌配置客户机和提供程序策略集连接与绑定。SAML sender-vouches 令牌是使用 sender-vouches 主体集确认方法的 SAML 令牌。当服务器需要传播客户机标识或客户机的行为时,将使用 sender-vouches 确认方法。
开始之前
- 在可以使用 SAML sender-vouches 令牌之前,必须先创建一个或多个新服务器概要文件或者将 SAML 配置设置添加到现有概要文件。
有关创建服务器概要文件的更多信息,请参阅“创建应用程序服务器概要文件”主题。
有关如何将 SAML 配置设置添加到现有概要文件的更多信息,请参阅用于描述如何配置 SAML 的各种主题。
- 确定要用于保护 SOAP 消息与 SAML 令牌的完整性的安全性类型,以便接收方可以验证未经授权方没有修改消息内容和 SAML 令牌。必须使用消息级别安全性或 HTTPS 传输。
如 SAML 令牌概要文件规范的 3.5.2.1 部分中所述:
“要满足接收方的相关联确认方法处理,证明实体必须保护对 SOAP 消息内容的作证,以便接收方可以确定另一方修改该 SOAP 消息的时间。证明实体还必须保护对消息内容的陈述(必要时)及其绑定的作证,以便检测到未经授权的修改。”
可以使用传输级别或消息级别安全性来满足此 SAML sender-vouches 需求。
必须使用消息级别安全性或 HTTPS 传输来保护 sender-vouches 令牌。- 要利用 HTTP 传输级别安全性,请配置 HTTPS 传输。
- 要利用消息级别安全性,SAML 令牌概要文件规范建议证明实体“签署相关消息内容和声明”。
要签署相关消息内容和声明,必须至少签署 SAML 令牌(声明)。相关内容依赖于应用程序。该规范建议:- 发送方至少同时签署 SOAP 主体和 SAML 声明以满足相关消息内容需求。
- 使用 SAML sender-vouches 时,使用者会验证是否使用 SOAP 主体签署了 SAML 令牌。
关于此任务
此过程描述了对 SAML 令牌进行数字签名时必须完成的步骤。该过程未描述与必须签署的消息部件相关的 SAML sender-vouches 或 SAML 不记名令牌的任何 SAML 令牌概要文件 OASIS 标准需求。
此过程中所提供的示例使用样本 Web Service 应用程序 JaxWSServicesSamples。
用于创建 sender-vouches 策略集的过程从创建新的 SAML sender-vouches 策略开始。
过程
- 创建 SAML sender-vouches 策略并配置消息部件。
必须先根据 SAML 不记名策略创建 SAML sender-vouches 策略集,才可以为 SAML sender-vouches 令牌配置客户机和提供程序绑定。创建策略集之后,必须将绑定连接到 JAX-WS 客户机和提供者应用程序。有关不记名策略集的更多信息,请参阅“为 SAML 不记名令牌配置客户机和提供程序绑定”主题。
随产品提供了几个缺省 SAML 令牌应用程序策略集和几个常规客户机与提供程序绑定样本。用于 SAML sender-vouches 令牌的策略集与用于 SAML 不记名令牌的策略集类似。以下过程描述了如何根据 SAML 不记名令牌策略集来创建 sender-vouches 策略集。
除非将其导入为副本,否则 SAML20 Bearer WSSecurity default 和 SAML20 Bearer WSHTTPS default 策略将无法更新以与 SAML sender-vouches 令牌配合使用。SAML20 Bearer WSSecurity default 和 SAML20 Bearer WSHTTPS default 策略未配置成签署 SAML 令牌。要满足 SAML sender-vouches 的需求,必须更新该策略以签署 SAML 令牌。因此,必须将该策略导入为副本,或者必须创建该策略的副本。以下过程将创建该策略的副本。
- 导入必需的策略集。
“为 SAML 不记名令牌配置客户机和提供程序绑定”主题的“准备工作”部分描述了如何导入所需类型的 Username WSHTTPS default 和 SAML 不记名策略。例如,SAML20 Bearer WSSecurity default 用于使用 HTTP 的 SAML 2.0 sender-vouches 令牌。
- 为已导入的所需类型的 SAML 不记名策略创建可编辑副本。
- 在管理控制台中,单击服务 > 策略集 > 应用程序策略集。
- 选择要复制的已导入 SAML 不记名策略。
例如,可以选择 SAML20 Bearer WSSecurity default。
- 单击“复制...”。
- 在名称字段中指定所需名称。 例如,可以指定 SAML20 sender-vouches。
- 单击“确定”。
- 编辑新的 SAML sender-vouches 策略以添加 SAML 令牌的数字签名。
- 在管理控制台中,单击服务 > 策略集 > 应用程序策略集。
- 选择刚刚创建的策略。
使用上述示例时,将选择 SAML20 sender-vouches。
- 从管理控制台中,编辑 SAML 策略集,然后单击 WS-Security > 主要策略 > 请求消息部件保护。
- 在完整性保护下,单击添加。
- 为要签署的部件的名称输入部件名称;例如 saml_part。
- 在部件中的元素下,单击添加。
- 选择 XPath 表达式。
- 添加两个 XPath 表达式。
/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' and local-name()='Envelope']/*[namespace-uri()='http://schemas.xmlsoap.org/soap/envelope/' and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='SecurityTokenReference']
/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' and local-name()='Envelope']/*[namespace-uri()='http://www.w3.org/2003/05/soap-envelope' and local-name()='Header']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='Security']/*[namespace-uri()='http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd' and local-name()='SecurityTokenReference']
- 单击应用,然后单击保存。
- 如果应用程序从未使用此策略启动,那么不需要进一步的操作。否则,请重新启动应用程序服务器或遵循“使用 wsadmin 脚本编制来刷新策略集配置”文章中的指示信息进行操作,以使应用程序服务器重新装入策略集。
- 导入必需的策略集。
- 配置信任客户机
如果要使用常规绑定来访问外部 STS,请跳至“将策略集与绑定连接至客户机应用程序”步骤。
如果要使用特定于应用程序的绑定来访问外部 STS,请完成以下子步骤。
- 暂时将信任客户机的策略集连接至 Web Service 客户机应用程序,以便可以配置绑定。
连接信任客户机的策略集允许您使用管理控制台来创建客户机绑定文档绑定,然后修改这些绑定。如果使用特定于应用程序的绑定来访问外部 STS,那么只需完成此操作。
- 在管理控制台中,单击应用程序 > 应用程序类型 >WebSphere 企业应用程序 > JaxWSServicesSamples > 服务客户机策略集和绑定。
- 选择 Web Service 客户机资源 (JaxWSServicesSamples)。
- 单击连接客户机策略集。
- 选择策略集 Username WSHTTPS default。
- 创建信任客户机绑定。
- 再次选择 Web Service 客户机资源 (JaxWSServicesSamples)。
- 单击指定绑定。
- 单击新建特定于应用程序的绑定以创建特定于应用程序的绑定。
- 为新建的特定于应用程序的绑定指定绑定配置名称。在此示例中,绑定名称为 SamlTCSample。
- 将“SSL 传输”策略类型添加到绑定。
单击添加 > SSL 传输,然后单击确定。
- 将 WS-Security 策略类型添加到绑定,然后修改信任客户机的认证设置。
- 如果 WS-Security 策略类型在 SamlTCSample 绑定定义中未准备就绪,请单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务客户机策略集和绑定 > SamlTCSample。
- 单击添加 > WS-Security > 认证和保护 > request:uname_token。
- 单击应用。
- 选择回调处理程序。
- 为 Web Service 客户机指定用户名和密码以对外部 STS 进行认证。
- 单击确定,然后单击保存。
- 保存绑定设置后,返回到服务客户机策略集和绑定面板并拆离策略集和绑定。
- 单击此页面导航中的服务客户机策略集和绑定,或者单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务客户机策略集和绑定。
- 选择 Web Service 客户机资源 (JaxWSServicesSamples),然后单击拆离客户机策略集。
拆离策略集时,不会从文件系统中删除您刚刚创建的特定于应用程序的绑定配置。因此,您仍然可以使用您创建的特定于应用程序的绑定来访问包含信任客户机的 STS。
- 暂时将信任客户机的策略集连接至 Web Service 客户机应用程序,以便可以配置绑定。
- 连接 SAML sender-vouches 策略集并为客户机应用程序创建新的特定于应用程序的绑定。
对于 sender-vouches,必须使用特定于应用程序的定制绑定,而不要使用常规绑定。因此,如果根据已连接的不记名令牌策略集和绑定来配置 sender-vouches 策略集和绑定,那么必须确保所指定的绑定是特定于应用程序的绑定。
- 将所需的 SAML 策略集连接到 Web Service 客户机应用程序。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务客户机策略集和绑定。
- 选择 Web Service 客户机资源 (JaxWSServicesSamples)。
- 单击连接客户机策略集。
- 选择您创建的 SAML 策略。
例如,可以选择 SAML20 sender-vouches。
- 为客户机创建新的特定于应用程序的绑定。
- 再次选择 Web Service 客户机资源 (JaxWSServicesSamples)。
- 单击指定绑定。
- 选择新建特定于应用程序的绑定...。
- 为新建的特定于应用程序的绑定指定绑定配置名称。
在此示例中,绑定名称为 SamlSenderVouchesClient。
- 单击添加 > WS-Security。
- 将所需的 SAML 策略集连接到 Web Service 客户机应用程序。
- 编辑特定于应用程序的客户机绑定中的 SAML 令牌生成者。
- 单击认证和保护。
- 在“认证令牌”下面,单击 request:SAMLToken20Bearer 或 request:SAMLToken11Bearer。
- 单击应用。
- 单击回调处理程序。
- 添加以下定制属性。
- confirmationMethod=sender-vouches
- keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
- stsURI=SecurityTokenService_address
例如,可以对 SecurityTokenService_address 指定 https://example.com/Trust/13/UsernameMixed。
- wstrustClientPolicy=Username WSHTTPS default。
- wstrustClientBinding=value
对 wstrustClientBinding 指定的值必须与您在先前步骤中创建的信任客户机的特定于应用程序的绑定名称相匹配。例如,如果在先前的步骤中创建了名为 SamlTCSample 的特定于应用程序的绑定,那么必须指定 SamlTCSample 作为 wstrustClientBinding 属性的值。
- wstrustClientSoapVersion=value
如果要使用 SOAP V1.1,请对此属性指定值 1.1。
如果要使用 SOAP V1.2,请对此属性指定值 1.2。
- 单击确定。
- 单击此页面导航中的 WS-Security。
- 配置客户机绑定中的常规数字签名。
- 配置“证书库”。
- 选择密钥和证书。
- 在“证书库”下面,单击新建入站...。
- 指定名称=clientCertStore。
- 指定中间 X.509 证书=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer。
- 单击确定。
- 配置“信任锚”。
- 在“信任锚”下面,单击新建...。
- 指定名称=clientTrustAnchor。
- 单击外部密钥库。
- 指定Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks。
- 指定密码=client。
- 单击确定。
- 单击此页面导航中的 WS-Security。
- 配置签名生成器。
- 单击认证和保护 > AsymmetricBindingInitiatorSignatureToken0(签名生成器),然后单击应用。
- 单击回调处理程序。
- 指定密钥库=custom。
- 单击定制密钥库配置,然后指定
- Full path==${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-sender.ks
- 密钥库密码=client
- 名称=client
- 别名=soaprequester
- 密码=client
- 单击确定,再单击确定,然后单击确定。
- 配置签名使用者。
- 单击 AsymmetricBindingRecipientSignatureToken0(签名使用者),然后单击应用。
- 单击回调处理程序。
- 在“证书”下面,单击证书库单选按钮,然后指定:
- 证书库=clientCertStore
- 信任锚库=clientTrustAnchor
- 单击确定,再单击确定。
- 配置请求签名信息。
- 单击 request:app_signparts,然后指定名称=clientReqSignInfo。
- 在“签署密钥信息”下面,单击新建,然后指定:
- 名称=clientReqSignKeyInfo
- 类型=Security Token reference
- 令牌生成器或使用者名称=AsymmetricBindingInitiatorSignatureToken0
- 单击确定,然后单击应用。
- 在“消息部件引用”下面,选择 request:app_signparts。
- 单击编辑。
- 在“变换算法”下面,单击新建。
- 指定 URL=http://www.w3.org/2001/10/xml-exc-c14n#。
- 单击确定,再单击确定,然后单击确定。
- 配置响应签名信息。
- 单击 response:app_signparts,然后指定名称=clientRespSignInfo。
- 单击应用。
- 在“签署密钥信息”下面,单击新建,然后指定:
- 名称=clientRspSignKeyInfo
- 令牌生成器或使用者名称=AsymmetricBindingRecipientSignatureToken0
- 单击确定。
- 在“签署密钥信息”下面,单击 clientRspSignKeyinfo,然后单击添加。
- 在“消息部件引用”下面,选择 response:app_signparts。
- 单击编辑。
- 在“变换算法”下面,单击新建。
- 指定 URL=http://www.w3.org/2001/10/xml-exc-c14n#。
- 单击确定,再单击确定,然后单击确定。
- 配置“证书库”。
- 配置客户机绑定中 SAML 令牌的数字签名。
- 修改目前配置的出站签名消息部件绑定以包括您创建的新 SAML 部件。
在请求消息签名和加密保护下,选择其状态已设置为 Configured 的部件引用。此部件引用将非常类似于 request:app_signparts。
- 从“消息部件引用”下的可用列表中,选择要签署的部件(步骤 1 中创建)的名称;例如 saml_part。
- 单击添加,然后单击应用。
- 在“消息部件引用”下的已指定列表中,突出显示所添加的部件的名称;例如 saml_part。
- 单击编辑。
- 对于变换算法设置,单击新建。
- 选择 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform。
- 单击确定,单击确定,然后再次单击确定。
- 使用定制属性来更新 SAML 令牌 GENERATOR 以指示具有安全性令牌引用的数字签名。
在“认证令牌”下,选择并编辑您要签署的 SAML 令牌。
- 在“定制属性”下,单击新建。
- 输入 com.ibm.ws.wssecurity.createSTR 作为定制属性名称。
- 输入 True 作为定制属性的值。
- 单击应用,然后单击保存。
- 重新启动应用程序。
- 修改目前配置的出站签名消息部件绑定以包括您创建的新 SAML 部件。
- 连接 SAML sender-vouches 策略集并为提供者应用程序创建新的特定于应用程序的绑定。
- 将所需的 SAML 策略集连接到 Web Service 客户机应用程序。
- 单击应用程序 > 应用程序类型 > WebSphere 企业应用程序 > JaxWSServicesSamples > 服务提供程序策略集和绑定。
- 选择 Web Service 客户机资源 (JaxWSServicesSamples)。
- 单击连接策略集。
- 选择您创建的 SAML 策略。
例如,可以选择 SAML20 sender-vouches。
- 为提供程序创建新的特定于应用程序的绑定。
- 再次选择 Web Service 客户机资源 (JaxWSServicesSamples)。
- 单击指定绑定。
- 选择新建特定于应用程序的绑定...。
- 为新建的特定于应用程序的绑定指定绑定配置名称。
在此示例中,绑定名称为 SamlSenderVouchesProvider。
- 单击添加 > WS-Security。
- 将所需的 SAML 策略集连接到 Web Service 客户机应用程序。
- 编辑特定于应用程序的提供程序绑定中的 SAML 令牌使用者。
- 单击认证和保护。
- 在“认证令牌”下面,单击 request:SAMLToken20Bearer 或 request:SAMLToken11Bearer。
- 单击应用。
- 单击回调处理程序。
- 添加以下定制属性。
- confirmationMethod=sender-vouches
- keyType=http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
- signatureRequired=true
- 可选: 如果不允许进行签署者证书验证,请将 trustAnySigner 定制属性设置为 true。
为了进行 SAML 签名验证,将忽略“信任任何证书”配置设置。只有将 signatureRequired 定制属性设置为 true(这是该属性的缺省值)时,此属性才有效。
- 如果声明由 STS 签署,请完成以下操作:将 signatureRequired 定制属性设置为缺省值 true,将 trustAnySigner 定制属性设置为缺省值 false。
- 将证书添加到可允许外部 STS 签名证书通过信任验证的提供程序的信任库,例如自己签署证书或其根 CA 证书的 STS。
- 将 trustStorePath 定制属性设置为与信任库文件名相匹配的值。此值可以是标准值,也可以使用关键字(例如 ${USER_INSTALL_ROOT})。
- 将 trustStoreType 定制属性设置为与密钥库类型相匹配的值。受支持的密钥库类型包括:jks、jceks 和 pkcs12。
- 将 trustStorePassword 定制属性设置为与信任库密码相匹配的值。该密码将以定制属性的形式进行存储,并由管理控制台进行编码。
- 可选:将 trustedAlias 定制属性设置为诸如 samlissuer 的值。如果指定此属性,那么由别名表示的 X.509 证书将是受 SAML 签名验证信任的唯一 STS 证书。如果未指定此定制属性,那么 Web Service 运行时环境将使用 SAML 声明中的签名证书来验证 SAML 签名,然后对所配置的信任库验证该证书。
- 可选: 配置接收方以验证 SAML 声明中发布者的发布者名称和/或证书 SubjectDN。
您可以创建可信发布者名称列表或可信证书 SubjectDN 列表,也可以同时创建这两种类型的列表。如果同时创建签发者名称列表和 SubjectDN 列表,那么将同时验证签发者名称和 SubjectDN。 如果所接收的 SAML 发布者名称或签署者 SubjectDN 不在可信列表中,那么 SAML 验证将失败并发出异常。
以下示例说明如何创建可信发布者与可信 SubjectDN 列表。对于每一个可信发布者名称,请使用 trustedIssuer_n,其中 n 是正整数。对于每一个可信 SubjectDN,请使用 trustedSubjectDN_n,其中 n 是正整数。如果同时创建这两种类型的列表,那么在相同 SAML 声明中的这两个列表中,整数 n 必须相匹配。整数 n 从 1 开始并按 1 递增。
在本示例中,您信任发布者名称为 WebSphere/samlissuer 的 SAML 声明(但忽略签署者的 SubjectDN),以便您添加以下定制属性:<properties value="WebSphere/samlissuer" name="trustedIssuer_1"/>
此外,您信任由 IBM/samlissuer 发布的 SAML 声明(当签署者的 SubjectDN 为 ou=websphere,o=ibm,c=us 时),以便您添加以下定制属性:<properties value="IBM/samlissuer" name="trustedIssuer_2"/> <properties value="ou=websphere,o=ibm,c=us" name="trustedSubjectDN_2"/>
- 单击应用。
- 单击此页面导航中的 WS-Security。
- 配置提供程序绑定中的常规数字签名。
- 配置“证书库”。
- 选择密钥和证书。
- 在“证书库”下面,单击新建入站...。
- 指定:
- 名称=providerCertStore
- 中间 X.509 证书=${USER_INSTALL_ROOT}/etc/ws-security/samples/intca2.cer
- 单击确定。
- 配置“信任锚”。
- 在“信任锚”下面,单击新建...。
- 指定名称=providerTrustAnchor。
- 单击外部密钥库,然后指定:
- Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- 密码=server
- 单击确定,然后单击此页面导航中的 WS-Security。
- 配置签名生成器。
- 单击认证和保护 > AsymmetricBindingRecipientSignatureToken0(签名生成器),然后单击应用。
- 单击回调处理程序。
- 指定密钥库=custom。
- 单击定制密钥库配置,然后指定
- Full path=${USER_INSTALL_ROOT}/etc/ws-security/samples/dsig-receiver.ks
- 密钥库密码=server
- 名称=server
- 别名=soapprovider
- 密码=server
- 单击确定,再单击确定,然后单击确定。
- 配置签名使用者。
- 单击 AsymmetricBindingInitiatorSignatureToken0(签名使用者),然后单击应用。
- 单击回调处理程序。
- 在“证书”下面,单击“证书库”单选按钮,然后指定:
- 证书库=providerCertStore
- 信任锚库=providerTrustAnchor
- 单击确定。
- 单击此页面导航中的认证和保护。
- 配置请求签名信息。
- 单击 request:app_signparts,然后指定名称=reqSignInf。
- 单击应用。
- 在“签署密钥信息”下面,单击新建,然后指定:
- 名称=reqSignKeyInfo
- 令牌生成器或使用者名称=AsymmetricBindingInitiatorSignatureToken0
- 单击确定。
- 在“签署密钥信息”下面,单击 reqSignKeyinfo,然后单击添加。
- 在“消息部件引用”下面,单击 request:app_signparts。
- 单击编辑。
- 在“变换算法”下面,单击新建,然后指定 URL=http://www.w3.org/2001/10/xml-exc-c14n#。
- 单击确定,再单击确定,然后单击确定。
- 配置响应签名信息。
- 单击 response:app_signparts,然后指定名称=rspSignInfo。
- 单击应用。
- 在“签署密钥信息”下面,单击新建,然后指定:
- 名称=rspSignKeyInfo
- 类型=Security Token reference
- 令牌生成器或使用者名称=AsymmetricBindingRecipientSignatureToken0
- 单击确定,然后单击应用。
- 在“消息部件引用”下面,选择 response:app_signparts。
- 单击编辑。
- 在“变换算法”下面,单击新建。
- 指定 URL=http://www.w3.org/2001/10/xml-exc-c14n#。
- 单击确定,再单击确定,然后单击确定。
- 配置“证书库”。
- 配置提供程序绑定中 SAML 令牌的数字签名。
- 单击此页面导航中的 WS-Security,然后单击认证和保护。
- 修改目前配置的入站签名消息部件绑定以包括您创建的新 SAML 部件。
在请求消息签名和加密保护下,选择其状态已设置为 Configured 的部件引用。此部件引用将非常类似于 request:app_signparts。
- 从“消息部件引用”下的可用列表中,选择要签署的部件(步骤 1 中创建)的名称;例如 saml_part。
- 单击添加,然后单击应用。
- 在“消息部件引用”下的已指定列表中,突出显示所添加的部件的名称;例如 saml_part。
- 单击编辑。
- 对于变换算法设置,单击新建。
- 选择 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform。
- 单击确定,单击确定,然后再次单击确定。
- 单击保存。
- 可选: 您可以配置调用者绑定以选择要代表请求者身份的 SAML 令牌。 Web Service 安全性运行时环境使用指定的 JAAS 登录配置从将 SAML 令牌 NameId 或 NameIdentifier 用作用户名的用户注册表中,获取用户安全性名称和组成员数据。
- 单击 WebSphere 企业应用程序 > JaxWSServicesSamples > 服务提供程序策略集和绑定 > Saml Bearer 提供程序样本 > WS-Security > 调用者。
- 单击新建以创建调用者配置。
- 指定名称,例如 caller。
- 输入调用者标识局部部件的值。
对于 SAML 1.1 令牌,请输入:
http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1对于 SAML 2.0 令牌,请输入:
http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0 - 单击应用,然后单击保存。
- 重新启动 Web Service 提供者应用程序以使策略集连接修改生效。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configsamlsendervouches
文件名:twbs_configsamlsendervouches.html